Záplaty Log4Shell otevírají cestu do hostitelského OS
Ve snaze opravit zranitelnost Log4Shell zavedl AWS několik řešení, která detekují zranitelné Java aplikace a za pochodu je opravují. Tato řešení jsou určena jak pro standalone server, tak pro Kubernetes clustery, ECS (Elastic Container Service) clustery a Fargate. Řešení lze instalovat i do dalších cloudů, nebo do takzvaných „on premise“ systémů.
Výzkumníci z Unit 42 však zjistili, že po aplikaci opravy v rámci serveru nebo clusteru, může získat každý kontejner přístup do hostitelského operačního systému. Z kontejneru lze také eskalovat privilegia a získat v systému superuživatelská oprávnění. Problému byla přiřazena CVE-2021–3100, CVE-2021–3101, CVE-2022–0070 a CVE-2022–007.
Opravy výše zmíněných řešení byly publikovány 19. dubna: v prostředí Kubernetu instalujte aktuální Daemonset (v moment vzniku článku oprava neexistuje pro Debian a Ubuntu), standalone servery aktualizujte pomocí yum update log4j-cve-2021-44228-hotpatch a Hotdog aktualizujte na poslední verzi. Příklad zneužití je možné si prohlédnout prohlédnout na YouTube.
Jak zavirovat Virustotal
Výzkumníci z Cysource objevili způsob, jak na známé antivirové platformě spustit vlastní kód. Virustotal je služba, která se často používá pro detekci známých i neznámých druhů malwaru a dokáže rozlišovat mezi jednotlivými antivirovými produkty. Nejčastěji pak Virustotal poskytne výslednou zprávu rozlišující, které antiviry nahraný malware detekují a které ne.
Shai Alfasi a Marlon Fabiano da Silva zneužili zranitelnost CVE-2021–22204 vyskytující se v nástroji ExifTool. Tato zranitelnost umožňuje spuštění libovolného kódu. Tímto způsobem získali přístup k více než 50 strojům, které, jak se ukázalo, nepatří jen Googlu, ale i ostatním partnerům. Zranitelnost nahlásili přes GoogleVRP (Vulnerability Reward Program) a článek tak vyšel až po opravení této zranitelnosti.
Malware jako legitimní balíček
Ve správci balíčků NPM byla odhalena takzvaná „logická chyba“, která mohla umožnit útočníkům vydávat podvržené knihovny za legitimní a přimět nic netušící vývojáře k jejich instalaci. Tato zranitelnost byla pracovníky z cloudové bezpečnostní firmy Aqua nazvána „Package Planting“. Aktualizace opravující zranitelnost byla vydána 26. dubna.
Útočníci mohli vytvářet balíčky s malwarem a přiřadit je k důvěryhodným a oblíbeným správcům bez jejich vědomí. Takováto chyba nejenom umožňuje distribuovat malware, ale také může zhoršit pověst důvěryhodných uživatelů, kteří pod svým jménem šíří malware, aniž by o tom věděli.
Důvěryhodný podvodník
Dáváte si pozor při nákupech na internetu? Kontrolujete URL, abyste nevepsali číslo karty na falešnou stránku? Nevěříte příchozím telefonům z banky, že nejsou vishing? I pak vás mohou okrást, jak dokládá příběh Adama Vopičky, který poptával Steam Deck. Ozval se mu sympatický prodejce, který se jednoho takového zbavoval; ovšem co čert nechtěl, byl až z Ostravy.
Působil však důvěryhodně (tykání, společní přátelé, společné zájmy), a když Adam nečekaně dostal fotku občanky, aniž si všiml, slevil z původních bezpečnostních záruk a poslal deset tisíc do černé díry. Občanka totiž byla sice pravá, ale kradená. A závěrem, nezapomeňte, fotku své občanky také neposílejte.
Nové možnosti odstranění výsledků z Googlu
Google rozšířil možnosti požadavku na odstranění výsledků z vyhledávání. Nově je možné požádat i o odstranění dalších osobních údajů, jako jsou telefonní číslo, e-mailová adresa či adresa bydliště, nebo informace, které by mohly vést ke krádeži identity, tedy například přihlašovací údaje. Podle Googlu je každý takový požadavek individuálně vyhodnocen, aby nedocházelo k vyřazování legitimních zdrojů, jako jsou zpravodajské weby či vládní registry.
Tímto krokem navazuje na nedávné rozšíření, které umožnilo nezletilým žádat odstranění jejich fotek z vyhledávání obrázků. Připomínají však, že odstraněním z vyhledávání informace z Internetu nezmizí a doporučují kontaktovat konkrétní hosting, kde je obsah hostován.
Úspěch českých a slovenských specialistů na kybernetickou bezpečnost
Společný tým, složený z českých a slovenských specialistů na kybernetickou bezpečnost, obsadil 5. místo na největším a nejkomplexnějším cvičení kybernetické bezpečnosti na světě. Cvičení Locked Shields 2022 pořádalo NATO Cooperative Cyber Defence Centre of Excellence v estonském Tallinnu. První místo obsadil tým z Finska. Dohromady bylo do cvičení zapojeno více než 2 000 specialistů a celkem soutěžilo 24 týmů z 32 zemí světa.
V letošním ročníku tvořily Česká a Slovenská republika jeden tým, čímž se prohloubila vzájemná spolupráce, která bude nadále pokračovat i nad rámec tohoto cvičení. Za ČR se do společného týmu zařadili zástupci NÚKIB, CIRC MO, EG.D, Red Hat, CZ.NIC, České spořitelny i zástupci z řad bezpečnostní komunity v ČR.
Kybernetické incidenty pohledem NÚKIB: březen 2022
Národní úřad pro kybernetickou bezpečnost vydal další přehled Kybernetických incidentů. Ani za měsíc březen v ČR stále neevidují žádný incident, který by byl prokazatelně spojený s válkou na Ukrajině. Situaci ale stále monitorují a vyhodnocují.
Do březnových incidentů se naopak opět promítly phishingové kampaně a ransomware, kdy každá z těchto kategorií tvořila pětinu incidentů. Celý dokument si můžete přečíst přečíst na webu NÚKIB[PDF].
Ve zkratce
- Chyba zabezpečení Microsoft Azure zpřístupňuje databáze PostgreSQL dalším zákazníkům
- Nový majitel Twitteru Elon Musk chce, aby zprávy mezi uživateli byly šifrované
- Bezpečnostní pracovníci objevili až 400 000 databází volně dostupných na Internetu
- Cloudflare zaznamenal rekordní DDoS útok dosahující až 15 milionů požadavků za sekundu
- QNAP doporučuje zmírnit chyby vzdáleného hackování, dokud nebudou k dispozici opravy
Pro pobavení
IT Joke of the day! pic.twitter.com/cG5dNHw1ds
— Bluegrass Digital (@Bluegrassgroup) April 25, 2017
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu ALEF-CSIRT a bezpečnostního experta Jana Kopřivy. Více o seriálu…
ČLÁNKY DO MAILU