Kybernetické hrozby – 2020-03-01

Kybernetické hrozby – 2020-03-01

Seznam důležitých kybernetických hrozeb a událostí za období 25.2. – 2.3. 2020.


Název:                 Závažná zranitelnost HW WiFi chipů Broadcom a Cypress

Technologie:     WiFi chipy výrobců Broadcom a Cypress ve spojení s WPA2

Důležitost:         Nízká (3.1)

Popis:                   Zranitelnost nazvaná Kr00k umožňuje napadení WPA2-Personal a WPA2-Enterprise protokolů se spuštěným šifrováním AES. Netýká se protokolu WPA3. Útočník nemusí být připojený k bezdrátové síti na zranitelném zařízení, ale musí být v jejím dosahu. Tak může způsobit opakované odpojení klienta od WiFi sítě, kdy dojde k vynulování session key, ale chyba v chipech umožňuje pomocí tohoto nulového klíče přečíst data v bufferech v rozsahu několika KB. Zranitelnost je důležitá především z důvodu velké oblíbenosti těchto chipů, takže zranitelné jsou odhadem miliardy zařízení od výrobců Samsung, Apple, Xiaomi, Raspberry a dalších.

Doporučení:      Ověření výskytu zranitelnosti v klientských i serverových zařízeních; aktualizace OS v routerech, AP apod., aktualizace driverů a OS v klientských zařízeních

Zdroje:                 https://securityaffairs.co/wordpress/98516/hacking/kr00k-wi-fi-encryption-flaw.html, https://www.welivesecurity.com/wp-content/uploads/2020/02/ESET_Kr00k.pdf


Název:                 Zranitelnost CVE-2020-0688 Exchange serverů pod útokem

Technologie:     MS Exchange Server 2010 – 2019

Důležitost:         Kritická (8.8)

Popis:                   Zranitelnost komponenty Exchange Control Panel spočívá v chybě, kdy při instalaci Exchange Serveru nevytvoří unikátní klíč. Útočník, který získá přístup k zařízení nebo přihlašovacím údajům běžného uživatele, může přes webové rozhraní získat přístup k serveru na úrovni System. Zranitelnost je pod aktivním masivním útokem.

Doporučení:      Mimořádná aktualizace Exchange serveru

Zdroje:                 https://securityaffairs.co/wordpress/98532/hacking/microsoft-exchange-flaw-attacks.html, https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0688, https://www.govcert.cz/cs/informacni-servis/hrozby/2732-zranitelnost-microsoft-exchange-server/


Název:                 Cerberus Android Trojan

Technologie:     Android

Důležitost:         Střední

Popis:                   Cerberus trojan se poprvé objevil v srpnu 2019. Umožňuje relativně běžné funkce trojanu na mobilním telefonu – sledování textové i audio komunikace, vytváření screenshotů, přístup ke kontaktům a další. V nové verzi byla implementována možnost odcizení 2FA kódů generovaných aplikací Google Authenticator. Tím se stává nebezpečný i pro služby zabezpečené vícefaktorovou autentizací.

Doporučení:      Antivirová ochrana mobilních zařízení; proškolení uživatelů na správné využívání vícefaktorové autentizace (ne na jednom zařízení)

Zdroje:                 https://securityaffairs.co/wordpress/98556/malware/cerberus-android-malware.html


Název:                 WordPress weby pod útokem na XSS zranitelnosti

Technologie:     WordPress

Důležitost:         Vysoká

Popis:                   Jedná se o kampaň zaměřenou na zranitelnosti v několika pluginech – Flexible Checkout Fields for WooCommerce, Async JavaScript, 10Web Map Builder for Google Maps a Modern Events Calendar. Celkově je zranitelných cca. 200 000 webů (počet instalací jednotlivých pluginů). Zranitelnosti umožňují kompletní převzetí kontroly nad webem a jsou aktuálně pod útokem.

Doporučení:      Aktualizace pluginů; zajištění pravidelné aktualizace webových služeb

Zdroje:                 https://securityaffairs.co/wordpress/98685/hacking/wordpress-sites-plugins-hacking.html, https://wordpress.org/support/topic/malicious-access-plugin-woo-add-to-carts-by-linkflowusers/, https://blog.nintechnet.com/zero-day-vulnerability-fixed-in-wordpress-flexible-checkout-fields-for-woocommerce-plugin/


Název:                 Ghostcat – kritická zranitelnost Apache Tomcat

Technologie:     Apache Tomcat 6.x – 9.x

Důležitost:         Kritická (9.8)

Popis:                   Zranitelnost CVE-2020-1938 Tomcat AJP protokolu umožňuje vzdálený přístup ke konfiguračním souborům Tomcat serveru a v mnoha případech instalaci škodlivého kódu na server nebo převzetí kontroly nad ním. AJP protokol je ve výchozím stavu při instalaci Tomcatu povolený, zranitelné jsou tedy i servery, které tento protokol nevyužívají. Nebezpečné je, že Tomcat je využíván jako vestavěný server pro zpracování Javy v množství softwarových aplikací. Zranitelnost je v současné době pod aktivním útokem.

Doporučení:      Ověřit využití Tomcat serveru pro provoz Javy v infrastruktuře; instalace aktualizace

Zdroje:                 https://securityaffairs.co/wordpress/98654/hacking/ghostcat-vulnerability.html, https://www.tenable.com/blog/cve-2020-1938-ghostcat-apache-tomcat-ajp-file-readinclusion-vulnerability-cnvd-2020-10487


Název:                 Březnová aktualizace systému Android

Technologie:     Android

Důležitost:         Kritická

Popis:                   Google vydal březnové aktualizace systému Android. Jedná se o cca. 70 aktualizací, které řeší např. zranitelnost media framework, která umožňuje vzdálené spuštění škodlivého kódu v kontextu privilegovaného procesu. Samsung už vydal aktualizace pro svoje zařízení, která patche zahrnují.

Doporučení:      Aktualizace mobilních zařízení

Zdroje:                 https://source.android.com/security/bulletin/2020-03-01, https://security.samsungmobile.com/securityUpdate.smsb


Název:                 Zveřejnění dat obětí ransomewaru

Technologie:     –

Důležitost:         Vysoká

Popis:                   Operátoři ransomeware Nemty zveřejnili data jejich obětí, které odmítly zaplatit výkupné. Jedná se o nový trend a už ho aplikují i jiné kyberkriminální gangy. K ransomeware se dosud přistupovalo jako k ohrožení dostupnosti dat – opatření se tedy zaměřovaly na jejich zálohování, ale s tímhle přístupem se začalo jednat i o ohrožení důvěrnosti dat.

Doporučení:      Provést kontrolu opatření k ransomeware a jejich přehodnocení

Zdroje:                 https://securityaffairs.co/wordpress/98865/malware/nemty-ransomware-data-leak-site.html, https://securityaffairs.co/wordpress/96334/cyber-crime/maze-ransomware-southwire.html,


Název:                 Zranitelnost Point-to-Point Protocolu na systémech Linux

Technologie:     Linux

Důležitost:         Kritická (9.8)

Popis:                   Zranitelnost CVE-2020-8597 spočívá ve službě Point to point protocol deamon, která se využívá k navázání spojení (DSL, VPN apod.). Deamon chybně zpracovává autentizační EAP pakety a tím umožňuje vzdálenému neautentizovanému útočníkovi provést buffer overflow a následně spustit škodlivý kód. Zranitelnost se týká většiny Linuxových distribucí a může se projevit v zařízeních, která mají OS postavení na základě Linuxu (např. Synology, …).

Doporučení:      Zjistit dostupnost aktualizace a provést update

Zdroje:                 https://www.kb.cert.org/vuls/id/782301/, https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8597


Název:                 Vyšla nová aktualizace prohlížeče Google Chrome

Technologie:     Google Chrome

Důležitost:         Vysoká

Popis:                   Google vydal aktualizace prohlížeče Chrome na verzi 80.0.3987.132. Řeší zranitelnosti, které umožňují převzetí kontroly nad systémem, ale nejedná se o zranitelnosti kritické.

Doporučení:      Prověřit / provést aktualizaci

Zdroje:                 https://chromereleases.googleblog.com/2020/03/stable-channel-update-for-desktop.html