Kybernetické hrozby – 2020-02-01

Seznam důležitých kybernetických hrozeb a událostí za období 28.1. – 7.2.2020.


Název:                 Aktualizace zranitelností Cisco Small Business Switch

Technologie:     Cisco Small Business Switch

Důležitost:         Vysoká (8.6)

Popis:                   Zranitelnosti umožňují vzdálenému neautentizovanému útočníkovi provést DoS útok nebo získat přístup k citlivým informacím. Obě zranitenosti (CVE-2019-15993, CVE-2020-3147) jsou ve webovém rozhraní switche.

Doporučení:      Provést aktualizaci systému

Zdroje:                 https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-smlbus-switch-dos-R6VquS2u, https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200129-smlbus-switch-disclos


Název:                 Apple vydal aktualizace pro několik produktů

Technologie:     iOS, iPadOS, macOS, Safai, iCloud for Windows, tvOS

Důležitost:         Vysoká

Popis:                   Aktualizace Apple produktů řeší větší množství zranitelností, které mohou vést k útokům typu DoS, spuštění libovolného kódu se systémovými privilegii, neoprávněnému přístupu k informacím v paměti a dalším.

Doporučení:      Provést aktualizaci na poslední verzi

Zdroje:                 https://support.apple.com/en-us/HT210918, https://support.apple.com/en-us/HT210919, https://support.apple.com/en-us/HT210947, https://support.apple.com/en-us/HT210920, https://support.apple.com/en-us/HT210922


Název:                 Google vydal aktualizaci prohlížeče Chrome

Technologie:     Google Chrome

Důležitost:         Vysoká

Popis:                   Aktualizace obsahuje 56 bezpečnostních oprav, s důležitostí od nízkých po vysoké.

Doporučení:      Ověřit aktualizaci Chrome na verzi 80.0.3987.87.

Zdroje:                 https://chromereleases.googleblog.com/2020/02/stable-channel-update-for-desktop.html


Název:                 Chyba Sudo umožňuje uživatelům Linuxu spouštět příkazy jako Root

Technologie:     Linux, macOS

Důležitost:         Vysoká (7.8)

Popis:                   Sudo (program umožňující v Linuxu spouštět programy v kontextu rootu) ve verzích před 1.8.26, pokud je spuštěna funkce pwfeedback, umožňuje provést buffer overflow útok na sudo proces a získat tak nad ním kontrolu. Pwfeedback je ve výchozím stavu spuštěn v Linux Mint a Elementary OS, v ostatních musí být funkce zapnuta administrátorem. Pwfeedback je funkce, která zajišťuje vizuální zpětnou vazbu (zobrazování znaků *) při zadávání hesla – pokud vám systém tyto * při zadávání nezobrazuje, zranitelnost není možné zneužít. Pokud je funkce spuštěna, je vlastí útok triviální a může být proveden i nezkušeným uživatelem.

Doporučení:      Vypnutí funkce pwfeedback; aktualizace systému

Zdroje:                 https://thehackernews.com/2020/02/sudo-linux-vulnerability.html, https://securityaffairs.co/wordpress/97265/breaking-news/sudo-cve-2019-18634-flaw.html  


Název:                 Zranitelný GIGABYTE driver je zneužíván k útoku ransomewarem RobbinHood

Technologie:     –

Důležitost:         Vysoká

Popis:                   Ransomeware RobbinHood se v některých případech šíří pomocí zranitelného driveru GDRV.SYS. Útočníci zneužívají tento zastaralý driver od výrobce základních desek Gigabyte. Tento driver obsahuje zranitelnost CVE-2018-19320, nicméně je korektně podepsaný a vzhledem k zastarání už nebude aktualizován. Útočník nejdřív nainstaluje driver na počítače v síti, následně zneužije zranitelnost pro přístup k jádru systému, dočasně vypne nutnost instalace pouze podepsaných driverů a vloží do systému škodlivý RBNL.SYS, tím vypne bezpečnostní produkty a nakonec spustí vlastní ransomeware.

Doporučení:     
Především obecné zásady ochrany proti ransomeware:
– omezit práci s administrátorskými účty,
– přidělovat uživatelům pouze nejmenší nutná oprávnění,
– systém zálohování odolný proti ransomeware,
– školení uživatelů,
– sledování změn OS.

Zdroje:                 https://securityaffairs.co/wordpress/97457/malware/robbinhood-ransomware-gigabyte-driver.html, https://news.sophos.com/en-us/2020/02/06/living-off-another-land-ransomware-borrows-vulnerable-driver-to-remove-security-software/


Název:                 Kritická zranitelnost implementace Bluetooth v OS Android

Technologie:     Android 8, 8.1, 9 (10)

Důležitost:         Kritická

Popis:                   Zranitelnost se týká Bluetooth subsystému v OS Android. Dopady se liší podle verze OS – v Android 10 je možný pouze DoS útok, ale u Android 8, 8.1 a 9 je možné vzdálené spuštění libovolného kódu s oprávněními Bluetooth deamona, přístup informacím na zařízení apod. Útok probíhá vzdáleně (v dosahu BT), nevyžaduje interakci s uživatelem a může fungovat jako worm.

Doporučení:      BT zapínat pouze na základě potřeby; instalovat bezpečnostní aktualizace

Zdroje:                 https://securityaffairs.co/wordpress/97421/cyber-crime/cve-2020-0022-android-bluetooth-flaw.html, https://source.android.com/security/bulletin/2020-02-01,  https://android.googlesource.com/platform/system/bt/+/3cb7149d8fed2d7d77ceaa95bf845224c4db3baf


Název:                 Zranitelnosti v Cisco Discovery Protokolu

Technologie:     Cisco Discovery Protocol (CDP)

Důležitost:         Vysoká (8.8)

Popis:                   CDP je uzavřený protokol, který Cisco využívá od roku 1994 ke sdílení informací o Cisco zařízeních připojených k síti. Využívá se v téměř všech zařízeních výrobce – switche, routery, IP telefony, kamery, … Zranitelnosti protokolu umožňují vzdálené spuštění kódu a DoS. Útočník s přístupem k síti může rozeslat speciálně připravený paket, pomocí kterého může převzít kontrolu nad zařízeními. Následně může např. prolomit segmentaci sítě, získat přístup k dalším informacím pomocí man-in-the-middle útoku (včetně záznamu telefonních hovorů nebo videozáznamů).

Doporučení:      Ověřit dostupnost aktualizace implementace CDP pro instalovaná Cisco zařízení, aktualizovat

Zdroje:                 https://securityaffairs.co/wordpress/97407/hacking/cdpwn-cdp-flaws.html, https://www.youtube.com/watch?time_continue=134&v=nYtDJlzU-ao&feature=emb_title, https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200205-iosxr-cdp-rce, https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200205-nxos-cdp-rce, https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200205-fxnxos-iosxr-cdp-dos


Název:                 Zranitelnost Smart žárovek Philips Hue

Technologie:     Philips Hue Smart Light Bulbs

Důležitost:         Vysoká (7.9)

Popis:                   Smart žárovky jsou propojené přes WiFi s ovládacím zařízením (telefon, tablet), které umožňuje jejich ovládání. Zranitelnost ve firmware žárovek umožňuje následné napadení počítačové sítě, ve které jsou připojeny.  

Doporučení:      Obecně segmentace IoT zařízení do samostatných sítí; aktualizace firmware IoT zařízení; proškolení uživatelů na rizika spojená s těmito zařízeními

Zdroje:                 https://securityaffairs.co/wordpress/97392/hacking/philips-smart-light-bulbs-hack.html


Název:                 Backdoor mechanismus v chipech od HiSilicon

Technologie:     HiSilicon chips

Důležitost:         Vysoká

Popis:                   HiSilicon je výrobce počítačových čipů vlastnění firmou Huawei. Čipy se využívají ve výrobcích mnoha dalších producentů (bohužel není k dispozici jejich kompletní seznam). Bylo prokázáno, že čipy obsahují úmyslně implementovaný backdoor mechanismus, který umožňuje root přístup k zařízením na TCP portu 9530 pomocí telnet protokolu. Vzhledem k dřívějším obdobným problémům s výrobcem nelze očekávat aktualizaci, která by tento problém řešila.

Doporučení:      Zakázat v síti komunikaci na portu TCP 9530; ověřit přítomnost zařízení v síti (scan TCP 9530) a jejich odstranění

Zdroje:                 https://securityaffairs.co/wordpress/97367/hacking/hisilicon-chips-backdoor.html


Název:                 CISO britské policie upozorňuje na rostoucí trend ve zneužívání úklidových služeb k napadení IT infrastruktury

Technologie:     –

Důležitost:         Střední

Popis:                   Úklidové firmy, ale také malíři, údržbáři a další dodavatelé, kteří mají fyzický přístup do firem, jsou stále častěji zneužívány ke kybernetickým útokům. Útočníci mohou mít v takové společnosti „spícího agenta“ nebo podplatí někoho z pracovníků firmy. Tito agenti potom mají přímý přístup k infrastruktuře nebo využívají starý trik se zapomenutou USB pamětí.

Doporučení:      Revize rizik spojených s podobnými útoky na fyzickou infrastrukturu; prověření opatření ohledně přístupu do prostor s aktivními prvky, servery apod.; školení uživatelů

Zdroje:                 https://johnlerner.com/police-warning-cyber-criminals-are-using-cleaners-to-hack-your-business


Název:                 Malware spam kampaně zaměřené na Koronavirus

Technologie:     –

Důležitost:         Střední

Popis:                   Vzhledem k vysokému pokrytí situace kolem Koronaviru médii je celosvětový zájem zneužíván kyberzločinci v malspam kampaních. Téma je hojně zneužíváno k manipulaci uživatelů k otevření útočných dokumentů nebo webových stránek.

Doporučení:      Upozornit na riziko uživatele

Zdroje:                 https://securityaffairs.co/wordpress/97127/cyber-crime/cybercrime-exploits-coronavirus.html


Název:                 Nová zranitelnost CacheOut procesorů Intel

Technologie:     Intel CPU architektur Skylake, Cascade Lake, Kaby Lake, Coffee Lake, Whiskey Lake, Amber Lake

Důležitost:         Střední

Popis:                   Zranitelnost CVE-2020-0549 Intel procesorů umožňuje získat citlivé informace z jádra OS, virtuálních strojů nebo SGX. Oproti dřívějším zranitelnostem CacheOut umožňuje cílené získání informace, na rozdíl od čekání „kdy půjde něco zajímavého kolem“. Oprava je řešena aktualizací mikrokódu CPU, která může být provedena updatem BIOSu nebo OS. Seznam zranitelných CPU: https://software.intel.com/security-software-guidance/insights/processors-affected-l1d-eviction-sampling.

Doporučení:      Aktualizace mikrokódu

Zdroje:                 https://thehackernews.com/2020/01/new-cacheout-attack-leaks-data-from.html, https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00329.html, https://www.cnews.cz/intel-bezpenostni-dira-zranitelnost-cacheout-procesory-tsx