Hlavní navigace

Postřehy z bezpečnosti: kritická chyba umožňovala špehování milionů IoT zařízení

23. 8. 2021
Doba čtení: 3 minuty

Sdílet

 Autor: Depositphotos
Dnes se podíváme na zranitelnost v SDK ThroughTek, na nedostatečnou ochranu nemocnic proti ransomware, povíme si o smishingu cílícím na přepravní společnosti a o špatné implementaci HTTP/2.

Několik verzí SDK ThroughTek Kalay P2P obsahuje zranitelnost, která může být zneužita vzdáleným útočníkem k převzetí kontroly nad postiženým zařízením a potenciálně vést až ke vzdálenému spuštění kódu.

Samotná platforma Kalay je P2P technologie, která umožňuje IP kamerám, dětským chůvičkám a dalším dohledovým zařízením s přenosem videa přes Internet provádět s nízkou latencí bezpečný přenos velkých video a audio souborů. Úspěšné zneužití zranitelnosti, které spočívalo v několika krocích (krádeži UID napadeného zařízení, registraci do platformy a následném odchycení přihlašovacích údajů z přesměrovaného provozu klienta) tak umožňovalo získat přístup k audiu a videu.

Nedostatečná ochrana amerických nemocnic

Podle nové studie společností Philips a CyberMDX byla téměř polovina (48 %) amerických nemocnic za posledních šest měsíců odpojena od své sítě kvůli ransomwaru. Podle informací docházelo k vypínání sítě jednat z proaktivních důvodů, aby se zabránilo narušení sítě, ale také kvůli nakažení sítě malwarem.

Podle výzkumu mohlo k napadení dojít z důvodů nedostatečné zkušenosti IT pracovníků a nedostatečného financování v oblasti kybernetické bezpečnosti. Pouze 11 % dotazovaných respondentů uvedlo, že oblast kybernetické bezpečnosti je velice dobře financována, téměř polovina potom uvedla, že mají nedostatečnou úroveň financování kybernetické bezpečnosti, ale také nedostatečně proškolené pracovníky.

HTTP/2 zranitelnosti na DEFCON29

Na letošní konferenci DEFCON měl James Kettle přednášku o zranitelnostech týkajících se protokolu HTTP/2. Jednalo se o útoky mířící na špatnou implementaci HTTP/2 především v load balancerech, webových firewallech (WAF) a CDNs. Právě při přechodu z load balancerů a WAF na cílový server docházelo například k překladu HTTP/2 požadavků (od klienta) na HTTP 1.1 požadavky mířené na server.

Vlivem špatné implementace tak dokázal například zaslat požadavek (HTTP Request), který byl následně proveden v kontextu jiného uživatele. Tento typ útoku se označuje jako request smuggling. Spolu s dalšími nalezenými, popsanými a nahlášenými zranitelnostmi tak vyinkasoval 56 000 dolarů na bug bounty programech.

Smishing cílí na přepravní společnosti

Z dat společnosti Proofpoint vyplývá, že v případě zasílání podvodných SMS zpráv označujících se také jako „smishing“, se útočník nejčastěji vydávají za přepravní společnosti. Během července letošního roku se dvě třetiny nevyžádaných SMS zpráv vydávaly za přepravní společnosti.

Ve 22 % případů se pak útočníci tvářili jako finanční instituce a banky. Důvodem nárůstu takového typu útoku může být i aktuální situace, kdy spousta lidí začala nakupovat online a stále více lidí využívá služeb přepravních společností.

T-Mobile US neuhlídal data zákazníků

Společnost T-Mobile v USA varovala zákazníky kvůli úniku dat, při kterém se dostala ven jména, data narození, čísla sociálního pojištěné a informace o řidičských průkazech 40 milionů bývalých, současných a potenciálních zákazníků. Varování se objevilo poté, co byly miliony ukradených dat zákazníků společnosti nabídnuty k prodeji na hackerských fórech.

Blesková bezpečnost

Bezpečnost informací nezahrnuje pouze útoky lidské, ale i přírodní. Možná by málo koho napadlo, že vaše data může ohrozit blesk. Své o tom ví obyvatelé Floridy, jež vykazuje největší výskyt blesků ve Spojených státech. Elektronika výzkumníka Ullricha ze SANS institutu byla poškozena bleskem hned dvakrát.

Tip do článku - root - cybersecurity

Druhý pokus blesku o infiltraci sítě nahrála jeho domovní kamera a on sám v krátkém resumé píše, jak si jeho domácnost poradila s přepětím. Zvláště si pochvaloval optiku jako takovou, neboť její vlákna nejsou vodivá, což mu dost možná zachránilo jeho hlavní pracovní stanici.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.