Hlavní navigace

Postřehy z bezpečnosti: děravý antivirus Avast ohrožuje i AVG

9. 5. 2022
Doba čtení: 3 minuty

Sdílet

 Autor: Depositphotos
Dnes postřehneme přes 10 let starou zranitelnost antiviru AVAST, Pandu v Mustangu, zranitelnost BIG-IP, analýzu skupiny Lazarus a upravený dokument NIST k tématu cyber supply chain risk managementu.

Zranitelnosti v Avastu a AVG

Výzkumníci ze Sentinel Labs (SentinelOne) objevili dvě závažné zranitelnosti v antivirových produktech firmy Avast, konkrétně v Anti Rootkit driveru, který využívá ve svých produktech i společnost AVG.

Zranitelnosti, na které se přišlo po více než deseti letech, mohly sloužit k navýšení práv uživatele. O konkrétních případech jejich zneužití zatím nejsou žádné zprávy.

Sentinel Labs upozornil na chyby Avast již ke konci minulého roku a se zvěřejněním článku se čekalo až po vydání opravy. Ta byla součástí únorového updatu (verze 22.1), jak se můžeme dočíst v poznámkách k vydání („Rootkit driver BSoD was fixed“). Pokud na vámi spravovaných stanicích antivirus Avast či AVG používáte a nejste fanoušky automatických aktualizací, zkontrolujte nasazenou verzi, update je možné vyvolat i ručně. 

Kritická zranitelnost v BIG-IP

F5 vydala v minulém týdnu záplaty na 43 chyb, z nichž jedna má hodnocení „Critical“. Zranitelnost prvku iControl REST označena CVE-2022–1388 (CVSS hodnocení 9.8 z 10) umožňuje útočníkovi převzetí kontroly nad systémem.

Záplaty byly vydány pro BIG-IP produkty verzí

  • 16.1.0 – 16.1.2,
  • 15.1.0 – 15.1.5,
  • 14.1.0 – 14.1.4,
  • 13.1.0 – 13.1.4,
  • 12.1.0 – 12.1.6 a
  • 11.6.1 – 11.6.5.

Oprava je také součástí nově vydaných „řádných“ verzí. F5 ubezpečuje, že zranitelnost se netýká ostatních produktů (BIG-IQ Centralized Management, F5OS-A, F5OS-C, …), ale pouze zmiňovaného BIG-IP. Pokud není například z provozních důvodů možné záplaty nasadit okamžitě, nabízí F5 jako možný workaround zablokování přístupu na iControl REST či úpravu httpd konfigurace.

Mustang Panda najíždí na Evropu a rozborka Lazara

Bezpečnostní tým Cisco Talos vydal na svém blogu příspěvek podrobně se věnující čínské hackerské skupině Mustang Panda (též vystupující jako RedDelta či Bronze President). Skupina je známá útoky na vládní a katolické organizace i think-tanky po celém světě a její aktivita se datuje od roku 2012.

Jako hlavní způsob prvotního nakažení systému využívá phishingových kampaní, během kterých zasílá obětem dokumenty týkající se aktuální tématiky (například válečného stavu, pandemie apod.). Dokumenty obsahují škodlivé DLL, které se následně postará o nasazení remote access trojana. Celý řetězec infekce je k dispozici v původním článku.

Dalším zajímavým rozborem je práce expertů firmy NCC Group a věnuje se nechvalně proslulé skupině Lazarus.

Severokorejší Lazaři se pro získání přístupu spoléhájí primárně na sociální inženýrství, v rozboru autoři popisují kampaň, při které se útočníci vydávali za náboráře leteckého giganta Lockheed Martin a obětem, které se jim na LinkedIn hlásily na vymyšlenou pracovní nabídku, zasílali dokumenty či podvržená URL.

Kritické zranitelnosti ve switchích Aruba a Avaya

Portál The Register vydal článek o zranitelnostech z rodiny TLStorm 2.0, které postihují (pravděpodobně nejen) přepínače od společností Aruba a Avaya. Zranitelnosti umožňující útočníkům vzdálené spuštění škodlivého kódu postihují níže sepsané řady produktů.

  • Aruba 5400R,
  • Aruba 3810,
  • Aruba 2920,
  • Aruba 2930F,
  • Aruba 2930M,
  • Aruba 2530,
  • Aruba 2540,
  • Avaya ERS3500,
  • Avaya ERS3600,
  • Avaya ERS4900 a
  • Avaya ERS5900

Command injection zranitelnost v OpenSSL

Zranitelnost, která získala označení CVE-2022–1292, se vyskytuje ve skriptu c_rehash OpenSSL. Skript díky nedostatečné sanitaci umožňuje útok typu command injection. Chyba postihuje OpenSSL verzí 1.0.2, 1.1.1 a 3.0 a v samotném oznámení je připomenuto, že užívání zmíněného skriptu je považováno za zastaralou techniku, kterou nahradil OpenSSL rehash nástroj.

Cybersecurity Supply Chain Risk Management

NIST (National Institute of Standards and Technology) vydal dokument, který si bere za cíl řízení rizik dodavatelského řetězce v oblasti kybernetické bezpečnosti. Důvodem publikace je pravděpodobně zvyšující se zájmem o zneužívání tohoto vektoru útočníky.

Cloud 22 temata

Direktiva vybízí organizace k zamyšlení se nad změnou přístupu k zranitelnostem a připomíná, že produkt je často složen z řady komponent, jejichž kontrola může být ze strany „zákaznické“ organizace opomenuta či přehlížena, čehož hacker může využít (a využívá).

Ve zkratce

Pro pobavení

https://twitter.com/_workchronicles/status/1512712779886743556

https://twitter.com/_workchro­nicles/status/1512712779886743556

Autor: Work Chronicles

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu ALEF-CSIRT a bezpečnostního experta Jana Kopřivy. Více o seriálu…

Autor článku

CESNET-CERTS je oficiální jméno bezpečnostního týmu sdružení CESNET, z. s. p. o. od ledna roku 2004. Jeho součástí je také Forenzní laboratoř FLAB. Články tvoří společně jednotliví členové týmu.