Witajcie w kolejnym przeglądzie newsów ze świata IT. Ilość nowych zagrożeń oraz wybiegów cyberprzestępców stawia na nogi lepiej niż mała czarna z rana. W tym tygodniu…
1.Wykryto nową groźną podatność w procesorach Intela
Badacze ds. bezpieczeństwa odkryli nowa lukę mającą wpływ na wszystkie generacje procesorów firmy Intel. Podatność okazać się może groźniejsza od okrytych złą sławą luk Spectre i Meltdown, ujawnionych w styczniu 2018 roku. O obu tych podatnościach pisaliśmy w raporcie Cyberbezpieczeństwo. Trendy 2019 roku.
Wada Spoiler związana jest z funkcją wykonywania spekulatywnego. Podobnie jak Spectre i Meltdown. Różnica polega na tym, że nowo odkryta podatność dotyczy innego obszaru procesora, tak zwanego Memory Order Buffer. Służy on do zarządzania operacjami pamięciowymi i ściśle powiązany jest z pamięcią podręczną.
Wykorzystanie określonych instrukcji doprowadzić może do wycieku newralgicznych danych podczas wykonywania przez procesor operacji na pamięci. Atak przeprowadzony może zostać za pomocą skryptu JavaScript ze złośliwej strony internetowej lub przy wykorzystaniu złośliwego oprogramowania zainstalowanego w systemie ofiary.
Luka bezpieczeństwa procesorów Intel związana jest z podsystemem pamięci. W celu jej wyeliminowania potrzebne okazać się może wprowadzenie stosownych aktualizacji sprzętowych i zmian w architekturze procesora. Samo wydanie łatki nie rozwiąże bowiem tego problemu…
2. Luka umożliwiająca przejęcie kontroli nad serwerami Windows
Badacze ds. cyberbezpieczeństwa odkryli podatność w Windows Deployment Services (WDS) – usłudze wdrożenia systemu Windows. Luka może umożliwić atakującemu przejęcie instalacji serwerów Windows i ukrycie w systemie backdoora.
Usługi WDS stosowane są przy instalowaniu niestandardowych systemów operacyjnych na nowych komputerach w sieci. WDS korzysta z serwera PXE (Preboot eXecution Environment ) by pomóc klientom w uruchomieniu sieci oraz by pobrać sieciowy program rozruchowy Network Boot Program (NBP). Do transferu danych z NBP, serwer PXE wykorzystuje protokół TFTP (Trivial File Transfer Protocol), który jest starszą wersją protokołu FTP i nie posiada jego zaawansowanych funkcji.
Badacze przetestowali implementację protokołu TFTP w WDS i wykryli, że atakujący mogą tworzyć nieprawidłowo sformatowane pakiety, które wywołują szkodliwy kod na serwerach Windows otrzymujących odpowiedzi z serwerów PXE. Prowadzi to do złamania przez cyberprzestępców zabezpieczeń serwerów Windows oraz wykorzystania usługi WDS do wdrożenia ukrytego w systemie lokalnym backdoor’a.
Luka bezpieczeństwa dotyczyła wszystkich serwerów Windows 2008 i późniejszych, a także komponentu WDS. Microsoft załatał już lukę.
3. Triton najbardziej morderczym ze złośliwych oprogramowań na świecie
Przy pomocy fałszywego kodu Triton’a dezaktywować można systemy bezpieczeństwa zaprojektowane do zapobiegania katastrofalnym w skutkach awariom przemysłowym. Triton ujawnił się po raz pierwszy na Bliskim Wschodzie. Obecnie przy jego pomocy hakerzy atakują firmy w Ameryce Północnej.
Triton odkryty został latem 2017 roku w zakładzie petrochemicznym w Arabii Saudyjskiej. Hakerzy przy jego pomocy starali się przejąć zdalną kontrolę nad systemem bezpieczeństwa zakładu. Choć działanie to się nie powiodło, doprowadziło do przestoju zakładu. Jego powodu upatrywano początkowo w mechanicznej usterce. Po drugim przestoju właściciele zakładu wezwali odpowiednie służby. Śledztwo wykazało, że przyczyną było złośliwe oprogramowanie nazwane Triton od modelu kontrolera bezpieczeństwa Triconex, który był celem ataku.
W przypadku powodzenia ataku złośliwy kod doprowadzić mógł do uwolnienia toksycznego siarkowodoru lub spowodować eksplozję. W jednym i drugim przypadku narażone zostałoby życie zarówno pracowników jak i okolicznych mieszkańców.
Cyberprzestępcy przekroczyli kolejną granicę – po raz pierwszy do czynienia mieliśmy bowiem z kodem zaprojektowanym by narażać na szwank ludzkie życie… Pytanie czy autorów tego złośliwego oprogramowania określić można jeszcze mianem cyberprzestępców czy już raczej cyberterrorystów?
Podobne do Triconexa systemy bezpieczeństwa występują nie tylko w zakładach petrochemicznych. Stanowią one ostatnią linię obrony w różnych branżach od transportu, poprzez stacje uzdatniania wody, na elektrowniach jądrowych skończywszy (!)
Odkrycie Tritona zbiega się w czasie z coraz powszechniejszym wykorzystaniem internetu we wszelkiego rodzaju urządzeniach produkcyjnych, a więc tak zwanego przemysłowego internetu rzeczy. Umożliwia to m.in. zdalny monitoring sprzętu oraz bieżącą analizę danych w celu zwiększenia wydajności operacji. Tendencja ta ma niestety także swoją ciemną stronę – daje bowiem hakerom nowe możliwości przeprowadzania ataków.
Przestępcy ukrywający się za Tritonem poszukują kolejnych ofiar. Eksperci ds. cyberbezpieczeństwa są zdania, że w ciągu ostatniego roku odnotowali co najmniej kilkanaście sygnałów aktywności tego złośliwego oprogramowania poza Bliskim Wschodem, m.in. w Ameryce Północnej.
4. Kampania złośliwego oprogramowania do ataków typu brute force
Nowa kampania rozprzestrzenia na komputerach z systemami Windows oraz Linux StealthWorker’a – złośliwe oprogramowanie służące przestępcom do przeprowadzania serii rozproszonych ataków typu brute force.
StealthWorker nie jest nowym zagrożeniem. Odpowiadał m.in. za szereg ataków na strony internetowe oparte na platformie Magneto, za pomocą których przestępcy zbierali informacje o płatnościach, a także dane osobowe ofiar.
W nowej kampanii StealthWorker celuje w hosty posiadające słabe lub domyślnie ustawione hasła.
Po włamaniu do komputera złośliwe oprogramowanie kopiuje się do folderu Autostart lub TMP i odpowiednio ustawia wpis crontab, aby przekształcić komputer ofiary w zombie botnet. Następnie, łączy się z serwerem C&C przestępców. Stworzony botnet jest wykorzystywany do skanowania usług uruchomionych na atakowanym serwerze i próbie siłowego złamania ich zabezpieczeń. Zawirusowane komputery umożliwiają przestępcom korzystanie z ich zasobów obliczeniowych co zwiększa możliwości przetwarzania danych, złamania haseł oraz szanse powodzenia ataku.
Rozproszenie ataków pozwala skutecznie omijać rozwiązania zabezpieczające, które nie są skuteczne przy żądaniach pochodzących z różnych źródłowych adresów IP – nie blokują ich bowiem, tak jak w przypadku licznych zapytań z tego samego źródła.
5. Poważna podatność w oprogramowaniu do zarządzania urządzeniami automatyki przemysłowej
Rockwell Automation, jedna z czołowych firm automatyki przemysłowej na świecie, naprawiła poważną lukę bezpieczeństwa w popularnym pakiecie oprogramowania RSLinx Classic dostępnym na platformie Windows. Pomaga ono w konfiguracji oraz komunikacji z urządzeniami i sieciami automatyki przemysłowej.
Podatność związana z przepełnieniem bufora w jednym z programów mogła prowadzić do ataków typu DDoS (ang. denial-of-service), a także umożliwić zdalne wykonywanie kodu. Luka bezpieczeństwa dotyczyła wersji RSLinx Classic v4.10.00 oraz starszych. Rockwell Automation powiadomiło użytkowników o istniejącej podatności i wydało zalecenia dotyczące bezpieczeństwa, podkreślając wagę usterki. W poradniku poinformowano , że w celu uniknięcia błędu należy wyłączyć port docelowy.
Firma wydała łatki dla wszystkich wersji oprogramowania RSLinx Classic, których dotyczy błąd, czyli do wersji: v3.60, v3.70, v3.80, v3.81, v3.90, v4.00.01 oraz v4.10.
6. Dlaczego ciąg znaków „ji32k7au4a83” jest wyjątkowo popularnym hasłem?
Długi i na pierwszy rzut oka zupełnie przypadkowy ciąg liter i cyfr „ji32k7au4a83” wydawać mógłby się świetnym hasłem. Czy takim jest w rzeczywistości? Okazuje się, że niekoniecznie…
Na wspominanej przez nas parokrotnie stronie Have I Been Pwned pomagającej sprawdzić czy używany przez nas email i hasło nie wyciekły do sieci, ten przypadkowy ciąg liter i cyfr składający się na, wydawałoby się, silne hasło odnotowany został w aż 141 przypadkach naruszeń.
Gdzie ukryty jest tutaj przysłowiowy haczyk? Odkryto, że ten ciąg znaków zapisany jest w systemie Zhuyin Fuhao służącym do transliteracji języka mandaryńskiego – a więc zapisania znaków fonetycznych tego języka za pomocą europejskich znaków. Oznacza on po prostu “moje hasło”. To co wydawać się mogło silnym i oryginalnym zabezpieczeniem tak naprawdę okazało się chińskim odpowiednikiem jednego z najczęściej używanych i łatwych do złamania haseł.
Jaką lekcję warto wyciągnąć z tej historii? Być może do dobrych praktyk tworzenia haseł warto dodać sprawdzenie czy nasz pozornie przypadkowy ciąg znaków nie ma innego, ukrytego znaczenia. Tym bardziej, jeżeli mówimy o tak banalnym i łatwym do rozszyfrowania znaczeniu, jak to opisane na powyższym przykładzie.
7. Google chce pomóc firmom chronić ich użytkowników
Google wprowadził wersję beta interfejsu API Web Risk. Powszechnie udostępnił również usługi Cloud Armor – ochronę przed atakami DDoS i usługę firewall aplikacji internetowej (WAF), a także zarządzany sprzętowo moduł bezpieczeństwa Cloud HSM. Celem tych działań jest zwiększenie bezpieczeństwa.
Dzięki wersji beta nowego API Web Risk, firmy i instytucje skorzystać mogą z listy na bieżąco aktualizowanych niebezpiecznych zasobów sieciowych Google’a, chroniąc swoich użytkowników w sieci. Interfejs tej aplikacji pomaga w zidentyfikowaniu niebezpiecznych witryn powiązanych z atakami phishingowymi lub zawierających złośliwe oprogramowanie. API Web Risk ostrzega użytkowników przed klikaniem w podejrzane linki, a także zapobiega przed zamieszczeniem takich linków.
Cloud Armor chroni przed atakami DDoS L3/L4 pełniąc zarazem rolę IP białej i czarnej listy narzędzi dla aplikacji lub usługi Cloud HTTP/S Load Balancer. Nowy pulpit nawigacyjny usługi pozwala użytkownikom ocenić potencjalny wpływ proponowanych reguł.
Dzięki Cloud HSM firmy i instytucje chronić mogą swoje klucze szyfrujące i wykonywać operacje kryptograficzne w certyfikowanych modułach HSM FIPS 140-2 Level 3.