Hlavní navigace

Postřehy z bezpečnosti: kočky nemají rády Cisco

CESNET CERTS

V dnešním díle postřehů z bezpečnosti se podíváme, proč kočky nemají rády Cisco, na 0-day zranitelnost v populárním kecálku WhatsApp, posvítíme si na Stack Overflow a na skupinu za bankovním malware GozNym.

Doba čtení: 3 minuty

Sdílet

Na miliony zařízení Cisco lze nainstalovat persistentní backdoor

Velmi závažná zranitelnost byla objevena v zařízeních značky Cisco, která umožňuje potenciálním útočníkům nainstalovat do zařízení persistentní backdoor. Ohroženo je široké spektrum zařízení jako jsou routery, switche nebo firewally. Zranitelnost byla nazvána Thrangrycat (CVE-2019–1649) a dle výzkumníků z Red Balloon postihuje všechna zařízení Cisco s podporou Trust Anchor Module (TAm). TAm je hardwarová funkcionalita secure boot nacházející se na téměř všech zařízeních vyrobených po roce 2013, která zajišťuje, že firmware je autentický a nemodifikovaný.

Výzkumníci nalezli sérii hardwarových chyb a nedokonalostí, které potenciálnímu autentizovanému útočníkovi umožňují provést trvalou úpravu TAm modifikací FPGA bitstreamu a následně zavést škodlivý bootloader. Pro zneužití této chyby jsou nutná oprávnění uživatele root a lokální přístup, nicméně zřetězením této chyby s dalšími zranitelnostmi lze tento typ útoku provést i vzdáleně. Jako demonstraci zveřejnili výzkumníci další zranitelnost s CVE-2019–1862 , která se nachází ve webovém rozhraní k operačnímo systému IOS a umožňuje přihlášenému administrátorovi spustit libovolný kód v Linux shellu daného zařízení a s využitím Thrangrycat zranitelnosti nainstalovat persistentní backdoor.

0-day zranitelnost ve WhatsApp umožňovala instalaci spyware

Ve velmi populární komunikační aplikaci WhatsApp se nacházela nedávno opravená 0-day zranitelnost, která umožňovala instalaci spyware na cílové zařízení prostým zavoláním pomocí WhatsApp audio call. Zranitelnost byla objevena a poté prodána Izraelskou společností NSO Group, která produkuje v tuto chvíli asi nejpokročilejší spyware pro mobilní platformu. Zmiňovaný WhatsApp exploit byl v tomto případě použit k instalaci spyware Pegasus. 

Zranitelnost dostala označení CVE-2019–3568 a podle všeho se jedná o zranitelnost typu buffer overflow ve WhatsApp VoIP stacku, která ve výsledku umožňuje spuštění libovolného kódu na cílovém zařízení pomocí speciálně vytvořeného SRTCP paketu. Zdá se, že ji lze zneužít i v případě, že hovor není protistranou přijat a aby se vyhnul odhalení, tak malware navíc smaže i informaci o nepřijatém hovoru ze seznamu hovorů.

Spyware Pegasus pak umožňuje útočníkům přistupovat k obdivuhodnému množství informací na cílovém zařízení včetně zpráv, kontaktů, polohy, mikrofonu, kamery, a to vše bez vědomí oběti.

Hacker získal neoprávněný přístup do Stack Overflow

Zástupci Stack Overflow, jedné z největších QaA stránek pro programátory, nedávno odhalili, že se neznámému hackerovi nebo hackerům povedlo získat neoprávněný přístup k jejich produkčním systémům. K celé věci prozatím nebylo zveřejněno mnoho informací, nicméně se zdá, že nedošlo k neoprávněnému přístupu k uživatelským datům zákazníků. Z pochopitelných důvodů zatím provozovatelé provádějí interní vyšetřování a opravy chyb a více informací slíbili poskytnout po jejich dokončení.

Skupina za bankovním malware GozNym dopadena

Společné úsilí mnoha bezpečnostních agentur ze šesti států nedávno vedlo k rozbití a dopadení organizované skupiny stojící za bankovním malware GozNym. Tento malware byl zodpovědný za krádeže v hodnotě téměř 100 milionů dolarů od 41 tisíc obětí celosvětově. GozNym vznikl spojením dvou známých trojanů Gozi ISFB a Nymaim. Členové skupiny pocházeli např. z Ukrajiny, Moldavska a Ruska.

Ve zkratce

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…