Postřehy z bezpečnosti: vážné zranitelnosti, kamkoli pohlédnete

19. 12. 2022
Doba čtení: 3 minuty

Sdílet

 Autor: Darwin Laganzon, Pixabay
Tentokrát si přečteme o zranitelných produktech mnoha známých firem, o falešných balíčcích, o několika užitečných projektech i o tom, že data uniknuvší z hacknutého webu mohou pomoci spravedlnosti.

Zranitelnost IP telefonů firmy Cisco

Firma Cisco zveřejnila bezpečnostní zprávu Cisco IP Phone 7800 and 8800 Series Cisco Discovery Protocol Stack Overflow Vulnerability o zranitelném firmwaru v IP telefonech řady 7800 a 8800 (kromě Cisco Wireless IP Phone 8821). Zranitelnost má název CVE-2022–20968 a CVSSv3 skóre 8.1/10. Existuje Proof of Concept, podle něhož by mohl útočník odesláním speciálně formátovaného rámce protokolu Cisco Discovery způsobit přetečení zásobníku a spuštění libovolného neautorizovaného kódu nebo odepření služby; skutečný případ zneužití zatím není znám.

Opravený software ještě není k disposici; firma Cisco předpokládá, že ho zveřejní v lednu 2023. Správce sítě zatím může vypnout protokol CDP a místo něho použít Link Layer Discovery Protocol (LLDP); podle vyjádření firmy to ale není jednoduché.

Nebezpečná zranitelnost ve firewallech FortiGate

Společnost Fortinet vydala 12. prosince 2022 dokument popisující závažnou zranitelnost CVE-2022–42475 (CVSSv3 skóre 9.3/10) v operačním systému FortiOS. Problém je v démonu sslvpnd; neautentizovaným útočníkům umožňuje spustit libovolný neautorizovaný kód nebo příkaz, a tak ovládnout celé zařízení. Podrobnosti jsou zveřejněny v dokumentu FG-IR-22–398. Vzhledem k tomu, že zranitelnost je už známa a zneužívá se, je třeba co nejdříve přejít na novou či opravenou verzi softwaru nebo alespoň zakázat SSL VPN.

Závažné zranitelnosti v produktech VMware

Společnost VMware vydala aktualizace zabezpečení, které řeší několik zranitelností (CVE-2022–31702, CVE-2022–31703, CVE-2022–31705; CVSSv3 skóre 5.9 – 9.8) v různých produktech. Některé z těchto zranitelností umožňují neautorizovaným vzdáleným útočníkům až převzít kontrolu nad zranitelným systémem.

Uživatelé a správci by si měli prostudovat bezpečnostní dokumenty VMSA-2022–0031 a VMSA-2022–0033 a aplikovat příslušný opravený software.

Středně závažné zranitelnosti ve dvou modulech CMS Drupal

V modulu H5P (Create and Share Rich Content and Applications) Drupalu existuje zranitelnost, která může způsobit vzdálené spuštění kódu. Mohou ji zneužít ti útočníci, kteří smějí modifikovat knihovny H5P, a to ještě jen na serverech Windows.

Modul File (Field) Paths je také zranitelný: neautorizovaní útočníci mohou číst interní soubory, pokud k nim uhodnou cestu. Vhodnou konfigurací tomu lze zabránit.

Podrobnosti o těchto zranitelnostech i o opravených verzích SW obsahují dokumenty SA-CONTRIB-2022–064 a SA-CONTRIB-2022–065.

Samba obsahuje čtyři nově objevené zranitelnosti

Tyto vážné chyby byly minulý měsíc objeveny v produktech Microsoftu. Všechny čtyři jsou opravené v nejnovějších verzích Samby 4.17.4, 4.16.8 a 4.15.13.

Další falešné balíčky v PyPI i v NPM instalují ransomware

Na nebezpečí plynoucí z typosquattingu byli čtenáři Rootu upozorněni už před měsícem v článku Dvě desítky balíčků v PyPI instalují malware pro kradení informací. Firma Phylum nyní vydala upozornění Phylum Detects Ongoing Typosquat/Ransomware Campaign in PyPI and NPM na další útoky tohoto druhu; tentokrát cílí i na programátory v JavaScriptu. Instalovaný ransomware se ohlásí jako CIA a píše, že zašifroval některé soubory; za dešifrovací klíč požaduje 100 USD v kryptoměnách.

Nečekaná metoda infiltrace dodavatelského řetězce

Skupina Jscrambler zveřejnila dokument Defcon Skimming: A new batch of Web Skimming attacks, který popisuje rafinovaný útok na dodavatelský řetězec softwaru pro webovou analytiku.

Začátkem tohoto století nabízela společnost Cockpit bezplatnou službu webové analytiky a reklamy. Weby, které službu využívaly, si stahovaly javascriptový kód ze serverů Cockpitu a vkládaly ho do svých webových stránek jako důvěryhodný obsah. V prosinci 2014 Cockpit tuto službu ukončil a uživatele na to včas upozornil.

bitcoin školení listopad 24

V listopadu 2021 ale příslušnou doménu cockpit[.]jp podvodníci koupili a zjistili, že nejméně 40 elektronických obchodů své weby ještě neaktualizovalo, takže weby se stále snažily stahovat původní javascriptový kód. Podvodníci jim dodali vlastní kód a získali tak přístup k platebním údajům zákazníků.

Ve zkratce

Pro pobavení

O váš počítač pečuje náš nový personál. Bohužel nám přišla stížnost: majitel si stěžuje, že od jejich návštěvy nemůže najít myš

O váš počítač pečuje náš nový personál. Bohužel nám přišla stížnost: majitel si stěžuje, že od jejich návštěvy nemůže najít myš.

Autor: Vivek Gite

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

CESNET-CERTS je oficiální jméno bezpečnostního týmu sdružení CESNET, z. s. p. o. od ledna roku 2004. Jeho součástí je také Forenzní laboratoř FLAB. Články tvoří společně jednotliví členové týmu.