Hlavní navigace

Postřehy z bezpečnosti: matka všech úniků má 25 miliard záznamů

29. 1. 2024
Doba čtení: 5 minut

Sdílet

 Autor: Depositphotos
V dnešních postřezích se podíváme na masivní zdroj uniklých dat, kybernetický útok na část Roskosmosu, kritiku NSA ze strany amerického senátu, zranitelnosti Jenkins a soutěž Pwn2Own týkající se elektrických aut.

MOAB: Mother of all Breaches

Bezpečnostní výzkumníci objevili rozsáhlý zdroj uniklých dat s více než 25 miliardami odhalených záznamů. Příznačně tento objev pojmenovali MOAB, tedy „Mother of all breaches“. Na rozdíl od typických ojedinělých narušení dat se zdá, že tento rozsáhlý dataset je kompilací z několika různých narušení bezpečnosti.

Objevená databáze má velikost 12 TB, obsahuje více než 3 800 složek, z nichž každá obsahuje záznamy z jednotlivých narušení dat. V tomto seznamu jsou zahrnuty významné značky a subjekty, jako je Twitter/X (281 milionů záznamů), LinkedIn (251 milionů záznamů), Evite (179 milionů záznamů) a Adobe (153 milionů záznamů). V čele stojí společnost Tencent s 1,5 miliardy odhalených záznamů. Objevena byla také data státních organizací po celém světě.

Ačkoli se očekávají duplicity, uniklé informace neobsahují pouze přihlašovací údaje, ale zahrnují také vysoce citlivá data, která mají pro útočníky značnou hodnotu. V souvisejícím incidentu kyberzločinec jménem „emo“ zveřejnil na dark-webovém fóru informací, že má na prodej 15 milionů unikátních přihlašovacích údajů z účtů služby Trello. To vyvolalo obavy mnoha společností, které Trello využívají, přestože společnost Atlassian, která za Trellem stojí, jakékoli narušení popřela.

Poslední informace zmiňují, že pravděpodobným zdrojem úniku zmíněného obrovského souboru dat byla chybná konfigurace datového serveru vyhledávače uniklých dat Leak-Lookup a přístup byl získán v prosinci. Po opravě chybné konfigurace společnost Leak-Lookup vydala prohlášení, že nedošlo k úniku žádných informací o registrovaných uživatelích.

Ukrajina zničila Rusku 2 PB výzkumných dat

Ukrajinští hacktivisté, se zaměřili na ruské Centrum pro kosmickou hydrometeorologii, známé jako „Planeta“, které je přidružené k ruské kosmické agentuře Roskosmos. To vedlo k úspěšnému kybernetickému útoku, který vymazal 2 petabajty dat (2000 TB).

Hlavní zpravodajské ředitelství ukrajinského ministerstva obrany v rámci oznámení vyzdvihlo zničení 280 serverů v dálnovýchodní pobočce výzkumného centra. Zničená data, která zahrnovala meteorologické a satelitní informace důležité pro různá odvětví, představují podle odhadů škody ve výši 10 milionů dolarů. Útok měl dopad nejen na provoz superpočítačových klastrů, ale ochromil také systémy HVAC a napájení v hlavní budově Planety, což pro výzkumné centrum představovalo obrovský problém při obnově.

Tento incident navazuje na sérii pravděpodobně státem podporovaných kybernetických operací Ukrajiny proti ruským agenturám, včetně hackerských útoků na Federální agenturu pro leteckou dopravu a Federální daňovou službu v předchozích měsících. Ukrajinská vláda sice výslovně nepotvrdila, že by se na nedávném útoku podílela, ale upozorňuje na to, jak náročné je pro Rusko obnovit sofistikované počítačové systémy vzhledem k existujícím sankcím.

NSA nakupuje data o uživatelích

Americká národní bezpečnostní agentura (NSA) nakupuje informace o detailech prohlížení webových stránek Američanů od komerčních zprostředkovatelů bez soudního povolení. Tuto informaci uvedl ředitel agentury v dopise demokratickému senátorovi Ronu Wydenovi, který jej k tomu vyzval.

Wyden také zveřejnil dopis, ve kterém vyzval americké zpravodajské úřady, aby přestaly používat osobní údaje Američanů bez jejich výslovného vědomí a souhlasu, s tím, že je to nelegální. Tyto záznamy samozřejmě mohou identifikovat Američany při různých aktivitách.

NSA reagovala, že informace mají významnou hodnotu pro národní bezpečnost, jsou důležité pro mise, které agentura vykonává v kybernetickém prostoru a jsou používány s velkou opatrností. 

Wyden, který se dlouhodobě snaží chránit soukromí a svobody občanů na internetu, zablokoval jmenování nového ředitele NSA Timothyho Haugha, dokud agentura neodpoví na jeho otázky ohledně sběru pohybu uživatelů na internetu a sběru geolokačních dat.

Kritické zranitelnosti v aplikaci Jenkins

Vývojáři open-source softwaru pro automatizaci kontinuální integrace/rozvoje (CI/CD) Jenkins opravili dohromady devět bezpečnostních chyb, včetně jedné kritické, která by mohla útočníkovi umožnit vzdálené spuštění kódu (RCE).

Tyto zranitelnosti přicházejí téměř rok poté, co se Jenkins vypořádal se dvěma závažnými bezpečnostními chybami nazvanými CorePlague (CVE-2023–27898 a CVE-2023–27905), které rovněž umožňovaly RCE na postižených systémech.

Nalezení této nové RCE zranitelnosti je připsáno bezpečnostnímu výzkumníkovi Yanivu Nizrymu (ze dne 13. listopadu 2023) a byl ji přiřazen identifikátor CVE-2024–23897. Zranitelnost využívá funkce čtení libovolných souborů za pomoci vestavěné příkazové řádky (CLI). Pro tu je používána Java knihovna args4j a to konkrétně k parsování argumentů a příkazů, které do CLI uživatel zadá.

Tato knihovna k parsování příkazů obsahuje funkci, která nahrazuje znak @ následovaný cestou k souboru v argumentu obsahem souboru (expandAtFiles). Tato funkce je bohužel ve výchozím nastavení povolena na verzích 2.441, LTS 2.426.2 a starších.

Útočníci mohou za pomoci této zranitelnosti číst první tři řádky souborů v závislosti na příkazech CLI, kdežto útočníci s oprávněním „Overall/Read“ mohou číst celé soubory. Tato chyba by tedy mohla být využita k čtení souborů obsahujících citlivé informace či kryptografické klíče, avšak s určitými omezeními. 

Jako dočasné řešení, dokud nemáte aplikovanou záplatu ve verzích 2.442 LTS 2.426.3, se doporučuje vypnout přístup k CLI aplikace Jenkins.

Rozdány odměny v hodnotě 1,3 milionu dolarů za hackování aut

První ročník Pwn2Own Automotive skončil velkým úspěchem zúčastněných týmů, kdy soutěžící dohromady dostali odměny v hodnotě 1 323 750 dolarů. Několika týmům se například podařilo dostat se do automobilu Tesla a celkem odhalili 49 zero-day zranitelností v nových elektromobilech. Soutěž pořádala Zero Day Initiative od společnosti Trend Micro v Tokiu během konference Automotive World a zaměřila se na zabezpečení nabíječek, infotainmentu a operačních systémů automobilů.

UX DAy - tip 2

Vítězný tým Synacktiv získal 450 000 dolarů za prolomení Tesly a to dokonce dvakrát, včetně získání rootovských oprávnění a úniku ze sandboxu Tesla Infotainment systému. Vzhledem k tomu, že odměny přesáhly 1,3 milionu dolarů, se dá s nadsázkou tvrdit, že četnost zranitelností na systémech v moderních automobilech je stále značná a soutěže typu Pwn2Own demonstrují potřebu neustálého zlepšování bezpečnosti i v tomto odvětví.

Ve zkratce

Pro zasmání

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

Byl pro vás článek přínosný?

Autor článku

ALEF CSIRT je specializovaný tým zodpovědný za řešení kybernetických bezpečnostních incidentů společnosti Alef, ale také vlastních zákazníků.