Hlavní navigace

Postřehy z bezpečnosti: úpravny vod nejsou chráněny proti útokům

28. 6. 2021
Doba čtení: 5 minut

Sdílet

 Autor: Depositphotos
Dnes se podíváme na bezpečnost vodárenských systémů, na zranitelnost, která umožňuje prohlížeči zjistit, jaké aplikace máte v PC, podíváme se také na problémy Androidu a iOSu i na další zajímavosti.

Útok na úpravnu vody

Neznámí útočníci se v lednu tohoto roku pokusili kompromitovat úpravnu vody  pro část San Francisca. K systémům vodárny získali přístup pomocí hesla bývalého zaměstnance k aplikaci TeamViewer, který umožňuje vzdálené připojení. Následně se útočníci pokoušeli manipulovat se softwarem používaným při úpravě pitné vody. Útok byl objeven den po prvotním průniku a nezpůsobil naštěstí žádnou větší újmu. K útokům na vodní zdroje však dochází stále častěji.

V únoru tohoto roku byl odhalen útok, při němž útočníci znásobili množství hydroxidu sodného používaného při úpravě vody a naštěstí byl odhalen dříve, než mohlo dojít ke katastrofě. V březnu byl zase za přístup a manipulaci s počítačovým systémem veřejného vodovodu v Kansasu obviněn 22letý útočník z USA. Tomuto mladíkovi se podařilo ukončit procesy, které mají vliv na čištění a dezinfekci.

Není tedy divu, že nově zveřejněný průzkum zaměřený na bezpečnost ve vodárenském průmyslu přinesl znepokojující výsledky. Většina z 52 tisíc samostatných vodárenských systémů nemá dosud hotovou ani inventarizaci informačních technologií. Přes 67 % vodárenských systémů pak za poslední rok nehlásilo žádný bezpečnostní incident související s IT provozem, což spíše indikuje, že něco není v pořádku se samotným procesem detekce a reportování incidentů.

Identifikace uživatele napříč prohlížeči

Společnost FingerprintJS definovala nový vektor útoku tzv. scheme flood, to jest zahlcení schématu, té části URL, kde je napsán protokol. Přestože hlavní protokol pro přístup k webovým stránkám je HTTPS, šifrovaný hypertext, webové stránky umožňují přístup i na jiné protokoly: FTP pro přenos souborů, MAILTO k označení e-mailových adres, apod. Jakmile prohlížeč dostane za úkol přejít na URL danou protokolem, může toto URL předat nezávislé aplikaci, aby ho zpracovala po svém. V případě MAILTO to bývá e-mailový klient.

Této funkcionality si všimli ve FingerprintJS a ukázali, jak ji lze využít co zranitelnost. Webová stránka se nedozví příliš informací o tom, jak je s její URL naloženo, ale zvládne identifikovat, že na počítači uživatele existuje aplikace, která daný protokol zpracovává. Pokud útočník oskenuje větší množství aplikací, jejich kombinace uživatele sice nepříliš jednoznačně, přesto dostatečně přesně může identifikovat. A to dokonce napříč prohlížeči! Snažíte se v anonymním režimu Chrome přistoupit ke stránce, kam posléze přistoupíte v Toru? Stránka vás přesto identifikuje jako jediného uživatele. (V Toru tedy už ne, ten záplatoval, ostatní prohlížeče budou zřejmě brzy následovat.)

FingerprintJS jich má v databázi 24 – Skype, Word, WhatsApp, atd. Vyzkoušejte sami, zda vám aplikace přisoudí jednoznačný identifikátor.

Problémový update Androidu

Probudili jste se minulou středu bez svého plně funkčního mobilního telefonu? Pak vězte, že jste v tom nebyli sami. V tuto chvíli ještě neznámá chyba způsobovala vytrvalé padání aplikace Google, které v mnohých případech znemožňovalo běžné používání mobilního telefonu s OS Android.

Nejranější zmínky o této chybě se začaly objevovat na Twitteru 22. června kolem půl osmé ráno. K oficiálnímu vyjádření na twitterovém účtu Android pak došlo 23. června ve dvě hodiny odpoledne, kdy byl potvrzen problém včetně nabídky dočasného řešení.

Název bezdrátové sítě schopný ochromit iOS

U operačního systému iOS byla zjištěna chyba, která může v konečném důsledku váš iPhone kompletně odříznout od možnosti připojení se k Wi-Fi sítím. Bezpečnostní specialista Carl Schou na Twitteru oznámil, že když se připojíte k Wi-Fi síti s SSID „%p%s%s%s%s%n.“, tak nejen, že se iPhone k této síti nedokáže připojit, ale kompletně tím zablokujete i připojení k jiným Wi-Fi sítím. A to i po restartování iPhonu.

NÚKIB spouští nový rozcestník osvětových aktivit

Nový rozcestník je především kolekcí vybraných materiálů, které jsou vhodné pro výuku kybernetické bezpečnosti ve školním prostředí. Rozcestník bude užitečný především učitelům, kteří nemusí sami vyhledávat materiály a inspiraci pro výuku kybernetické bezpečnosti. Stačí navštívit rozcestník, kde vše najdou na jednom místě.

Žáci MŠ, ZŠ i SŠ se mohou díky těmto materiálům seznámit s kybernetickou bezpečností pomocí povídek, komiksů, podcastů, her, videokurzů nebo třeba tematických seriálů a filmů. Materiály, které rozcestník ukazuje, nejsou jen z dílny NÚKIB, ale i řady dalších organizací jako je AVAST Software, O2 Chytrá škola, CZ.NIC nebo Český rozhlas.

Masivní nárůst botnetové sítě DirtyMoe

Avast varuje před masivním nárůstem botnetové sítě s názvem „DirtyMoe“. V první polovině roku 2021 objevili více než 100 000 infikovaných systémů. Přitom v celém minulém roce 2020 objevili pouhých 10 000 infikovaných systémů. Experti popisují DirtyMoe jako komplexní malware. Botnetová síť byla aktivní od roku 2017, kdy byla převážně využívána pro těžení kryptoměny.

V roce 2018 se začal využívat také k DDoS útokům. K šíření docházelo v rámci phishingových kampaní nebo také pomocí zranitelnosti v Internet Exploreru CVE-2020–0674. Koncem roku 2020 došlo k zásadní změně, kdy se malware obohatil o modul, který je údajně skenuje internet a hledá stroje se systém Windows, které mají otevřený port se službou SMB, kde následně zkouší prolomit heslo hrubou silou.

Video streamy v ohrožení

CISA (Cybersecurity & Infrastructure Security Agency) zveřejnila popis chybyThroughTek P2P SDK, který je používán v mnoha síťových kamerách, dětských chůvičkách a obecně zařízeních používaných ke snímání obrazu a jeho přenášení po síti. Chybě bylo vyhrazeno CVE-2021–32934 s kritičností 9.1 podle CVSSv3. Umožňuje útočníkovi zobrazovat data přenášená kamerami. Zranitelné jsou následující verze SDK:

  • Verze 3.1.5 a starší
  • Verze s nossl tagem
  • Zařízení s firmwarem, který nepoužívá AuthKey pro IOTC spojení
  • Zařízení s firmwarem, který používá AVAPI modul bez DTLS
  • Zařízení s firmwarem, který používá P2PTunnel nebo RDT modul

Náprava:

  • Pokud se jedná o SDK verze 3.1.10 and vyšší, povolte authkey a DTLS
  • Pokud se jedná o SDK libovolné verze před 3.1.10, aktualizujte knihovnu na v3.3.1.0 nebo v3.4.2.0 a povolte authkey/DTLS

Jako vlastníci těchto zařízení, musíme jen doufat, že uvedené aktualizace provede výrobce zařízení co nejdříve. 

Nový ransomware DarkRadiation cílí na Linux a Docker

Byl objeven nový typ ransomwaru nazvaný DarkRadiation, který je celý psán v Bashi a s velícím serverem komunikuje skrze Telegram. Data šifruje obvyklým AES-CBC a zašifrovaným souborům připojuje příponu ‚.☢‘. Zatím však není jasné, zda-li je ransomware již reálně použit, tento objev byl učiněn náhodou na útočníkově serveru, kde uživatel Twitteru objevil adresář „attack_api".

MIF temata

Celý bashovský skript je obfuskován open-source nástrojem node-bash-obfuscate. Po spuštění se pokusí nainstalovat wget, curl a openssl knihovny a příkazem ‚who‘ pravidelně sleduje přihlášené uživatele a odesílá skrz Telegram API. Ransomware nakonec vytvoří vlastního uživatele „ferrum" pro účely šifrování dat a ostatní uživatele smaže. Dalšími schopnostmi ransomwaru je schopnost šířit se automaticky skrze SSH nebo zastavovat docker kontejnery.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.