Hlavní navigace

Postřehy z bezpečnosti: Další kampaň zaměřená na NAS

CSIRT.CZ

Zařízení NAS jsou opět v hledáčku vykuků, znežití hlaviček EXIF k propašování PHP kódu do webové aplikace, zranitelnosti ohrožující přes dvě miliardy zařízení a nový ransomware pro Android – nejen tyto zajímavosti přináší aktuální díl Postřehů.

Doba čtení: 4 minuty

Sdílet

Právě probíhající kampaň provádí mazání dat z on-line dostupných zařízení Lenovo Iomega NAS. Seznam veřejně dostupných zařízení pravděpodobně získávají s využitím enginu Shodan. Po vymazání zařízení zanechají útočníci vzkaz, ve kterém nabízejí, že uživateli vrátí jeho data, pokud zaplatí výpalné. Zatím není jasné, zda v případě zaplacení mají oběti útoku nějakou naději, že by se jim ztracená data skutečně vrátila.

Zajímavé je, že se liší nejen požadovaná částka, ale i obsah samotné zprávy. V jednom případě dokonce uživatel zaznamenal výhrůžku, že pokud nezaplatí, budou jeho data prodána na dark webu. Podle serveru BleepingComputer útočník smazané soubory nechává ukryté přímo na napadeném disku, mělo by tak být možné se k nim dostat s pomocí nástrojů pro obnovu dat. Není to přitom ještě ani měsíc, kdy útočníci používali nový ransomware pro vydírání vlastníků NAS zařízení značky QNAP.

Hra na schovávánou v EXIF hlavičkách

Zajímavý způsob kompromitace plně aktualizovaných webových aplikací skrývá škodlivý PHP kód do EXIF (Exchangeable Image Format) hlaviček, které standardně obsahují metadata obrázku. Obrázky jsou často povolený a málo hlídaný formát dat, který projde filtrováním bez větší pozornosti. Jazyk PHP pak umožňuje snadné parsování a čtení EXIF údajů, což v podstatě umožňuje nahrát jakýkoliv kód. Stačí tak zpravidla najít webovou stránku, která umožňuje nahrávání obrázku a EXIF data čte.

Podobný útok byl již zaznamenán v roce 2013, nicméně se jedná o poměrně vzácný způsob. V minulosti však obrázek skrýval kompletní payload, např. webshell, zatímco modernější a méně nápadný způsob obsahuje pouze tzv. dropper. Pod tím se skrývá první fáze útoku, při které dojde ke spuštění krátkého kódu, jenž pouze stáhne hlavní část malwaru. Možnou obranou je například kontrola EXIF hlaviček na přítomnost PHP tagů, v druhé řadě samozřejmě také odstranění možnosti nahrávání obrázků, kde to není nutné.

11 zranitelností ohrožuje přes dvě miliardy nejrůznějších zařízení

Real-time operační systém VxWorks obsahuje 11 zranitelností, z nichž šest je označeno jako kritické s tím, že jejich zneužití může mít devastující účinky. Chroničtí rýpalové by to mohli označit za celkem velký průšvih, protože tento systém se používá ve více než dvou miliardách zařízení napříč leteckým a kosmickým průmyslem, v lékařských zařízeních, v automobilovém průmyslu, spotřebitelské elektronice, v síťových zařízeních a dalších kritických částech průmyslu. To obnáší webkamery, switche, routery, firewally, VoIP telefony, tiskárny, semafory, SCADA systémy, monitory pacientů, magnetickou rezonanci, in-flight WiFi systémy a další.

Napadením zranitelností může útočník obejít zabezpečení a převzít plnou kontrolu dotčených zařízení, případně je vyřadit z provozu bez nutnosti jakékoliv interakce uživatele. Nalezené zranitelnosti se týkají síťového stacku. Všech šest kritických zranitelností pak umožňuje vzdálené spuštění kódu, zatímco zbývající zranitelnosti mohou vést k DoS útoku, úniku informací, nebo k logickým chybám. Všechny zranitelnosti pak mohou být zneužity nepřihlášeným vzdáleným útočníkem pouze odesláním speciálního TCP paketu na napadené zařízení.

Mirai a Tor

Mirai od zveřejnění zdrojového kódu v roce 2016 prošel velkým vývojem. Nejnovější trend zaznamenaný minulý týden využívá sítě Tor pro připojení ke svým řídícím serverům. Dá se očekávat, že to způsobí značné problémy při snaze danou síť odstavit. Zatímco v klasických případech se jedná o cizí zneužité servery, jejichž správce lze snadno dohledat a informovat, v případě sítě Tor je taková možnost téměř vyloučena. Nová varianta hledá IP adresy s otevřenými porty 9527 a 34567 což nasvědčuje tomu, že cílí na IP kamery a DVR zařízení. Výzkumníci z Trend Micro také zjistili, že hlavní pracovní náplní botů jsou DDoS útoky přes UDP protokol.

Otevřená Honda

Automobilový výrobce Honda vystavoval přibližně 134 milionů dokumentů volně na Internetu. Kdokoliv si tak mohl zjistit například informace o vnitřní síti výrobce a to včetně názvu stroje hostitele, MAC adrese, vnitřní IP adrese a verze operačního systému. Honda tvrdí, že po přezkoumání přístupových protokolů systému nenašli žádný důkaz o tom, že by někdo jejich databázi stáhnul. Pokud by však útočník získal přístup k daným informacím, mohli by získat přístup do sítě celé společnosti.

Nový ransomware pro Android

Výzkumný tým společnosti Eset objevil nový ransomware zaměřený na uživatele chytrých telefonů s operačním systémem Android. Detekuje ho jako Android/Filecoder.C. Pomocí SMS zpráv v několika desítkách jazykových mutací včetně češtiny se snaží rozšířit do celého světa. Tým společnosti Eset objevil mobilní ransomware po více než dvouletém období, kdy výskyt této hrozby celosvětově klesal.

Report o cloudové bezpečnosti v roce 2019

Společnost Bitglass, výrobce Next-Gen CASB, vydala report o cloudové bezpečnosti v roce 2019 – Guardians of the Cloud. V souvislosti s přesunem stále většího objemu dat a provozu do cloudu, potřebují organizace udržovat robustní kybernetické zabezpečení. S cílem zjistit, jak se jim toho daří dosahovat, se Bitglass spojil s přední kyberbezpečnostní komunitou a dotazoval IT odborníky ohledně zabezpečení cloudu v jejich organizacích. Bitglass zkoumá stav zabezpečení cloudů v podnicích každoročně za účelem identifikace klíčových trendů a aktuálních zranitelností. Letošní zpráva zjistila, že 75 % organizací využívá více cloudových řešení, ale pouze 20 % má vhled do anomálního chování napříč aplikacemi. Jelikož stále více organizací uchovává v cloudu citlivé informace – data o zákaznících (45 %), údaje o zaměstnancích (42 %) a duševní vlastnictví (24 %) – je zavedení adekvátních bezpečnostních opatření kritické.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…