Aktualności

https://nt.interia.pl/internet/news-brytyjski-ticketmaster-zaatakowany-przez-hakerow,nId,2602086

Analityk z firmy Beyond Security odkrył trzy podatności w oprogramowaniu SIEM IBM QRadar, które służy do analizy bezpieczeństwa informatycznego i pozwala zautomatyzować proces obsługi incydentów. Luki, którym nadano wspólny identyfikator CVE-2018-1418, umożliwiają zdalne wykonanie poleceń z uprawnieniami administratora. Problem dotyczy wbudowanej aplikacji do analizy plików, która składa się z serwletu Javy i napisanego w PHP komponentu głównego. Przedstawiony przez eksperta scenariusz ataku zaczyna się od obejścia uwierzytelniania, na które podatny jest ForensicAnalysisServlet. Kolejny krok polega na wykorzystaniu luki w aplikacji internetowej PHP, która umożliwia wstrzyknięcie polecenia. Trzeci z odkrytych przez badacza błędów pozwala na podwyższenie poziomu uprawnień, co stanowi ostatni etap ataku. Według firmy IBM podatności występują w wersjach QRadar SIEM 7.3.0–7.3.1 Patch 2 i 7.2.0–7.2.8 Patch 11.

Ryzyko duże: W sieci dostępny jest kod proof-of-concept pokazujący, jak można wykorzystać nowo odkryte luki.

Działania krótkoterminowe: Aktualizacja podatnego oprogramowania do wersji 7.3.1 Patch 3 lub 7.2.8 Patch 12.

Źródło: https://blogs.securiteam.com/index.php/archives/3689

Kilka niezależnych zespołów badaczy odkryło osiem nowych luk w procesorach Intela, wynikających z tego samego błędu projektowego, co ujawniona w styczniu podatność Spectre. Nadano im zbiorczą nazwę Spectre Next Generation, w skrócie Spectre-NG, połowę klasyfikując jako błędy wysokiego ryzyka. Atak za ich pośrednictwem polega na wpuszczeniu obcego procesu w określoną ścieżkę wykonania, która później spowoduje wyciek jego pamięci przez boczny kanał (ang. side channel). Badacze nie ujawnili szczegółów technicznych, wygląda jednak na to, że nowo odkryte luki da się względnie łatwo wykorzystać. Najwięcej kłopotów może przysporzyć błąd, który pozwala przeprowadzić atak z poziomu maszyny wirtualnej, co skutkuje uzyskaniem dostępu do pamięci hosta i innych maszyn wirtualnych. To fatalna wiadomość dla operatorów chmur obliczeniowych, takich jak Amazon EC2, Google Compute Engine czy Microsoft Azure, ponieważ atakujący, który wynajmie u nich wirtualny serwer, może przejąć hasła i klucze kryptograficzne zarówno administratora, jak i innych klientów.

Ryzyko duże: Podatności sprzętowe Spectre-NG występują we wszystkich współcześnie używanych procesorach Intela. Istnieją też wstępne dowody, że problem dotyczy niektórych procesorów ARM i AMD.

Działania długoterminowe: Monitorowanie dostępności aktualizacji usuwających poszczególne luki (każda wymaga odrębnej, niezależnie opracowanej łaty).

Źródło: https://www.techspot.com/news/74447-eight-new-spectre-variants-affecting-intel-chips-discovered.html

Przestępcy eksperymentują z nową metodą amplifikacji ataków DDoS, która polega na użyciu protokołu Universal Plug and Play (UPnP) w celu ukrycia źródłowego portu wysyłanych pakietów sieciowych. Podstawowym zadaniem UPnP jest ułatwienie bezpośredniej komunikacji między sąsiednimi urządzeniami w sieci. Technologia ta pozwala również na przekazywanie połączeń z internetu do sieci lokalnej. Eksperci z firmy Imperva zaobserwowali co najmniej dwa ataki, podczas których przestępcom udało się zmienić tabele mapowania portów, co umożliwiło wykorzystanie routerów jako serwerów proxy i przekierowanie połączeń przychodzących. Chcąc przetestować nowo odkrytą technikę, badacze opracowali własne narzędzie realizujące to samo zadanie. Wyszukiwało ono routery z udostępnionym plikiem rootDesc.xml, zawierającym konfigurację mapowania portów, gdzie dopisywało niestandardowe reguły ukrywające port źródłowy. Przeprowadzony następnie atak DDoS potwierdził przypuszczenia badaczy, którzy zdecydowali się nie upubliczniać swego kodu.

Ryzyko duże: Ataki DDoS skutkują stratami finansowymi, zwłaszcza w przypadku firm, których działalność wymaga zapewnienia nieprzerwalności świadczonych usług. Nie można też zapominać o konsekwencjach niematerialnych, takich jak utrata reputacji czy spadek zaufania klientów.

Działania długoterminowe: Ocena środowiska sieciowego i opracowanie kompleksowej strategii ochrony przed atakami DDoS, uwzględniającej najnowsze ustalenia ekspertów.

Źródło: https://www.imperva.com/blog/2018/05/new-ddos-attack-method-demands-a-fresh-approach-to-amplification-assault-mitigation/

Luka znana jako baseStriker, odkryta na początku maja przez analityków z firmy Avanan, jest aktywnie wykorzystywana przez atakujących do omijania zabezpieczeń Microsoftu na kontach Office 365. Problem dotyczy elementu <base />, względnie rzadko używanego znacznika HTML, który jest umieszczany w sekcji HEAD i określa bazowy adres URL dla wszystkich relatywnych odwołań w danym dokumencie. Atak opiera się na wykorzystaniu dokumentu RTF zawierającego odnośnik do złośliwej strony podzielony na dwie części. Outlook poprawnie generuje link, uzupełniając adres relatywny z sekcji BODY o adres bazowy podany w obrębie HEAD. Badacze zauważyli, że systemy bezpieczeństwa Office365, takie jak Advanced Threat Protection (ATP) i Safelinks, nie potrafią tego zrobić i skanują każdą część odnośnika osobno, co daje przestępcom spore pole do popisu. Dotychczas zaobserwowano ataki polegające na przekierowywaniu nieświadomych użytkowników na strony phishingowe, w taki sam sposób można jednak rozpowszechniać złośliwe oprogramowanie, w tym ransomware.

Ryzyko duże: Istnieje duże prawdopodobieństwo, że opisana wyżej luka zostanie wkrótce użyta zarówno w atakach celowanych, jak i masowych.

Działania długoterminowe: Szkolenie personelu w celu zwiększenia świadomości zagrożeń. Monitorowanie dostępności poprawek usuwających lukę.

Źródło: https://www.bleepingcomputer.com/news/security/office-365-zero-day-used-in-real-world-phishing-campaigns/

Analitycy z firmy Positive Technologies opublikowali raport dotyczący możliwości ataku na systemy przemysłowe za pośrednictwem niewłaściwie zabezpieczonych sieci korporacyjnych. Badaniem objęto kilkanaście przedsiębiorstw z całego świata działających w branży naftowej, metalurgicznej oraz energetycznej. Infrastruktura 73% z nich okazała się niewystarczająco chroniona przed atakami z zewnątrz, często z powodu błędnej konfiguracji. Wszystkie miały dostępne spoza sieci lokalnej SSH, Telnet, RDP i inne interfejsy administracyjne, a 91% z nich używało łatwych do odgadnięcia haseł słownikowych. Wśród najczęściej występujących podatności znalazły się m.in. otwarte na zewnątrz interfejsy baz danych (82%), oprogramowanie zawierające znane luki (64%) i korzystanie z niezabezpieczonych protokołów (64%). W ocenie ekspertów dostanie się do sieci korporacyjnej w 82% przypadków mogło skutkować uzyskaniem dostępu także do środowisk przemysłowych.

Ryzyko duże: Powszechność występowania podstawowych błędów bezpieczeństwa naraża środowiska ICS na ryzyko ataków.

Działania długoterminowe: Przeprowadzenie oceny bezpieczeństwa w celu zidentyfikowania i usunięcia podatności opisanych w raporcie Positive Technologies.

Źródło: https://www.ptsecurity.com/upload/corporate/ww-en/analytics/ICS-attacks-2018-eng.pdf

Zespół Talos firmy Cisco opublikował obszerne ostrzeżenie przed złośliwym oprogramowaniem VPNFilter, które zainfekowało pół miliona routerów i serwerów plików w 54 krajach, najwięcej na Ukrainie. Pierwszy etap infekcji polegał na zainstalowaniu prostego modułu, który potrafi przetrwać restart i służy do pobrania modułu głównego. Według badaczy wszystkie zarażone urządzenia posiadały nieaktualne wersje oprogramowania, a błędy, które pozwoliły przejąć nad nimi kontrolę, były publicznie znane. Moduł pierwszego etapu został skompilowany pod kilka różnych architektur i komunikuje się z serwerem C&C, używając protokołu SSL lub sieci Tor. Udane połączenie z serwerem C&C skutkuje pobraniem modułu głównego, który zarządza działaniem VPNFiltera i może dodatkowo pobierać wyspecjalizowane wtyczki służące do realizacji bardziej specyficznych celów atakujących. Na szczególną uwagę zasługuje sniffer pakietów, który podsłuchuje cały ruch internetowy urządzenia i przeszukuje go pod kątem danych umożliwiających logowanie do serwerów WWW oraz pakietów Modbus TCP/IP, protokołu służącego do sterowania urządzeniami SCADA.

Ryzyko duże: Lista podatnych na atak urządzeń obejmuje: Linksys E1200, E2500, WRVS4400N; MikroTik RouterOS dla Cloud Core Routers 1016, 1036, 1072; TP-Link R600VPN; Netgear DGN2200, R6400, R7000, R8000, WNR1000, WNR2000; QNAP TS251, TS439 Pro, inne urządzenia działające pod kontrolą QTS.

Działania długoterminowe: Analiza potencjalnych nadużyć pod kątem opisanego wektora ataku. Monitorowanie dostępności stosownych poprawek.

Źródło: https://blog.talosintelligence.com/2018/05/VPNFilter.html

Eksperci z firmy ESET wykryli złośliwe oprogramowanie o nazwie BackSwap, które wzięło na cel klientów największych polskich banków: PKO BP, mBanku, ING, BZ WBK i Pekao SA. Jest ono rozpowszechniane za pomocą e-maili z zainfekowanym załącznikiem, który wygląda jak faktura. Aby utrudnić analizę swojego kodu, BackSwap zapisuje go w formie modyfikacji popularnych programów, takich jak TPVCGateway, SQLMon, WinRAR Uninstaller, 7Zip, OllyDbg, FileZilla Server czy DbgView. Po zainfekowaniu komputera monitoruje zachowania użytkownika w przeglądarkach Chrome, Firefox i Internet Explorer. Gdy zagrożenie wykryje, że ofiara otwiera stronę znajdującą się na liście jego celów, korzysta z odpowiednich skrótów klawiszowych i wstrzykuje złośliwy kod JavaScriptu – w starszych wersjach do konsoli w przeglądarce, w nowszych bezpośrednio do paska adresu widocznego w oknie przeglądarki. Jeśli użytkownik będzie wykonywać przelew na kwotę między 10 a 20 tysięcy złotych, skrypt niezauważalnie podmieni numer konta i pieniądze trafią do przestępców.

Ryzyko duże: BackSwap stanowi realne zagrożenie dla bezpieczeństwa środków klientów polskich banków.

Działania długoterminowe: Edukacja klientów w celu zwiększenia świadomości zagrożenia.

Źródło: https://www.welivesecurity.com/2018/05/25/backswap-malware-empty-bank-accounts/