Hlavní navigace

Postřehy z bezpečnosti: útoky na Bluetooth, PLC i UEFI

4. 12. 2023
Doba čtení: 5 minut

Sdílet

 Autor: Depositphotos
V dnešním díle Postřehů se podíváme na novinky okolo úniku dat ze systémů společnosti Okta, nové zranitelnosti v Bluetooth a v UEFI, nebo útoky na průmyslové systémy vyrobené v Izraeli…

Únik dat od Okta se týkal většího počtu zákazníků

Společnost Okta, která koncem října a začátkem listopadu informovala o kompromitaci svého systému zákaznické podpory, publikovala v uplynulém týdnu vyjádření, v němž upravila údaj o počtu zákazníků, jejichž data byla při útoku zcizena.

Původně společnost informovala o tom, že při průniku do jejích systémů získali útočníci přístup k datům pouze 134 zákazníků (tedy necelého jednoho procenta všech zákazníků Okty), přičemž mezi zcizenými informacemi byly ve vybraných případech i autentizační tokeny, které útočníci následně využili v rámci útoků session hijacking.

V nově publikovaném vyjádření Okta doplnila, že útočníkům se vedle zcizení výše zmíněných dat podařilo dostat také k reportu, který obsahoval informace o účtech všech zákazníků, kteří využívali systém uživatelské podpory. Mezi daty, k nimž útočníci tímto způsobem získali přístup, byly v 99,6 % případů pouze e-mailové kontakty a jména zákazníků, ve zbylých případech pak šlo převážně o detailnější kontaktní informace. Žádné citlivé informace typu přihlašovacích údajů se útočníkům tímto způsobem údajně získat nepodařilo.

Přestože reálný dopad útoku se tak vzhledem k omezenému množství nově identifikovaných zcizených dat citelně nezvýšil, počet jím postižených organizací narostl citelně, vzhledem k tomu, že oproti původně ohlášenému jednomu procentu zákazníků se únik dat týkal všech zákazníků Okty, kteří kdy využili její systém zákaznické podpory.

BLUFFS – nové MitM útoky na Bluetooth

Výzkumník Daniele Antonioli z francouzského výzkumného centra Eurecom publikoval počátkem týdne výsledky svého výzkumu, v němž se mu podařilo identifikovat několik zranitelností v aktuální verzi standardu Bluetooth Core Specification, v důsledku nichž je možné mj. provádět za vybraných okolností man-in-the-middle útoky proti Bluetooth relacím. Související výzkum byl pojmenován BLUFFS: Bluetooth Forward and Future Secrecy Attacks and Defenses, a v něm identifikovaným zranitelnostem byl dohromady přiřazen identifikátor CVE-2023–24023.

Vedle samotného článku, v němž je popsáno celkem šest typů „útoků BLUFFS“ s různými dopady, byla výzkumníkem publikována rovněž sada skriptů, která umožňuje vybrané útoky simulovat/provádět.

Vzhledem k tomu, že nově popsané útoky nevyužívají zranitelnosti v softwarových implementacích Bluetooth, ale zranitelnosti v samotném komunikačním standardu, není možné je triviálně záplatovat. Bluetooth SIG již nicméně publikoval doporučení pro zmírnění dopadů těchto zranitelností s pomocí vynuceného používání silných kryptografických algoritmů.

Útoky na průmyslové systémy vyrobené v Izraeli

Velkou pozornost médií si v uplynulém týdnu získaly útoky na průmyslové systémy vyrobené izraelskou společností Unitronics. K úspěšné kompromitaci průmyslových počítačů jmenovaného výrobce došlo např. v rámci organizace řídící vodovody ve městě Aliquippa v Pensylvánii, zasaženy však byly rovněž systémy společnosti Brewmation, která vyrábí systémy pro pivovarnictví, v nichž jsou PLC společnosti Unitronics integrovány.

Postiženy byly i vybrané i české organizace – v důsledku výše zmíněného útoku bylo například mimo provoz zařízení pro stáčení minerálních vod v Náchodě.

Výsledkem útoků je dle dostupných informací zřejmě DoS stav zasaženého zařízení kombinovaný s pozměněným zobrazením jeho ovládacího panelu, na němž je po útoku zobrazena proti-izraelská hláška a informace o tom, že „jakékoli zařízení vyrobené v Izraeli je legitimním cílem pro CYBER AV3NGERS“. Pro úplnost je vhodné dodat, že pod jménem CyberAv3ngers dlouhodobě působí hacktivistická skupina s vazbami na Írán.

CISA vydala v souvislosti s útoky varování, v němž uvádí mj. doporučení k zabezpečení PLC společnosti Unitronics.

Novinky z Ukrajiny

Na Ukrajině došlo v nedávné době k několika událostem, které jsou z hlediska kybernetické bezpečnosti přinejmenším zajímavé, a které se dostaly do médií teprve v uplynulém týdnu.

Vedle jmenování nového vedoucího ukrajinské kyberbezpečnostní agentury SSSCIP, k němuž došlo minulý týden, jen pár dní poté, co byl jeho předchůdce spolu se svým zástupcem odvolán v souvislosti s údajnou zpronevěrou státních finančních prostředků, zaslouží zmínku zejména publikace prohlášení zpravodajské služby ministerstva obrany, v němž jmenovaná organizace informuje, že se jí podařilo proniknout do systémů ruské letecké agentury a získat z nich citlivé dokumenty.

Ve zmíněném prohlášení zpravodajská služba mj. uvádí, že analýza získaných dat ukazuje, že ruský civilní letecký sektor je v současnosti na pokraji kolapsu v důsledku mezinárodních sankcí uvalených na Rusko v souvislosti s invazí na Ukrajinu.

Vedle výše uvedeného zaslouží zmínku také úspěšná mezinárodní policejní akce cílená na skupinu dlouhodobě distribuující různé varianty ransomwaru, jejíž aktivity si měly vyžádat přes 1800 obětí v 71 zemích, a jejíž pět členů bylo zadrženo ukrajinskými policejními orgány. Zásah byl koordinován Europolem a do akce se zapojily vedle ukrajinských vyšetřovatelů i příslušníci policejních orgánů řady dalších států.

LogoFAIL – zranitelnosti v parsování loga výrobce systému v UEFI

Společnost Binarly publikovala ve středu informaci o existenci zranitelností postihujících parsery obrázků v UEFI, užívané pro zobrazování loga výrobců systémů při bootování počítačů, které lze údajně na zranitelných systémech využít k instalaci bootkitů.

DT24

Bližší technické informace o zranitelnostech budou zveřejněny až v tomto týdnu, v rámci vystoupení zástupců jmenované organizace na konferenci Black Hat Europe, nicméně dle již publikovaných informací jimi byla v době jejich objevení údajně postižena zařízení od všech významných výrobců.

Další zajímavosti

Pro pobavení

Everything is a cloud application; the ping times just vary a lot.

Everything is a cloud application; the ping times just vary a lot.

Autor: Randall Munroe, podle licence: CC BY-NC 2.5

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

Byl pro vás článek přínosný?

Autor článku

Jan Kopřiva je specialistou na kybernetickou bezpečnost s dlouhou praxí a širokými zkušenostmi. V současnosti působí jako bezpečnostní konzultant ve společnosti Nettles Consulting a také jako jeden z odborníků ve sdružení SANS Internet Storm Center.