Hlavní navigace

Postřehy z bezpečnosti: záškodníci útočí

V dnešním díle postřehů se podíváme na nové vlastnosti botu TeamTNT, kritickou zranitelnost serveru Jenkins, zranitelnosti v Concrete5 CMS, IBM Db2 a jiné zajímavosti ze světa výpočetní techniky.
CESNET CERTS 24. 8. 2020
Doba čtení: 3 minuty

Sdílet

Nové vlastnosti botu TeamTNT

Bezpečnostní výzkumníci firmy Cado Security zjistili, že bot zvaný TeamTNT jako první umí hledat a odcizit přístupové údaje Amazon Web Services (AWS). Jedná se o malware, který napadá instalace Dockeru a těží kryptoměny. Aktivita TeamTNT byla již popsána bezpečnostní firmou Trend Micro, ale nová vlastnost ohledně odcizení přístupových údajů AWS byla přidána teprve nedávno. V současné době také napadá špatně nastavené instalace Kubernetes.

Doporučenou ochranou je následující:

  • identifikace systémů s přístupovými údaji AWS a jejich vymazání, v případě, že nejsou potřeba
  • použití pravidel firewallu na omezení přístupu k Docker API (nejlépe whitelist)
  • kontrola provozu na nežádoucí spojení do kryptoměnově-těžařských rozsahů
  • kontrola spojení posílajících přístupové údaje AWS přes HTTP

Kritická zranitelnost serveru Jenkins

Bylo vydáno doporučení ohledně kritické chyby v Jetty web serveru, která vede k memory corruption a je příčinou prozrazení důvěrných informací. Chyba, která je sledována jako CVE-2019–17638 ovlivňuje verze Eclipse Jetty 9.4.27.v20200227 až po verzi 9.4.29.v20200521.

Chyba dovoluje neověřeným útočníkům získat hlavičky HTTP response, které mohou zahrnovat citlivá data jako identifikátory relace, přístupové údaje apod. pro jiného uživatele. Potom, co byly zveřejněny bezpečnostní důsledky, byla uvolněna opravená verze Jetty 9.4.30.v20200611. Jenkins, který obsahuje Jetty, záplatoval chybu ve svém nástroji Jenkins 2.243 a Jenkins LTS 2.235.5. Uživatelům Jenkinse je doporučeno co nejdříve aktualizovat na nejnovější verzi.

Zranitelnost v Concrete5 CMS

Nedávno opravená chyba RCE (remote code execution) v Concrete5 CMS (content management system) vystavila útokům řadu webových stránek, které CMS používají jako např. BASF, GlobalSign a U.S.Army. Zranitelnost, která byla objevena výzkumníky z Edgescan, může být zneužita útočníkem ke vložení reverse shellcode do zranitelných webserverů, což následně umožňuje útočníkům převzetí kontroly nad napadeným serverem.

Uvedenou zranitelností je postižena verze Concrete5 8.5.2. Experti zdůrazňují, že chyba může být zneužita k přidání PHP rozšíření do seznamu povolených rozšíření a následně k načtení souboru, který umožní běh libovolných příkazů. Zranitelnost byla reportována platformou HackerOne v lednu 2020, ale byla opravena s verzí Concrete5 8.5.4. Informace, jak útok reprodukovat, byla uvolněna platformou HackerOne.

Bezpečnostní chyba v IBM Db2

Výzkumníci minulý čtvrtek odhalili detaily zranitelnosti paměti v rodině produktů správy dat IBM Db2. Chyba sledovaná jako CVE-2020–4414 se týká IBM Db2 ve verzích 9.7, 10.1, 10.5, 11.1 a 11.5 na všech platformách a je způsobena špatným použitím sdílené paměti, což umožňuje útočníkům provádět na zranitelném systému neautorizované akce. Uživatelům Db 2 je doporučeno aktualizovat jejich software na nejnovější verzi.

Bezsouborový SSH botnet útočí

Skupina bezpečnostních výzkumníků odkryla sofistikovaný multifunkční peer-to-peer botnet zvaný „FritzFrog“ napsaný v jazyce Go, který od ledna 2020 aktivně napadá SSH servery. Botnet již napadl více než 500 serverů zejména na univerzitách ve Spojených Státech a v Evropě. Jakmile je cílový stroj identifikován, malware provede sérii úkonů včetně hádání hesla hrubou silou a v případě úspěšného napadení cíle infikuje přímo paměť stroje škodlivým kódem a přidá oběť do P2P sítě.

KL20-tip-hlasovani

Aby se ukryl, tak malware běží jako ifconfig a NGINX a začne poslouchat na portu 1234, aby mohl přijmout další příkazy k provedení včetně synchronizace oběti s databází síťových sousedů. Co je ještě zajímavé je to, že přenosy škodlivého kódu mezi uzly jsou přenášeny po částech podobně jako v BitTorrentu. Úkolem malware je mimo jiné těžit kryptoměnu Monero a zanechat otevřená zadní vrátka pro připojení vložením veřejného klíče mezi autorizované klíče programu SSH. Obranou je použití autentizace pomocí veřejných klíčů nebo spuštění SSH na nestandardním portu s omezením přístupu jen z určitých IP adres.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…