Prohlížeče a automatické vyplňování formulářů. Kampaně: Shamoon, BlackEnergy/KillDisk. Novinky ze světa ransomwaru. Co znamená pro podniky nový způsob distribuce oprav Microsoftu. Zranitelnosti a opravy: MongoDB, Magento, Juniper, WordPress…
Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register, SecurityWeek a HelpNet Security.
Shamoon znovu cílí na ropný průmysl
Symantec a FireEye upozorňují, že v arabských zemích, především v Saudské Arábii, znovu udeřil Shamoon (W32.Disttrack). V roce 2012 se tento malware zaměřil na firmy podnikající v petrochemickém průmyslu a zasáhl např. ropný gigant Aramco. Nynější verze (2.0) vychází z původního malwaru, i když to nedokazuje, že útočníky je stále stejná skupina. Před 4 lety panovalo přesvědčení, že útočníci (sami se označovali jako Cutting Sword of Justice) jsou napojeni na Írán a možná jde i přímo o státem provedenou akci.
Nynější malware přepisuje/maže data pomocí běžného programu RawDisk, k němuž byly poskytovány dočasné licence. Červ disponuje schopností dalšího šíření, je ovšem pouze destruktivní a nepokouší se data krást. Úder byl naplánován na konec pracovního týdne, aby se Shamoon mohl maximálně rozšířit během volných dní, a způsobit tak co největší škody. Pokud jde o akci Íránu namířenou proti Saudské Arábii, načasování by podle Seana Sullivana z F-Secure mohlo souviset i se střídáním moci v USA (omezení akceschopnosti v „mezidobí“), respektive jít o test reakcí nové americké administrativy. Jak je to v podobných případech obvyklé, v podstatě jde ale o spekulace, ani pro samotné spojení akce s Íránem nemá nikdo (možná mimo tajných služeb apod. institucí) přímý důkaz.
Statistiky Anti-Phishing Working Group ukazují, že ve 3. čtvrtletí loňského roku klesalo množství jedinečných webů spojených s phishingem.
Google oznámil projekt Wycheproof. Má jít o sadu bezpečnostních testů, které budou kontrolovat používané kryptografické knihovny z hlediska častých zranitelností. Kód projektu je k dispozici na GitHubu.
Svět ransomwaru
Ransowmare pokračoval v útocích na databáze MongoDB, které umožňovaly vzdálený přístup bez hesla (viz i předcházející bezpečnostní přehled. Další analýzy tvrdí, že počet takto zranitelných instancí MongoDB může být ve skutečnosti i 100 000; samozřejmě řada takových aplikací bude pouze testovacího typu, likvidace takových dat nemusí provozovatele příliš trápit a vyděračům rozhodně nezaplatí..
Prognóza MarketsandMarkets uvádí, že trh s nástroji proti ransomwaru se zvýší z loňských 8 miliard dolarů na 17 miliard v roce 2021; odpovídá to průměrnému meziročnímu růstu 16 %. Největší podíl v této kategorii softwaru mají mít nástroje pro ochranu na úrovni internetových bran, především rychle poroste obrana e-mailu. Pro srovnání: jiný odhad praví, že podvodníci si loni tímto způsobem přišli na 1 miliardu dolarů.
Pokud pomineme jednoúčelové nástroje proti ransomwaru, pak je ovšem otázka, co všechno do této kategorie započítat, nějakou ochranu (black list IP adres, reputace souborů, kontrola příloh v e-mailu) proti ransomwaru poskytují snad veškeré současné bezpečnostní nástroje. Je to trochu podobné, jako bychom měli vyčíslit „trh s nástroji pro ochranu před bankovními trojany“; také se nabízí otázka, zda podobné číslo má vůbec nějaký smysl.
Průzkum Osterman Research uvádí, že 59 % incidentů s ransomwarem mělo původ v e-mailu, kdy lidé klikli na odkaz nebo otevřeli škodlivý soubor. Přimět uživatele k návštěvě podvodného webu jiným způsobem je pro podvodníky mnohem náročnější.
…a směrovačů
Americká administrativa (Federální komise pro obchod, FTC) zahájila právní kroky proti společnosti D-Link; směrovače a kamery D-Link prý neplní základní požadavky na zabezpečení zákazníků, přičemž je dodavatel současně inzeruje pod heslem „advanced security“.
Vlastní program odměn za reportované bezpečnostní zranitelnosti spouští i Netgear. Až 15 000 dolarů se má platit za hlášení chyb, které umožňují vzdálený neoprávněný přístup do zařízení Netgear nebo do cloudového úložiště. Další odměny jsou slíbeny za chyby umožňující extrahovat citlivé informace typu čísel platebních karet. Darren Pauli na The Register ironicky označuje celý projekt za vůbec nejsnazší způsob, jak si „lovci odměn“ mohou přijít k penězům; stále nové zranitelnosti směrovačů, kamer a dalších zařízení internetu věcí se objevují téměř denně…
Problém s automatickým vyplňováním formulářů
Chrome a Safari v kombinaci se správcem hesel LastPass údajně útočníkům umožňují krást citlivé údaje. Jak upozorňuje Viljami Kuosmanen, na webu lze pro uživatele zobrazit pouze několik polí a ostatní nechat skryté. Při volbě automatického vyplňování pak uživatel vůbec nezaregistruje, co se do formulářů zadává: uvidí třeba pouze políčko, kam se vyplní jméno či jiné nijak důvěrné informace. U chystané verze Chrome předpokládejme, že třeba vyplňování čísel platebních karet na podvodném webu bez https by vyvolalo další dialog s varováním. Firefox mimochodem tímto útokem zranitelný není, ovšem pouze prozatím, protože funkci automatického vyplňování formulářů plánuje Mozilla nabídnout také.
Zranitelnosti a opravy
Zalátána byla zranitelnost CVE-2016-0917 v úložných systémech EMC VNX1, VNX2 a VNXe. Vzdálený útočník se mohl dostat k oprávněním, respektive získat přístup k systému v důsledku chybné implementace šifrování v ověřovacím protokolu NTLM. Problém se týká i řady EMC Celerra, jejíž podpora již byla ukončena a žádná oprava se už vydávat nebude. V tomto případě zbývá jako řešení přepnout autentizaci na protokol Kerberos.
Kompromitováno bylo více než 6 000 (z toho asi 1 000 v Německu) on-line obchodů, které využívají platformu Magento. Akce probíhala dva roky a zaměřila se především na krádeže informací o platebních kartách. Mnozí provozovatelé byli údajně na problém upozorňováni, ale neudělali nic (možné kroky: aktualizace, změna nastavení…). Některé e-shopy byly po odstranění malwaru vzápětí infikovány znovu. Problém má být i v tom, že moduly pro zpracování karet mnohdy dodávaly třetí strany a samotní provozovatelé tedy odmítali jakoukoliv odpovědnost/povinnost situaci řešit.
Juniper varuje, že chyba v aktualizaci firewallů SRX může tato zařízení otevřít pro útoky. Systém se přepne do režimu, kde je dostupný účet roota bez hesla, a pak v tomto nastavení zůstane – i když by problém měl jít vyřešit prostě restartováním zařízení po aktualizaci JunoOS. (V novějších verzích než 12.1X46-D65 by již mělo být vše v pořádku.)
Publikován byl způsob, jak lze znovu odemknout/obnovit tovární nastavení LG Google TV, pokud do televize pronikl ransomware.
Nová verze CMS systému WordPress opravuje 8 bezpečnostních zranitelností včetně cross-site scripting, CSFR (šlo zneužít nahráním souboru Flash do systému) a slabé kryptografie. Chyba v rozhraní REST zase umožňovala dostat se k informacím všech uživatelů, kteří do systému vkládali příspěvky. Zalátaná verze má číslo 4.7.1.
CSIRT.CZ upozorňuje/varuje
Systém Ansible, sloužící hlavně pro automatizaci konfigurace a poskytování serverů, je k dispozici ve verzích 2.1.4 RC1 a 2.2.1 RC3. Aktualizace opravuje bezpečnostní chybu, při jejímž zneužití by byl útočník schopen přes spravovanou stanici převzít kontrolu nad řídící stanicí a i ostatními spravovanými systémy.
Ze světa firem
Útočníci spojovaní se skupinou BlackEnergy využívají ransomware KillDisk. Cílí nyní hlavně na linuxové servery a požadují vysoké výkupné, k datům se však oběť stejně nedostane (v balíčku vůbec neexistuje způsob, který by dešifrování dat umožňoval, útočníci to tedy nikdy neměli v úmyslu). Naopak ale existuje způsob jejich obnovy bez komunikace s podvodníky. Kampaň BlackEnergy je označení pro útoky/skupinu, které v roce 2015 napadly firmy zajišťující dodávky elektřiny na Ukrajině, v poslední době tato skupina zřejmě stála také za útoky proti ukrajinským finančním institucím.
Zdroj: tisková zpráva společnosti Eset a další
Bezpečnostní prognóza pro rok 2017 podle GFI Software zmiňuje např. následující změnu: „V loňském roce Microsoft změnil způsob bezpečnostních aktualizací v rámci svých operačních systémů směrem k vyšší kumulaci. To v mnoha případech znamená více práce a stresu pro IT administrátory a vyšší míru rizika pro systémy, pokud se vysoce kumulovaná aktualizace nezdaří.“
Zdroj: tisková zpráva společnosti GFI Software
Poznámka: Chris Goettl ze společnosti Shavlik naopak tvrdí, že stahování oprav Microsoftu najednou je pro administrátory pohodlnější.
Z nové zprávy o hrozbách McAfee Labs Predictions 2017: Blížíme se vrcholu křivky ransomwaru, pak tento typ kriminality začne ustupovat. Poklesnou útoky na zranitelnosti v operačních systémech a aplikacích, naopak stále oblíbenější především z hlediska sofistikovanějších akcí bude hardware a firmware; bankovní malware bude stále více cílit na smartphony a méně na PC. Podvodníci se více zaměření na drony, ať už jde o ovládnutí cizích zařízení nebo využívání vlastních.
Zdroj: tisková zpráva společnosti Comguard
Zabezpečení logistiky se mění, sofistikovanější systémy doplňují nebo i nahrazují fyzickou ostrahu. Mezi novinky patří bezobslužná vrátnice nebo kamerový systém RVS (Remote Video Solutions) pro vzdálený dohled nad vozidly i obsluhujícím personálem.
Zdroj: tisková zpráva společnosti Securitas
Avast Software vydal nové verze tří produktů pod značkou AVG: bezplatný AVG AntiVirus Free, prémiovou verzi antiviru AVG Internet Security a nástroj pro čistění a údržbu AVG TuneUp. Jde o první produkty, které Avast uvádí na trh poté, co na podzim dokončil akvizici AVG Technologies.
K novinkám v AVG AntiVirus Free patří mj. nový webový štít, pasivní mód (umožňuje provoz více antivirů vedle sebe) a prioritní aktualizace (dříve součástí pouze placené verze).
Zdroj: tisková zpráva společnosti Avast
Firmy, které zaregistrovaly kybernetický útok, ve 29 % případů uvedly, že jeho součástí byl i DDoS. Celkově se 56 % dotázaných společností domnívá, že zaznamenané DDoS útoky byly pouze zastíracím manévrem, kamufláží pro jiné zločinné aktivity. IT oddělení pak řešilo DDoS, zatímco další postup útočníků probíhal jiným kanálem.
Zdroj: tisková zpráva společnosti Kaspersky Lab
Psali jsme na ITBiz.cz
Na téma zabezpečení na ITBiz viz také
První letošní bezpečnostní opravy Microsoftu