Kybernetické hrozby – 2018-11-02

Seznam důležitých kybernetických hrozeb a událostí za 2. týden listopadu 2018.
Název:                 Zranitelnosti Self-Encrypting disků
Technologie:     Self-Encrypting Disks (SED)
Důležitost:         Vysoká
Popis:                  CVE-2018-12037: Neexistuje kryptografická vazba mezi heslem zadaným uživatelem a klíčem pro dešifrování dat – to může útočníkovi umožnit přístup ke klíči bez znalosti hesla. Týká se produktů Crucial (Micron) MX100, MX200 a MX300, Samsung T3 a T5, Samsung 840 EVO a 850 EVO.
CVE-2018-12038: Klíče jsou uloženy ve wear-leveled paměťovém čipu. Tato technologie slouží k prodloužení životnosti datového média (zvýšením počtu jeho možných přepsání), ale zároveň negarantuje, že všechny staré kopie dat jsou opravdu smazány. To znamená, že pokud dojde k aktualizaci klíče (např. změnou hesla), předchozí verze klíče může být stále dostupná a to buď nechráněná, nebo chráněná starým heslem. Týká se disků Samsung 840 EVO.
Stejnými zranitelnostmi mohou trpět i další, zatím neotestované SED.
Zranitelnosti umožňují kompletní přístup k datům, pokud má útočník k disku fyzický přístup.

Doporučení:      Je třeba aktualizovat firmware SED disků. Pokud výrobce nevydá update, je možný přechod na softwarové šifrovací technologie (např. BitLocker – https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180028).
Zdroje:                https://www.samsung.com/semiconductor/minisite/ssd/support/consumer-notice/, https://www.kb.cert.org/vuls/id/395981/, https://thehackernews.com/2018/11/self-encrypting-ssd-hacking.html

Název:                 VMware uvolnil bezpečnostní aktualizace
Technologie:     ESXi 6.0, 6.5, 6.7, Workstation 14.x, 15.x, Fusion 10.x, 11.x
Důležitost:         Kritická
Popis:                  Virtuální síťový adaptér vmxnet3 obsahuje neinicializovaný přístup do paměti. Tato zranitelnost může vést ke spuštění kódu nebo k neoprávněnému přístupu k datům. Jiné typy virtuálních adaptérů tuto zranitelnost neobsahují.
Doporučení:      Provést aktualizaci technologie (viz. zdroje).
Zdroje:                https://www.vmware.com/security/advisories/VMSA-2018-0027.html
 

Název:                 Zranitelnost WordPress a WooCommerce
Technologie:     WordPress, WooCommerce a další pluginy
Důležitost:         Vysoká
Popis:                  Jedná se o chybu v designu WordPressu, která umožňuje neoprávněné smazání souborů. Pokud je použit plugin WooCommerce, uživatel s oprávněním „Shop manager“ může takto převzít účet administrátora.
Doporučení:      V říjnu byla vydána aktualizace – nutno nainstalovat.
Zdroje:                https://threatpost.com/wordpress-flaw-opens-millions-of-woocommerce-shops-to-takeover/138861/
 

Název:                 Router botnet BCMUPnP_Hunter infikoval statisíce zařízení
Technologie:     Zařízení (routery) se zapnutou funkcí BroadCom Universal Plug and Play
Důležitost:         Vysoká
Popis:                  Botnet zneužívá zranitelnosti známé od roku 2013. BroadCom UPnP zařízení na síti (PC, tiskárny, routery apod.) automaticky využívají ke vzájemné komunikaci a sdílení. V čipu BroadCom, který je využíván stovkami výrobců, existuje zranitelnost, která umožňuje zápis do paměti routeru a vzdálené čtení jeho paměti. Ve výsledku může dojít ke spuštění škodlivého kódu s root oprávněními. Seznam zatím známých typů napadnutelných routerů je zde: https://blog.netlab.360.com/bcmpupnp_hunter-a-100k-botnet-turns-home-routers-to-email-spammers-en/.
Doporučení:      Zkontrolovat využití routerů ze seznamu a aktualizovat jeho systém. Pokud pro něj neexistuje aktualizace, zakázat funkci BroadCom UPnP, případně výměna routeru.
Zdroje:                https://threatpost.com/rapidly-growing-router-botnet-takes-advantage-of-5-year-old-flaw/138869/