Seznam důležitých kybernetických hrozeb a událostí za období 28.1. – 7.2.2020.
Název: Aktualizace zranitelností Cisco Small Business Switch
Technologie: Cisco Small Business Switch
Důležitost: Vysoká (8.6)
Popis: Zranitelnosti umožňují vzdálenému neautentizovanému útočníkovi provést DoS útok nebo získat přístup k citlivým informacím. Obě zranitenosti (CVE-2019-15993, CVE-2020-3147) jsou ve webovém rozhraní switche.
Doporučení: Provést aktualizaci systému
Zdroje: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-smlbus-switch-dos-R6VquS2u, https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200129-smlbus-switch-disclos
Název: Apple vydal aktualizace pro několik produktů
Technologie: iOS, iPadOS, macOS, Safai, iCloud for Windows, tvOS
Důležitost: Vysoká
Popis: Aktualizace Apple produktů řeší větší množství zranitelností, které mohou vést k útokům typu DoS, spuštění libovolného kódu se systémovými privilegii, neoprávněnému přístupu k informacím v paměti a dalším.
Doporučení: Provést aktualizaci na poslední verzi
Zdroje: https://support.apple.com/en-us/HT210918, https://support.apple.com/en-us/HT210919, https://support.apple.com/en-us/HT210947, https://support.apple.com/en-us/HT210920, https://support.apple.com/en-us/HT210922
Název: Google vydal aktualizaci prohlížeče Chrome
Technologie: Google Chrome
Důležitost: Vysoká
Popis: Aktualizace obsahuje 56 bezpečnostních oprav, s důležitostí od nízkých po vysoké.
Doporučení: Ověřit aktualizaci Chrome na verzi 80.0.3987.87.
Zdroje: https://chromereleases.googleblog.com/2020/02/stable-channel-update-for-desktop.html
Název: Chyba Sudo umožňuje uživatelům Linuxu spouštět příkazy jako Root
Technologie: Linux, macOS
Důležitost: Vysoká (7.8)
Popis: Sudo (program umožňující v Linuxu spouštět programy v kontextu rootu) ve verzích před 1.8.26, pokud je spuštěna funkce pwfeedback, umožňuje provést buffer overflow útok na sudo proces a získat tak nad ním kontrolu. Pwfeedback je ve výchozím stavu spuštěn v Linux Mint a Elementary OS, v ostatních musí být funkce zapnuta administrátorem. Pwfeedback je funkce, která zajišťuje vizuální zpětnou vazbu (zobrazování znaků *) při zadávání hesla – pokud vám systém tyto * při zadávání nezobrazuje, zranitelnost není možné zneužít. Pokud je funkce spuštěna, je vlastí útok triviální a může být proveden i nezkušeným uživatelem.
Doporučení: Vypnutí funkce pwfeedback; aktualizace systému
Zdroje: https://thehackernews.com/2020/02/sudo-linux-vulnerability.html, https://securityaffairs.co/wordpress/97265/breaking-news/sudo-cve-2019-18634-flaw.html
Název: Zranitelný GIGABYTE driver je zneužíván k útoku ransomewarem RobbinHood
Technologie: –
Důležitost: Vysoká
Popis: Ransomeware RobbinHood se v některých případech šíří pomocí zranitelného driveru GDRV.SYS. Útočníci zneužívají tento zastaralý driver od výrobce základních desek Gigabyte. Tento driver obsahuje zranitelnost CVE-2018-19320, nicméně je korektně podepsaný a vzhledem k zastarání už nebude aktualizován. Útočník nejdřív nainstaluje driver na počítače v síti, následně zneužije zranitelnost pro přístup k jádru systému, dočasně vypne nutnost instalace pouze podepsaných driverů a vloží do systému škodlivý RBNL.SYS, tím vypne bezpečnostní produkty a nakonec spustí vlastní ransomeware.
Doporučení:
Především obecné zásady ochrany proti ransomeware:
– omezit práci s administrátorskými účty,
– přidělovat uživatelům pouze nejmenší nutná oprávnění,
– systém zálohování odolný proti ransomeware,
– školení uživatelů,
– sledování změn OS.
Zdroje: https://securityaffairs.co/wordpress/97457/malware/robbinhood-ransomware-gigabyte-driver.html, https://news.sophos.com/en-us/2020/02/06/living-off-another-land-ransomware-borrows-vulnerable-driver-to-remove-security-software/
Název: Kritická zranitelnost implementace Bluetooth v OS Android
Technologie: Android 8, 8.1, 9 (10)
Důležitost: Kritická
Popis: Zranitelnost se týká Bluetooth subsystému v OS Android. Dopady se liší podle verze OS – v Android 10 je možný pouze DoS útok, ale u Android 8, 8.1 a 9 je možné vzdálené spuštění libovolného kódu s oprávněními Bluetooth deamona, přístup informacím na zařízení apod. Útok probíhá vzdáleně (v dosahu BT), nevyžaduje interakci s uživatelem a může fungovat jako worm.
Doporučení: BT zapínat pouze na základě potřeby; instalovat bezpečnostní aktualizace
Zdroje: https://securityaffairs.co/wordpress/97421/cyber-crime/cve-2020-0022-android-bluetooth-flaw.html, https://source.android.com/security/bulletin/2020-02-01, https://android.googlesource.com/platform/system/bt/+/3cb7149d8fed2d7d77ceaa95bf845224c4db3baf
Název: Zranitelnosti v Cisco Discovery Protokolu
Technologie: Cisco Discovery Protocol (CDP)
Důležitost: Vysoká (8.8)
Popis: CDP je uzavřený protokol, který Cisco využívá od roku 1994 ke sdílení informací o Cisco zařízeních připojených k síti. Využívá se v téměř všech zařízeních výrobce – switche, routery, IP telefony, kamery, … Zranitelnosti protokolu umožňují vzdálené spuštění kódu a DoS. Útočník s přístupem k síti může rozeslat speciálně připravený paket, pomocí kterého může převzít kontrolu nad zařízeními. Následně může např. prolomit segmentaci sítě, získat přístup k dalším informacím pomocí man-in-the-middle útoku (včetně záznamu telefonních hovorů nebo videozáznamů).
Doporučení: Ověřit dostupnost aktualizace implementace CDP pro instalovaná Cisco zařízení, aktualizovat
Zdroje: https://securityaffairs.co/wordpress/97407/hacking/cdpwn-cdp-flaws.html, https://www.youtube.com/watch?time_continue=134&v=nYtDJlzU-ao&feature=emb_title, https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200205-iosxr-cdp-rce, https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200205-nxos-cdp-rce, https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200205-fxnxos-iosxr-cdp-dos
Název: Zranitelnost Smart žárovek Philips Hue
Technologie: Philips Hue Smart Light Bulbs
Důležitost: Vysoká (7.9)
Popis: Smart žárovky jsou propojené přes WiFi s ovládacím zařízením (telefon, tablet), které umožňuje jejich ovládání. Zranitelnost ve firmware žárovek umožňuje následné napadení počítačové sítě, ve které jsou připojeny.
Doporučení: Obecně segmentace IoT zařízení do samostatných sítí; aktualizace firmware IoT zařízení; proškolení uživatelů na rizika spojená s těmito zařízeními
Zdroje: https://securityaffairs.co/wordpress/97392/hacking/philips-smart-light-bulbs-hack.html
Název: Backdoor mechanismus v chipech od HiSilicon
Technologie: HiSilicon chips
Důležitost: Vysoká
Popis: HiSilicon je výrobce počítačových čipů vlastnění firmou Huawei. Čipy se využívají ve výrobcích mnoha dalších producentů (bohužel není k dispozici jejich kompletní seznam). Bylo prokázáno, že čipy obsahují úmyslně implementovaný backdoor mechanismus, který umožňuje root přístup k zařízením na TCP portu 9530 pomocí telnet protokolu. Vzhledem k dřívějším obdobným problémům s výrobcem nelze očekávat aktualizaci, která by tento problém řešila.
Doporučení: Zakázat v síti komunikaci na portu TCP 9530; ověřit přítomnost zařízení v síti (scan TCP 9530) a jejich odstranění
Zdroje: https://securityaffairs.co/wordpress/97367/hacking/hisilicon-chips-backdoor.html
Název: CISO britské policie upozorňuje na rostoucí trend ve zneužívání úklidových služeb k napadení IT infrastruktury
Technologie: –
Důležitost: Střední
Popis: Úklidové firmy, ale také malíři, údržbáři a další dodavatelé, kteří mají fyzický přístup do firem, jsou stále častěji zneužívány ke kybernetickým útokům. Útočníci mohou mít v takové společnosti „spícího agenta“ nebo podplatí někoho z pracovníků firmy. Tito agenti potom mají přímý přístup k infrastruktuře nebo využívají starý trik se zapomenutou USB pamětí.
Doporučení: Revize rizik spojených s podobnými útoky na fyzickou infrastrukturu; prověření opatření ohledně přístupu do prostor s aktivními prvky, servery apod.; školení uživatelů
Zdroje: https://johnlerner.com/police-warning-cyber-criminals-are-using-cleaners-to-hack-your-business
Název: Malware spam kampaně zaměřené na Koronavirus
Technologie: –
Důležitost: Střední
Popis: Vzhledem k vysokému pokrytí situace kolem Koronaviru médii je celosvětový zájem zneužíván kyberzločinci v malspam kampaních. Téma je hojně zneužíváno k manipulaci uživatelů k otevření útočných dokumentů nebo webových stránek.
Doporučení: Upozornit na riziko uživatele
Zdroje: https://securityaffairs.co/wordpress/97127/cyber-crime/cybercrime-exploits-coronavirus.html
Název: Nová zranitelnost CacheOut procesorů Intel
Technologie: Intel CPU architektur Skylake, Cascade Lake, Kaby Lake, Coffee Lake, Whiskey Lake, Amber Lake
Důležitost: Střední
Popis: Zranitelnost CVE-2020-0549 Intel procesorů umožňuje získat citlivé informace z jádra OS, virtuálních strojů nebo SGX. Oproti dřívějším zranitelnostem CacheOut umožňuje cílené získání informace, na rozdíl od čekání „kdy půjde něco zajímavého kolem“. Oprava je řešena aktualizací mikrokódu CPU, která může být provedena updatem BIOSu nebo OS. Seznam zranitelných CPU: https://software.intel.com/security-software-guidance/insights/processors-affected-l1d-eviction-sampling.
Doporučení: Aktualizace mikrokódu
Zdroje: https://thehackernews.com/2020/01/new-cacheout-attack-leaks-data-from.html, https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00329.html, https://www.cnews.cz/intel-bezpenostni-dira-zranitelnost-cacheout-procesory-tsx