Hlavní navigace

Postřehy z bezpečnosti: tvář Stuxnetu odhalena

22. 1. 2024
Doba čtení: 5 minut

Sdílet

Ilustrační obrázek. Autor: Depositphotos.com, podle licence: Rights Managed
Ilustrační obrázek.
V dnešním ohlédnutí za uplynulým týdnem odhalíme nové informace týkající se incidentu s počítačovým červem Stuxnet, podíváme se na kloub Androgh0st malware a popíšeme pár nových zranitelností Google Chrome, SSH a SonicWall.

Androxgh0st opět vystrkuje růžky

CISA společně s FBI vydala v minulém týdnu varování před botnetem tvůrců malware Androxgh0st a silně doporučuje implementaci konkrétních opatření, jako např. aktualizaci serverů Apache na verzi 2.4.49 nebo 2.4.50 nebo vyhledání veškerých neidentifikovaných PHP souborů v adresáři serverů. Další doporučení naleznete na Cisa.gov.

Proč? Protože zmíněný malware, napsaný v Pythonu, cílí především na soubory .env obsahující citlivé informace, a to zejména přihlašovací údaje do známých cloudových aplikací typu MS Office 365, AWS či SendGrid. Získané autentizační daje jsou následně využity k rozesílání spamových kampaní jménem napadených společností. Kromě této činnosti se realizují i v řadě dalších. Zaznamenaná byla tvorba falešných webových stránek na kompromitovaných webech a následné využití zadních vrátek k přístupu do databází s citlivými informacemi.

Jak už to bývá, historie malware Androxgh0st není přesně známa. Zmíněný botnet byl poprvé zaznamenán v roce 2022 společností LaceworkLabs a v současnosti čítá kolem 30 000 kompromitovaných zařízení. Zmínku nicméně zaslouží, že dle společnosti Fortinet čítal botnet začátkem ledna o zhruba 10 000 zařízení více, avšak mezi 16. a 18. lednem došlo k poklesu do něj zapojených zařízení na současnou úroveň. O příčině tohoto poklesu lze pouze spekulovat.

Google zaznamenal a opravil první zero-day v Chrome v roce 2024

V prvních týdnech roku 2024 zaznamenal internetový gigant Google první ranitelnost zero-day ve svém populárním webovém prohlížeči Chrome. Tato zranitelnost, označená jako CVE-2024–0519, spočívá v nedostatečně omezeném řízení přístupu k paměti ve V8 JavaScript a WebAssemblyengine, který Chrome používá pro zpracování JavaScriptového kódu na webových stránkách.

Podstata zranitelnosti spočívá v tom, že útočník může prostřednictvím speciálně připravené stránky s HTML vyvolat situaci, kdy prohlížeč přistoupí k paměťové oblasti mimo povolený rozsah. To může vést k chybě přetečení zásobníku, což umožňuje útočníkovi spustit škodlivý kód na počítači oběti.

Toto narušení paměti může vést k odhalení citlivých informací a umožnit útočníkovi obcházet ochranné mechanismy jako je ASLR. V důsledku toho by pak mohl získat kontrolu nad systémem oběti a provádět různé škodlivé aktivity.

Google opravil tuto zranitelnost po tom, co byla objevena externími bezpečnostními výzkumníky. Zranitelnost byla opravena ve verzích Chrome 120.0.6099.224/225 pro Windows, 120.0.6099.234 pro Mac a 120.0.6099.224 pro Linux. Uživatelé by měli co nejdříve svůj prohlížeč aktualizovat, aby se chránili proti potenciálním útokům, využívajícím tuto zranitelnost.

Stuxnet: Pacient Nula

Po dvouleté investigativní novinářské práci přinesli pracovníci nizozemského deníku Volksrant velmi zajímavé informace k dnes již notoricky známému počítačovému červu Stuxnet, který v roce 2010 ochromil iránský jaderný výzkumný program.

Donedávna bylo pouze předmětem dohadů a divokých představ bezpečnostní komunity o tom, jaký byl úvodní vektor útoku tohoto incidentu, jak vypadal „Pacient Nula“. Velmi často se spekulovalo o nějaké formě přenosného úložného zařízení, které někdo fyzicky donesl a následně připojil do počítačové sítě přísně střeženého podzemního areálu Natanz, kde probíhá iránský program obohacování radioaktivního materiálu, a kterou dnes již slavný červ napadl. Výsledkem byla kybernetická sabotáž jaderného programu Iránu, která celý výzkum údajně zbrzdila o několik let. 

Akce, kterou vykreslují ve svém článku nizozemští novináři, je jako příběh z filmu. Podle jejich zjištění, které vzešlo z rozhovorů s několika příslušníky nizozemských tajných služeb, za celou operací stály agentury USA, Izraele a Nizozemí. A právě nizozemské agentury AIVD a MIVD najaly v roce 2005 nizozemského občana, šestatřicetiletého obchodníka Erika van Sabbena, který následně v roce 2008 pod identitou občana Iránu celou operaci zakončil v přestrojení za technického pracovníka areálu Natanz. Byl vybrán proto, že žil v Dubaji, byl technicky zdatný, jeho manželka z Iránu pocházela, a i on sám měl s Iránem bohaté obchodní styky, takže se u něho předpokládala jazyková vybavenost. Další krytí, které bylo bezpochyby zapotřebí k tomu, aby jako (téměř) legitimní občan Iránu mohl vstoupit do přísně střeženého podzemního areálu, se z pochopitelných důvodů neuvádí.

Úkolem Erika van Sabbena v této operaci bylo dopravit a připojit do systému a počítačové sítě vodní pumpu infikovanou červem Stuxnet, který po připojení měl začít napadat další zařízení v této síti. Ze zprávy vyplývá, že není jisté, zda Erik věděl, že vodní pumpa je kybernetickou zbraní. Erik van Sabben sám se pak dva týdny po akci stal v Dubaji obětí silniční nehody na svém motocyklu. Ze zprávy vyplývá, že celá operace byla naplánována a provedena bez vědomí nizozemské vlády. Byla i tragická dopravní nehoda součástí plánu tajných služeb? Taková možnost se přímo nabízí, zpráva o tom ale nemluví.

A na závěr cenovka, která je také z kategorie hollywoodských trháků. Podle informací, které se novinářům podařilo získat, stál vývoj a realizace celého projektu Stuxnet astronomickou částku činící jednu miliardu amerických dolarů. 

Nezáplatované firewally SonicWall vystaveny vysokému riziku zneužití

Bezpečnostní firma BishopFox uveřejnila článek a výsledky analýzy, v nichž informuje o nálezu vysokého počtu firewallů SonicWall dostupných z veřejného internetu, které jsou postiženy dvěma závažnými zranitelnostmi. Úspěšné zneužití zranitelnosti může mít za následek buď odepření služby, nebo vzdálené neoprávněné spuštění libovolného kódu, to podle vyspělosti škodlivého kódu útočníka. Takto zranitelných firewallů bylo identifikováno kolem 178 000, což už by mohl být slušný botnet.

Technicky jsou obě zranitelnosti podobné v důsledku opakovaného výskytu zranitelného kódu v operačním systému firewallu a obě mohou vést k přetečení zásobníku. Každá se však nachází na jiné cestě HTTP URI a proto byly jim v minulosti byly přiděleny rozdílné identifikátory. Obě zranitelnosti jsou zneužitelné po veřejné síti a bez předchozí autentizace. Zmíněné zranitelnosti jsou označeny jako:

CS24 tip temata

Aktuálně je volně dostupný exploit pro CVE-2023–0656 ve stavu „Proof of Concept“, vzhledem ke společné podstatě obou chyb se ale dá předpokládat, že dříve či později dojde k masivnímu zneužití obou, a za plné automatizace. Vzhledem k faktu, že se jedná o závažné zranitelnosti v bezpečnostním systému, je urychlená instalace opravných balíčků velmi žádoucí.

Ve zkratce

Pro pobavení

Zjistili moje heslo, teď musím přejmenovat svého psa :(

Autor: Internxt Blog

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Články tvoří společně jednotliví členové týmu CERT společnosti ČD - Telematika a.s.