Jakie tematy zdominowały świat IT w ostatnich dniach? Platforma EA Origin i jej problemy z bezpieczeństwem, nowa podatności w MS Excel, czy wyciek danych nt. Netflix i Ford.
1. Platforma EA Origin narażona na cyberataki
Electronic Arts Games (EA Games) to jeden z największych producentów oraz wydawców gier komputerowych na świecie. W swoim portfolio posiada takie marki gier jak: FIFA, Need For Speed, The Sims, Battlefield czy Medal of Honor. Firma stworzyła także platformę do dystrybucji swoich gier o nazwie EA Origin. Jednak w ostatnim czasie wykryto w niej szereg podatności pozwalających na przejmowanie kont użytkowników. Przestępcy mogą w prosty sposób przejąć tożsamość graczy. Są w stanie również wykraść numery ich kart kredytowych, a także dokonywać zakupów w grach na koszt ofiar.
Przejęcie kontroli nad kontami umożliwiła błędna konfiguracja serwerów DNS, a dokładnie niewłaściwie zabezpieczone tokeny autoryzacyjne. Atakujący mogli wykonać szereg działań prowadzących do przekierowania użytkowników na złośliwą stronę. Dalsze kroki bazowały na wykorzystaniu innych błędów technicznych, w tym związanych z mechanizmem TRUST.
W skrócie atak zakładał uzyskanie tokenu przez atakującego, do czego wykorzystywany był mechanizm przekierowań oraz spreparowana subdomena. W konsekwencji atakujący logowali się na konto ofiary EA Origin i mieli dostęp do zawartych tam danych.
Potencjalnie zagrożonych atakiem było 300 milionów użytkowników EA Origin. Producent w ekspresowym tempie załatał groźne luki, więc miłośnicy gier są już bezpieczni.
2. Cisco łata krytyczne podatności w Data Center Network Manager
Cisco Data Center Network Manager to rozwiązanie do automatyzacji zarządzania sprzętem sieciowym w centrach danych, takich jak przełączniki serii Nexus.
27 czerwca firma udostępniła poprawki naprawiające krytyczne luki bezpieczeństwa, które umożliwiały atakującemu zdalne przesyłanie plików i wykonywanie akcji z uprawnieniami roota.
Aktualizacja obejmuje cztery błędy w zabezpieczeniach. Dwa z nich CVE-2019-1620 i CVE-2019-1619 uzyskały ocenę istotności na poziomie 9,8. Obie zlokalizowane są w konsoli zarządzania siecią DCNM i mogą być wykorzystane zdalnie przez cyberprzestępców bez konieczności uwierzytelniania.
Pierwsza z krytycznych podatności występuje w wersjach DCNM wcześniejszych niż 11.2(1) i może zostać wykorzystana do przesłania dowolnych plików do uszkodzonego systemu. Nieprawidłowa konfiguracja uprawnień w wersji web platformy umożliwia następnie zapisanie tych plików w systemie, a także ich uruchomienie z uprawnieniami roota.
Drugą z krytycznych luk hakerzy wykorzystać mogą w wersjach DCNM wcześniejszych niż 11.1(1). Pozwala ona obejść proces uwierzytelniania i zdobyć uprawnienia administratora. Sesyjny plik cookie przestępcy uzyskać mogą wysyłając spreparowane żądania HTTP do serwera sieciowego.
3. Poważna luka bezpieczeństwa w Excelu
Arkusz kalkulacyjny Microsoft Excel zna każdy z nas. W tym popularnym narzędziu odkryto podatność, przy pomocy której cyberprzestępcy mogą uzyskać dostęp do komputerów użytkowników. Luka bezpieczeństwa ukryta jest w dodatku Power Query, który umożliwia wstawienie zewnętrznych źródeł do tabel Excela.
Microsoft odmówił wydania poprawki twierdząc, że przed załadowaniem danych zewnętrznych ostrzegają komunikaty. W starszych wersjach Excel’a komunikaty bezpieczeństwa się jednak nie pojawiają. Według producenta adres URL źródła jest w nich wyraźnie widoczny, a użytkownicy, zanim pobiorą dane, muszą te alerty potwierdzić. Środkiem prewencyjnym może okazać się wyłączenie funkcji dynamicznej wymiany danych (z ang. Dynamic Data Exchange), co zablokuje możliwość łączenia się z zewnętrznymi źródłami.
Wniosek: nigdy nie otwierajcie plików pochodzących z nieznanych źródeł. Uważnie czytajcie komunikaty i ostrzeżenia, nie tylko w programie MS Excel.
4. Zestaw exploitów GreenFlash Sundown wzbogacony o ransomware SEON
Zagrożonych atakiem jest 200 milionów użytkowników odwiedzających co miesiąc stronę internetową onlinevideoconverter.com. Popularna witryna umożliwia konwersję filmów pobranych z YouTube’a do formatu MP4. W czerwcu odwiedzający przekierowani byli do witryny adsfast, z której na ich komputery pobierany był zestaw exploitów GreenFlash Sundown. Zestaw ukryty był przy pomocy fałszywego obrazu GIF zawierającego zaciemniony fragment JavaScriptu.
Zestaw wykorzystywał PowerShella do przeprowadzenia kontroli wstępnej. Jeśli środowisko było odpowiednie, na komputerach ofiar instalowane było oprogramowanie ransomware SEON. Podczas, gdy użytkownicy zajęci byli odzyskiwaniem zaszyfrowanych danych, zestaw GreenFlash Sundown infekował komputery wirusem Pony oraz cryptomainerem.
Kampania złośliwego oprogramowania objęła swoim zasięgiem Azję, Amerykę Północną oraz Europę.
5. Chińscy hakerzy przez lata wykradali tajemnice największych dostawców usług technologicznych na świecie
Hakerzy okrytej złą sławą grupy APT10 (znanej również jako Menupass lub Stone Panda) włamywali się do licznych zachodnich korporacji. Pracując na zlecenie chińskiego Ministerstwa Bezpieczeństwa Państwowego przez lata wykradli z tych firm tajemnice handlowe i technologiczne. Akcja „Cloud Hopper” objęła swoim zasięgiem takich gigantów jak: Hewlett Packard Enterprise, IBM, Fujitsu, Tata Consultancy Services, NTT Data, Dimension Data, Computer Sciences Corporation czy DXC Technology.
Głównym celem hackerów była kradzież technologii oraz patentów, mających przyspieszyć rozwój Państwa Środka. Cyberprzestępcy zaczynali swoje ataki od spear-phishingu wymierzonego w pracowników. Z ich „pomocą” dostawali się na serwery firm i przejmowali konta z uprawnieniami administratora.
Wszystko wskazuje na to, że kampania wciąż jest aktywna.
6. 14 letni haker zablokował 4000 urządzeń IoT
Okazuje się, że złośliwe oprogramowanie Silex, które zablokowało prawie 4 tysiące urządzeń IoT, stworzył…14-letni haker.
Program napisany przez nastolatka niszczy pamięć masową urządzeń IoT atakując systemy uniksowe z ustawionymi domyślnymi danymi logowania. Program usuwa ustawienia sieciowe, co czyni urządzenia bezużytecznymi. Silexbot wywołuje fdisk, który wyświetla listę wszystkich partycji dysku urządzenia. Następnie zapisuje losowe dane z /dev/random do wybranej jego partycji. Przywrócenie urządzenia do działania wymaga ponownego zainstalowania oprogramowania, co często przekracza możliwości właścicieli tych urządzeń.
Fakt, że w tak krótkim czasie zablokowano kilka tysięcy urządzeń świadczy o ich wyjątkowej podatności na tego typu ataki.
Wiele branż korzysta z urządzeń IoT, które nie są systematycznie aktualizowane (lub nie są wcale). Stają się przez to łatwym celem ataków. Pamiętajmy, że urządzenia IoT to nie tylko Smart Home, czy Smart TV. To także sterowniki przemysłowe obsługujące linie produkcyjne, czy aparatura medyczna podtrzymująca ludzkie życie.
7. Poufne dane nt. Netflix czy Forda dostępne w sieci
Netflix, Ford czy TD Bank to tylko niektóre firmy, których dane przechowywane w Amazon S3 zostały niewłaściwe zabezpieczone przez Attunity Ltd. Wspomniana firma pomaga w zintegrowaniu danych klientów, które przechowywane są w różnych lokalizacjach, co ułatwia ich analizę. Z jej usług korzysta dwa tysiące przedsiębiorstw, w tym 44 z listy Fortune 100, m.in: farmaceutyczny gigant Pfizer Inc., Mercedes-Benz USA czy Union Bank.
Z winy niewłaściwie skonfigurowanego serwera informacje o architekturze IT Ford’a, faktury, umowy oraz pliki z rozwiązaniem zaprojektowanym dla TD Banku czy wersja demonstracyjna narzędzia stworzonego dla Netflix – były widoczne w postaci zwykłego tekstu. Wśród ujawnionych danych znajdowały się także hasła pracowników Attunity i kopie zapasowe firmowych maili. Do sieci trafiły także ich dane osobowe. Łącznie mówi się o prawie 1 TB informacji!
Attunity niezwłocznie zabezpieczyła dane. Rzecznik firmy Qlik, która przejęła Attunity poinformował, że wszczęto wewnętrzne dochodzenie by ustalić winnych zaniedbania. Firma zatrudniła również zewnętrznych ekspertów w celu przeprowadzenia niezależnej oceny bezpieczeństwa.
8. Unia Europejska szykuje się do cybernetycznej wojny?
Unia Europejska planuje przeprowadzenie „gier wojennych” symulujących ataki cybernetyczne, które przebiegać mają według różnych scenariuszy. Z powstałymi na ich skutek problemami zmierzyć się będą musieli ministrowie spraw wewnętrznych oraz ministrowie finansów krajów członkowskich UE w trakcie zaplanowanych na lipiec oraz wrzesień spotkań w Helsinkach. O zamiarze przeprowadzenia takich ćwiczeń poinformował Pekka Haavisto, szef fińskiej dyplomacji.
Czy powrót do praktyk rodem ze szczytowego okresu zimnej wojny jest niezbędny? Brytyjski „Guardian” twierdzi, że ostatnie incydenty cybernetyczne zaniepokoiły rządy europejskich państw. Przypomnijmy kilka z nich. Pierwszy news pochodzi z października 2018 r. Podczas ćwiczeń NATO w Norwegii zakłócono działanie urządzeń nawigacyjnych żołnierzy Sojuszu. Winnego upatruje się w Rosji. Kolejna akcja także została przypisywana Kremlowi, którego podejrzewa się o próbę ataku na siedzibę OPCW (Organisation for the Prohibition of Chemical Weapons). Na koniec informacja z czerwca o której informujemy w dzisiejszej prasówce. Hakerzy powiązani i wspierani przez chińskie władze oskarżeni zostali o włamania do ośmiu największych dostawców usług technologicznych na świecie.
Granicząca z Rosją Finlandia ogłosiła, że cyberbezpieczeństwo będzie jednym z priorytetów jej półrocznej prezydencji w Unii, którą objęła z dniem 1 lipca 2019 roku. Celem jest zwrócenie uwagi europejskich krajów na istotność kwestii związanych z właściwym zabezpieczeniem przed atakami cybernetycznymi, przećwiczenie różnego rodzaju scenariuszy oraz zacieśnienie współpracy na polu ochrony cybernetycznej.