Polyfill[.]io – útok na dodavatelský řetězec
Útok začal v únoru 2024 kdy čínská firma Funnull koupila doménu a účet na GitHub. Následně začala přesměrovávat uživatele na škodlivé stránky a nasazovat malware s pokročilými technikami vyhýbání se detekcím. Společnost Censys identifikovala další čtyři domény propojené s účtem, který vlastnil doménu Polyfill[.]io a zjistila více než 1.6M hostitelů odkazujících na jeden, nebo více těchto koncových bodů. Společnost Namecheap jako registrátor domény polyfill[.]io 27. června tuto doménu stáhnul.
Zdroj: Censys.com
Firemní síť společnosti TeamViewer byla narušena v rámci údajného hackerského útoku APT
Společnost detekovala podezřelou aktivitu ve své interní síti. Po vyšetřování ve spolupráci s dalšími subjekty ukázali prstem na ruskou skupinu APT29 (Cozy Bear, NOBELIUM, Midnight Blizzard). Útok byl veden pouze na interní IT prostředí (nedotkl se produktového prostředí, ani platformy TeamViewer nebo dat zákazníků). Útočník využil kompromitovaný účet zaměstnance a ukradl data zaměstnanců (jména, firemní kontaktní informace, šifrovaná hesla)
Zdroj: bleepingcomputer.com
Routery MikroTik – mocný nástroj DDoS útočníků
Od začátku roku evidovala společnost OVHcloud množící se počet DDoS útoků přesahujících 100 miliónů paketů za sekundu. V dubnu byl pak zaznamenán útok o síle 840Mpps. Zdroje byly globálně rozložené, ale významnou část z nich tvoří zařízení MikroTik. Zejména pak kompromitované modely CCR1036–8G-2S+ a CCR1072–1G-8S+. OVHcloud spekuluje, že k útokům může být používána funkce „Bandwidth test”, která od verze RouterOS 6.44 umožňuje využít výkon všech jader a tím generovat vyšší zátěž.
Zdroj: ovhcloud.com
Globální výpadek IT služeb – CrowdStrike
Masivní výpadek počítačů a serverů s operačním systémem Windows byl způsobený chybnou aktualizací bezpečnostního softwaru od společnosti CrowdStrike. Podle společnosti Microsoft se problém s BSOD, způsobený EDR Falcon od CrowdStrike, dotknul 8,5 milionu zařízení s operačním systémem Windows. V České republice výpadek způsobil problémy v odbavování na letišti Václava Havla v Praze, zasáhl pobočky lékáren Benu, Rokycanskou nemocnici, Generali Českou pojišťovnu, Allianz a několik dalších pojišťoven.
Zdroj: tyden.cz
Pkfail – Secure Boot problém
Analytici z Binarly publikovali výzkum, v němž upozorňují na možnost obcházení funkcionality Secure Boot. Jde o používání stejných platformních kryptografických klíčů, které byly společností AMI zřejmě zahrnuty do referenční implementace UEFI. Ještě větším problémem, než používání testovacích klíčů v produkčním prostředí je, že privátní klíč z použitého páru unikl v roce 2022 na GitHub a lze ho tak považovat za kompromitovaný. Hypotetický záškodník s přístupem ke klíči může potenciálně „obejít” Secure Boot a spouštět v rámci boot procesu vlastní kód, např. modifikovat zavaděč operačního systému v rámci instalace bootkitu.
Zdroj: arstechnica.com
Příklady hrozeb, které zachytil ThreatGuard
Společnost Juniper Networks vydala aktualizaci pro kritickou zranitelnost ve svých routerech
Zranitelnost, označená jako CVE-2024-2973, má skóre CVSS 10,0, tedy maximální závažnost. Obejití ověřování pomocí alternativní cesty nebo kanálu zranitelnosti v Juniper Networks Session Smart Router nebo Conductor s aktivním redundantním peerem umožňuje útočníkovi na síti obejít ověřování a převzít plnou kontrolu nad zařízením. Podle Juniper Networks se zranitelnost týká pouze těch směrovačů nebo vodičů, které běží v redundantních konfiguracích s vysokou dostupností.
Návrh řešení týmu viz ThreatGuard-ID: 3299
Zranitelnost v protokolu RADIUS
Protokol RADIUS podle RFC 2865 je náchylný k útokům falšováním ze strany místního útočníka, který může upravit jakoukoli platnou odpověď (přístup-přijmout, přístup-odmítnout nebo přístup-výzva) na jakoukoli jinou odpověď pomocí útoku kolize zvolené předpony proti podpisu MD5 Response Authenticator. Útok je možný díky základní chybě ve specifikaci protokolu RADIUS, která k ověření odezvy používá hash MD5, spolu se skutečností, že část hashovaného textu je předvídatelná a umožňuje kolizi se zvolenými prefixy. Servery RADIUS, které používají pouze protokol EAP (Extensible Authentication Protocol), nejsou tímto útokem ovlivněny.
Návrh řešení týmu viz ThreatGuard-ID: 3311
Obejití autentizace v Docker Engine
V některých verzích nástroje Docker Engine byla identifikována bezpečnostní zranitelnost, která může útočníkovi za určitých okolností umožnit obejít autorizační moduly (AuthZ). Útočník může obejít požadavek API s nastavenou hodnotou Content-Length na 0, což způsobí, že daemon nástroje Docker předá požadavek bez těla zásuvnému modulu AuthZ, který může požadavek nesprávně schválit.
Návrh řešení týmu viz ThreatGuard-ID: 3343
Přejete si znát návrh řešení nebo být okamžitě informováni o všech kritických hrozbách ihned po jejich identifikaci?
Vyzkoušejte www.ThreatGuard.cz ZDARMA na 14 dní nebo napište na
sales@comguard.cz o cenovou nabídku.
