Hlavní navigace

Postřehy z bezpečnosti: QNAP NAS je v ohrožení kvůli Nginx

27. 6. 2022
Doba čtení: 4 minuty

Sdílet

 Autor: QNAP, Inc.
V dnešním souhrnu novinek ze světa bezpečnosti se podíváme na zranitelnost QNAP NAS a Citrix ADM, na DDoS útoky hrozící Litvě, na likvidaci jednoho botnetu, pokračující pokusy o zneužití Log4Shell a další zajímavosti.

Průzkum bezpečnosti open-source kódu

Linux Foundation ve spolupráci se společností Snyk prezentovaly na konferenci 2022 Open Source Security Summit svůj průzkum zabývající se bezpečností open-source kódu. Průzkum se věnoval současnému stavu, jaké praktiky jsou uplatňovány pro zajištění bezpečného dodavatelského řetězce (chain of supply), praktiky bezpečného vývoje a náměty do budoucna, jak situaci zlepšit.

Vyplynulo z něho spousta zajímavých poznatků, jako například podíl organizací, které mají definovanou bezpečnostní politiku pro open-source projekty, jak důkladně organizace řeší bezpečnost open-source závislostí (přímých i nepřímých) či jakým způsobem sledují jejich bezpečnost.

QNAP NAS v ohrožení

Společnost QNAP ve středu oznámila, že pracuje na opravě tři roky staré zranitelnosti v PHP, která se projeví v kombinaci se špatně nastaveným serverem Nginx tak, že umožní útočníkovi vzdálené spuštění kódu. Zranitelnost CVE-2019–11043 dosáhla hodnocení závažnosti 9,8 z 10. Nicméně pro její zneužití je potřeba, aby na systému běžely zároveň Nginx a PHP-FPM.

Společnost QNAP dále uvedla, že zařízení nejsou zranitelná ve výchozím nastavení, protože ve výchozím stavu nemají dotčené OS QTS, QuTS hero ani QuTScloud nainstalovaný webový server Nginx. Problém by již měl být vyřešený pro QTS 5.0.1.2034 build 20220515 a QuTS hero h5.0.0.2069 build 20220614.

Litvě hrozí DDoS útoky

Skupina Cyber ​​Spetsnaz ve středu zveřejnila několik cílů koordinovaných DDoS útoků. Těmito cíli jsou litevské vládní zdroje a kritická infrastruktura. Útoky jsou rozděleny mezi takzvané „jednotky“, které jsou založeny na členech a dobrovolnících, kteří se připojili k předchozím a současným kampaním.

Důvodem je zavedení omezení dopravy zboží do Kaliningradu, ke kterému Litva přistoupila na základě sankcí uvalených EU. Skupina Cyber ​​Spetsnaz využívá pro DDoS kompromitované webové zdroje, webové stránky, zařízení Internetu věcí a sítě botnetů, které patří jiným nezávislým aktérům, kteří souhlasili s připojením ke kampani.

Botnet RSOCKS je ze hry

Úřady v USA, Německu, Nizozemí a Spojeném království minulý týden rozbily botnet RSOCKS. Šéf botnetu, pětatřicetiletý Rus z Omsku, pronajímal napadaná zařízení pro zákazníky, kteří chtěli přesměrovat svůj škodlivý provoz přes nevinné oběti. Díky němu si mohl každý dovolit být zločincem – třicet dolarů za dva tisíce proxy byla nejnižší nabídka a miliony napadených zařízení pronajímal na dny až měsíce.

Jako svůj druhý zájem vedl podnikavý Sibiřan jedno z největších spammerských fór, RUSdot (dříve Spamdot), sloužící jako bod setkávání pro pisatele virů a kyberzločincům obecně. S botnetem se po osmi letech jeho provozu můžeme rozloučit.

Zranitelnost Citrix ADM

Chyba v Citrix ADM (Application Delivery Management) může způsobit nejen pád systému, ale i reset hesla administrátora. Chyba má přidělené CVE-2022–27511 a jejím zneužitím lze resetu hesla dosáhnout po následujícím restartu systému.

Pokud je systém přístupný prostřednictvím SSH, může se pak útočník připojit jako administrátor pomocí implicitního hesla. Citrix doporučuje aktualizovat ADM na verze 13.1–21.53, 13.0–85.19, nebo novější.

Pokračující pokusy o zneužití chyby Log4Shell

Cybersecurity and Infrastructure Security Agency (CISA) společně s Coast Guard Cyber Command (CGCYBER) vydali ve čtvrtek varování před pokračujícími pokusy o zneužití chyby Log4Shell na serverech VMware Horizon. Podle nich již od prosince 2021 docházelo k exploitování Log4Shell na veřejně dostupných serverech VMware Horizon. V rámci toho se útočníkům mohlo podařit implementovat na kompromitované systémy malware se spustitelnými soubory umožňujícími vzdálené příkazy a ovládání (C2).

V jednom případě se uvádí, že se hackerům mohlo povést získat přístup do vnitřní sítě obětí. Log4Shell s označením CVE-2021–44228 (CVSS skóre: 10.0), je chyba zabezpečení umožňující vzdálené spuštění kódu ovlivňující knihovnu Apache Log4j, kterou používá široká škála aplikací.

NÚKIB ocenil nejúspěšnějšího studenta oboru Kybernetická bezpečnost

V rámci rozvoje spolupráce NÚKIB se středními školami zaměřenými na kybernetickou a informační bezpečnost ředitel NÚKIB Ing. Karel Řehka udělil studentovi čtvrtého ročníku Střední školy informatiky, poštovnictví a finančnictví Brno Petru Holbovi ocenění za dosažení vynikajících studijních výsledků v oboru Kybernetická bezpečnost.

Vyhledávání a oceňování nejlepších studentů středních škol zaměřených na kybernetickou bezpečnost je součástí trvalé snahy NÚKIB o naplnění Národní strategie kybernetické bezpečnosti České republiky v oblasti rozšiřování expertní základny. Proto NÚKIB a sdružení CZ.NIC, správce české národní domény, vytvořily společný projekt, který je v České republice unikátní, a přitom v zahraničí zcela běžný. Jeho cílem je inspirovat žáky základních škol ke studiu kybernetické bezpečnosti, vyhledat a ocenit talentované studenty maturitních ročníků těchto oborů, a zároveň je motivovat k vynikajícím výsledkům.

Česko je pátou evropskou zemí nejčastěji napadanou kyberútoky

Podle celosvětového Index dopadu hrozeb, který pravidelně připravuje Check Point Research vládl malwaru v dubnu pokročilý modulární trojan Emotet. A Česko je velmi populárním cílem kyberútoků.

UX DAy - tip 2

Emotet v březnu využíval k šíření nejrůznější kampaně s velikonoční tematikou a měl dopad na více než 10 % organizací. V dubnu se jeho vliv trochu propadl, jedním z důvodů může být i rozhodnutí společnosti Microsoft zakázat makra spojená se soubory Office. Podle některých zpráv proto Emotet nyní využívá novou techniku a šíří se pomocí nebezpečných e-mailů obsahujících odkaz na službu OneDrive. Jakmile Emotet pronikne do počítače, může škodit nejrůznějšími způsoby, jeho provozovatelé totiž nabízí své služby na darknetu dalším hackerům.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

Byl pro vás článek přínosný?

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.