Hlavní navigace

Postřehy z bezpečnosti: zranitelný VMware a napadení domén u GoDaddy

30. 11. 2020
Doba čtení: 3 minuty

Sdílet

V dnešním díle postřehů se podíváme na zranitelnosti ve VMware, na problémy GoDaddy, na webové stránky v ohrožení, na zatýkání podvodníků v Nigérii a na jiné zajímavosti ze světa výpočetní techniky.

VMware zveřejnil kritickou zranitelnost

VMware zveřejnil kritickou zero-day zranitelnost CVE-2020–4006 v několika komponentech VMware Workspace One a doporučil dočasné řešení do vyřešení problému. Chyba může být zneužita útočníky k provádění příkazů na hostitelském operačním systému Linux nebo Windows s pomocí zvýšeného oprávnění. Záležitost ovlivňuje administrativní konfigurátor několika verzí VMware Workspace ONE Access, Access Connector, Identity Manager a Identity Manager Connector.

Chybou postižené verze jsou následující:

  • VMware Workspace One Access 20.10 (Linux)
  • VMware Workspace One Access 20.01 (Linux)
  • VMware Identity Manager verze 3.3.1 až do verze 3.3.3 včetně (Linux)
  • VMware Identity Manager Connector 3.3.2, 3.3.1 (Linux)
  • VMware Identity Manager Connector 3.3.3, 3.3.2 a 3.3.1 (Windows)

Společnost oznámila, že záplaty se brzy objeví a do té doby doporučuje dočasné řešení.

Podvodníci se zmocnili domén GoDaddy

Podvodníci byli schopni se zmocnit provozu a e-mailů na několika doménách zabývajících se kryptoměnami. Podvodníci byli schopni modifikovat nastavení DNS, protože ke spolupráci přesvědčili zaměstnance GoDaddy za pomocí sociálního inženýrství. Kybernetičtí kriminálníci se také zaměřili na firmu NiceHash zabývající se těžbou kryptoměn a pomocí stejné techniky provedli úspěšný únos domény. Útočníci byli schopni modifikovat DNS záznamy domény NiceHash.com a společnost byla donucena zmrazit aktivity v peněženkách, aby ochránila majetek klientů.

V nedávné době (květen 2020 a říjen 2019) se společnost GoDaddy potýkala s úniky dat, které spolu s únosy domén z listopadu 2020 stále vyšetřuje.

Webové stránky v ohrožení

Výzkumníci objevili velkou zranitelnost v softwaru cPanel, která může být zneužita útočníky k překonání dvoufaktorového ověřování v účtech cPanelu. Zranitelnost má velký dosah, neboť se zmíněná softwarová sada používá k ovládání více než 70 miliónů domén v celém světě.

Experti zjistili, že implementace dvoufaktorového ověřování v cPanelu a Webhost Manageru byla zranitelná na brute-force útoky, které dovolovaly útočníkům odhadnout parametry URL a obejít dvoufaktorové ověřování. Ke zneužití této chyby je potřeba, aby měl útočník správnou kombinaci uživatelského jména a hesla cílového účtu. Výzkumníci dále sdělili, že obejití dvoufaktorového ověřování se dá dosáhnout v řádech jednotek minut. Chyby byly opraveny vydáním následujících sestavení:

  • 11.92.0.2
  • 11.90.0.17
  • 11.86.0.32

Děravý SD-WAN orchestrator od VMware

VMware opravil šest zranitelností ve svém SD-WAN Orchestratoru, které by jinak mohly vystavit podnikové sítě útokům. Jedná se o následující zranitelnosti:

  • zranitelnost vkládání SQL v SD-WAN Orchestrátoru sledovaná jako CVE-2020–3984
  • spuštění souboru procházením adresáře v SD-WAN Orchestrátoru sledovaná jako CVE-2020–4000
  • útok Pass-the-Hash implicitními hesly sledovaná jako CVE-2020–4001
  • zvýšení oprávnění koncového bodu API sledovaná jako CVE-2020–3985
  • nebezpečné zpracování systémových parametrů sledovaná jako CVE-2020–4002
  • únik informací pomocí vkládání SQL sledovaná jako CVE-2020–4003

K dispozici jsou nyní následující opravené verze:

  • SD-WAN Orchestrator 3.3.2 p3 build 3.3.2-GA-20201103
  • SD-WAN Orchestrator 3.4.4 build R344–20201103-GA
  • SD-WAN Orchestrator 4.0.1

Zatýkání podvodníků v Nigérii

Interpol sdělil, že tři občané Nigérie podezřelí z členství v kriminální skupině, která distribuovala malware, provozovala phishingové kampaně a prováděla obchodní podvody, byli během tzv. Operace Falcon zatčeni v Lagosu. Na vyšetřování se kromě Interpolu podílela také Singapurská kybernetická bezpečnostní firma Group-IB a nigerijská policie. 

Dosud bylo identifikováno kolem 50 000 cílených obětí útoků. Skupina během svých phishingových kampaní rozšiřovala 26 malwarových programů, spyware a nástrojů vzdáleného přístupu. Hlavním cílem útočníků, jak poznamenala Group-IB, bylo odcizit ověřovací data z prohlížečů a poštovních a FTP klientů z firem umístěných mimo jiné v USA, UK, Singapuru, Japonsku a Nigerii.

Pozor na WAPDropper

Výzkumníci upozorňují na nový malware zvaný WAPDropper, který uživatele mobilních telefonů přihlašuje k vysokopoplatkovým legálním službám v Malaysii a Thajsku. Malware se skládá ze dvou modulů, kde jeden je zodpovědný za stažení druhé fáze malware a druhý za stažení dialeru, který následně uživatele přihlásí k legitimním prémiovým službám. 

Root tip

Malware je distribuován přes obchody třetích stran a jakmile je nainstalován, tak kontaktuje CC server pro stažení dalších komponent ke spuštění. Report publikovaný firmou Check Point také zahrnuje indikátory kompromitace.

Ve zkratce

Pro pobavení


O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…

Autor článku

CESNET-CERTS je oficiální jméno bezpečnostního týmu sdružení CESNET, z. s. p. o. od ledna roku 2004. Jeho součástí je také Forenzní laboratoř FLAB. Články tvoří společně jednotliví členové týmu.