Únik dat od Okta se týkal většího počtu zákazníků
Společnost Okta, která koncem října a začátkem listopadu informovala o kompromitaci svého systému zákaznické podpory, publikovala v uplynulém týdnu vyjádření, v němž upravila údaj o počtu zákazníků, jejichž data byla při útoku zcizena.
Původně společnost informovala o tom, že při průniku do jejích systémů získali útočníci přístup k datům pouze 134 zákazníků (tedy necelého jednoho procenta všech zákazníků Okty), přičemž mezi zcizenými informacemi byly ve vybraných případech i autentizační tokeny, které útočníci následně využili v rámci útoků session hijacking.
V nově publikovaném vyjádření Okta doplnila, že útočníkům se vedle zcizení výše zmíněných dat podařilo dostat také k reportu, který obsahoval informace o účtech všech zákazníků, kteří využívali systém uživatelské podpory. Mezi daty, k nimž útočníci tímto způsobem získali přístup, byly v 99,6 % případů pouze e-mailové kontakty a jména zákazníků, ve zbylých případech pak šlo převážně o detailnější kontaktní informace. Žádné citlivé informace typu přihlašovacích údajů se útočníkům tímto způsobem údajně získat nepodařilo.
Přestože reálný dopad útoku se tak vzhledem k omezenému množství nově identifikovaných zcizených dat citelně nezvýšil, počet jím postižených organizací narostl citelně, vzhledem k tomu, že oproti původně ohlášenému jednomu procentu zákazníků se únik dat týkal všech zákazníků Okty, kteří kdy využili její systém zákaznické podpory.
BLUFFS – nové MitM útoky na Bluetooth
Výzkumník Daniele Antonioli z francouzského výzkumného centra Eurecom publikoval počátkem týdne výsledky svého výzkumu, v němž se mu podařilo identifikovat několik zranitelností v aktuální verzi standardu Bluetooth Core Specification, v důsledku nichž je možné mj. provádět za vybraných okolností man-in-the-middle útoky proti Bluetooth relacím. Související výzkum byl pojmenován BLUFFS: Bluetooth Forward and Future Secrecy Attacks and Defenses, a v něm identifikovaným zranitelnostem byl dohromady přiřazen identifikátor CVE-2023–24023.
Vedle samotného článku, v němž je popsáno celkem šest typů „útoků BLUFFS“ s různými dopady, byla výzkumníkem publikována rovněž sada skriptů, která umožňuje vybrané útoky simulovat/provádět.
Vzhledem k tomu, že nově popsané útoky nevyužívají zranitelnosti v softwarových implementacích Bluetooth, ale zranitelnosti v samotném komunikačním standardu, není možné je triviálně záplatovat. Bluetooth SIG již nicméně publikoval doporučení pro zmírnění dopadů těchto zranitelností s pomocí vynuceného používání silných kryptografických algoritmů.
Útoky na průmyslové systémy vyrobené v Izraeli
Velkou pozornost médií si v uplynulém týdnu získaly útoky na průmyslové systémy vyrobené izraelskou společností Unitronics. K úspěšné kompromitaci průmyslových počítačů jmenovaného výrobce došlo např. v rámci organizace řídící vodovody ve městě Aliquippa v Pensylvánii, zasaženy však byly rovněž systémy společnosti Brewmation, která vyrábí systémy pro pivovarnictví, v nichž jsou PLC společnosti Unitronics integrovány.
Postiženy byly i vybrané i české organizace – v důsledku výše zmíněného útoku bylo například mimo provoz zařízení pro stáčení minerálních vod v Náchodě.
Výsledkem útoků je dle dostupných informací zřejmě DoS stav zasaženého zařízení kombinovaný s pozměněným zobrazením jeho ovládacího panelu, na němž je po útoku zobrazena proti-izraelská hláška a informace o tom, že „jakékoli zařízení vyrobené v Izraeli je legitimním cílem pro CYBER AV3NGERS“. Pro úplnost je vhodné dodat, že pod jménem CyberAv3ngers dlouhodobě působí hacktivistická skupina s vazbami na Írán.
CISA vydala v souvislosti s útoky varování, v němž uvádí mj. doporučení k zabezpečení PLC společnosti Unitronics.
Novinky z Ukrajiny
Na Ukrajině došlo v nedávné době k několika událostem, které jsou z hlediska kybernetické bezpečnosti přinejmenším zajímavé, a které se dostaly do médií teprve v uplynulém týdnu.
Vedle jmenování nového vedoucího ukrajinské kyberbezpečnostní agentury SSSCIP, k němuž došlo minulý týden, jen pár dní poté, co byl jeho předchůdce spolu se svým zástupcem odvolán v souvislosti s údajnou zpronevěrou státních finančních prostředků, zaslouží zmínku zejména publikace prohlášení zpravodajské služby ministerstva obrany, v němž jmenovaná organizace informuje, že se jí podařilo proniknout do systémů ruské letecké agentury a získat z nich citlivé dokumenty.
Ve zmíněném prohlášení zpravodajská služba mj. uvádí, že analýza získaných dat ukazuje, že ruský civilní letecký sektor je v současnosti na pokraji kolapsu v důsledku mezinárodních sankcí uvalených na Rusko v souvislosti s invazí na Ukrajinu.
Vedle výše uvedeného zaslouží zmínku také úspěšná mezinárodní policejní akce cílená na skupinu dlouhodobě distribuující různé varianty ransomwaru, jejíž aktivity si měly vyžádat přes 1800 obětí v 71 zemích, a jejíž pět členů bylo zadrženo ukrajinskými policejními orgány. Zásah byl koordinován Europolem a do akce se zapojily vedle ukrajinských vyšetřovatelů i příslušníci policejních orgánů řady dalších států.
LogoFAIL – zranitelnosti v parsování loga výrobce systému v UEFI
Společnost Binarly publikovala ve středu informaci o existenci zranitelností postihujících parsery obrázků v UEFI, užívané pro zobrazování loga výrobců systémů při bootování počítačů, které lze údajně na zranitelných systémech využít k instalaci bootkitů.
Bližší technické informace o zranitelnostech budou zveřejněny až v tomto týdnu, v rámci vystoupení zástupců jmenované organizace na konferenci Black Hat Europe, nicméně dle již publikovaných informací jimi byla v době jejich objevení údajně postižena zařízení od všech významných výrobců.
Další zajímavosti
- Evropská Rada a Parlament schválily text Aktu o kybernetické odolnosti
- Apple publikoval záplatu pro dvě 0-day zranitelnosti v iOS
- Na společnost Meta byla podána žaloba v souvislosti s nemožností vypnutí sledování chování u neplacených účtů
- Více než polovina obrazů na Docker Hubu obsahuje dle nově publikované analýzy autentizační údaje
- Skupina za ransomwarem Black Basta od dubna 2022 údajně vydělala přes 100 milionů dolarů
- NÚKIB upozornil na hrozbu spojenou s aplikací WeChat
- Vývojář malwaru TrickBot přiznal před soudem v USA vinu, hrozí mu trest až 35 let odnětí svobody
- Byl zveřejněn PoC exploit pro kritické zranitelnosti v Arcserve UDP
- Společnost Netcraft publikovala analýzu zneužívání TLD .zip
- Slovinská energetická společnost HSE byla zasažena ransomwarem
- Senát USA předložil návrh zákona pro prodloužení platnosti Sekce 702, legislativního nástroje umožňujícího NSA sledovat elektronickou komunikaci občanů jiných zemí bez potřeby soudního příkazu
- Proti kritikům srbské vlády byl využit vysoce sofistikovaný spyware
- Zyxel varoval o zranitelnostech ve svých NAS
- Zaměstnanci francouzských vládních organizací byly v oběžníku premiérky požádáni o odinstalování zahraničních komunikačních aplikací a využívání výhradně aplikací domácích
- Google začal mazat neaktivní účty
Pro pobavení
Everything is a cloud application; the ping times just vary a lot.
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
