Postřehy z bezpečnosti: FortiGate pod palbou

13. 9. 2021

Doba čtení: 3 minuty

Líbí se vám článek?
Podpořte redakci

Autor: Fortinet

Dnes postřehneme zranitelnou VPN od Fortinetu, návrat starých a příchod nových známých, vykradené OSN i nového člena advisory boardu ProtonMailu. V rychlosti pak nové zranitelnosti Microsoft nástrojů či zamyšlení nad biometrickými údaji.

FortiGate pod palbou

Fortinet na svých stránkách vydal v minulém týdnu varování o vyzrazených přístupových údajích k 87 tisícům zařízení FortiGate SSL-VPN. Jednalo se o zařízení, která nebyla správně záplatována na již delší dobu známou zranitelnost popsanou v CVE-2018–13379. Nestačilo totiž pouze instalovat záplatu, ale i resetovat samotná hesla.

Portál BleepingComputer zároveň v minulém týdnu informoval o zveřejnění těchto údajů (na 500 tisíc účtů) na hackerském fóru RAMP. Jejich zdroje ovšem potvrzují pravost pouze u části, a to té menší. Většina údajů prý funkční není. Důvodem zveřejnění je pravděpodobně snaha o zviditelnění fóra RAMP a operací skupiny Groove.

Fortinet vyzývá k upgradu na aktuálně nejnovější verze (FortiOS 5.4.13, 5.6.14, 6.0.11, nebo 6.2.8 a vyšší) pro původně zranitelné systémy. Bezpečnostní výzkumník přezdívající se Cypher zároveň zveřejnil seznam IP adres zařízení, k nimž byly ukradené informace zveřejněny.

Ruská S.O.V.A a REvil revived

Nový trojan S.O.V.A specializující se na bankovní aplikace představil server The Hacker News. Cílem jsou primárně aplikace bank, krypto peněženky či aplikace pro zařizování nákupů, které pocházejí z USA a Španělska. Trojan umí způsobit uživateli celou řadu nepříjemností, registrovány jsou overlay attack, logování stisku kláves, schování upozornění či změnění obsahu clipboardu (například pro zadání jiných adres krypto peněženek).

Server therecord.media pak informoval o možném návratu ransomeware skupiny REvil, která stála mimo jiné za útoky na společnost Kaseya. Tento útok je však zviditelnil natolik, že se raději stáhli do ústraní. Přispělo k tomu pravděpodobně i vyjádření Bílého domu, který oznámil zájem o dopadení této skupiny. Během minulého týdne však znovu ožil (po téměř dvou měsících) server Happy Blog, na němž skupina zveřejňovala názvy a jména obětí, které odmítaly spolupracovat. Současně byl znovu aktivován i jejich platební portál, zatím ovšem nejsou dostupné informace o žádných nových útocích či obětech.

ProtonMail: nový člen boardu

Po skandálu ProtonMailu, o němž informoval Root již v minulém týdnu, přichází další novinka. Do „advisory boardu“ nastupil vynálezce World Wide Webu, sir Tim Berners-Lee. Sám Bernes-Lee svůj nástup okomentoval slovy: I’m delighted to join Proton’s advisory board and support Proton on their journey I am a firm supporter of privacy, and Proton’s values to give people control of their data are closely aligned to my vision of the web at its full potential.

V rámci komunity tento příchod vyvolal řadu otázek i nadějí, zejména z výše zmíněných důvodů. CEO ProtonMailu Andy Yen však připomněl, že jako švýcarská firma musí dodržovat švýcarské zákony, a avizoval další změny pravidel a podmínek služeb zmíněných na webu společnosti. Za současnou „nejasnou“ podobu se zároveň omluvil.

Krádež v OSN

Výzkumníci společnosti Resecurity informovali o krádeži dat Organizace spojených národů. První přístup do systémů datují k 5. dubnu tohoto roku s tím, že toto narušení trvalo až do 7. dubna. Zdá se, že útočníci byli motivováni zejména špionáží.

Samotný útok dle vyšetřování zatím vypadá jako ne příliš sofistikovaný. Zdá se, že se útočníci dostali k přístupovým údajům z dark webu. Ty pak úspěšně aplikovali na proprietární sytém zvaný Umoja (project management systém).

Informace o útoku i jeho dataci potvrdil mluvčí OSN. Zároveň připomněl, že je tato organizace častým cílem kyber útoků.

Ve zkratce

CISA (US-CERT) informuje o zranitelnosti WordPress verzí 3.7 až 5.7.1 a doporučuje postupovat dle pokynu WordPress 5.7.2 Security Release.
Grayfly: nově objevený Sidewalk Malware.
Kritická zranitelnost Microsoft Exchange.
Zveřejnění osobních údajů z 8700 žádostí o francouzská víza.
Yandex stojí proti největšímu DDOS útoku v ruské historii.
Zamyšlení Troye Hunta na téma ověřování biometrickými údaji.

Pro pobavení

Work Chronicles: Adding more people to a project

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

Seriál: Postřehy z bezpečnosti

Postřehy z bezpečnosti: jak útočníci vydělávají na konektivitě
Postřehy z bezpečnosti: FortiGate pod palbou
Postřehy z bezpečnosti: zkuste to bez hesel, milý Marconi!

Přečtěte si všechny díly seriálu Postřehy z bezpečnosti nebo sledujte jeho RSS

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Vstoupit do diskuse

Líbí

Nelíbí

CESNET CERTS

CESNET-CERTS je oficiální jméno bezpečnostního týmu sdružení CESNET, z. s. p. o. od ledna roku 2004. Jeho součástí je také Forenzní laboratoř FLAB. Články tvoří společně jednotliví členové týmu.

Sdílet