Seznam důležitých kybernetických hrozeb a událostí za období 25.2. – 2.3. 2020.
Název: Závažná zranitelnost HW WiFi chipů Broadcom a Cypress
Technologie: WiFi chipy výrobců Broadcom a Cypress ve spojení s WPA2
Důležitost: Nízká (3.1)
Popis: Zranitelnost nazvaná Kr00k umožňuje napadení WPA2-Personal a WPA2-Enterprise protokolů se spuštěným šifrováním AES. Netýká se protokolu WPA3. Útočník nemusí být připojený k bezdrátové síti na zranitelném zařízení, ale musí být v jejím dosahu. Tak může způsobit opakované odpojení klienta od WiFi sítě, kdy dojde k vynulování session key, ale chyba v chipech umožňuje pomocí tohoto nulového klíče přečíst data v bufferech v rozsahu několika KB. Zranitelnost je důležitá především z důvodu velké oblíbenosti těchto chipů, takže zranitelné jsou odhadem miliardy zařízení od výrobců Samsung, Apple, Xiaomi, Raspberry a dalších.
Doporučení: Ověření výskytu zranitelnosti v klientských i serverových zařízeních; aktualizace OS v routerech, AP apod., aktualizace driverů a OS v klientských zařízeních
Zdroje: https://securityaffairs.co/wordpress/98516/hacking/kr00k-wi-fi-encryption-flaw.html, https://www.welivesecurity.com/wp-content/uploads/2020/02/ESET_Kr00k.pdf
Název: Zranitelnost CVE-2020-0688 Exchange serverů pod útokem
Technologie: MS Exchange Server 2010 – 2019
Důležitost: Kritická (8.8)
Popis: Zranitelnost komponenty Exchange Control Panel spočívá v chybě, kdy při instalaci Exchange Serveru nevytvoří unikátní klíč. Útočník, který získá přístup k zařízení nebo přihlašovacím údajům běžného uživatele, může přes webové rozhraní získat přístup k serveru na úrovni System. Zranitelnost je pod aktivním masivním útokem.
Doporučení: Mimořádná aktualizace Exchange serveru
Zdroje: https://securityaffairs.co/wordpress/98532/hacking/microsoft-exchange-flaw-attacks.html, https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0688, https://www.govcert.cz/cs/informacni-servis/hrozby/2732-zranitelnost-microsoft-exchange-server/
Název: Cerberus Android Trojan
Technologie: Android
Důležitost: Střední
Popis: Cerberus trojan se poprvé objevil v srpnu 2019. Umožňuje relativně běžné funkce trojanu na mobilním telefonu – sledování textové i audio komunikace, vytváření screenshotů, přístup ke kontaktům a další. V nové verzi byla implementována možnost odcizení 2FA kódů generovaných aplikací Google Authenticator. Tím se stává nebezpečný i pro služby zabezpečené vícefaktorovou autentizací.
Doporučení: Antivirová ochrana mobilních zařízení; proškolení uživatelů na správné využívání vícefaktorové autentizace (ne na jednom zařízení)
Zdroje: https://securityaffairs.co/wordpress/98556/malware/cerberus-android-malware.html
Název: WordPress weby pod útokem na XSS zranitelnosti
Technologie: WordPress
Důležitost: Vysoká
Popis: Jedná se o kampaň zaměřenou na zranitelnosti v několika pluginech – Flexible Checkout Fields for WooCommerce, Async JavaScript, 10Web Map Builder for Google Maps a Modern Events Calendar. Celkově je zranitelných cca. 200 000 webů (počet instalací jednotlivých pluginů). Zranitelnosti umožňují kompletní převzetí kontroly nad webem a jsou aktuálně pod útokem.
Doporučení: Aktualizace pluginů; zajištění pravidelné aktualizace webových služeb
Zdroje: https://securityaffairs.co/wordpress/98685/hacking/wordpress-sites-plugins-hacking.html, https://wordpress.org/support/topic/malicious-access-plugin-woo-add-to-carts-by-linkflowusers/, https://blog.nintechnet.com/zero-day-vulnerability-fixed-in-wordpress-flexible-checkout-fields-for-woocommerce-plugin/
Název: Ghostcat – kritická zranitelnost Apache Tomcat
Technologie: Apache Tomcat 6.x – 9.x
Důležitost: Kritická (9.8)
Popis: Zranitelnost CVE-2020-1938 Tomcat AJP protokolu umožňuje vzdálený přístup ke konfiguračním souborům Tomcat serveru a v mnoha případech instalaci škodlivého kódu na server nebo převzetí kontroly nad ním. AJP protokol je ve výchozím stavu při instalaci Tomcatu povolený, zranitelné jsou tedy i servery, které tento protokol nevyužívají. Nebezpečné je, že Tomcat je využíván jako vestavěný server pro zpracování Javy v množství softwarových aplikací. Zranitelnost je v současné době pod aktivním útokem.
Doporučení: Ověřit využití Tomcat serveru pro provoz Javy v infrastruktuře; instalace aktualizace
Zdroje: https://securityaffairs.co/wordpress/98654/hacking/ghostcat-vulnerability.html, https://www.tenable.com/blog/cve-2020-1938-ghostcat-apache-tomcat-ajp-file-readinclusion-vulnerability-cnvd-2020-10487
Název: Březnová aktualizace systému Android
Technologie: Android
Důležitost: Kritická
Popis: Google vydal březnové aktualizace systému Android. Jedná se o cca. 70 aktualizací, které řeší např. zranitelnost media framework, která umožňuje vzdálené spuštění škodlivého kódu v kontextu privilegovaného procesu. Samsung už vydal aktualizace pro svoje zařízení, která patche zahrnují.
Doporučení: Aktualizace mobilních zařízení
Zdroje: https://source.android.com/security/bulletin/2020-03-01, https://security.samsungmobile.com/securityUpdate.smsb
Název: Zveřejnění dat obětí ransomewaru
Technologie: –
Důležitost: Vysoká
Popis: Operátoři ransomeware Nemty zveřejnili data jejich obětí, které odmítly zaplatit výkupné. Jedná se o nový trend a už ho aplikují i jiné kyberkriminální gangy. K ransomeware se dosud přistupovalo jako k ohrožení dostupnosti dat – opatření se tedy zaměřovaly na jejich zálohování, ale s tímhle přístupem se začalo jednat i o ohrožení důvěrnosti dat.
Doporučení: Provést kontrolu opatření k ransomeware a jejich přehodnocení
Zdroje: https://securityaffairs.co/wordpress/98865/malware/nemty-ransomware-data-leak-site.html, https://securityaffairs.co/wordpress/96334/cyber-crime/maze-ransomware-southwire.html,
Název: Zranitelnost Point-to-Point Protocolu na systémech Linux
Technologie: Linux
Důležitost: Kritická (9.8)
Popis: Zranitelnost CVE-2020-8597 spočívá ve službě Point to point protocol deamon, která se využívá k navázání spojení (DSL, VPN apod.). Deamon chybně zpracovává autentizační EAP pakety a tím umožňuje vzdálenému neautentizovanému útočníkovi provést buffer overflow a následně spustit škodlivý kód. Zranitelnost se týká většiny Linuxových distribucí a může se projevit v zařízeních, která mají OS postavení na základě Linuxu (např. Synology, …).
Doporučení: Zjistit dostupnost aktualizace a provést update
Zdroje: https://www.kb.cert.org/vuls/id/782301/, https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8597
Název: Vyšla nová aktualizace prohlížeče Google Chrome
Technologie: Google Chrome
Důležitost: Vysoká
Popis: Google vydal aktualizace prohlížeče Chrome na verzi 80.0.3987.132. Řeší zranitelnosti, které umožňují převzetí kontroly nad systémem, ale nejedná se o zranitelnosti kritické.
Doporučení: Prověřit / provést aktualizaci
Zdroje: https://chromereleases.googleblog.com/2020/03/stable-channel-update-for-desktop.html