Kybernetické hrozby – 2018-11-01

Seznam důležitých kybernetických hrozeb za 1. týden listopadu 2018.

Název:                 Cisco vydalo bezpečnostní doporučení k DoS zranitelnosti Cisco Adaptive Security Appliance a Cisco Firepower Threat Defense Software

Technologie:    

  • 3000 Series Industrial Security Appliance (ISA)
  • ASA 5500-X Series Next-Generation Firewalls
  • ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
  • Adaptive Security Virtual Appliance (ASAv)
  • Firepower 2100 Series Security Appliance
  • Firepower 4100 Series Security Appliance
  • Firepower 9300 ASA Security Module
  • FTD Virtual (FTDv)

Důležitost:         –

Popis:                  Obě technologie mají chybu ve zpracování SIP provozu, která útočníkovi umožní přetížit CPU a tím způsobit DoS. Zranitelnost může být zneužita v situaci, kdy je na zařízeních spuštěna funkce SIP Inspection.

Doporučení:      Zatím jsou k dispozici pouze doporučení:

  • Vypnutí funkce SIP Inspection
  • Zablokování útočníka
  • Filtrování pomocí „Sent-by Address“ 0.0.0.0

Zdroje:                https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181031-asaftd-sip-dos; https://www.kb.cert.org/vuls/id/339704

Název:                 Mozilla zveřejnila bezpečnostní aktualizaci pro Thunderbird ESR

Technologie:     Thunderbird ESR

Důležitost:         Kritická

Popis:                  Aktualizace řeší několik zranitelností, viz. zdroje.

Doporučení:      Aktualizace

Zdroje:                https://www.mozilla.org/en-US/security/advisories/mfsa2018-28/

 


Název:                 Apache Fondation zveřejnila aktualizaci pro Tomcat JK konektory

Technologie:     Apache Tomcat JK Connectors 1.2.0 to 1.2.44

Důležitost:         Střední

Popis:                  Pomocí speciálně vytvořeného požadavku je možné prostřednictvím reverse proxy odhalit funkčnost aplikace na httpd. V některých případech bylo možné obejít i ochranu přístupu v httpd.

Doporučení:      Upgrade Apache Tomcat JK ISAPI Connector na verzi 1.2.46 nebo využít alternativní metody k omezení přístupu.

Zdroje:                http://mail-archives.us.apache.org/mod_mbox/www-announce/201810.mbox/%3C16a616e5-5245-f26a-a5a4-2752b2826703@apache.org%3E

 


Název:                 Apple vydal bezpečnostní aktualizace pro několik produktů

Technologie:     Safari 12.0.1, iCloud for Windows 7.8, iTunes 12.9.1, iOS 12.1 a další

Důležitost:         Kritická

Popis:                  Některé ze zranitelností je možné využít ke vzdálenému převzetí kontroly na cílovým systémem.

Doporučení:      Aktualizace

Zdroje:                https://support.apple.com/en-us/HT209198; https://support.apple.com/en-us/HT209197; https://support.apple.com/en-us/HT209196; https://support.apple.com/en-us/HT209192

 


Název:                 Apple iOS 12.1 – nalezen způsob, jak obejít uzamčenou obrazovku

Technologie:     iOS 12.1

Důležitost:         Vysoká

Popis:                  Uzamykací obrazovka na iPhone nebo iPad může být obejita a útočník může získat přístup ke kontaktům v zamčeném zařízení. Zranitelnost zneužívá novou funkci pro skupinové vidohovor Group Face Time. Ke zneužití je nutný fyzický přístup k zařízení.

Doporučení:      Zatím neexistuje aktualizace pro řešení této zranitelnosti. Doporučuji neponechávat iPhone bez dozoru.

Zdroje:                https://thehackernews.com/2018/10/iphone-ios-passcode-bypass.html

 


Název:                 Zranitelnost platformy UWP ve Windows 10

Technologie:     Universal Windows Platform (UWP)

Důležitost:         Vysoká

Popis:                  Technologie UWP umožňuje aplikacím provoz na všech zařízeních, která fungují na Windows 10. UWP zajišťuje aplikacím přístup k souborům a zařízením. Aplikace mají mít ve výchozím nastavení přístup pouze do svých adresářů, ale pomocí funkce broadFileSystemAccess mohou mít přístup ke všem souborům, jako uživatel, který je spustil. Při prvním využití této funkce má dojít k vyvolání okna, ve kterém uživatel tento přístup schválí. Z důvodu chyby se tato okna nezobrazovala.

Doporučení:      Funkce byla opravena v rámci aktualizací říjnových aktualizací (verze 1809) – je třeba zajistit aktualizaci Windows 10.

Zdroje:                https://thehackernews.com/2018/10/windows10-uwp-apps.html

 


Název:                 PortSmash zranitelnost procesorů Intel

Technologie:     Procesory Intel s technologií Hyper-Threading (prokázáno na jádrech Kaby Lake a Skylake)

Důležitost:         Vysoká

Popis:                  Zranitelnost umožňuje získat citlivé informace z procesů, které jsou zpracovávány procesorem ve stejném fyzickém jádře. Funkce SimultaneosMultiThreading umožňuje rozdělení každého fyzického procesorového jádra na dvě jádra virtuální a díky tomu zpracování dvou instrukcí současně. Útočník může díky tomu spustit útočný proces PortSmash vedle procesu, na který útočí a tím získá přístup citlivým informacím cíle. Bylo takto prezentováno získání privátních klíčů OpenSSL.

Doporučení:      Zatím není dostupná aktualizace firmware. Ochrana je možná vypnutím Hyper-Threading.

Zdroje: https://thehackernews.com/2018/11/portsmash-intel-vulnerability.html; https://securityaffairs.co/wordpress/77671/hacking/portsmash-flaw.html  


Název:                 Na DarkNetu jsou k prodeji soukromé zprávy uživatelů FB

Technologie:     Internetové prohlížeče

Důležitost:         –

Popis:                  Útočníci na DarkNetu nabízejí k prodeji soukromé zprávy 81 000 uživatelů Facebooku a tvrdí, že mají k dispozici data celkově ze 120 milionů účtů. Podle předběžné analýzy došlo ke krádeži dat prostřednictvím škodlivých rozšíření prohlížečů (rozšíření nebyly konkrétně specifikovány). Identifikovaná rozšíření byla nahlášena výrobcům prohlížečů a měla by být odstraněna ze storů.

Doporučení:      Provést revizi používaných rozšíření prohlížečů. Školení uživatelů s ohledem na možnou zneužitelnost rozšíření a výběr rozšíření pouze s dobrou reputací.

Zdroje:                https://securityaffairs.co/wordpress/77629/cyber-crime/facebook-accounts-hacked.html; https://threatpost.com/facebook-blames-malicious-extensions-in-breach-of-81k-private-messages/138770/

 


Název:                 Chyba BleedingBit v Bluetooth čipech Texas Instruments

Technologie:     Čipy CC2642R2, CC2640R2, CC2640, CC2650, CC2540 a CC2541

Důležitost:         Vysoká

Popis:                  Jedná se o dvě zranitelnosti těchto čipů, které umožňují vzdálenému útočníkovi spustit kód a převzít plnou kontrolu nad zařízením, bez nutnosti authentikace. Zmíněné čipy jsou využity v zařízeních výrobců jako Cisco, Aironet, Aruba, HP. Často se také využívají v IoT nebo lékařských zařízeních.

Doporučení:      TI vydal updaty firmware pro svoje chipy a výrobci zařízení postupně vydávají updaty. Je tedy třeba sledovat a instalovat bezpečnostní aktualizace. Jinak je vhodné vypnout BlueTooth na zařízeních, kde nejsou BT funkce nutné.

Zdroje:                https://thehackernews.com/2018/11/bluetooth-chip-hacking.html; https://threatpost.com/two-zero-day-bugs-open-millions-of-wireless-access-points-to-attack/138713/;