NSA a CISA publikovaly seznam deseti nejčastějších bezpečnostních slabin
Severoamerické agentury NSA a CISA publikovaly v uplynulém týdnu společnou zprávu popisující deset nejčastějších bezpečnostních problémů, s nimiž se na základě zkušeností a šetření ofenzivních i defenzivních týmů zmíněných agentur potýkají velké organizace. Mezi často identifikovaná problematická místa patří vedle využívání defaultních (a potenciálně nebezpečných) konfigurací HW a SW, například i nevhodné oddělení administrátorských a uživatelských oprávnění, nedostatečná segmentace a monitoring sítě nebo slabě implementovaný patch management.
Přestože zpráva vychází ze zjištění týkajících se situace v USA, a její závěry nejsou nijak překvapivé, může být pro vybrané české instituce zajímavá. U každé z deseti identifikovaných problémových oblastí je totiž vedle detailního popisu uvedena i sada doporučených nápravných opatření a seznam souvisejících útočných technik namapovaných na rámec MITRE ATT&CK.
Dokument tak může sloužit jako relativně přístupný návod pro zlepšení vybraných oblastí kybernetické bezpečnosti (nejen) ve větších organizacích.
Některé části infrastruktury malwaru QakBot zřejmě přežily nedávný policejní zásah
Přestože v rámci masivní srpnové policejní akce zaměřené na likvidaci malwaru QakBot se mezinárodním policejním orgánům podařilo vyřadit z provozu C2 servery využívané pro řízení jmenovaného botnetu, z nově publikované zprávy výzkumného týmu Cisco Talos vyplývá, že část infrastruktury využívaná pro šíření škodlivého kódu zřejmě zůstala nedotčena.
QakBot byl historicky distribuován primárně s pomocí malspamových kampaní a jeho šíření touto cestou v návaznosti na zmiňovanou policejní akci ustalo. S pomocí stejné infrastruktury, která dříve šířila QakBot, je však dle zjištění Talosu zřejmě nadále distribuován ransomware Ransom Knight. Zdá se tak, že minimálně část systémů, které provozovatelé QakBotu historicky vybudovali, policejní akci přežila, a je dále využívána v rámci kybernetických útoků.
Byla publikována řada exploitů pro privilege escalation zranitelnost v glibc
Výzkumný tým společnosti Qualys publikoval počátkem týdne informaci o existenci buffer overflow zranitelnosti v GNU C Library (glibc), s pomocí níž je možné na zranitelných systémech provést eskalaci oprávnění.
Zranitelnost, jíž byl přiřazen identifikátor CVE-2023–4911, a kterou výzkumníci neformálně pojmenovali „Looney Tunables“, je dle vyjádření společnosti Qualys velmi jednoduše zneužitelná. Tomu odpovídá i skutečnost, že v průběhu týdne publikovala řada zástupců bezpečnostní komunity nezávisle na sobě různé PoC exploity pro její zneužití.
Vzhledem k tomu, že zranitelnost postihuje mj. řadu mainstreamových linuxových distribucí, je na místě doporučit správcům postižených systémů jejich brzké záplatování.
Ransomwarový útok na MGM Resorts údajně způsobil více než stomilionovou škodu
Společnost MGM Resorts, která provozuje řadu kasin ve Spojených státech, a která byla v průběhu září zasažena masivním ransomwarovým útokem, vydala v uplynulém týdnu prohlášení, v němž informovala své zákazníky o úniku osobních dat, k němuž v souvislosti s tímto útokem došlo.
V paralelním hlášení agentuře Securities and Exchange Commission pak organizace odhadla finanční škody způsobené útokem, za nímž stáli spolupracovníci ransomwarové skupiny BlackCat/ALPHV, na 100 milionů amerických dolarů v ušlém zisku a necelých 10 milionů v nákladech na zvládnutí incidentu.
Pro úplnost je vhodné uvést, že podobný ransomwarový útok postihnul několik týdnů před MGM Resorts i společnost Caesars Entertainment, která je rovněž provozovatelem kasin v USA. Druhá jmenovaná organizace však dle publikovaných informací na rozdíl od MGM zaplatila skupině ALPHV požadované výkupné a dopady na její provoz tak byly v porovnání s MGM minimální.
Kybernetické útoky cílené na Izrael
Přestože Izrael je dlouhodobě jednou ze zemí, na něž se kybernetičtí útočníci silně zaměřují, v době přípravy tohoto článku nebyly známy žádné kybernetické útoky, u nichž by bylo možné vyvozovat souvislost se sobotním vojenským útokem hnutí Hamás. Izrael se nicméně dle portálu The Jerusalem Post na možný kybernetický útok „připravuje“.
Zmínku zaslouží, že ve čtvrtek krátkodobě došlo ke kompromitaci účtu izraelského prezidenta na platformě Telegram, dle prezidentské kanceláře však šlo o „kriminální aktivitu“, která nesouvisí s palestinsko-izraelským konfliktem.
Další zajímavosti
- Nově publikovaná pravidla Mezinárodního Červeného kříže pro hacktivistické aktivity v době válečných konfliktů se setkala se silnou kritikou a posměchem
- Společnost Human Security identifikovala škodlivou kampaň, při níž se útočníkům podařilo předinstalovat malware na desítky tisíc běžně distribuovaných zařízení s operačním systémem Android
- Nová pravidla Evropského parlamentu by měla poskytnout novinářům vyšší úroveň ochrany před komerčním spywarem
- Amnesty International publikovala detailní analýzu komerčního spywaru Predator
- NATO vyšetřuje únik dat, za nímž údajně stojí skupina SiegedSec
- V USA vešly v platnost nové požadavky na zabezpečení zdravotnických systémů proti kybernetickým hrozbám
- NÚKIB zahájil Festival Bezpečného Internetu
- CESNET spustil své každoroční CTF „The Catch“
- Linux Foundation publikovala referenční implementaci otevřeného kryptografického protokolu OpenPubkey
- Amazon bude pro „root“ účty v AWS od poloviny příštího roku vyžadovat vícefaktorové ověřování
- V prohlížeči Firefox přibude tlačítko pro reset relací otevřených v privátním okně
- Výzkumníci společnosti Eset identifikovali novou kyber-špionážní kampaň cílenou na Guyanu
- Čínské APT skupiny údajně cílí na východoasijské výrobce čipů
- Nová verze nástroje NetworkMiner přináší mj. parser pro VNC komunikaci
- Atlassian publikoval záplaty pro aktivně využívanou zranitelnost v produktech Confluence Data Center a Server
- Vývojáři e-mailového serveru Exim publikovali záplaty pro tři ze šesti zranitelností zveřejněných v předminulém týdnu
- Apple záplatoval 0-day zranitelnost postihující telefony iPhone
- Google publikoval záplaty pro dvě aktivně zneužívané zranitelnosti v operačním systému Android
Pro pobavení
The weird sense of duty really good sysadmins have can border on the sociopathic, but it's nice to know that it stands between the forces of darkness and your cat blog's servers.
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
