TL;DR

TL;DR: Napriek kritickým chybám administrátori neaktualizujú (11. týždeň)

Svetu kybernetickej bezpečnosti po kritickej zraniteľnosti v softvéri SolarWinds Orion už niekoľko týždňov dominuje zneužívanie zraniteľností v softvéri Microsoft Exchange Server. Podľa odborníkov je problém každou hodinou stále väčší, lebo prevádzkovatelia pomaly implementujú dôležité aktualizácie.

V Spojených štátoch ale majú aj ďalší rodiaci sa problém v podobe ransomvéru PYSA, o ťažkostiach môže hovoriť aj spoločnosť Google, ktorá sa ocitla pred súdom.

Dozviete sa viac aj o falošnej aplikácii Telegram, ako pokračuje kauza SolarWinds a prečo hacker ide do väzenia skôr, ako si poriadne stihne užiť čo i len vodičský preukaz.

Aktualizácie stále viaznu

NCSC vo Veľkej Británii zaznamenalo 3000 e-mailových serverov, ktoré nemajú nainštalované kritické bezpečnostné aktualizácie opravujúce zeroday zraniteľnosti Microsoft Exchange. NCKB SK-CERT na Slovensku eviduje do 800 zraniteľných serverov. Ide o servery, ktoré sú prístupné z internetu. Existuje aj veľká množina serverov, ktoré sú síce chránené dodatočnými prvkami, ale stále nie sú aktualizované.

Útoky na e-mailové servery Exchange sú skúmané aj spoločnosťou Eset, ktorá deklaruje, že zraniteľné servery sú pod útokom najmenej desiatich rôznych APT skupín. Microsoft začiatkom marca označil za pôvodcu útokov skupinu Hafnium.

Jedna zo zraniteľností – ProxyLogon je zneužívaná aj na šírenie ransomvéru „DearCry“.

Deravý Gitlab

Systém na manažment zdrojového kódu Gitlab obsahuje kritickú zraniteľnosť, ktorá umožňuje prihlásenému útočníkovi bez priradených práv spúštať škodlivý kód. Zatiaľ síce nebol zverejnené, akým presným spôsobom je možné zraniteľnosť zneužiť, SK-CERT vydal varovanie a odporúčanie ihneď systém aktualizovať. 

Nebolo to celkom inkognito

Spoločnosť Google čelí obvineniu a pokute vo výške 5 miliárd amerických dolárov za zber informácií v inkognito móde. Aj pri jeho zapnutí totiž zbierala dáta o užívateľoch cez iné Google nástroje.

Firma sa pokúšala vyhnúť súdu v prípravnom konaní, ale sudkyňa Lucy Koh v Kalifornii jej to zamietla. V zdôvodnení uviedla, že „súd dospel k záveru, že spoločnosť Google neoznámila používateľom, že sa podieľajú na údajnom zbere údajov, keď je používateľ v režime súkromného prehliadania“.

0-day v Google Chrome

Google Chrome obsahoval 0-day zraniteľnosť, na ktorú upozornil priamo Google. Zraniteľnosť s úrovňou 8.8 podľa CVSS sa vyskytovala v engine Blink, vyvíjanom v rámci Chromium project. Google túto chybu ihneď opravil a vyzýva všetkých používateľov na všetkých platformách (ako Windows, tak aj MacOS) aby si svoje prehliadače aktualizovali. NCKB SK-CERT o tejto zraniteľnosti vydal aj varovanie.

Našli vinníka

CEO spoločnosti SolarWinds Sudhakar Ramakrišna viní zo supply chain útoku na aktualizácie SolarWinds Orion bývalého stážistu.

Heslo „solarwinds123“, ktoré zabezpečovalo aktualizačný server, bolo medzi júnom 2018 a novembrom 2019 uložené aj na otvorenej databáze GitHub. Zatiaľ však nie je jasné, či útočníci pri supply chain útoku zneužili práve slabé heslo.

Poznámka SK-CERT: Je naozaj chyba len stážistu, že dokáže tak zásadne ovplyvniť bezpečnosť kľúčového produktu firmy?

Zacielené na telekomunikácie

Bezpečnostní výskumníci spoločnosti McAfee odhalili globálnu kyberšpionážnu kampaň cielenú na telekomunikačné spoločnosti.

Cieľom je krádež informácií týkajúcich sa 5G technológií. Použité techniky, taktiky a procedúry boli atribuované APT skupinám RedDelta a Mustang Panda.

Nepríjemný vstup do dospelosti

Osemnásťročný hacker, ktorému sa podarilo získať prístup do viacerých vysokoprofilových účtov na sociálnej sieti twitter, a následne ich zneužiť na podvod s bitcoinmi, bol odsúdený na 3 roky väzenia. Mladík sa v júli 2020 nabúral do viacerých profilov známych osobností, vrátane Joa Bidena, Billa Gatesa a Kim Kardashian.

Nie je Telegram ako Telegram

Na webe sa šíri malvér imitujúci populárnu chatovaciu aplikáciu Telegram pre Windows. Aplikácia obsahuje malvér na krádež dát AZORult a útočníci ho šírili cez platené Google reklamy. Národné centrum kybernetickej bezpečnosti SK-CERT už v minulosti varovalo pred takýmito falošnými aplikáciami.

SHORTCUT

  • Vysoká škola v Birminghame sa stala terčom rozsiahleho ransomvérového útoku. Útok donútil administráciu univerzity zavrieť osem pracovísk.
  • FBI varuje pred nárastom aktivity ransomvéru PYSA, známeho aj pod názvom Mespinoza. Je zameraný najmä na školstvo, verejnú správu, súkromné spoločnosti aj zdravotníctvo.
  • Kyberzločinecká skupina REvil prebrala zodpovednosť za vlnu ransomvérových útokov. Deväť útokov ransomvérom Sodinokibi bolo v Afrike, Európe, Mexiku a USA. Presné názvy cieľov nie sú známe.
  • Spoločnosť Microsoft spustila vyšetrovanie 80 organizácií v Microsoft Active Protections Program (MAPP). Vyšetrovanie sa týka možného úniku PoC (proof of concept) na zneužitie zraniteľnosti ProxyLogon.

« Späť na zoznam