Hlavní navigace

Postřehy z bezpečnosti: 0-day zranitelnost pluginu WPGateway

19. 9. 2022
Doba čtení: 3 minuty

Sdílet

 Autor: Depositphotos
V dnešním dílu pravidelných týdenních bezpečnostních postřehů se podíváme na zranitelnost pluginu WPGateway, záplatování RCE zranitelností v IPsec ve Windows, na vždy aktuální phishing a další zajímavosti.

Zneužívaná zranitelnost nultého dne ve WPGateway

Společnost Wordfence Threat Intelligence upozornila na aktivní zneužívání zranitelnosti nultého dne, která útočníkovi umožňuje získat administrátorský přístup k WordPressu. Zdrojem problému je zranitelný plugin WPGateway, který dovoluje uživatelům cloudové služby WPGateway spravovat weby využívající redakční systém WordPress z jednotného dashboardu. Zneužitím chyby v pluginu může nepřihlášený útočník docílit přidání nového uživatele s právy administrátora.

Společnost Wordfence nesdílela technické detaily zranitelnosti CVE-2022–3180, ale sdílela aspoň možné indikátory kompromitace. Tím nejběžnějším je nový uživatel „rangex“ s právy administrátora. Správci také mohou zkontrolovat logy, zda v nich nenajdou požadavky na
//wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1 Přítomnost tohoto záznamu v logu ukazuje na to, že se někdo pokoušel chybu zneužít, ale neznamená to, že se mu to podařilo.

Microsoft záplatoval několik RCE zranitelností ve Windows

V posledním Patch Tuesday se mimo jiné látalo několik kritických (CVSS 9.8) zranitelností IPsec ve Windows. Dvě z nich (CVE-2022–34721, CVE-2022–34722) se týkají zpracování zpráv IKEv1 a další (CVE-2022–34718) je ve zpracování příchozího IPv6 paketu. Všechny umožňují (při zapnutém IPsec) vzdálené spuštění kódu.

Za pozornost také určitě stojí LPE zranitelnost CVE-2022–37969, jejíž aktivní zneužívání už bylo potvrzeno. Týká se logovacího subsystému Windows CLFS a umožňuje získání privilegií interního účtu SYSTEM.

Phishing opět aktuální

Útočníci využívají smrt královny Alžběty II. k phishingovým útokům, které mají za cíl přihlašovací údaje k účtům u Microsoftu, včetně kódů multifaktorové autentizace. E-mailové zprávy, které se tváří, že jsou od Microsoftu, vyzývají uživatele k zapojení do vytvoření digitální pamětní desky, která bude z příspěvků uživatelů sestavena umělou inteligencí. 

Útočníci využívají novou Phishing-as-a-Service (PaaS) platformu EvilProxy, která umožňuje i technicky méně zdatným útočníkům ukrást autentizační tokeny pro obcházení multifaktorové autentizace. Britský úřad National Cyber Security Centre varuje před zvýšeným výskytem podobných útoků, které zneužívají královniny smrti.

Peiter Zatko o bezpečnosti Twitteru

Během svědectví v kongresu promluvil bývalý CISO Twitteru Peiter Zatkobezpečnostní situaci ve firmě. Twitter byl prý v době jeho nástupu (listopad 2020) více než deset let pozadu za bezpečnostními standardy. Infrastruktura Twitteru je například tak decentralizovaná, že ani vedení společnosti neví, jaká data z jakých zdrojů jsou zpracovávána, a kde jsou uložena. Vede to k tomu, že zaměstnanci potřebují příliš privilegované přístupy na mnoho systémů a je jim tak dostupné zbytečně velké množství dat.

Pokud k tomu připočteme, že firma měla několik problémů se zaměstnanci, kteří byli nasazeni, nebo spolupracovali s vládami třetích zemí (Saudská Arábie, Čína, Indie), je zřejmé, že úniky dat z platformy jsou velmi pravděpodobné. Zatko také zmínil pravidelné úniky autentizačních údajů zveřejňovaných na Dark Webu. Představitelé Twitteru Zatkova tvrzení popírají a tvrdí, že byl propuštěn za neefektivní vedení a slabou výkonnost.

Uživatelé YouTube v ohrožení

Společnost Kaspersky uvedla, že hackeři cílí na uživatele YouTube pomocí škodlivého balíčku RedLine. Jedná se o malware, který byl objeven v březnu 2020, a je v současnosti jedním z nejběžnějších trojských koní používaných ke krádeži hesel a přihlašovacích údajů z prohlížečů, FTP klientů a desktopových messengerů, informoval Oleg Kupreev. Dále také zmínil, že útočníci si ho můžou pořídit na hackerských fórech za pouhých pár stovek dolarů. 

Podle bezpečnostního experta může RedLine nejen krást uživatelská jména, hesla, soubory cookie, údaje o bankovních kartách a data automatického vyplňování z prohlížečů založených na Chromiu a Gecko. Dále je také schopen získávat data z kryptopeněženek a soubory s konkrétními příponami ze zařízení. Malware může údajně stahovat a spouštět softwarové nástroje třetích stran, spouštět příkazy v cmd.exe  a otevírat odkazy prostřednictvím výchozího prohlížeče.

speciál kyberútoky

Škodlivý balíček se šíří nejen pomocí phishingových kampaní, ale také pomocí falešných návodů na herní cracky a cheaty. RedLine byl také spatřen v kampani ModernLoader, kterou minulý měsíc odhalila společnost Cisco Talos.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu ALEF-CSIRT a bezpečnostního experta Jana Kopřivy. Více o seriálu…

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.