Postřehy z bezpečnosti: nová technika process injection

ISC opravuje tři chyby odepření služby

ISC (Internet Systems Consortium) vydalo bezpečnostní záplaty pro svůj DNS software BIND. Všechny tři chyby jsou označovány jako vysoce závažné a můžou být zneužity k zahlcení paměti zařízení nebo k pádu démona named. Jedná se o chyby CVE-2023–2828, CVE-2023–2829 a CVE-2023–2911, které jsou všechny vzdáleně zneužitelné. ISC opravuje tyto chyby v BINDu ve verzích 9.16.42, 9.18.16 a 9.19.14.

Fortinet opravuje zranitelnost ve FortiNAC

Fortinet vydal opravy, které záplatují kritickou bezpečnostní zranitelnost v jeho produktu FortiNAC. Zneužití této zranitelnosti, která je známa jako CVE-2023–33299 a hodnocena co se závažnosti týká 9,6 body z 10, může vést ke spuštění libovolného kódu. Záplaty jsou dostupné v software FortiNAC ve verzích 7.2.2, 9.1.10, 9.2.8 a 9.4.3.

VMware opravuje 5 zranitelností

VMware opravuje ve svých produktech vCenter Server a Cloud Foundation celkem pět zranitelností, které se týkají nesprávné práce s pamětí. Všech pět zranitelností může být zneužito neověřeným vzdáleným útočníkem. Opravy zranitelností jsou k dispozici ve verzích 8.0 U1b a 7.0 U3m. Jedná se o následující chyby:

• CVE-2023–20892 použití neinicializované paměti
• CVE-2023–20893 použití paměti po jejím uvolnění
• CVE-2023–20894 zápis mimo povolené hranice
• CVE-2023–20895 zranitelnost zkreslení paměti
• CVE-2023–20896 čtení mimo povolené hranice

Nová technika process injection

Mockingjay je nová technika vkládání procesu, která může být zneužita k obejití bezpečnostních řešení a ke spuštění škodlivého software na kompromitovaných strojích. Tato technika zneužívá důvěryhodné knihovny Windows s implicitní ochranou RWX (read, write, execute) tak, že je možné vložit škodlivý kód do různých procesů bez spuštění Windows API. Postup, který použili výzkumníci k obejití detekce vložení kódu EDR (Endpoint Detection and Response):

1. Zakázková aplikace je spuštěna.
2. Důvěryhodná aplikace (ssh.exe) používající msys-2.0.dll je spuštěna jako podproces.
3. Zakázková aplikace otevírá komunikační kanál do cílového procesu ssh.exe.
4. Škodlivý Kód je zkopírován do RWX sekce msys-2.0.dll.
5. Důvěryhodná aplikace během svého běhu spustí vložený kód.
6. Další knihovna je načtena škodlivým kódem v RWX sekci.
7. Zpětná shell relace je spuštěna.

Experti zveřejnili PoC exploit pro zranitelnost obejití ověření Arcserve UDP

Firma Arcserve, která se věnuje ochraně dat, záplatovala zranitelnost ve svém zálohovacím produktu Unified Data Protection (UDP). Zranitelnost označovaná jako CVE-2023–26258 umožnuje obejití ověření a získání administrátorských oprávnění. Výzkumníci zveřejnili proof-of-concept (PoC) exploits a firma zveřejnila opravu 27. června 2023 vydáním UDP verze 9.1.

Děravý plugin pro WordPress

Výzkumníci z Wordfence odhalili chybu obejití ověření v pluginu WordPress Social Login and Register od miniOrange. Chyba označená jako CVE-2023–2982 se skóre 9,8 umožňuje získání přístupu k libovolnému účtu jen na základě znalosti jemu přiřazené e-mailové adresy. Opraveno ve verzi pluginu 7.6.5.

Únik dat ze špionážní aplikace

Vývojář aplikace na monitorování telefonu LetMeSpy firma Radeal zahájila vyšetřování bezpečnostního incidentu, při kterém byla ukradena citlivá data (zprávy, lokace, logy telefonních hovorů, e-maily a telefonní čísla) uživatelů Androidu, kteří zmíněnou aplikaci používali. Blog věnující se výzkumu bezpečnosti Niebezpiecznik potvrdil, že se útočníci zmocnili domény spojené s aplikací LetMeSpy.

Ve zkratce

• JOKERSPY útočil na kryptosměnárnu v Japonsku
• Suncor Energy reaguje na bezpečnostní incident
• Kritické chyby vkládání SQL v Gentoo Soko
• Varování CISA o zneužívání zranitelnosti Zyxel NAS
• Útoky ransomware na vzestupu

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…