Zranitelnost IP telefonů firmy Cisco
Firma Cisco zveřejnila bezpečnostní zprávu Cisco IP Phone 7800 and 8800 Series Cisco Discovery Protocol Stack Overflow Vulnerability o zranitelném firmwaru v IP telefonech řady 7800 a 8800 (kromě Cisco Wireless IP Phone 8821). Zranitelnost má název CVE-2022–20968 a CVSSv3 skóre 8.1/10. Existuje Proof of Concept, podle něhož by mohl útočník odesláním speciálně formátovaného rámce protokolu Cisco Discovery způsobit přetečení zásobníku a spuštění libovolného neautorizovaného kódu nebo odepření služby; skutečný případ zneužití zatím není znám.
Opravený software ještě není k disposici; firma Cisco předpokládá, že ho zveřejní v lednu 2023. Správce sítě zatím může vypnout protokol CDP a místo něho použít Link Layer Discovery Protocol (LLDP); podle vyjádření firmy to ale není jednoduché.
Nebezpečná zranitelnost ve firewallech FortiGate
Společnost Fortinet vydala 12. prosince 2022 dokument popisující závažnou zranitelnost CVE-2022–42475 (CVSSv3 skóre 9.3/10) v operačním systému FortiOS. Problém je v démonu sslvpnd; neautentizovaným útočníkům umožňuje spustit libovolný neautorizovaný kód nebo příkaz, a tak ovládnout celé zařízení. Podrobnosti jsou zveřejněny v dokumentu FG-IR-22–398. Vzhledem k tomu, že zranitelnost je už známa a zneužívá se, je třeba co nejdříve přejít na novou či opravenou verzi softwaru nebo alespoň zakázat SSL VPN.
Závažné zranitelnosti v produktech VMware
Společnost VMware vydala aktualizace zabezpečení, které řeší několik zranitelností (CVE-2022–31702, CVE-2022–31703, CVE-2022–31705; CVSSv3 skóre 5.9 – 9.8) v různých produktech. Některé z těchto zranitelností umožňují neautorizovaným vzdáleným útočníkům až převzít kontrolu nad zranitelným systémem.
Uživatelé a správci by si měli prostudovat bezpečnostní dokumenty VMSA-2022–0031 a VMSA-2022–0033 a aplikovat příslušný opravený software.
Středně závažné zranitelnosti ve dvou modulech CMS Drupal
V modulu H5P (Create and Share Rich Content and Applications) Drupalu existuje zranitelnost, která může způsobit vzdálené spuštění kódu. Mohou ji zneužít ti útočníci, kteří smějí modifikovat knihovny H5P, a to ještě jen na serverech Windows.
Modul File (Field) Paths je také zranitelný: neautorizovaní útočníci mohou číst interní soubory, pokud k nim uhodnou cestu. Vhodnou konfigurací tomu lze zabránit.
Podrobnosti o těchto zranitelnostech i o opravených verzích SW obsahují dokumenty SA-CONTRIB-2022–064 a SA-CONTRIB-2022–065.
Samba obsahuje čtyři nově objevené zranitelnosti
- CVE-2022–38023 (CVSSv3 skóre 8.1/10)
- CVE-2022–37966 (CVSSv3 skóre 8.1/10)
- CVE-2022–37967 (CVSSv3 skóre 7.2/10)
- CVE-2022–45141 (CVSSv3 skóre 8.1/10)
Tyto vážné chyby byly minulý měsíc objeveny v produktech Microsoftu. Všechny čtyři jsou opravené v nejnovějších verzích Samby 4.17.4, 4.16.8 a 4.15.13.
Další falešné balíčky v PyPI i v NPM instalují ransomware
Na nebezpečí plynoucí z typosquattingu byli čtenáři Rootu upozorněni už před měsícem v článku Dvě desítky balíčků v PyPI instalují malware pro kradení informací. Firma Phylum nyní vydala upozornění Phylum Detects Ongoing Typosquat/Ransomware Campaign in PyPI and NPM na další útoky tohoto druhu; tentokrát cílí i na programátory v JavaScriptu. Instalovaný ransomware se ohlásí jako CIA a píše, že zašifroval některé soubory; za dešifrovací klíč požaduje 100 USD v kryptoměnách.
Nečekaná metoda infiltrace dodavatelského řetězce
Skupina Jscrambler zveřejnila dokument Defcon Skimming: A new batch of Web Skimming attacks, který popisuje rafinovaný útok na dodavatelský řetězec softwaru pro webovou analytiku.
Začátkem tohoto století nabízela společnost Cockpit bezplatnou službu webové analytiky a reklamy. Weby, které službu využívaly, si stahovaly javascriptový kód ze serverů Cockpitu a vkládaly ho do svých webových stránek jako důvěryhodný obsah. V prosinci 2014 Cockpit tuto službu ukončil a uživatele na to včas upozornil.
V listopadu 2021 ale příslušnou doménu cockpit[.]jp podvodníci koupili a zjistili, že nejméně 40 elektronických obchodů své weby ještě neaktualizovalo, takže weby se stále snažily stahovat původní javascriptový kód. Podvodníci jim dodali vlastní kód a získali tak přístup k platebním údajům zákazníků.
Ve zkratce
- Čmuchal Nosey Parker hledá citlivá textová data ve filesystému i v Gitu
- OSV-Scanner Googlu hledá zranitelnosti projektů v databázi zranitelností open source
- Spacial/awesome-csirt: Užitečné zdroje pro bezpečnostní týmy CSIRT
- Odhalení stalkera díky úniku dat z pochybného webu
- Kybernetická válka na Ukrajině
Pro pobavení
O váš počítač pečuje náš nový personál. Bohužel nám přišla stížnost: majitel si stěžuje, že od jejich návštěvy nemůže najít myš.
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
ČLÁNKY DO MAILU