Bořivojova 878/35, 130 00 Praha
+420.734 463 373

Novinky z Kybernetické bezpečnosti 5.3.2021

Cyber Security NewsNěkolik skupin Cyber špiónů cílí na servery Microsoft Exchange prostřednictvím Zero-Day zranitelností.

Výzkumníci v oblasti zabezpečení varují, že se na nedávno zjištěné Zero-Day chyby v zabezpečení na Microsoft Exchange Serverech zaměřuje několik skupin Cyber špionů, a tvrdí, že na napadených serverech bylo identifikováno více než 300 webových serverů.

Problémy (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065), kterými se Microsoft tento týden zabýval, byly zneužívány v rámci řetězce útoků, který umožňoval vzdálené spouštění libovolných kódů.

Microsoft uvedl, že čínská hackerská skupina HAFNIUM sponzorovaná státem zneužívá zranitelnosti „při omezených cílených útocích“, ale nové podrobnosti sdílené různými bezpečnostními firmami naznačují rozsáhlejší problém.

„Telemetrie ESET ukazuje, že (alespoň) CVE-2021-26855 je aktivně zneužíván hned několika skupinami Cyber špiónů. Mezi nimi jsme identifikovali LuckyMouse, Tick, Calypso a několik dalších dosud nezařazených skupin, “uvedl ESET na Twitteru.

Společnost také odhalila, že zatímco většina cílů se nachází ve Spojených státech, byly identifikovány také útoky na servery v Evropě, Asii a na Středním východě. Útoky byly zaměřeny na vládní organizace, právnické firmy, zdravotnická zařízení a soukromé společnosti.

Organizace mohou zjistit, zda mohly být ohroženy v C:\inetpub\wwwroot\aspnet_client\system_web\ kde mohou prověřit přítomnost webshell .aspx souborů se názvy jako shell, supp0rt, aspnet, aspnet_client a další nebo jiné náhodné názvy souborů v podadresáři system_web.

Poskytovatel řešení Managed Detection and Response (MDR) Huntress říká, že již pozoroval více než 200 kompromitovaných serverů Exchange, které přijímaly příkazy v adresáři „C:\inetpub\wwwroot\aspnet_client\system_web“, a tvrdí, že k dnešnímu dni identifikovaly již více než 350 webshell.

Analýza přibližně 2 000 Exchange serverů odhalila, že zhruba 400 z nich bylo zranitelných, přičemž dalších 100 potenciálně zranitelných, odhaluje Huntress.

Cíle zahrnují „malé hotely, společnosti na výrobu zmrzliny, kuchyňských spotřebičů, komunity seniorů a další středně velké podniky. Byli jsme také svědky mnoha obětí z řad městské a krajské správy, poskytovatelů zdravotní péče, bank / finančních institucí a několika poskytovatelů elektřiny pro domácnosti, tvrdí bezpečnostní firma,

“ Huntress zdůrazňuje, že velký počet identifikovaných webschell naznačuje, že do útoku mohlo být zapojeno více nekoordinovaných aktérů nebo že byly použity automatizované nástroje. Útoky také dokázaly obejít nainstalovaná antivirová a EDR řešení.

„Tyto útoky jsou vážné kvůli skutečnosti, že každá organizace prostě musí mít e-mail a Microsoft Exchange je široce používán.“ Tyto servery jsou obvykle veřejně přístupné na otevřeném internetu a lze je vzdáleně zneužít. Tyto chyby zabezpečení lze využít k získání vzdáleného spuštění kódu a úplnému ohrožení cíle, “poznamenává také Huntress.

Vzhledem ke kritické povaze těchto chyb zabezpečení se organizacím doporučuje, aby co nejdříve nainstalovali dostupné opravy. Americká agentura pro bezpečnost v kybernetické bezpečnosti a infrastruktuře (CISA) vydala varování o těchto zranitelnostech a ministerstvo pro vnitřní bezpečnost (DHS) vydalo nouzovou směrnici, která požaduje, aby agentury hledaly ukazatele kompromisu (IOC) a buď prováděly forenzní vyšetřování, kde je kompromis byl identifikován nebo aplikovat dostupné opravy, kde nebyly nalezeny žádné IOC.

 

UPDATE: Včera byla napaden i systém veřejné zprávy, útok cílil na Prahu a MPSV https://www.idnes.cz/zpravy/domaci/system-verejne-spravy-utok-hackeri-ministerstvo-prace-a-socialnich-veci.A210305_060531_domaci_misl

Upozornění NUKIB ohledně této zranitelnostio naleznete zde: https://www.nukib.cz/cs/infoservis/hrozby/1690-upozorneni-na-zranitelnosti-exchange-server/

 

Někdo hackuje kyberkryminální fóra o a vypouští ven data uživatelů

Od začátku letošního roku neznámý aktér hackuje fóra o kyberkriminalitě a veřejně vypouští uživatelská data nebo je nabízí k prodeji.

Dosud byla narušena nejméně čtyři taková fóra, jmenovitě Verified v lednu, Crdclub v únoru a Exploit a Maza v březnu. Všechna jsou převážně fóra v ruštině a jejich narušení byla veřejně zveřejněna jinde.

Zpravodajská firma Intel 471, která hackery pečlivě sleduje, tvrdí, že zatímco identita aktéra útoku není známa, veřejná povaha útoků vylučuje, že by se jednalo o formu vydírání.

V lednu někdo oznámil na darknetovém fóru Raid Forums, že prolomil známé ruské kyberkriminální fórum Verified‘s, uvedl pak, že má celou jejich databázi, která obsahuje podrobnosti o všech registrovaných uživatelích, včetně soukromých zpráv, příspěvků, vláken a hashovaných hesel.

Hacker, také dokázal převést kryptoměnu v hodnotě 150 000 dolarů z Verified peněženky, nabízel jejich databázi za 100 000 dolarů.

V únoru byl napaden administrátorský účet fóra o kyberkriminalitě Crdclub, což umožnilo aktérovi, který za kompromisem stojí, nalákat zákazníky fóra k používání podvodné služby převodu peněz a odklonit z fóra neznámé množství peněz.

Tento týden byla hacknuta jak fóra Exploit, tak Maza. Útočník zjevně získal zabezpečený (SSH) přístup k proxy serveru Exploit určenému pro ochranu před Denial-of-Service (DDoS) útokem a shodil tak celý síťový provoz.

„Uživatelé na fóru Exploit diskutují o přechodu od používání e-mailů k registraci na fórech, protože nedávné útoky by mohli odhalit jejich online aktivity. Jiní tvrdí, že databáze která uniklá je buď stará, nebo neúplná, “poznamenává zpravodajská společnost Flashpoint.

Maza, fórum pro počítačovou kriminalitu, které je pouze pro zvané a existuje již od roku 2003, zveřejnilo 3. března oznámení o narušení dat, pravděpodobně bylo toto oznámení dílem hackera, kterému se podařilo fórum převzít.

Soubor PDF doprovázející oznámení obsahoval více než 3 000 řádků, včetně uživatelských jmen, e-mailových adres, různých kontaktních údajů a částečně modifikovaných hashů hesel.

„Naše počáteční analýza zjistila, že část uniklých dat korelovala s našimi předchozími výzkumnými nálezy, což potvrzuje, že došlo k porušení alespoň některých databází Mazy,“ uvedl Intel 471.

K dnešnímu dni se zdá, že se nikdo k útokům nepřihlásil, ale akce pachatele by mohly poskytnout bezpečnostním výzkumníkům lepší přehled o tom, kdo tato fóra o kyberkriminalitě využívá.

Společnost Cisco ve středu informovala zákazníky, že některé její produkty jsou vystaveny útokům DoS (Denial-of-Service) kvůli zranitelnosti detekčního modulu Snort.

Chyba, sledovaná jako CVE-2021-1285 a hodnocená jako high severity, může být zneužita neověřeným sousedním útočníkem – útočník je ve stejné doméně layer 2 jako oběť – a způsobí, že zařízení vstoupí do stavu DoS odesláním speciálně vytvořené ethernetové rámce.

Společnost Cisco uvádí, že chyba zabezpečení je součástí komponenty Ethernet Frame Decoder společnosti Snort. Tato chyba se dotýká všech verzí populárního systému prevence a detekce narušení otevřeného zdroje (IPS / IDS) do verze 2.9.17, která obsahuje opravu.

Bylo zjištěno, že CVE-2021-1285 ovlivňuje integrovaný směrovač služeb (ISR), software a platformu Catalyst Edge a produkty cloudových směrovačů řady 1000v. Tato zařízení jsou ovlivněna, pokud používají zranitelnou verzi softwaru Cisco UTD Snort IPS engine pro IOS XE nebo Cisco UTD Engine pro IOS XE SD-WAN, a jsou nakonfigurována k předávání ethernetových rámců Snort.

Společnost Cisco uvádí, že tato chyba zabezpečení souvisí s problémem Firepower Threat Defense (FTD) opraveným v říjnu 2020.

Tato chyba zabezpečení byla nalezena během řešení případu podpory a neexistují žádné důkazy o tom, že byla zneužita při útocích.

Společnost Cisco ve středu také zveřejnila doporučení pro tucet dalších zranitelností, kterým bylo přiděleno středně závažné hodnocení. Tyto dopady ovlivňují produkty Webex, SD-WAN, ASR, Network Services Orchestrator, IP telefony a produkty pro zabezpečení e-mailů a mohou vést k zpřístupnění informací, procházení cest, obcházení autorizace, útokům DoS, eskalaci oprávnění a vložení SQL.

 

 

Přidej komentář