Postřehy z bezpečnosti: zranitelnost v Cisco ASA otevírá dveře útočníkům

Dvě vážné zranitelnosti v Cisco ASA

Britské Národní centrum pro kybernetickou bezpečnost (NCSC) varovalo před útoky, při kterých byly zneužity zranitelnosti v zařízeních Cisco ASA. Útočníci při nich nasadili dosud nezdokumentované nástroje RayInitiator a LINE VIPER. Ty podle NCSC představují výrazně pokročilejší techniky než v dřívějších kampaních. Společnost Cisco začala v květnu 2025 vyšetřovat útoky na několik vládních institucí.

Útočníci se zaměřili na zařízení Cisco ASA 5500-X Series s povolenými VPN webovými službami. Do zařízení nainstalovali škodlivý software, spouštěli příkazy a v některých případech mohli získat přístup k uloženým datům. Podrobnější analýza pak odhalila chybu v softwaru ASA, která vedla k poškození paměti. Zároveň bylo zjištěno, že útočníci používali pokročilé techniky – například vypnutí logování nebo úmyslné zhavarování zařízení, aby ztížili jeho kontrolu

Útoky využily dvě závažné zranitelnosti: 

• CVE-2025–20362 (CVSS 6,5) 
• CVE-2025–20333 (CVSS 9,9) 

Díky nim mohli útočníci obejít přihlášení a spustit vlastní kód na napadených zařízeních. Kampaň je připisována skupině označované jako ArcaneDoor, kterou bezpečnostní odborníci spojují s Čínou (skupina UAT4356 / Storm 1849). Cisco navíc upozornilo i na třetí chybu – CVE 2025 20363 (CVSS 8,5–9,0) – která by mohla umožnit spuštění škodlivého kódu přes webové služby. Tato zranitelnost zatím ale podle firmy nebyla v praxi zneužita.  

RayInitiator je bootkit, který se nahrává přímo do startovací části systému a přežije i restart nebo aktualizaci. Slouží k tomu, aby při každém spuštění zařízení automaticky nahrál další škodlivou část – LINE VIPER. 

LINE VIPER je nástroj, který běží v systému a útočníkům umožňuje provádět různé akce: spouštět příkazy, sledovat síťový provoz, potlačit systémové záznamy, upravovat konfiguraci nebo obejít přihlašování k VPN. Zároveň je navržen tak, aby se co nejlépe skryl a zanechal co nejméně stop.  

V některých případech útočníci dokázali upravit součást systému nazývanou ROMMON, která řídí start zařízení. Díky tomu malware zůstává aktivní i po restartu nebo aktualizaci softwaru. Tyto úpravy se objevily pouze u zařízení, která nepodporují ochrany jako Secure Boot a Trust Anchor. Nejčastěji šlo o ASA zařízení s verzemi softwaru 9.12 a 9.14, kde byly povoleny webové VPN služby.  

Napadeny byly modely, které jsou už mimo oficiální podporu nebo se k jejímu konci blíží: 

• 5512-X, 5515-X – konec podpory: 31. srpna 2022 
• 5585-X – konec podpory: 31. května 2023 
• 5525-X, 5545-X, 5555-X – konec podpory: 30. září 2025 

To znamená, že na tato zařízení už výrobce nevydává pravidelné bezpečnostní aktualizace, což zvyšuje riziko.

Zneužitá zranitelnost ve VMware Tools a Aria Operations

Výzkumníci z NVISO Labs odhalili, že nově opravená zranitelnost v Broadcom VMware Tools a VMware Aria Operations byla od poloviny října 2024 aktivně zneužívána jako zero-day skupinou UNC5174, napojenou na Čínu. Jedná se o chybu CVE-2025–41244 s hodnocením závažnosti CVSS 7.8, která umožňuje lokální eskalaci práv. Problém se týká široké škály produktů včetně VMware Cloud Foundation, vSphere Foundation, Aria Operations, VMware Tools či Telco Cloud Platform. Útočník s neadministrátorským přístupem k virtuálnímu stroji může získat práva roota.

Zranitelnost byla objevena 19. května 2025 výzkumníkem Maximem Thiebautem během zásahu při bezpečnostním incidentu. VMware upozornil, že  pro úspěšné zneužití musí mít protivník již přístup k napadenému systému. Oprava je dostupná například ve verzi VMware Tools 12.4.9 (součást VMware Tools 12.5.4) pro 32bitová Windows, zatímco Linux distributoři mají vydat aktualizované open-vm-tools.

Samotná chyba pramení z funkce get_version(), která pracuje s regulárními výrazy k ověřování procesů a spouštění příkazů. Kvůli příliš širokému použití znakového vzoru \S se ovšem kontrola netýká jen systémových binárek (např. /usr/bin/httpd), ale i těch umístěných v zapisovatelných adresářích (např. /tmp/httpd). To útočníkům umožňuje vložit vlastní škodlivou binárku a spustit ji s vyššími oprávněními při běhu metrických služeb VMware.

Podle NVISO skupina UNC5174 tuto techniku již využívala k nasazení binárky v umístění /tmp/httpd, čímž dosáhla spuštění root shellu. Jaký přesně kód byl poté proveden, není v tuto chvíli známo. Bezpečnostní experti varují, že podobná praxe maskování se za systémové procesy může naznačovat, že i jiné malware rodiny využívaly obdobných chyb k neúmyslným eskalacím práv po řadu let.

Kl(e)opatra krade, zatímco vy spíte

Výzkumníci z týmu Cleafy’s Threat Intelligence objevili nový Android Remote Access Trojan (RAT) nazvaný Klopatra. Donedávna neznámá varianta malwaru pro Android cílí na tisíce uživatelů bankovních služeb, převážně zatím v jižní Evropě. Od svých předchůdců se však liší širokou paletou technik, kterými se brání odhalení, a využívá i prvků sociálního inženýrství.

V Evropě existuje početná skupina sportovních fanoušků se zájmem o sledování živého vysílání sportovních přenosů. Situace na trhu s vysílacími právy je však komplikovaná, ligy např. často rozdělí vysílací práva mezi různé poskytovatele a aplikují různá omezení. Uživatelé naopak touží po možnosti sledovat vše na jednom místě, ideálně samozřejmě zdarma. To vede odhodlané zájemce k tomu, že hledají nelegální aplikace pro streamování – svého času světově nejrozšířenější byla aplikace „Mobdro“.

Ačkoli Mobdro v roce 2021 byla po policejním zásahu iniciovaném na popud majitelů vysílacích práv údajně zlikvidována, útočníci nyní „Klopatru“ maskují právě jako aplikaci Mobdro („Mobdro Pro IP TV + VPN“), tak jako by k přerušení jejího provozu nikdy nedošlo. Sociálně-inženýrská stránka tohoto zacílení je zřejmá – lze předpokládat, že uživatelé snažící se získat nelegální přístup ke sportovnímu obsahu budou zároveň ochotnější k instalaci aplikace z „alternativnějších“ zdrojů, než je oficiální obchod Google Play.

Po svém stažení aplikace zobrazí jednoduché rozhraní s tlačítkem „pokračovat v instalaci“. Klepnutí na něj přesměruje uživatele do systémových nastavení Androidu, kde je vyzván k udělení potřebných oprávnění v sekci Přístupnost (Accessibility Services) — a pokud je udělí, poskytne tím malwaru téměř neomezené možnosti ovládání zařízení. Ten má pak schopnost převzít plnou kontrolu nad infikovaným zařízením pomocí funkce VNC (Virtual Network Computing).

Dokáže vytvářet překryvy přihlašovacích obrazovek, a získat tak údaje, které uživatel zadá  do falešného rozhraní v přesvědčení, že se nachází v tom originálním. A zejména může útočník  ovládat infikované zařízení tak, jako by jej držel v ruce: procházet aplikace, zadávat PIN kódy a hesla, a  hlavně pak provádět finanční transakce, aniž by uživatel zpozoroval něco podezřelého.

Přesto by samozřejmě vyvolalo pozornost, kdyby uživatel zpozoroval, že jeho telefon náhle sám podniká nějaké akce. Proto útočníci provádějí své operace v nočních hodinách, když je obrazovka vypnutá, uživatel neaktivní a zařízení je připojeno k nabíječce – což vše naznačuje, že uživatel patrně spí.

Typický postup obnáší následující posloupnost kroků:

1. Malware zkontroluje, že je obrazovka vypnutá a uživatel nečinný.
2. Ověří, že zařízení je připojeno k nabíječce.
3. Aktivuje zařízení, ale nastaví jas obrazovky na nulu, takže vnější vzhled zůstane „vypnutý“.
4. Odemkne zařízení pomocí dříve získaného PINu či vzoru.
5. Otevře cílovou bankovní aplikaci, zadá odcizené přihlašovací údaje a uskuteční řetězec převodů na vlastní účet útočníka.

Až ráno uživatel zjistí, že jeho peníze jsou pryč.

Technická analýza ukazuje, že jde o velmi pokročilý malware. Vývojáři jej vybavili komerčním čínským „packerem“ Virbox, nástrojem na ochranu kódu před reverzním inženýrstvím, který se v mobilním malwaru objevuje jen zřídka. Jsou zde i různé antisandboxové techniky a nativní knihovny, které neběží v běžném Android Runtime režimu, což dále komplikuje analýzu.

Výzkumníci z týmu Cleafy analyzovali vzorky malwaru a domnívají se, že hrozba pochází od aktéra tureckého původu. V komentářích v kódu také nalezli stopy, že aktér nejen vyvíjí malware, ale také spravuje celý řetězec útoků – od infekce po monetizaci. První varianty Klopatry byly zaznamenány v březnu letošního roku a podle dat od výzkumníků je malware již rozšířen ve Španělsku a Itálii, kde od začátku kampaně kompromitoval prostřednictvím dvou koordinovaných botnetů více než 3 000 zařízení. Při sledování aktivit Klopatry v posledních měsících identifikovali výzkumníci více než 40 různých verzí v oběhu, což ukazuje na rychlý vývojový cyklus.

Únik dat u Allianz Life zasáhl 1,5 milionu osob

Z aktuálně zveřejněného oznámení, zaslaného společností Allianz Life generálnímu státnímu zástupci státu Maine, činí počet osob postižených červencovým průnikem do jejich systémů téměř 1,5 milionu osob. Americká pojišťovna informovala všechny potenciálně postižené, že byla kompromitována jejich jména, adresy, data narození a čísla sociálního zabezpečení (SSN).

Dne 16. července 2025 se útočník za pomoci metod sociálního inženýrství dostal do databáze CRM spravované třetí stranou a kompromitoval data zákazníků, finančních poradců i některých zaměstnanců. Allianz uvedla, že podnikla okamžité kroky k omezení škod, oznámila incident FBI a začala informovat postižené osoby. Zároveň zdůraznila, že dosud nejsou důkazy, že by byly napadeny vnitřní sítě nebo kritické systémy, zejména systémy správy pojistných smluv.

V srpnu web Have I Been Pwned hlásil, že útok mohl ovlivnit 1,1 milionu lidí. V novém oznámení o bezpečnostním incidentu Allianz Life potvrdila, že únik se dotkl její severoamerické divize. Společnost odmítla zveřejnit identitu útočníka, ale podle webu Bleeping Computer je pravděpodobné, že za útokem stojí skupina ShinyHunters. To je známá hackerská skupina, která již nabízela k prodeji data ukradená od řady známých organizací.

Útočníci prohlásili, že získali a zveřejnili kompletní databáze Salesforce Allianz Life včetně tabulek „Accounts“ a „Contacts“. Z těchto tabulek pochází zhruba 2,8 milionu záznamů o klientech a obchodních partnerech. Mezi uniklá data patří jména, adresy, telefonní čísla, datum narození, daňová identifikační čísla, ale také profesní informace — udělené licence, zaměstnanecké vazby či marketingové segmentace.

Allianz Life nyní nabízí dvouleté bezplatné sledování identity od společnosti Kroll, které má pomoci detekovat zneužití osobních údajů a chránit před krádeží identity. Zřídila také speciální podporu telefonickou linkou pro dotazy zákazníků ohledně tohoto incidentu a vydala pro ně souhrn doporučení k omezení možného zneužití uniklých informací.

Ve zkratce

• Google Mandiant vyšetřuje novou vlnu vydírání zaměřenou na Oracle, možná spojenou s ransomwarem Cl0p.
• Nový útok WireTap získává klíč ECDSA z Intel SGX prostřednictvím interposeru na sběrnici paměti DDR4.
• Red Hat potvrzuje napadení instance GitLabu a krádež dat.
• CISA varuje před kritickou chybou v Sudo, která je aktivně zneužívána v systémech Linux a Unix.

Pro pobavení

Autor: Randall Munroe, podle licence: CC BY-NC 2.5

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…