Curing umí lstivě obejít systémová volání
Co se dozvíte v článku
- Curing umí lstivě obejít systémová volání
- Zranitelnosti v AirPlay umožňují vzdálené spuštění kódu přes Wi-Fi
- NUKIB upozorňuje na metodu „harvest now, decrypt later“
- Skupina Storm-1977 teží kryptoměny na vzdělávacích cloudech
- Meta spouští framework LlamaFirewall
- Zveřejněn API klíč k interním jazykovým modelům SpaceX a Tesly
- Alarmující stav hesel v roce 2024
- OpenEoX: Nový standard pro řízení životního cyklu IT
- Ve zkratce
- Pro pobavení
Výzkumníci společnosti Armo představili rootkit s názvem Curing, který se spoléhá na asynchronní I/O mechanismus io_uring v Linuxu a obchází tradiční monitorování systémových volání.
Curing je POC rootkitu, který využívá io_uring k provádění různých úloh bez použití syscallů, takže je neviditelný pro bezpečnostní nástroje, které monitorují pouze syscally. Projekt byl shledán účinným proti mnoha nejpopulárnějším bezpečnostním nástrojům jako jsou linuxová EDR řešení a kontejnerizace.
stojí v popisu, který výzkumníci poskytli na GitHubu: Nápad se zrodil na poslední konferenci CCC #38c3, proto název Curing, který je kombinací C a io_uring.
Linuxové API io_uring slouží pro asynchronní vstupy a výstupy, které využívá sdílené kruhové vyrovnávací paměti mezi uživatelským prostorem a jádrem a umožňuje aplikacím provádět akce bez systémových volání, čímž se bezpečnostní nástroje založené na detekci syscallů stávají neúčinnými.
Rozhraní io_uring bylo zavedeno v linuxovém jádře verze 5.1 v březnu 2019. Rootkit demonstruje komunikaci mezi serverem C2 a infikovaným hostitelem, aby mohl stahovat příkazy a spouštět je, aniž by prováděl systémová volání relevantní pro své operace,
uvádí se ve zprávě zveřejněné odborníky. Hlavní myšlenkou bylo ukázat, že io_uring umožňuje tolik důležitých operací, že na nich lze napsat celý rootkit.
Výzkumníci vysvětlili, že v době psaní článku io_uring podporoval 61 operací, včetně síťových úloh a úloh souborového systému. Výzkumníci sestavili plně funkční rootkit, který se spoléhá výhradně na io_uring, aby demonstrovali reálné riziko. Kód Curing PoC pro obcházení runtime detekčních systémů Falco a Tetragon je k dispozici na GitHubu.
Výzkumníci se domnívají, že mnoho linuxových EDR není schopno monitorovat aktivitu založenou na io_uring. Falco se k takovým operacím ukázalo jako slepé, ale plánuje přidat podporu LSM hook. Tetragon by mohl detekovat io_uring, pokud uživatelé ručně nakonfigurovali Kprobes nebo LSM hooks. Microsoft Defender nedokázal detekovat různé škodlivé akce jako je čtení souborů, EICAR dropy a kryptografické minery, přičemž se spouštěly pouze základní FIM alerty.
Společnost SentinelOne potvrdila, že její agent dokáže detekovat a neutralizovat útoky. Mnoho komerčních dodavatelů bylo buď zranitelných, nebo nereagovalo, což naznačuje, že rootkity io_uring představují široké riziko pro současná bezpečnostní řešení pro Linux.
V této době se mnoho dodavatelů bezpečnostních řešení přesouvá k vytváření agentů založených na eBPF, a to především proto, že eBPF je považován za ‚bezpečný‘ pro použití v produktech, jako jsou EDR a CWPP,
uzavírá zpráva. Práce s eBPF je však spojena s neodmyslitelnými problémy a omezeními, zejména kvůli jeho ověřovateli, který ukládá přísná omezení, jaký kód lze bezpečně načíst. Proto je umístění háčků kritickým rozhodnutím.
Zranitelnosti v AirPlay umožňují vzdálené spuštění kódu přes Wi-Fi
Společnost Oligo Security objevila velké množství významných zranitelností v protokolu AirPlay a SDK společnosti Apple. Nejzávažnější dopad se týká možného vzdáleného spuštění kódu bez interakce uživatele. Útočníci tak mohou nad zařízeními Apple ale i třetích stran podporujících protokol AirPlay získat kontrolu pouze s využitím Wi-Fi. Problém se týká počítačů Mac, iPhonů, iPadů, Apple TV, systémů CarPlay ale i reproduktorů s podporou AirPlay.
Útočníci mohou po napadení zařízení provádět odposlech pomocí mikrofonů, stahovat citlivá data, nebo spustit na napadeném zařízení vlastní kód, který automaticky napadne i další dostupná zařízení v síti. Společnost Oligo Security objevila celkem 23 zranitelností, Apple na jejich základě vydal 17 CVE. Příslušné záplaty jsou již pro zařízení Apple dostupné a uživatelé by je měli aplikovat okamžitě, speciálně pokud používají veřejné nebo jinak nedůvěryhodné sítě.
Aby uživatelé snížili riziko napadení, doporučuje se aktualizovat zařízení, pokud je to možné, deaktivovat AirPlay Receiver, pokud se nepoužívá, omezit AirPlay přístup přes bránu firewall (port 7000) a nastavit „Povolit AirPlay pro“ na „Aktuální uživatel“. Více podrobností v původní zprávě na Oglio.security.
NUKIB upozorňuje na metodu „harvest now, decrypt later“
Kvantové počítače kromě benefitů pro mnohá odvětví přinášejí i potenciální hrozbu pro kybernetickou bezpečnost. Ta spočívá v tom, že dostatečně výkonný kvantový počítač by mohl být v budoucnu schopný prolomit většinu dnes používaných kryptografických algoritmů. Tyto algoritmy přitom chrání klíčové aspekty digitální bezpečnosti, jako jsou šifrování komunikace, autentizace či digitální podpisy.
„Harvest now, decrypt later“ (HNDL) je strategie, při níž útočník již dnes zachytává a ukládá šifrovanou komunikaci, kterou zatím nedokáže rozšifrovat. Doufá však, že v budoucnu — s nástupem kvantových počítačů — bude mít dostatečné prostředky k prolomení použité kryptografie a k dešifrování těchto dat, která mohou být i s časovým odstupem stále hodnotná.
Skupina Storm-1977 teží kryptoměny na vzdělávacích cloudech
Podle vyjádření Microsoftu podnikla skupina s názvem Storm-1977 v minulém roce několik pokusů o získání přístupu k účtům na platformě Azure. Cílem byly tentokrát instituce ve vzdělávacím sektoru, pravděpodobně kvůli nižší úrovni zabezpečení.
Útok spočíval ve využití programu AzureChecker.exe, který se připojoval k doméně sac-auth[.]nodefunction[.]vip. Odtud si stáhl soubor šifrovaný pomocí AES, jenž po dešifrování obsahoval seznam vybraných tenantů (cloudových organizací v Azure) pro útok typu password-spray.
Nástroj dále přijímal jako argument soubor accounts.txt obsahující kombinace uživatelských jmen a hesel. Útok password-spray spočívá v tom, že útočník zkouší jedno nebo několik známých hesel na velké množství uživatelských účtů, aby minimalizoval riziko detekce.
Pomocí této metody se útočníkům podařilo prolomit jeden účet, na kterém vytvořili novou resource group. V ní následně nasadili kontejnery v Kubernetes, na kterých za cizí prostředky těžili kryptoměny.
Meta spouští framework LlamaFirewall
Společnost Meta představila LlamaFirewall – open-source framework navržený k ochraně systémů umělé inteligence (AI) před novými kybernetickými hrozbami jako jsou injekce promptů, obcházení omezení a generování nebezpečného kódu.
Tento framework podle společnosti zahrnuje tři ochranné mechanismy. PromptGuard 2 v reálném čase detekuje přímé pokusy o obcházení ochrany a injekce promptů. Agent Alignment Checks kontroluje logiku agentů z hlediska možného přesměrování cílů a nepřímých injekcí. CodeShield provádí online statickou analýzu, která brání generování nebezpečného kódu AI agenty.
Modulární architektura LlamaFirewall umožňuje bezpečnostním týmům budovat vícevrstvou ochranu – od zpracování vstupních dat až po konečné akce – a to jak pro jednoduché chatovací modely, tak i pro komplexní autonomní agenty.
Společně s LlamaFirewall představila společnost aktualizované verze LlamaGuard a CyberSecEval pro lepší detekci závadného obsahu a hodnocení obranných schopností AI systémů. CyberSecEval 4 obsahuje nový referenční test AutoPatchBench, který hodnotí schopnost velkého jazykového modelu automaticky opravovat zranitelnosti v C/C++, identifikované pomocí fuzzingu.
Meta také spustila program Llama for Defenders, který poskytuje partnerům a vývojářům přístup k různým AI řešením pro řešení konkrétních bezpečnostních problémů jako je detekce obsahu generovaného AI používaného v podvodech a phishingových útocích.
Zveřejněn API klíč k interním jazykovým modelům SpaceX a Tesly
Zaměstnanec společnosti xAI Elona Muska zabývající se vývojem umělé inteligence zveřejnil na serveru GitHub soukromý klíč, který v posledních dvou měsících umožňoval komukoli dotazovat se jazykových modelů xAI (LLM), které byly patrně vytvořeny specificky pro práci s interními daty Muskových společností, včetně SpaceX, Tesla a Twitter/X (toto zjistil server KrebsOnSecurity).
Philippe Caturegli, „hlavní hacker“ v bezpečnostní poradenské společnosti Seralys, zveřejnil jako první únik přihlašovacích údajů k API, které patří jednomu ze zaměstnanců technického týmu x.ai a které byly nalezeny v úložišti kódu GitHub. Přestože Caturegliho příspěvek na LinkedInu zaujal výzkumníky ze společnosti GitGurdian, kteří hned 2. března upozornili na tento únik samotného dotčeného zaměstnance xAI, API klíč byl aktivní ještě v průběhu 30. dubna. Po dalším upozornění bezpečnostního týmu společnosti xAI byl již repositář obsahující klíč smazán.
Údaje lze použít k přístupu k rozhraní API X.ai s identitou uživatele,
napsal GitGuardian v e-mailu, v němž vysvětluje svá zjištění xAI. Přidružený účet má přístup nejen k veřejným modelům Grok (grok-2–1212 atd.), ale také k zatím nejspíš nevydaným verzím modelů (grok-2.5V), vývojovým (research-grok-2p5v-1018) a dokonce k soukromým (tweet-rejector, grok-spacex-2024–11–04). Vypadá to, že některé z těchto interních LLM byly vyladěny na základě dat společnosti SpaceX a některé zase na základě dat společnosti Tesla,
řekl Fourrier ze společnosti GitGurdian. Společnost xAI ani dotčený zaměstnanec se k úniku (raději?) nevyjádřili.
Alarmující stav hesel v roce 2024
Nové statistiky shromážděné společností Panda Security pro rok 2024 ukazují, že navzdory technologickému pokroku a rostoucímu povědomí o kybernetické bezpečnosti zůstávají slabá, snadno uhádnutelná a opakovaně používaná hesla kritickou zranitelností. Analýza odhaluje přetrvávající špatné návyky uživatelů, i konkrétní dopady na bezpečnost dat, včetně rychlosti prolomení hesel.
Podle informací zveřejněných Panda Security jsou triviální hesla stále běžná. V roce 2023 bylo heslo „123456“ celosvětově nejpoužívanější, detekováno bylo více než 4,5 milionkrát.
OpenEoX: Nový standard pro řízení životního cyklu IT
Koalice velkých IT firem (Cisco, Microsoft, Red Hat, Siemens, BSI, Dell, IBM, Oracle) publikovala OpenEoX framework, který má za cíl standardizovat způsob, jakým jsou distribuovány informace o End-of-Life (EOL) a End-of-Support (EOS) datech hardware a software.
Framework by měl odstranit nekonzistence v těchto informacích v komerčním i open source softwaru a hardwaru. Specifikace navrhuje formát, který je strojově čitelný, takže bude možné jeho zpracování automatizovat a integrovat do dalších nástrojů a platforem. Cílem je zlepšit kyberbezpečnost a řízení zranitelností.
Ve zkratce
- Zeptejte se na pohovoru: „How fat is Kim Jong Un?“
- PoC na CVE-2025–21756
- Redis je opět open source
- PowerDNS DNSdist opravuje vysoce závažnou zranitelnost
- Kanadská energetická síť zasažena kyberútokem
- Neurologie v New Jersey zaplatí pokutu 25 000 dolarů za možný únik dat během ransomware útoku
Pro pobavení
Cyber Security Jokes Friday...#cybersecurityjokes #cybersecurity #joke pic.twitter.com/FULTSul21T
— Eve featherstone (@EveFeatherstone) February 28, 2020
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
ČLÁNKY DO MAILU