Postřehy z bezpečnosti: konec platnosti certifikátu, backdoory a další botnet

Neplatný certifikát může omezit Firefox

Vývojář prohlížeče Mozilla vyzývá uživatele k aktualizaci své instance Firefoxu na nejnovější verzi, aby předešli problémům s používáním rozšíření kvůli vypršení platnosti kořenového certifikátu.

V pátek 14. března 2025 vypršela platnost kořenového certifikátu, který se používá k ověřování podepsaného obsahu a rozšíření pro různé projekty Mozilly, včetně Firefoxu. Bez aktualizace na Firefox verze 128 nebo novější (nebo ESR 115.13+ pro uživatele ESR, včetně Windows 7/8/8.1 a macOS 10.12–10.14) může toto vypršení způsobit zásadní problémy s rozšířeními, ověřováním podepsaného obsahu a přehráváním médií chráněných DRM.

Mozilla uvedla, že nejnovější verze Firefoxu obsahuje nový kořenový certifikát, který zabrání těmto problémům. Aktualizace je nezbytná pro všechny uživatele Firefoxu běžícího na verzích starších než 128 nebo Extended Support Release (ESR) verzích starších než 115.13, které byly vydány 9. července 2024. To zahrnuje všechny verze Firefoxu pro Windows, macOS, Linux a Android.

Kořenové certifikáty slouží k ověření certifikační autority (CA), což je důvěryhodná entita zajišťující autenticitu webových stránek, rozšíření a softwarových aktualizací. V tomto případě se certifikát používá k ověření, že rozšíření bylo schváleno Mozillou. Pokud digitální certifikát vyprší, systémy, které na něm závisejí, již nemohou zaručit autenticitu a integritu, což může vést k nefunkčnosti některých funkcí, jako jsou právě rozšíření, upozornění na uniklá hesla nebo bezpečné přehrávání médií.

Pokud aktualizace nebude provedena před stanoveným termínem, hrozí také zastarávání blocklistů používaných k identifikaci škodlivých rozšíření a seznamů odvolaných TLS certifikátů, což může zvýšit riziko bezpečnostních hrozeb pro uživatele. I když je možné používat Firefox bez aktualizace, můžete narazit na problémy, jako je deaktivace rozšíření, potíže s DRM médii a další výpadky, dodala Mozilla. Přeskakování aktualizace také znamená ztrátu důležitých bezpečnostních oprav a vylepšení výkonu.

Uživatelům se důrazně doporučuje ověřit, zda používají Firefox verze 128 nebo novější, a to přechodem do Menu → Nastavení → O aplikaci Firefox. Uživatelé iOS a iPadOS nejsou touto změnou ovlivněni. 

Čínští hackeři prolomili routery Juniper Networks

Kyberšpionážní skupina napojená na Čínu, sledovaná jako UNC3886, byla pozorována při útocích na end-of-life routery řady MX od Juniper Networks v rámci kampaně zaměřené na nasazení vlastních backdoorů.

Backdoory měly různé vlastní schopnosti, včetně aktivních a pasivních funkcí, stejně jako zabudovaný skript, který deaktivuje logovací mechanismy na cílovém zařízení, uvedla společnost Mandiant ve zprávě sdílené s The Hacker News. Mandiant popsal tuto aktivitu jako evoluci metodiky útočníků, kteří v minulosti využívali zero-day zranitelnosti ve Fortinet, Ivanti a VMware za účelem prolomení zájmových sítí a získání trvalého vzdáleného přístupu.

Poprvé byla tato hackerská skupina zdokumentována v září 2022 a je považována za vysoce zkušenou. Dokáže cílit na okrajová zařízení a virtualizační technologie s cílem proniknout do organizací v obranném, technologickém a telekomunikačním sektoru ve Spojených státech a Asii. Tyto útoky typicky využívají skutečnosti, že zařízení na síťovém perimetru postrádají monitoring a detekční mechanismy, což útočníkům umožňuje operovat nepozorovaně a bez podezření. Kompromitace směrovacích zařízení je nedávným trendem v taktikách kyberšpionážních aktérů, protože jim poskytuje dlouhodobý a vysoce privilegovaný přístup ke kritické síťové infrastruktuře a potenciálně umožňuje destruktivnější akce v budoucnosti, uvedla společnost Mandiant.

Nejnovější aktivita zaznamenaná v polovině roku 2024 zahrnuje nasazení implantátů založených na TinyShell, což je C-based backdoor dříve využívaný čínskými hackerskými skupinami, jako jsou Liminal Panda a Velvet Ant. Skupiny jako Velvet Ant a Liminal Panda mohou preferovat TinyShell pro útoky na linuxové systémy kvůli jeho kompatibilitě, uvedl Austin Larsen, hlavní analytik ve Google Threat Intelligence Group. Jako open-source nástroj nabízí výhody v podobě nulových nákladů, menší potřeby vývoje vlastního malwaru a zároveň ztěžuje přisouzení útoku konkrétní skupině. Jeho přizpůsobitelnost navíc útočníkům umožňuje přidat specifické funkce podle cílového zařízení, což je praktičtější a méně nápadné než komplexnější RATy, jako jsou PlugX a ShadowPad.

Společnost Mandiant identifikovala šest různých backdoorů založených na TinyShell, z nichž každý má unikátní schopnosti: 

• appid (A Poorly Plagiarized Implant Daemon) – podpora file upload/download, interactive shell, SOCKS proxy a změn konfigurace (např. C2 server, číslo portu, síťové rozhraní atd.),
• to (TooObvious) – stejná funkcionalita jako appid, ale s jiným hard-coded seznamem C2 serverů,
• irad (Internet Remote Access Daemon) – pasivní backdoor, který funguje jako packet sniffer založený na  libpcap, extrahující příkazy k provedení ze ICMP paketů,
• lmpad (Local Memory Patching Attack Daemon) – nástroj a pasivní backdoor schopný spustit externí skript k injektování kódu do legitimních procesů Junos OS a zastavit logování,
• jdosd (Junos Denial of Service Daemon) – UDP backdoor s funkcemi přenosu souborů a vzdáleného shellu,
• oemd (Obscure Enigmatic Malware Daemon) – pasivní backdoor komunikující s C2 serverem přes TCP a podporující standardní TinyShell příkazy pro file upload/download a provádění příkazů přes shell.

Útočníci se také zaměřili na obcházení Junos OS Verified Exec ( veriexec), což je bezpečnostní mechanismus bránící spuštění neověřeného kódu. Toho dosáhli získáním privilegovaného přístupu k routeru z terminálového serveru používaného pro správu síťových zařízení pomocí legitimních přihlašovacích údajů. Zvýšená oprávnění byla následně využita k injektování malwaru do paměti legitimního cat procesu, což vedlo k aktivaci lmpad backdooru, i když byl veriexec zapnutý. „Hlavním účelem tohoto malwaru je zakázat veškeré možné logování předtím, než se operátor připojí k routeru a provede manuální činnosti, a později po odpojení operátora logování obnovit,“ poznamenala společnost Mandiant.

Mezi další nástroje, které UNC3886 nasadila, patří rootkity jako Reptile a Medusa, PITHOOK pro hijacking SSH autentizací a zachytávání SSH přihlašovacích údajů, a GHOSTTOWN pro anti-forenzní operace. Tento vývoj přichází jen měsíc po odhalení kampaně J-magic společností Lumen Black Lotus Labs, která upozornila na nasazení vlastního backdooru na podnikových routerech Juniper Networks, konkrétně variantu známého backdooru  cd00r. 

Podle Larsena je tato aktivita přisuzována jiné hrozbě, označené jako UNC4841, a nejsou žádné důkazy naznačující, že by UNC4841 byla zapojena do útoků na end-of-life routery Juniper Networks. „I když některé malware rodiny, které UNC3886 historicky nasazovala, vykazují podobné charakteristiky jako ty, které nasadila UNC4841, sdílení infrastruktury a technik mezi čínskými kyberšpionážními skupinami není nic neobvyklého,“ dodal Larsen. 

V koordinovaném bezpečnostním oznámení společnost Juniper Networks uvedla, že v červenci 2024 zahájila projekt označený RedPenguin s cílem prošetřit infekce zaměřené na routery řady MX. Zjistila, že alespoň jedna bezpečnostní zranitelnost přispěla k úspěšnému útoku, který útočníkům umožnil spustit malware i na routerech chráněných veriexec. Předmětná zranitelnost je označena jako CVE-2025–21590 (CVSS v4 skóre: 6,7).

Zranitelnost nesprávné izolace nebo compartmentalizace v jádře operačního systému Juniper Networks Junos OS umožňuje lokálnímu útočníkovi s vysokými oprávněními narušit integritu zařízení, uvedla společnost Juniper ve svém oznámení. Tento útočník s přístupem k shellu je schopen injektovat libovolný kód, čímž může kompromitovat napadené zařízení.

Tato zranitelnost byla opravena v následujících verzích Junos OS: 21.2R3-S9, 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 23.4R2-S4, 24.2R1-S2, 24.2R2 a 24.4R1.

Organizacím se doporučuje aktualizovat zařízení Juniper na nejnovější verze vydané společností Juniper Networks, které obsahují zmírňující opatření a aktualizované signatury pro nástroj Juniper Malware Removal Tool (JMRT). Výrobce síťových zařízení také popsal nástroje jdosd a irad jako sady nástrojů pro vzdálený přístup, lmpad jako sadu pro lokální přístup speciálně navrženou k napadení zařízení s Junos OS a appid, to a oemd jako RATy (Remote Access Trojany) založené na TinyShell. Všechny tyto nástroje mají společný cíl: poskytovat trvalé backdoory na dlouhodobě běžících zařízeních s Junos OS.

Nasazení malwaru na routerech Juniper Networks s Junos OS ukazuje, že skupina UNC3886 má hluboké znalosti o pokročilých interních systémech, uvedli výzkumníci společnosti Mandiant. Navíc UNC3886 stále upřednostňuje utajení svých operací prostřednictvím využívání pasivních backdoorů spolu s manipulací s logy a forenzními artefakty, což naznačuje zaměření na dlouhodobou perzistenci při minimalizaci rizika odhalení.

Botnet Ballista zneužívá neopravenou zranitelnost v TP-Link

Podle týmu Cato CTRL se neopravené routery TP-Link Archer staly terčem nové botnetové kampaně s názvem Ballista.

Botnet zneužívá zranitelnost umožňující vzdálené spuštění kódu (RCE) v routerech TP-Link Archer ke svému automatickému šíření přes internet, uvedli bezpečnostní výzkumníci Ofek Vardi a Matan Mittelman v technické zprávě sdílené s portálem The Hacker News. Zranitelnost CVE-2023–1389 je vysoce závažná bezpečnostní chyba postihující routery TP-Link Archer AX-21, která umožňuje injektáž příkazů a následně i vzdálené spuštění kódu.

Nejstarší známé důkazy o aktivním zneužívání této chyby pocházejí z dubna 2023, kdy neznámí útočníci využili tuto zranitelnost k nasazení malwaru Mirai botnet. Od té doby byla také zneužívána k šíření dalších rodin malwaru, jako jsou Condi a AndroxGh0st.

Cato CTRL detekoval kampaň Ballista dne 10. ledna 2025 a zatím poslední zaznamenaný pokus o zneužití pochází z 17. února 2025. Útok zahrnuje použití dropperu malwaru, konkrétně shell skriptu s názvem dropbpb.sh, který je navržen tak, aby stáhl a spustil hlavní binární soubor na cílovém systému. Malware je kompatibilní s různými architekturami, včetně mips, mipsel, armv5l, armv7l a  x86_64.

Po spuštění malware vytvoří šifrovaný komunikační kanál (C2) na portu 82, což útočníkům umožní převzít kontrolu nad zařízením. To umožňuje spuštění shellových příkazů pro další útoky RCE a DoS, uvedli výzkumníci. Kromě toho se malware pokouší číst citlivé soubory na lokálním systému.

Mezi podporované příkazy patří:

• flooder – spustí útok DDoS
• exploiter – zneužívá zranitelnost CVE-2023–1389
• start – volitelný parametr, který se používá spolu s exploitorem ke spuštění modulu
• close – ukončí spuštěný modul
• shell – spustí libovolný linuxový příkaz shell na lokálním systému
• killall – k ukončení služby

Malware je navíc schopen ukončit své předchozí instance a vymazat svou stopu při spuštění. Také se snaží šířit do dalších routerů tím, že znovu zneužije zranitelnost.

Použití C2 IP adresy ( 2.237.57[.]70) a přítomnost italských jazykových řetězců v binárních souborech malwaru naznačují, že za kampaní může stát neznámý italský aktér, uvedla společnost. Zdá se však, že malware je stále ve vývoji, protože IP adresa už není aktivní a nová varianta dropperu nyní místo ní používá domény v síti TOR.

Vyhledávání na platformě pro správu attack surface Censys ukazuje, že Ballista cílí na více než 6 000 zařízení. Nejvíce zranitelných zařízení se nachází v Brazílii, Polsku, Velké Británii, Bulharsku a Turecku. Botnet Ballista byl také zjištěn u organizací působících ve výrobním sektoru, zdravotnictví, službách a technologiích v USA, Austrálii, Číně a Mexiku. Přestože tento vzorek malwaru sdílí podobnosti s jinými botnety, stále se liší od běžně používaných botnetů, jako jsou Mirai a Mozi, dodali výzkumníci.

Nový polymorfní útok klonuje rozšíření prohlížeče a krade údaje

Výzkumníci v oblasti kybernetické bezpečnosti prokázali novou techniku, která umožňuje škodlivému rozšíření webového prohlížeče vydávat se za jakýkoliv nainstalovaný doplněk.

Polymorfní rozšíření vytvářejí pixelově dokonalou kopii ikony cíle, vyskakovacího okna HTML, pracovních postupů a dokonce dočasně vypínají legitimní rozšíření, díky čemuž jsou pro oběti velmi přesvědčivé, uvedla společnost SquareX ve zprávě zveřejněné minulý týden. Získané přihlašovací údaje pak mohou aktéři zneužít k únosu online účtů a získání neoprávněného přístupu k citlivým osobním a finančním informacím. Útok se týká všech webových prohlížečů založených na platformě Chromium, včetně prohlížečů Google Chrome, Microsoft Edge, Brave, Opera a dalších.

Přístup využívá skutečnosti, že uživatelé běžně připínají rozšíření na panel nástrojů prohlížeče. V hypotetickém scénáři útoku mohou aktéři publikovat polymorfní rozšíření ve webovém obchodě Chrome (nebo na jakémkoliv jiném trhu s rozšířeními) a maskovat je jako nástroj. Zatímco doplněk poskytuje inzerované funkce, aby nevzbudil žádné podezření, aktivuje škodlivé funkce na pozadí aktivním vyhledáváním přítomnosti webových zdrojů, které korelují s konkrétními cílovými rozšířeními, pomocí techniky zvané web resource hitting.

Jakmile je identifikováno vhodné cílové rozšíření, útok přejde do další fáze, kdy se změní na repliku legitimního rozšíření. Toho je dosaženo změnou ikony podvodného rozšíření tak, aby odpovídala ikoně cílového rozšíření, a dočasným zakázáním skutečného doplňku prostřednictvím rozhraní API chrome.management, což vede k jeho odstranění z panelu nástrojů.

Útok na polymorfní rozšíření je mimořádně silný, protože využívá lidskou tendenci spoléhat se na vizuální podněty jako na potvrzení, uvedla společnost SquareX. V tomto případě se ikony rozšíření na připnuté liště používají k informování uživatelů o nástrojích, se kterými komunikují.

Zjištění přicházejí měsíc poté, co společnost odhalila také další způsob útoku nazvaný Browser Syncjacking, který umožňuje převzít kontrolu nad zařízením oběti pomocí jiného, zdánlivě neškodného rozšíření prohlížeče.

Ve zkratce

• Škodlivé aplikace Adobe a DocuSign OAuth cílí na účty Microsoft 365
• Týdenní výpadek služby Exchange Online způsobuje nefunkčnost a zpoždění e-mailů
• Ransomwarový gang vytvořil nástroj pro automatické útoky na VPN hrubou silou
• Nový ransomware SuperBlack zneužívá chyby v autorizaci společnosti Fortinet
• Severokorejská skupina Lazarus infikovala stovky lidí prostřednictvím npm balíčků
• Apple opravuje zero-day WebKitu zneužívaný při „extrémně sofistikovaných“ útocích

Pro zasmání

Když jsem byl dítě, myslel jsem si, že hackování znamená psát složitý kód jak v Matrixu. Ve skutečnosti stačí posílat staříkům mail „dej mi heslo“ a oni to udělají.

Autor: RockNRollCool69

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…