VMware zveřejnil kritickou zranitelnost
VMware zveřejnil kritickou zero-day zranitelnost CVE-2020–4006 v několika komponentech VMware Workspace One a doporučil dočasné řešení do vyřešení problému. Chyba může být zneužita útočníky k provádění příkazů na hostitelském operačním systému Linux nebo Windows s pomocí zvýšeného oprávnění. Záležitost ovlivňuje administrativní konfigurátor několika verzí VMware Workspace ONE Access, Access Connector, Identity Manager a Identity Manager Connector.
Chybou postižené verze jsou následující:
- VMware Workspace One Access 20.10 (Linux)
- VMware Workspace One Access 20.01 (Linux)
- VMware Identity Manager verze 3.3.1 až do verze 3.3.3 včetně (Linux)
- VMware Identity Manager Connector 3.3.2, 3.3.1 (Linux)
- VMware Identity Manager Connector 3.3.3, 3.3.2 a 3.3.1 (Windows)
Společnost oznámila, že záplaty se brzy objeví a do té doby doporučuje dočasné řešení.
Podvodníci se zmocnili domén GoDaddy
Podvodníci byli schopni se zmocnit provozu a e-mailů na několika doménách zabývajících se kryptoměnami. Podvodníci byli schopni modifikovat nastavení DNS, protože ke spolupráci přesvědčili zaměstnance GoDaddy za pomocí sociálního inženýrství. Kybernetičtí kriminálníci se také zaměřili na firmu NiceHash zabývající se těžbou kryptoměn a pomocí stejné techniky provedli úspěšný únos domény. Útočníci byli schopni modifikovat DNS záznamy domény NiceHash.com a společnost byla donucena zmrazit aktivity v peněženkách, aby ochránila majetek klientů.
V nedávné době (květen 2020 a říjen 2019) se společnost GoDaddy potýkala s úniky dat, které spolu s únosy domén z listopadu 2020 stále vyšetřuje.
Webové stránky v ohrožení
Výzkumníci objevili velkou zranitelnost v softwaru cPanel, která může být zneužita útočníky k překonání dvoufaktorového ověřování v účtech cPanelu. Zranitelnost má velký dosah, neboť se zmíněná softwarová sada používá k ovládání více než 70 miliónů domén v celém světě.
Experti zjistili, že implementace dvoufaktorového ověřování v cPanelu a Webhost Manageru byla zranitelná na brute-force útoky, které dovolovaly útočníkům odhadnout parametry URL a obejít dvoufaktorové ověřování. Ke zneužití této chyby je potřeba, aby měl útočník správnou kombinaci uživatelského jména a hesla cílového účtu. Výzkumníci dále sdělili, že obejití dvoufaktorového ověřování se dá dosáhnout v řádech jednotek minut. Chyby byly opraveny vydáním následujících sestavení:
- 11.92.0.2
- 11.90.0.17
- 11.86.0.32
Děravý SD-WAN orchestrator od VMware
VMware opravil šest zranitelností ve svém SD-WAN Orchestratoru, které by jinak mohly vystavit podnikové sítě útokům. Jedná se o následující zranitelnosti:
- zranitelnost vkládání SQL v SD-WAN Orchestrátoru sledovaná jako CVE-2020–3984
- spuštění souboru procházením adresáře v SD-WAN Orchestrátoru sledovaná jako CVE-2020–4000
- útok Pass-the-Hash implicitními hesly sledovaná jako CVE-2020–4001
- zvýšení oprávnění koncového bodu API sledovaná jako CVE-2020–3985
- nebezpečné zpracování systémových parametrů sledovaná jako CVE-2020–4002
- únik informací pomocí vkládání SQL sledovaná jako CVE-2020–4003
K dispozici jsou nyní následující opravené verze:
- SD-WAN Orchestrator 3.3.2 p3 build 3.3.2-GA-20201103
- SD-WAN Orchestrator 3.4.4 build R344–20201103-GA
- SD-WAN Orchestrator 4.0.1
Zatýkání podvodníků v Nigérii
Interpol sdělil, že tři občané Nigérie podezřelí z členství v kriminální skupině, která distribuovala malware, provozovala phishingové kampaně a prováděla obchodní podvody, byli během tzv. Operace Falcon zatčeni v Lagosu. Na vyšetřování se kromě Interpolu podílela také Singapurská kybernetická bezpečnostní firma Group-IB a nigerijská policie.
Dosud bylo identifikováno kolem 50 000 cílených obětí útoků. Skupina během svých phishingových kampaní rozšiřovala 26 malwarových programů, spyware a nástrojů vzdáleného přístupu. Hlavním cílem útočníků, jak poznamenala Group-IB, bylo odcizit ověřovací data z prohlížečů a poštovních a FTP klientů z firem umístěných mimo jiné v USA, UK, Singapuru, Japonsku a Nigerii.
Pozor na WAPDropper
Výzkumníci upozorňují na nový malware zvaný WAPDropper, který uživatele mobilních telefonů přihlašuje k vysokopoplatkovým legálním službám v Malaysii a Thajsku. Malware se skládá ze dvou modulů, kde jeden je zodpovědný za stažení druhé fáze malware a druhý za stažení dialeru, který následně uživatele přihlásí k legitimním prémiovým službám.
Malware je distribuován přes obchody třetích stran a jakmile je nainstalován, tak kontaktuje CC server pro stažení dalších komponent ke spuštění. Report publikovaný firmou Check Point také zahrnuje indikátory kompromitace.
Ve zkratce
- Microsoft záplatuje ověřování Kerberos
- Digitálně podepsaný malware Bandook
- Kritická chyba vzdáleného spuštění kódu
Pro pobavení
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…