Postřehy z bezpečnosti: RCE ve Western Digital MyCloud

12. 7. 2021
Doba čtení: 5 minut

Sdílet

 Autor: Western Digital
Dnes se podíváme na nepříjemnou zranitelnost Western Digital MyCloud, na další vývoj v útoku REvil ransomwaru, na kritické chyby v routerech NETGEAR, na problematiku generování hesel a útok na mongolskou certifikační autoritu.

Útok na síťová úložiště

Mnoho zákazníků Western Digital zažilo v uplynulých měsících nepříjemný okamžik, když byly vzdáleně vymazána jejich síťová úložiště MyBook Live kvůli zranitelnosti nultého dne v této produktové řadě, která není podporována od roku 2015. Nyní se v novější řadě Western Digital MyCloud objevila chyba umožňující vzdálené spuštění kódu.

Problém se týká zařízení provozovaných na verzi MyCloud OS 3, která přestala být nedávno podporována. Nedostatek byl odstraněn pouze ve verzi MyCloud OS 5, což však může být pro řadu uživatelů problém. Některá zařízení WD MyCloud totiž neumožňují přechod na novou verzi a navíc tato nová verze údajně nepodporuje některé oblíbené funkce, které uživatelé používali v MyCloud OS 3.

Uživatelé, kteří neplánují provést upgrade, by se tak měli ujistit, že jejich zařízení není dostupné přes Internet, a pokud jej potřebují používat vzdáleně, pak by k tomu měli využít VPN. Western Digital se k případnému vydání záplaty nevyjádřil a k dispozici je tak pouze neoficiální záplata, která musí být reinstalována po každém restartu zařízení a nad jejímž použitím si Western Digital myje ruce.

Další vývoj v útoku REvil

předchozích postřezích jsme se věnovali problémům zákazníků společnosti Kaseya, kteří byli napadeni útokem ransomwaru REvil. V uplynulém týdnu se ukázalo, že společností postižených útokem tohoto ransomwaru bude okolo 1 500. K velké smůle napadených společností byly některé ze zranitelností, které byly při útoku použity, objeveny a reportovány již dříve nizozemskou organizací „Institute for Vulnerability Disclosure (DIVD)“, leč v pomyslném závodu vyhrála bohužel skupina REvil, která zranitelnosti zneužila dříve, než pro ně Kaseya stihla vydat záplaty. Hackeři požadují výpalné v celkové hodnotě 1,5 miliardy korun.

Kritické chyby v routerech NETGEAR série DGN-2200v1

Analýza podezřelé komunikace na konfiguračním portu NETGEAR DGN-2200v1 routeru, vedla k odhalení tří chyb ve firmwaru tohoto zařízení. Chyby odhalil 365 Defender tým Microsoftu a jsou označeny jako PSV-2020–0363, PSV-2020–0364 a PSV-2020–0365. Odpovídající CVE neexistují. Chyby spočívají v obejití autentizace administrátorského rozhraní a vedou tak k úplnému ovládnutí routeru.

Podrobný popis analýzy firmwaru ukazuje, jak lze získat uložené autentizační údaje pomocí postranního kanálu založeného na čase, který router potřebuje k ověření jména a hesla a jak lze tyto údaje přečíst z konfiguračního souboru, který je sice opatřen šifrou DES, ale známým klíčem „NtgrBak“. Aktualizovaný firmware a postup aktualizace je dostupný na stránkách výrobce.

Pravidla firewallu ModSecurity nechrání dost

Open-source pravidla CRS (Core Rule Set) obsahují chybu, která umožňuje obejít detekční schopnosti ModSecurity a zneužít tak chyby v systémech, které mají být tímto firewallem chráněny. Chyba se v pravidlech vyskytuje bohužel již několik let. Je jí přiřazeno CVE-2021–35368 a její podstatu a způsob nápravy lze nalézt na stránkách OWASP ModSecurity Core Rule Set.

Jak generovat silná hesla a kdo to dělá špatně

Pokud se autentizujeme jménem a heslem k více různým službám, jeví se jako ideální  používat správce hesel. Hesla si vygenerujeme dlouhá a náhodná a manažer si je bude pamatovat za nás. Právě v generování hesel však může být háček. Jsou opravdu náhodná? 

Jean-Baptiste Bédrune ve svém článku, na příkladu generátoru hesel implementovaného v Kaspersky Password Manageru (KPM) uvádí, že tomu tak nemusí být vždy. Generátor v KPM měl několik nedostatků, z nichž nejkritičtější je ten, že používá PRNG, postavený na základě jediného zdroje entropie – aktuálního času. Všechna hesla vytvořená tímto generátorem lze prolomit hrubou silou za několik sekund. Chyba je známá poměrně dlouho, ale pokud stále ještě používáte starší verze KPM než tyto:

  • Kaspersky Password Manager for Windows 9.0.2 Patch F,
  • Kaspersky Password Manager for Android 9.2.14.872,
  • Kaspersky Password Manager for iOS 9.2.14.31,

aktualizujte software a vygenerujte si všechna hesla znovu. Článek je zajímavý také proto, že popisuje, jak by měla být hesla generována, aby byla bezpečná a jaké existují metody k ověření jejich náhodnosti.

IndigoZebra se vydávala za afgánského prezidenta

Čínská hackerská skupina IndigoZebra zaměřující se na APT (advanced persistent threat) se zřejmě vydávala za afghánského prezidenta Ashrafa Ghaniho v rámci spear phishingového útoku. Ten směřoval na afghánské vládní instituce a v e-mailu žádal o promptní revizi přiložených dokumentů souvisejících s údajnou nadcházející tiskovou konferencí. Reálně se však jednalo o heslem chráněný RAR archiv, který po rozbalení obsahoval škodlivý .exe soubor.

Mongolský MonPass obětí útoku

Mongolská certifikační autorita MonPass se stala obětí kybernetického útoku, který umožnil útočníkům upravit instalační program PKI klienta distribuovaný ze stránek certifikační autority. Útočníci do instalačního programu přidali zadní vrátka v podobě Cobalt Strike beaconu.

Škodlivý instalátor pak jako první věc po spuštění stáhl legitimní verzi PKI klienta a spustil jeho instalaci jako nový proces, takže pro běžného uživatele nedošlo k ničemu podezřelému či neobvyklému. Následně došlo ke stažení samotného payloadu Cobalt Strike beaconu a to v podobě šifrovaných dat ukrytých v BMP obrázku.

Raketově roste vishing

Podle Avastu během pandemie po celém světě výrazně vzrostl počet podvodů přes falešné linky zákaznické a technické podpory. Vyšší počet lidí, kteří v době pandemie tráví na Internetu čas každý den, představuje pro podvodníky lákavý cíl. Ti se navíc nejčastěji zaměřují na ty nejzranitelnější, jako jsou senioři, a připravují je o nemalé finanční částky.

Nejvíce podvodů s technickou podporou se vyskytuje ve Spojených státech amerických, kde analytici Avastu zaznamenali v období od ledna do března 2021 téměř 10 milionů pokusů o podvod. Mezi další země, kde je tato technika rozšířená, patří také Francie, Velká Británie, Německo, Španělsko, Brazílie nebo Japonsko.

Obdobné případy se však vyskytují i v České republice. V dubnu 2021 varoval Národní úřad pro kybernetickou a informační bezpečnost před podvodníky zneužívající identitu bankovních institucí. Analytici Avastu předpovídají, že tento trend poroste i po skončení pandemie.

Trojský kůň na macOS

Skupina známá jako WildPressure přidala do své nejnovější kampaně zaměřené na podniky v energetickém sektoru variantu malwaru pro macOS. Při provádění útoků využívají kompromitované weby na CMS WordPress.

bitcoin_skoleni

Aktualizovaný malware, původně identifikovaný v březnu 2020 a přezdívaný Milum, byl nyní podle bezpečnostních odborníků přestavěn pomocí balíčku PyInstaller obsahujícího trojského koně kompatibilního se systémy Windows a macOS. Napadené koncové body umožňují skupině pokročilých persistentních hrozeb (APT) stahovat a nahrávat soubory a vykonávat příkazy.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.