Seznam důležitých kybernetických hrozeb a událostí za období 21. 2. – 28. 2. 2019.

Název:                 Aktualizace Adobe Acrobat a Reader

Technologie:     Adobe Acrobat, Adobe Reader

Důležitost:         Střední

Popis:                   Zranitelnost může vést ke zcizení / zveřejnění informací.

Doporučení:      Aktualizace

Zdroje:                  https://helpx.adobe.com/security/products/acrobat/apsb19-13.html

---

Název:                 Zranitelnost IIS serveru pomocí DoS útoku

Technologie:     Microsoft Internet Information Server (IIS)

Důležitost:         Střední

Popis:                   Pomocí zasílání HTTP/2 požadavků na IIS server může dojít k jeho přetížení. Jde o problém HTTP/2 protokolu, který umožňuje zasílání požadavků s neomezeným počtem parametrů. Takový požadavek může způsobit přetížení CPU dokud IIS konexi neukončí. MS vydal aktualizaci, která umožní definovat počet parametrů požadavku na straně IIS.

Doporučení:      Instalace update a nastavení prahových hodnot

Zdroje:                  https://securityaffairs.co/wordpress/81498/hacking/windows-iis-dos-flaw.html, https://support.microsoft.com/en-us/help/4491420/define-thresholds-on-the-number-of-http-2-settings-parameters-exchange

---

Název:                 Kritická zranitelnost WinRAR

Technologie:     WinRAR, všechny verze

Důležitost:         Kritická

Popis:                   WinRAR využívá starou knihovnu třetí strany UNACEV2.DLL, která se stará o dekomprimaci souborů z formátu ACE. Chyba v této knihovně umožňuje útočníkovi umístit rozbalené soubory do jím vybrané složky, namísto složky vybrané uživatelem. Soubor, který útočník umístí do startupu, tak bude po dalším rebootu automaticky spuštěn. Vzhledem k tomu, že WinRAR určuje formát souboru podle jeho obsahu, bez ohledu na příponu, může útočník rozesílat běžné ZIP nebo RAR soubory, místo dnes neobvyklého ACE. V roce 2005 došlo bohužel ke ztrátě zdrojových kódů knihovny UNACEV2.DLL a vývojáři tedy nejsou schopni zranitelnost opravit. Byla vydána verze WinRAR 5.70 beta 1, která knihovnu zakazuje a formát ACE tedy nepodporuje.
V současné době už probíhá phishing kampaň, která se na tuto zranitelnost zaměřuje.

Doporučení:      Analyzovat, jestli je formát ACE potřeba – pokud ne, instalujte novou verzi WinRAR bez její podpory

Zdroje:                 https://securityaffairs.co/wordpress/81466/hacking/winrar-critical-flaw.html, https://www.win-rar.com/singlenewsview.html?&L=0&tx_ttnews%5Btt_news%5D=116&cHash=2b3cf0017a6df3b5a4a66288a60a1eae, https://securityaffairs.co/wordpress/81669/hacking/winrar-exploit-malspam.html

---

Název:                 Kritická zranitelnost CMS Drupal

Technologie:     Drupal CMS

Důležitost:         Kritická

Popis:                   Drupal vydal aktualizace svého CMS, které řeší zranitelnost vedoucí ke  vzdálenému spuštění libovolného kódu. K útoku je třeba, aby byl povolen modul RESTful Web Services a umožněna funkce PATCH nebo POST nebo povolen modul JSON:API. Na zranitelnost v současnosti probíhají útoky, které instalují sw pro těžbu cryptoměn.

Doporučení:      Aktualizuje CMS na verzi 8.5.11 nebo 8.6.10

Zdroje:                  https://securityaffairs.co/wordpress/81461/hacking/drupal-cve-2019-6340-rce.html, https://securityaffairs.co/wordpress/81684/breaking-news/drupal-vulnerability-cve-2019-6340.html  

---

Název:                 Ransomeware Cr1ptT0r se zaměřuje na NAS od D-Link

Technologie:     D-Link NAS

Důležitost:         Vysoká

Popis:                   Ransomeware Cr1ptT0r napadá on-line přístupná disková pole D-Link DNS, která trpí několika nevyřešenými zranitelnostmi. Jejich zřetězením se Cr1ptT0ru podaří převzít nad zařízením plnou kontrolu.

Doporučení:      Zálohovat důležitá data mimo diskové pole; sledovat updaty DNS

Zdroje:                  https://securityaffairs.co/wordpress/81528/malware/cr1ptt0r-ransomware-nas.html, https://www.bleepingcomputer.com/news/security/cr1ptt0r-ransomware-infects-d-link-nas-devices-targets-embedded-systems/

---

Název:                 Zranitelnost portů Thunderbolt

Technologie:     Windows, Linux, macOS

Důležitost:         Střední

Popis:                   Thunderbolt je rychlé HW rozhraní k připojení periferií. Bezpečnostní chyby umožňují útočníkovi s fyzickým přístupem k zařízení kompromitovat zařízení za několik vteřin a získat nad ním kompletní kontrolu. Chyby mohou být zneužity na všech běžných operačních systémech.

Doporučení:      Sledovat aktualizace OS; vypnout Thunderbolt porty

Zdroje:                  https://securityaffairs.co/wordpress/81719/hacking/thunderclap-dma-attacks.html,

---

Název:                 Útok na PDF dokumenty – změna obsahu bez zneplatnění digitálního podpisu

Technologie:     PDF

Důležitost:         Vysoká

Popis:                   PDF prohlížeče a on-line validační služby mají zranitelnosti, které umožňují změnit autorizovaný (digitálně podepsaný) PDF dokument a přitom zachovat platný digitální podpis. Mezi zranitelné aplikace patří Adobre Reader, Foxit Reader, LibrOffice, Nitro Reader, PDF-XChange a Soda PDF. Zranitelné služby jsou DocuSign, eTR Validation Service, DSS Demonstration WebApp, Evotrust, a VEP.si.

Doporučení:      Sledovat důvěryhodný původ dokumentu; hlídat aktualizace aplikací

Zdroje:                  https://securityaffairs.co/wordpress/81696/hacking/digital-signature-verification-attacks.html, https://www.nds.ruhr-uni-bochum.de/media/ei/veroeffentlichungen/2019/02/12/report.pdf

---

Název:                 Laravel uvolnil verzi 5.8

Technologie:     Laravel

Důležitost:         Střední

Popis:                   Nové funkce a opravy chyb

Doporučení:      Ověřit nutnost update

Zdroje:                  https://laravel-news.com/laravel-5-8