Hlavní navigace

Postřehy z bezpečnosti: PwnKit, aneb kdo chce být root?

31. 1. 2022
Doba čtení: 3 minuty

Sdílet

 Autor: Depositphotos
V dnešním díle Postřehů se podíváme na netradiční použití ransomwaru při útoku na běloruské železnice, závažnou zranitelnost PwnKit, dosud největší zaznamenaný DDoS útok a nejen to.

PwnKit postihuje většinu linuxových distribucí

Výzkumný tým společnosti Qualys v úterý publikoval informace o zranitelnosti v pkexec, jednom z nástrojů komponenty polkit (dříve PolicyKit), která umožňuje neprivilegovanému uživateli spouštět kód s oprávněními roota. Zranitelnost s CVE-2021–4034, kterou výzkumný tým nazval PwnKit, je využitelná pouze lokálně (jde tedy o tzv. Local Privilege Escalation – LPE), nicméně vzhledem k rozšířenosti balíku polkit postihuje snad všechny významnější linuxové distribuce. Jelikož se nedlouho po zveřejnění detailů zranitelnosti objevil také plně funkční exploit, lze doporučit prioritizovat záplatování této zranitelnosti na všech postižených systémech.

Microsoft informoval o rekordně silném DDoS útoku

Společnost Microsoft v úterý publikovala článek věnovaný trendům v oblasti DDoS útoků cílených na prostředí Azure ve druhé polovině loňského roku. Mezi jinými zajímavostmi v něm zmiňuje i detekci (a mitigaci) tří DDoS útoků, které svou silou přesahovaly 2,5 Tbps – jeden o velikosti 2,55 Tbps, druhý o velikosti 3,25 Tbps a třetí o velikosti 3,47 Tbps (při cca 340 Mpps). Poslední zmíněný útok byl detekován v listopadu a je v současnosti nejsilnějším publikovaným DDoS útokem vůbec.

Systémy běloruských železnic zasaženy ransomwarem

Hacktivistická skupina Belarusian Cyber-Partisans v pondělí informovala o akci, při níž se jí údajně podařilo kompromitovat síť běloruských železnic, smazat data na vybraných systémech a zašifrovat data na systémech dalších. Cílem tohoto útoku bylo dle vyjádření skupiny nikoli získat výkupné, ale přimět vládní režim k propuštění 50 politických vězňů a zabránění přesunů ruských vojsk na běloruském území, k nimž v současnosti v souvislosti s vyostřenou politickou situací v regionu dochází.

Jedním z potvrzených dopadů útoku bylo například vyřazení prodejního portálu s lístky z provozu, dle vyjádření samotných útočníků pak došlo také k likvidaci nebo zašifrování interních databází užívaných pro řízení dopravy, stanic a aktivit spojených s celním řízením. Vlastní řídící a signalizační systémy drah nijak postiženy nebyly.
Událost je zajímavá zejména proto, že jde o zřejmě první využití ransomwaru pro politické cíle, při němž útočníkem nebyl národní stát nebo jím sponzorovaná nebo na něj obdobně navázaná skupina.

Revokace velkého počtu certifikátů Let’s Encrypt

Certifikační autorita Let’s Encrypt ve středu informovala o nutnosti revokace vybraných certifikátů vydaných v posledních 90 dnech. Důvodem byla chybná implementace validací s pomocí metody TLS ALPN, která plně neodpovídala relevantnímu RFC standardu, na straně jmenované certifikační autority. Certifikáty vydané a validované s pomocí TLS ALPN před implementací relevantní opravy tak budou revokovány a musí být nahrazeny certifikáty novými.

Dle vyjádření Let’s Encrypt se situace dotýká méně než 1 % všech aktivních certifikátů, nicméně vzhledem k dominantnímu postavení zmíněné certifikační autority lze předpokládat že u všech serverů nedojde k včasnému nahrazení revokovaných certifikátů a počátek února tak bude provázet o něco větší počet hlášení o „nedůvěryhodných spojeních“ ve webových prohlížečích, než je obvyklé.

Záplaty pro produkty Apple opravující i dvě 0-day zranitelnosti

Společnost Apple ve středu publikovala záplaty pro iOS/iPadOS, které kromě jiných opravují i aktivně zneužívanou zranitelnost s CVE-2022–22587, která v důsledku chybné práce s pamětí v komponentě IOMobileFrameBuffer umožňovala libovolné aplikaci spouštět kód s oprávněními jádra. Vzhledem k tomu, že jde tak o velmi závažnou zranitelnost, je i v případě produktů firmy Apple na místě doporučit urychlené záplatování.

CS24_early

Nešlo navíc o jedinou 0-day zranitelnost, kterou v rámci balíku záplat Apple v uplynulém týdnu publikoval – opravena byla rovněž zranitelnost s CVE-2022–22594, která v důsledku nekorektní implementace IndexedDB API v prohlížeči Safari umožňovala stránkám obcházet omezení vyplývající ze same-origin policy a přistupovat tak k datům svázaným s jinými otevřenými weby.

Další zajímavosti

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Byl pro vás článek přínosný?

Autor článku

Jan Kopřiva je specialistou na kybernetickou bezpečnost s dlouhou praxí a širokými zkušenostmi. V současnosti působí jako bezpečnostní konzultant ve společnosti Nettles Consulting a také jako jeden z odborníků ve sdružení SANS Internet Storm Center.