Hlavní navigace

Postřehy z bezpečnosti: ransomware na třetí přes jedno špatné zabezpečení

15. 8. 2022
Doba čtení: 5 minut

Sdílet

 Autor: Depositphotos
V dnešním díle Postřehů se podíváme na aktivně zneužívané zranitelnosti v platformě Zimbra, úspěšný průnik do sítě společnosti Cisco i tři ransomwarové útoky na jednu organizaci v průběhu dvou týdnů.

Aktivní zneužívání dvou zranitelností v platformě Zimbra

Společnost Volexity ve středu na svém blogu informovala, že identifikovala masivní vlnu pokusů o sekvenční zneužívání dvou zranitelností v Zimbra Collaboration Suite (ZCS).

Pro jednu ze zmíněných zranitelností (CVE-2022–27925 – umožňuje provést spuštění libovolného kódu) byla již v březnu 2022 publikována záplata, zatímco druhá zranitelnost (CVE-2022–37042 – umožňuje obejít autentizaci nezbytnou k využití první zmíněné zranitelnosti) byla nově objevena právě zmíněnou společností a záplaty pro ni byly publikovány teprve koncem července.

V reakci na toto oznámení umístila CISA obě CVE na seznam zranitelností, které musí státní organizace v USA povinně záplatovat.

Vzhledem k tomu, že i v České republice identifikovala společnost Volexity 9 již kompromitovaných instancí ZCS a rychlý dotaz na službě Shodan vrací v době publikace v rámci České republiky přes 450 serverů s veřejným rozhraním Zimbra Web Client pro přístup k elektronické poště a lze předpokládat, že ne všechny budou již záplatovány, je zcela jistě na místě doporučit urychlené povýšení ZCS na verze bez známých zranitelností také všem jeho „domácím“ provozovatelům.

(Částečně) úspěšný útok na síť společnosti Cisco

Společnost Cisco ve středu informovala o úspěšném průniku do své sítě v květnu tohoto roku ze strany externích aktérů s pravděpodobnými vazbami na skupiny UNC2447, Yanluowang a Lapsus$. K přístupu do interní sítě společnosti útočníci údajně využili VPN účet zaměstnance, jehož osobní Google účet dříve kompromitovali.

Dle detailního vyjádření společnosti Cisco na blogu její bezpečnostní skupiny Talos se průnik zřejmě podařilo identifikovat a zastavit, aniž by se útočníci dostali k citlivým interním systémům – získat měli pouze data z Box adresáře výše zmíněného uživatele a určité množství autentizačních údajů užívaných v rámci Active Directory.

Rovnou trojité zneužití RDP

Velmi nepříjemné dva týdny zažila dle nové zprávy společnosti Sophos v letošním květnu nejmenovaná společnost podnikající v automobilovém průmyslu.

Jednomu z partnerů skupiny za ransomwarem Lockbit se totiž údajně podařilo v průběhu dubna získat přístup k serveru této společnosti, na němž byla do internetu otevřená služba RDP. Z tohoto serveru se mu následně podařilo kompromitovat další stroje a získat z nich data, v návaznosti na což 1. května spustil skripty, které začaly šifrovat data na celkem 19 koncových bodech.

Zatímco toto šifrování probíhalo, k interní síti získal přes stejný server přístup i partner skupiny za ransomwarem Hive, který následně rozšířil vlastní kryptomalware na celkem 16 systémů a s jeho pomocí zašifroval na nich uložená data.

IT specialisté zasažené společnosti poté provedli obnovu zasažených systémů ze záloh, avšak den nato se stejnou cestou jako oba výše zmínění aktéři dostal do sítě dané společnosti také partner skupiny za ransomwarem ALPHV/BlackCat. Ten následně zkopíroval vybraná data na externí server a 15. května využil vlastní ransomware k zašifrování souborů na šesti koncových bodech.

Výše popsaná sekvence událostí velmi dobře demonstruje nebezpečí spojené s nevhodně zabezpečeným externím přístupem ke službám typu RDP (resp. s nedostatečně chráněným a řízeným síťovým perimetrem) a může tak sloužit jako velmi dobré varování v této oblasti.

CISA publikovala „Cybersecurity Toolkit to Protect Elections“

Cybersecurity & Infrastructure Agency (CISA), federální regulátor pro oblast kybernetické bezpečnosti v USA, publikovala v uplynulém týdnu stránku nazvanou Cybersecurity Toolkit to Protect Elections.

Přestože – jak název napovídá – jde o portál určený především pro jednotlivce a organizace participující na zabezpečení voleb, lze jeho návštěvu doporučit i specialistům zodpovědným za kybernetickou bezpečnost v jinak zaměřených organizacích. Obsahuje totiž mj. odkazy na řadu (mnohdy volně dostupných) nástrojů a postupů umožňujících zefektivnit ochranu organizací před hrozbami, jako je phishing, ransomware a útoky typu DDoS, i uspíšit detekci těchto hrozeb.

Nové záplaty pro produkty společnosti Microsoft

Společnost Microsoft v rámci pravidelného „Patch Tuesday“ updatu publikovala balík záplat pro své produkty. Ze záplatovaných zranitelností si relativně velkou pozornost médií i bezpečnostní komunity získala zejména zranitelnost DogWalk (CVE-2022–30134), která byla opravena po více než dvou letech od prvního nahlášení její existence.

Zvláštní zmínku však zaslouží rovněž záplata pro zranitelnost v Microsoft Exchange, jíž byl přiřazen identifikátor CVE-2022–30134 a která pro zajištění plné ochrany postiženého systému před útokem vyžaduje nastavení módu Extended Protecion, což nemusí být administrátorům při aplikaci záplaty nezbytně zřejmé.

Za útoky na instituce ve východní Evropě zřejmě stojí čínská skupina

Dle nově publikované analýzy společnosti Kaspersky byly lednové útoky cílené (nejen) na organizace působící ve vojenském průmyslu v Rusku, Bělorusku a na Ukrajině (a v Afghánistánu) zřejmě dílem čínské APT skupiny TA428.

Specialisté výše zmíněné společnosti byli schopní určit, že za útoky s vysokou pravděpodobností stojí právě tato skupina mj. v důsledku znovupoužití vybraných typů škodlivého kódu a C2 serveru, které byly již dříve využity jmenovanou skupinou k realizaci útoků na jiné organizace. Zdá se, že cílem útoků bylo získání citlivých informací.

root_podpora

Závěry uvedené v analýze společnosti Kaspersky jsou zajímavé mj. proto, že velmi dobře dokumentují trend v cílení na země východní Evropy ze strany čínských APT skupin, který je zejména v posledních letech stále citelnější.

Další zajímavosti

Pro pobavení

You can still do powerline networking, but the bitrate does drop a little depending on the lightbulb warmup and cooldown delay.

Air Gap: You can still do powerline networking, but the bitrate does drop a little depending on the lightbulb warmup and cooldown delay.

Autor: Randall Munroe, podle licence: CC BY-NC 2.5

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

Byl pro vás článek přínosný?

Autor článku

Jan Kopřiva je specialistou na kybernetickou bezpečnost s dlouhou praxí a širokými zkušenostmi. V současnosti působí jako bezpečnostní konzultant ve společnosti Nettles Consulting a také jako jeden z odborníků ve sdružení SANS Internet Storm Center.