Apple pod drobnohledem
V nedávné době se hledáček veřejnosti zaměřil na společnost Apple, a to ve spojitosti s ochranou osobních údajů. Po zpřístupnění beta verze iOSu 17.5 začali uživatelé nacházet ve svých mobilních zařízeních značky Apple fotografie smazané nejen před měsíci, ale i roky. Jeden z uživatelů např. nahlásil, že se mu v iCloudu neustále objevují fotografie z roku 2010 na posledním místě jakožto nejnovější obrázky, a to i přes fakt, že dané fotografie několikrát smazal. Jiný uživatel popsal podobnou situaci, avšak s fotografií z roku 2022. Jelikož daná média dozajista nespadají do časového období posledních 30 dní, kdy Apple udržuje smazané fotografie, šířila se informace o možném porušování soukromí společností Apple poměrně rychle.
Ačkoliv veřejnost označila možnost obnovení dávno smazaných fotografií jako alarmující pochybení, společnost Apple se k pravé příčině nevyjádřila. Mlčení na straně společnosti tak mohlo mít do jisté míry negativní dopad na fanoušky produktů značky Apple, kteří si jejich produkty volí právě na základě dosavadního přístupu k ochraně soukromí uživatelů.
Částečné vysvětlení poskytli ke konci minulého týdne analytici ze společnosti SynacktivTi s pomocí analýzy nedávného iOS updatu 17.5.1, jenž měl adresovat předmětnou chybu, zjistili, že obnovování dávno smazaných médií nebylo způsobeno na straně iCloudu, nýbrž samotného iOSu. Kód výše uvedeného updatu prozradil, že byla změněna rutina ve funkci zodpovědné za skenování a opětovný import médií ze souborového systému. Ta způsobovala, že byly znova zaindexovány staré soubory v místním souborovém systému a přidány do galerie uživatelů. Znovu-objevující se média tedy nebyla ukládána na iCloud, nýbrž držena v paměti samotných telefonních zařízení. Tento fakt může sloužit jako malá připomínka, že smazané soubory mohou zůstat v paměti zařízení, dokud nebudou nahrazeny novými daty.
V souvislosti s výše uvedenou situací a novými poznatky od analytiků ze Synacktiv byla společnost Apple několikrát požádána o vyjádření redaktory z internetového deníku BleepingComputer. Jejich dotazy ovšem zůstávají bez odpovědi.
Google opravuje další zranitelnosti v prohlížeči Chrome
Google nedávno vydal aktualizaci Chrome 125, která opravuje šest zranitelností, z nichž čtyři mají vysokou závažnost.
První z těchto závažných zranitelností je „use-after-free“ chyba ve „Scheduling“ komponentě označená jako CVE-2024–5157, kterou objevil LoobenYang, jenž získal odměnu 11 000 USD. Zranitelnost typu „use after free“ nastává, když program nadále používá paměť, která byla již uvolněna. To může vést k nečekanému chování, jako je pád programu nebo spuštění škodlivého kódu.
Další zranitelností je „type confusion“ v javascriptovémenginu V8 (CVE-2024–5158), za kterou ZhenghangXiao obdržel 10 000 USD. Zranitelnost typu „type confusion“ nastává, když program považuje určitá data za jiný typ, než jaký skutečně mají. To může vést k nesprávnému zpracování dat a otevřít cestu k útokům, při kterých útočníci mohou spustit škodlivý kód.
Aktualizace také řeší dvě zranitelnosti „heap overflow“ v grafických subsystémech ANGLE (CVE-2024–5159) a Dawn (CVE-2024–5160). Aktualizace verze 125.0.6422.76 pro Linux a 125.0.6422.76/.77 pro Windows a macOS je nyní dostupná a uživatelům se doporučuje okamžitě aktualizovat své prohlížeče. Google nezmínil žádné známé zneužití těchto zranitelností v praxi.
Ivanti vydává varování a záplaty svých klíčových produktů
Společnost Ivanti, která se zabývá vývojem a výrobou korporátních produktů určených k zabezpečení a správě firemního prostředí, vydala souhrnný balík oprav pro měsíc květen spojený s varováním před nově zjištěnou sadou zranitelností, která těmto opravám předcházela.
Tento balík řeší chyby v produktech řady Avalanche, Neuronsfor ITSM, ConnectSecure, Secure Access a Endpoint Manager. A právě Ivanti Endpoint Manager (EPM) je aktuálně zatížen nejvyšším rizikem, co se počtu i závažnosti chyb týká.
Všech deset nově uveřejněných zranitelností v Ivanti EPM vychází z chyby spočívající v nedostatečné sanitarizaci vstupních hodnot, která se dá za určitých podmínek zneužít k útoku typu SQL Injection (SQLi), přičemž se vztahují na Ivanti EPM verze 2022 SU5 a všech předchozích.
V případě šesti z nich (CVE-2024–29822 vzestupně až k CVE-2024–29827) získá po úspěšném zneužití neautentizovaný útočník možnost v rámci lokální sítě spustit vzdáleně libovolný kód na postiženém zařízení, a jejich závažnost byla vyčíslena na 9.6 bodů CVSS skóre (verze 3.1).
Zbývající čtyři (CVE-2024–29828, CVE-2024–29829, CVE-2024–29830 a CVE-2024–29846) jsou zaviněny stejným druhem chyby, technika vedoucí k jejich zneužití je rovněž shodná (SQLi), nicméně k úspěšnému zneužití musí být útočník autentizován, navíc pod zvýšeným oprávněním. Důsledkem je pak, stejně jako v předešlém případě, vzdálené spuštění libovolného kódu na postiženém zařízení. Závažnost těchto zranitelností byla vyčíslena na 8.4 bodů CVSS skóre (verze 3.1).
Tím však výčet zranitelností v produktech Ivanti zdaleka nekončí. Opravné balíčky pro další produktové řady Avalanche , Neurons for ITSM, Connect Secure a Secure Access řeší pěknou řádku (byť již ne tak obsáhlou) závažných zranitelností v širokém spektru možností jejich zneužití i finálních dopadů.
Společnost Ivanti zdůraznila, že zmíněné chyby a z nich vyplývající zranitelnosti nebyly do kódu jejich produktů vpraveny cíleně (tedy v rámci útoku na dodavatelský řetězec – supply chain attack), a zároveň není aktuálně informována o případech aktivního zneužití těchto chyb v praxi.
Závěrem je vhodné zmínit, že v minulosti již zranitelnosti v produktech Ivanti napáchaly mnoho špatného a byly opakovaně zařazeny do katalogu aktivně zneužívaných zranitelností (KEV – Known Exploited Vulnerabilities) agentury CISA. Důrazné doporučení k urychlené instalaci oprav je tedy na místě.
Konec blokace útočníků podle jejich IP adres?
Patrně nastává doba, kdy už nebude příliš účinné blokovat síťové útoky na základě zdrojových IP adres, ze kterých přicházejí. Podle závěrů studie společnosti Mandiant lze pozorovat významný nárůst v používání tzv. ORB sítí („Operational Relay Box network“) škodlivými aktéry, zejména v Číně. Jak uvádí výzkumník Mandiantu Michael Raggi, za použití ORB sítí vzniká něco jako „bludiště, které se stále proměňuje, a jehož vchod i východ je každých 60–90 dní úplně jinde“. Jde podle něj o jednu z nejvýznamnějších inovací na čínské scéně za poslední roky.
Infrastrukturu tvoří dva základní druhy komponent. Jde o komerčně pronajaté a provozované virtuální servery nebo o kompromitovaná zařízení jako SOHO routery, IoT zařízení, apod. Typickými prvky ORB sítí jsou:
- servery pro správu celé sítě, umístěné v Číně
- VPS servery, v Číně nebo Hong Kongu, odkud útočníci generují svůj provoz
- transportní body, globálně rozmístěné po světě, přes které je provoz distribuován k cíli
- výstupní body, opět po celém světě
Počty transportních a výstupních bodů sledovaných ORB sítí se odhadují ve stovkách tisíc. Tyto sítě tak tvoří efektivní překážku např. snahám o dopátrání se původců škodlivého provozu. V neposlední řadě ale, díky své globální distribuci, také obcházejí běžné IP geolokační mechanismy a ochrany. V provozu ze stejné země, či jinak definovaného domácího regionu, kde sídlí cíl útoku, se škodlivý provoz lépe „schová“, a nezřídka je považován i za méně rizikový než ten, který přichází ze „zahraničí“.
Za zdaleka nejdůležitější rys však výzkumníci považují dynamickou povahu sítě. V řádu měsíců dochází k „recyklaci“ použitých IP adres v roli zejména výstupních bodů. V takovéto situaci se IP adresy nadále nemohou použít jako tzv. indikátory kompromitace („IoC“). Na IP detekovanou jako útočící je tedy potřeba hledět tak, že je zdrojem tohoto útoku jen v tomto čase. Napříště může být použita ve zcela jiné kampani, nebo jindy naopak zcela beze známek jakékoli škodlivé aktivity.
Že nejde jen o planou teorii, ukazují známé příklady použití ORB sítí, např. ORB2 „Florahox“ – hybridní ORB sítě využívající mj. směrovače výrobců Cisco a Asus, a v minulosti zneužitá čínskou vládou podporovanou skupinou APT31 Zirconium, nebo ORB3 „Spacehop“ – skupinou APT5 užitá během útoků na zranitelnosti v produktech CitrixADC a Gateway.
Až dosud bylo používání IP access listů, geolokačních pravidel a firewallů podstatným a používaným prvkem zabezpečení. Nyní však čelíme sítím stovek tisíc stále se měnících IP adres, a je nutné to vzít v potaz. Místo IP adres tak bude užitečné se zaměřit na jiné, společné rysy škodlivého provozu, jako jsou např. kombinace použitých portů, nebo obsah SSL a SSH certifikátů.
Ve zkratce
- Další zero-day v prohlížeči Chrome
- Vážná chyba v GitLabu umožňuje útočníkům převzít účty
- Veeam tvrdí, že kritickou chybu nelze zneužít k likvidaci záloh
- GitHub opravuje chybu obcházení autentizace s maximální závažností v Enterprise Serveru (CVE-2024–4985)
- Odborníci zveřejnili ukázkový exploit kód pro vzdálené spuštění kódu (RCE) v QNAP QTS
Pro pobavení
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
