Witamy po wakacjach – czas na aktualizacje. I to dosłownie. Luka bezpieczeństwa o stopniu zagrożenia 10/10 została odnaleziona w Cisco IOS XE. Bezpieczni też nie mogą czuć się użytkownicy iPhone’ów. Okazało się, że te, uznane za dość bezpieczne smartfony mogły być szpiegowane nawet przez 2 lata!
1. Luka bezpieczeństwa w routerach Cisco IOS XE – 10/10 w skali zagrożeń
Cisco nawołuje administratorów do pilnej aktualizacji, która łata krytyczny błąd w systemie operacyjnym IOS XE. Zasila on miliony biznesowych urządzeń sieciowych na całym świecie.
Maksymalnie niebezpieczna luka bezpieczeństwa. Błąd zyskał bardzo rzadką, bo maksymalną, ocenę 10/10 w skali zagrożeń Common Vulnerability Scoring System (CVSS). Pozwala każdemu na ominięcie logowania (a tym samym podawania hasła) do urządzenia IOS XE. Luka bezpieczeństwa oznaczona jako CVE-2019-12643 dotyczy kontenera Cisco REST API.
Cisco ostrzega, że atakujący mogą wykorzystać lukę przesyłając złośliwe żądania HTTP do docelowego urządzenia. Skuteczny exploit pozwala na uzyskanie identyfikatora tokenu użytkownika. Ten z kolei może zostać wykorzystany do ominięcia uwierzytelniania i wykonania uprzywilejowanych działań za pośrednictwem kontenera REST API na danym urządzeniu Cisco IOS XE.
Kto zagrożony? Błąd dotyczy routerów Cisco 400 Series Integrated Services Routers, Cisco ASR 1000 Series Agregation Services Routers, Cisco Cloud Services Router 1000V Series i Cisco Integrated Services Virtual Router.
Dobrą wiadomością jest to, że kontener REST API, którego dotyczy problem, nie jest domyślnie włączony. Trzeba go zainstalować i aktywować na urządzeniach IOS XE.
Jak się chronić? Cisco udostępniło administratorom instrukcje wiersza polecenia, aby sprawdzić, czy interfejs REST API został włączony, czy nie. Udostępniono również listę wrażliwych wersji kontenera. Luka bezpieczeństwa została wykryta podczas testów wewnętrznych. Nie ma zatem pewności, czy została już w jakiś sposób wykorzystana.
Cisco zaleca administratorom aktualizację zarówno kontenera REST API, jak i IOS XE. Naprawiona wersja kontenera to iosxe-remote-mgmt.16.09.03.ova.
2. Twój iPhone mógł być atakowany podczas przeglądania internetu
Specjaliści z Google ujawnili, że użytkownicy iPhone’ów mogli być hakowani poprzez…wizyty na licznych, niewinnie wyglądających stronach. Historia sięga początku roku i odkrycia przez Google co najmniej pięciu unikalnych łańcuchów exploitów, które pozwalały na zdalny jailbreak systemu iOS i instalację oprogramowania szpiegującego (spyware).
Mnogie luki. Stwierdzono, że wykorzystują one łącznie 14 osobnych luk w iOS. 7 z nich dotyczyło przeglądarki Safari, 5 w jądrze iOS i 2 w sandbox. Przez co najmniej 2 lata zagrożone były prawie wszystkie urządzenia z aktualnymi wersjami między iOS 10 a iOS 12.
Szpiegowanie. W minionym tygodni badacze z Google doszli do wniosków, że użytkownicy iPhone’ów mogli być niepostrzeżenie atakowani przez kolekcję zhakowanych stron internetowych z tysiącami odsłon tygodniowo. Wystarczyło tylko odwiedzić taką witrynę przez wrażliwą przeglądarkę Safari, aby serwer exploitów zaatakował urządzenie i zainstalował implant monitorujący. Ten służył do kradzieży plików z iMessage, zdjęć, danych z lokalizacji GPS, a nawet baz danych z aplikacji takich jak Whatsapp i Telegram. Następnie co 60 sekund przesyłał je na zewnętrzny serwer.
Ponadto implant miał również dostęp do danych pęku kluczy urządzenia użytkownika, zawierających poświadczenia, tokeny uwierzytelniające i certyfikaty używane na urządzeniu
Pilnie zaktualizuj system! Apple załatało już większość luk wykorzystywanych przez exploity. Użytkownikom zaleca się zaktualizowanie urządzeń i zmianę haseł. Specjaliści z Google obawiają się, że atakujący mogą wykorzystać dostęp do różnych kont i usług używając skradzionych tokenów uwierzytelniających z pęku kluczy nawet po utracie dostępu do urządzenia.
3. TrickBot kradnie kody PIN do telefonów komórkowych
TrickBot – botnet do kradzieży danych uwierzytelniających do banków, obsługiwany przez grupę Gold Blackburn, został zmodyfikowany w celu atakowania użytkowników urządzeń mobilnych w sieciach komórkowych Sprint, T-Mobile i Verizon.
Sposoby na PIN. Botnet wykorzystuje swoje tradycyjne metody – jak ataki typu man-in-the-middle. Przechwytują one sesje internetowe i kierują je do serwera CC skąd wstrzykiwany jest złośliwy kod, który żąda poświadczenia użytkownika. Następnie wysyłają zmodyfikowaną stronę do ofiary – klienta jednej z trzech sieci komórkowych. Te modyfikacje są niewielkie – mają na celu wyłącznie wyłudzenie kodu PIN, którego z reguły nie podajemy przy logowaniu na stronę operatora komórkowego.
W jakim celu? Według badaczy, tego typu działania mają na celu przeprowadzenie tzw. “SIM-swap fraud”. Oszustwa, które polega na podmianie karty SIM służącej do autoryzacji w systemach bankowości internetowej. Oszuści wykorzystują skradzione informacje, przenoszą numer telefonu do innego operatora lub wyrabiają duplikaty, celem przejęcia kontroli nad wiadomościami z kodem autoryzacyjnym od banku.
4. Malware znaleziony w aplikacji z ponad 100 mln pobrań
CamScanner – aplikacja do skanowania i zarządzania dokumentami zawiera składniki do pobierania złośliwego oprogramowania na urządzenia z Androidem.
Złośliwa aktualizacja. Według specjalistów z Kaspersky Lab, aplikacja jest legalna i została pobrana ponad 100 milionów razy. CamScanner zarabiał na reklamach i zakupach w aplikacji. Analiza pokazuje, że został on zaktualizowany o bibliotekę reklamową zawierającą złośliwy komponent droppera nazwanego Trojan-Dropper.AndroidOS.Necro.n.
Jak działa? Po uruchomieniu aplikacji moduł ten wyodrębnia i uruchamia payload z zaszyfrowanego pliku w zasobach aplikacji. To “upuszczone” złośliwe oprogramowanie może pobrać więcej złośliwego kodu. W rezultacie przestępcy mogą korzystać z urządzenia w dowolny sposób. Na przykład umieszczać fałszywe reklamy na ekranie lub obciążać użytkowników płatnymi subskrypcjami w celu zarabiania pieniędzy.
CamScanner został już usunięty z Google Play Store, a twórcy aplikacji usunęli złośliwy kod w najnowszej aktualizacji. Ten przypadek pokazuje, że nawet legalną aplikację z pozytywnymi recenzjami można zaktualizować o złośliwy kod. Google Play Store nie jest w stanie nadążyć za ciągłymi zmianami w aplikacjach, które uznał za wiarygodne.
5. Ares – nowy botnet IoT – wchodzi na arenę…kina domowego
Nowy botnet IoT o nazwie Ares infekuje dekodery STB (set-top boxes) z systemem Android produkowane przez Huawei, Cubetec i Qezy Media.
Ares żeruje na słabo zabezpieczonych konfiguracjach dekoderów z interfejsem debugowania ADB w Androidzie. W wielu z nich port TCP 5555 został otwarty zarówno dla ADB, jak i poleceń zdalnego zarządzania. Czyni go łatwym celem dla każdego atakującego, który może skanować otwarte sieci.
Po wykryciu podatnego urządzenia złośliwe oprogramowanie próbuje zainstalować się za pomocą poleceń zdalnych za pośrednictwem portu 5555. Stamtąd boty łączą się z serwerem CC, a następnie poszukują innych narażonych urządzeń z systemem Android, rozprzestrzeniając infekcję.
Co dalej? Specjaliści z WootCloud, którzy odkryli zagrożenie, podejrzewają, że złośliwe oprogramowanie może wykorzystać dekodery jako punkt wyjścia dla ataków na inne urządzenia z Androidem, zwłaszcza Smart TV, które w wielu przypadkach mają tak samo podatne usługi ADB.
Jak się zabezpieczyć? Aby ochronić się przed Aresem należy ograniczyć dostęp ADB tylko do autoryzowanych adresów IP i pilnować wychodzącego ruchu sieciowego z dekoderów. Użytkownikom zaleca się również ustawianie haseł na swoich urządzeniach dla interfejsów takich jak Telnet, SNMP i sieć.
6. RevengeRAT i Orcus RAT uderzają w organizacje rządowe i finansowe
Dwa tytułowe trojany – RevengeRAT i Orcus RAT – zostały ponownie wykorzystane w kampanii atakującej instytucje rządowe, finansowe i IT na całym świecie.
Specjaliści z Cisco Talos odkryli, że grupa za nimi stojąca wykorzystuje techniki ataków bezplikowych, aby uzyskać trwałość w systemach i uniknąć wykrycia.
Jak przeprowadzany jest atak? Istnieje kilka sposobów, jednak większość przeprowadzana jest za pośrednictwem wiadomości phishingowych. Maile zdają się pochodzić od różnych organów takich jak Better Business Bureau (BBB), Australijska Komisja ds. Konkurencji i Konsumentów (ACCC), Ministerstwo Innowacji i Pracowników (MBIE) oraz inne agencje regionalne. Zawierają one skargi na organizację będącą celem ataku.
Początkowo przestępcy korzystali z usługi poczty e-mail SendGrid i linków URL, aby przekierowywać ofiary do kontrolowanego przez atakujących serwera dystrybucji złośliwego oprogramowania. W późniejszych atakach dodano do nich załączniki z rozszerzeniem ZIP. Zawierają one wykonywalny plik PE32 oraz skrypt pobierający .bat, które ładują złośliwe programy RevengeRAT i Orcus RAT. Jednocześnie przestępcy stosują dość unikatowe techniki zaciemniania, które maskują ich ruchy na komputerach ofiar.
Według badaczy, infrastruktura C2 używana do tych ataków ukrywa się poprzez wykorzystanie DDNS (dynamiczny system nazw domenowych). Atakujący kierują DDNS na usługę Portmap zapewniając dodatkową warstwę zaciemnienia infrastruktury. Ta usługa umożliwia połączenie z systemami chronionymi przez firewall lub takich, do których nie można uzyskać bezpośredniego dostępu z Internetu za pomocą mapowania portów.
Specjaliści przewidują, że trwająca kampania rozwinie się w przyszłości wpływając na różne organizacje na całym świecie. Zalecają im kompleksowe kontrole bezpieczeństwa, z uwzględnieniem opisywanego zagrożenia.