Witajcie w kolejnym przeglądzie newsów. W tym tygodniu donosimy o lukach w Oracle E-Business Suite, które umożliwiają przejęcie pełnej kontroli nad systemami ERP. Zagrożonych jest ponad 10 tys. przedsiębiorstw. Dodatkowo, krótka przygoda z ISIS będzie kosztować amerykańskiego studenta nawet 20 lat za kratami. Nowy botnet P2P Roboto zagraża Linux Webmin Servers. A także e-skimming, Monero oraz Android, który w sekrecie może wykonywać zdjęcia i nagrywać wideo. Witajcie w „Z kamerą wśród ludzi”.
1. 10 tys. klientów Oracle narażonych na kradzież pieniędzy
W Oracle E-Business Suite (EBS) wykryto dwie krytyczne podatności, które pozwalają atakującym na przejęcie pełnej kontroli nad systemami ERP tysięcy przedsiębiorstw i kradzież pieniędzy.
Z tego produktu korzysta ponad 21 tysięcy firm! I choć łatka została wydana przez Oracle w kwietniu tego roku, wciąż ok 50% przedsiębiorstw jej nie wdrożyło. A mowa tu przecież o 10 tysiącach organizacji (!).
10 w skali CVSS. Luki dotyczą nieprawidłowych kontroli dostępu Oracle EBS i oceniane są na 9,9 i 10 w dziesięciostopniowej skali zagrożeń CVSS! Śledzona jako CVE-2019-2638 dotyczy elementu Consolidation Hierarchy Viewer w Oracle General Ledger, a CVE-2019-2633 – komponentu Wiadomości produktu Oracle Work in Process. Komponenty są zainstalowane w EBS na stałe i nie da się ich usunąć. Ratunkiem jest aktualizacja, a tego muszą dokonać sami użytkownicy.
Niebezpieczeństwo na horyzoncie
Badacze zagrożeń z Onapsis Research Lab, którzy pomagali Oracle w łataniu podatności, szczegółowo opisują dwa możliwe scenariusze:
- Złośliwa manipulacja procesem płatności za pomocą przelewu bankowego poprzez nieuwierzytelniony dostęp (który obejdzie segregację obowiązków i kontrolę dostępu). W skrócie: osoba atakująca może zmienić zatwierdzone EFT w systemie EBS i przekierować płatność za faktury na swoje konto bankowe, nie pozostawiając śladu.
- Tworzenie i drukowanie zatwierdzonych czeków bankowych za pomocą procesu drukowania czeków Oracle EBS oraz wyłączanie i usuwanie dzienników kontroli w celu ukrycia swojego działania.
Potencjalne ataki mogą również prowadzić do ujawnienia poufnych danych osobowych i biznesowych, takich jak numery kont bankowych i kart kredytowych, umożliwiając atakującym ich zmianę, usunięcie, a nawet kradzież. Mogą posunąć się również do wywołania zakłóceń obejmujących działanie całego biznesu.
Wady te wpływają więc na wszystkie kwestie związane z poufnością, integralnością i dostępnością informacji w systemie ERP. Administratorzy muszą jak najszybciej zastosować najnowszą aktualizację krytycznych poprawek od Oracle oraz regularnie aktualizować wszystkie systemy. Tym bardziej, w przypadku tak poważnych problemów i potencjalnych zagrożeń.
2. Chciał stworzyć dystrybucję Gentoo Linux dla ISIS, teraz spędzi w więzieniu 20 lat…
FBI postawiło 20 letniemu studentowi z Chicago zarzut wspierania tzw. Państwa Islamskiego.
Thomas Osadzinski ostatnie miesiące poświęcił na zgłębianie wiedzy potrzebnej do przygotowania dedykowanej wersji Gentoo Linux dla ISIS. Miała ona być niezwykle lekka, szybka i bezpieczna. Wszystko po to, aby skutecznie oprzeć się „ciekawskim” wywiadom i agencjom rządowym.
Pisanie własnej dystrybucji systemu okazało się jednak dużo bardziej skomplikowane, niż początkowo sobie założył. Równolegle więc dokształcał się na jednym z lokalnych uniwersytetów z podstaw informatyki, programowania, systemów informacyjnych, sieci i bezpieczeństwa. W tym samym czasie był już także pod obserwacją FBI, z którym dzielił się postępami prac.
To nie był pierwszy raz. Cała historia rozpoczęła się w połowie 2018 r. Osadzinski stworzył skrypt w języku Python umożliwiający automatyczne zapisywanie multimediów udostępnianych na oficjalnych kanałach terrorystów. W ten sposób mogli znacznie szybciej (i wygodniej) udostępniać propagandowe treści.
Jeśli sąd uzna go winnym, spędzi w więzieniu nawet 20 lat.
3. P2P Roboto Botnet groźny dla Linux Webmin Servers
Posiadasz „dziurawą” wersję Webmin? Najwyższa pora na jej aktualizację… i to szybką. Przestępcy prowadzą obecnie szeroko zakrojoną kampanię i jeśli będziesz zwlekać, masz spore szanse dołączyć do nowego botneta P2P Roboto. Specjaliści z 360 Netlab tropią go już od trzech miesięcy.
Na ten moment udało im się schwytać jeden z botów oraz przebadać moduły downloader’a. Przestępcy korzystają również modułu P2P control oraz skanera podatności, jednak są one nadal „nieuchwytne”.
Co już wiemy. Boty P2P Roboto są w stanie wykonać odwrócenie powłoki, samodzielnie się odinstalować, wykonywać komendy systemu, zbierać i odfiltrowywać informacje o procesach i sieci, zdalnie uruchamiać szyfrowane payloads oraz przeprowadzać ataki DDoS.
Distributed Denial-of-Service z P2P Roboto
Specjaliści z 360 Netlab wyodrębnili cztery metody ataku: ICMP Flood, HTTP Flood, TCP Flood oraz UDP Flood. Wybór jest zależny od tego, jakie uprawnienia posiadają przestępcy w ramach przejętego systemu Linux. Badacze jak dotąd nie wykryli jeszcze żadnego ataku przeprowadzonego za pomocą Roboto. Co nie znaczy oczywiście, że to nie nastąpi w kolejnych tygodniach. Tam, gdzie jest wola, jest też i sposób – a jak widać, sposób przestępcy mają już opracowany…
P2P Roboto wykorzystuje podatność Webmin RCE (CVE-2019-15107) aby wstrzyknąć moduł downloader’a do wnętrza serwera Linux. Zagrożenie można ograniczyć wykonując aktualizację Webmin do wersji 1.930 lub wyłączając opcję „zmiana hasła użytkownika”.
Liczby
Webmin na stronie projektu na GitHub podaje, że ich narzędzie zainstalowano już ponad milion razy. Skaner Shodan wynajduje ponad 232 000 serwerów, a BinaryEdge trochę ponad 470 000. Nie wszystkie wykryte urządzenia posiadają oczywiście podatność z której korzystają atakujący. Jednak spora część z nich zapewne będzie podatna na atak. Tak samo jak miało to miejsce w przypadku BlueKeep.
4. Wykorzystywali klona strony płatności aby wykradać dane użytkowników
Web skimming lub e-skimming brzmi znajomo? Wszelkie podobieństwo z dobrze znanym kopiowaniem paska magnetycznego kart płatniczych jest jak najbardziej na miejscu. Tyle, że cały proceder odbywa się w cyberprzestrzeni.
Przestępcy wstrzykują złośliwy kod – skrypt skimmera kart płatniczych – w przejętą stronę przetwarzania płatności elektronicznych. A potem zbierają żniwa w postaci danych osobowych i danych kart płatniczych. Jedni (przestępcy) robią to lepiej, a inni gorzej. Tych pierwszych jest niestety dużo więcej.
Zespół Malwarebytes natrafił na nietypowy przykład właśnie takiej kampanii. Przestępcy nie byli zainteresowani danymi z formularza sklepu internetowego. Nie, atakujący uderzyli bezpośrednio w platformę przetwarzania płatności. W pewnym sensie mamy tu do czynienia z hybrydą – połączeniem skimmingu z phishingiem.
Jak to zrobili?
Zacznijmy od tego, że atakujący sklonowali oryginalną stronę podsumowania płatności. Skimmer danych był ukryty w payment-mastercard[.]com/ga.js, który przestępcy „zamaskowali” w taki sposób, aby udawał bibliotekę… Google Analytics. Plik ga.js został wszczepiony w stronę sklepu internetowego, którą przestępcy wcześniej zhackowali.
Nieprawdziwa strona płatności jest zbliżona do wielu innych wykorzystywanych w kampaniach phishingowych. Tutaj podobnie mamy do czynienia ze sklonowanym szablonem strony z oryginalną usługą – CommWeb. Przestępcy uderzyli w klientów sklepu internetowego zarządzanego za pomocą PrestaShop CMS. Australijski Commonwealth Bank był jedną z możliwych form płatności. To co jest naprawdę ciekawe to fakt, że oszuści dodali także funkcję sprawdzania poprawności danych. Miło z ich strony, że ostrzegali swoje ofiary, że wpisane przez nie dane się nie zgadzają. Po wciśnięciu przycisku Kup, wszystkie dane trafiały na serwery C&C, zaś ofiara lądowała na stronie banku (tym razem tej właściwej). A dokładnie na stronie płatności elektronicznej, którą wydawałoby się, że właśnie przeszła.
5. Masz telefon z Androidem? Możesz być w “ukrytej kamerze”
W telefonach Samsung i Google z Androidem wykryto podatność, która umożliwia przestępcom sekretne robienie zdjęć i nagrywanie wideo bez żadnego pozwolenia. Exploit działa przy zablokowanym telefonie, wyłączonym ekranie, a nawet w trakcie wykonywania połączenia.
Badacze z Checkmarx odkryli sposób na obejście polityki uprawnień, która zapewnia warstwę ochrony użytkownikom Androida. Główną przyczyną exploita była luka znaleziona w aplikacjach do kamer zainstalowanych na milionach urządzeń z Androidem, znana jako CVE-2019-2234.
Przerażać może to, że jeśli atakującemu uda się wykorzystać exploita do kradzieży zdjęć z telefonu, może następnie zbadać metadane EXIF osadzone na zdjęciach w celu zlokalizowania fizycznej lokalizacji użytkownika.
Po uruchomieniu aplikacja tworzy trwałe połączenie ze zdalnym serwerem C&C, z którego osoba atakująca może wysłać instrukcje. Trwałym, bo nawet zamknięcie aplikacji go nie przerywa.
Co mogą przestępcy? Robić i przesyłać zdjęcia oraz filmy, analizować zdjęcia w poszukiwaniu tagów GPS i lokalizować telefon, działać w trybie ukrytym, automatycznie nagrywać rozmowy podczas połączeń głosowych.
Badacze poinformowali Google o wykrytej luce w lipcu. Firma wydała poprawkę dla swoich urządzeń i udostępniła aktualizację wszystkim partnerom sprzętowym. Samsung i inni dostawcy zostali zawiadomieni w połowie sierpnia i też wydają poprawki. Zalecamy aktualizację – wciąż spory odsetek telefonów pozostaje zagrożony.
6. Monero: podmieniony plik binarny może kraść kryptowaluty
Oficjalna strona internetowa Monero została przejęta, aby obsługiwać zainfekowaną złośliwym oprogramowaniem wersję portfela CLI (Command Line Interface – Interfejs wiersza poleceń).
Złośliwy plik był dostępny do pobrania przez ok 14 godzin i co najmniej jeden z użytkowników, którzy go pobrali, został okradziony.
Jak do tego doszło? We wtorek, 18 listopada, jeden z użytkowników zauważył, że suma kontrolna SHA256 64-bitowego pliku binarnego Linuksa pobranego ze strony nie jest zgodna z podaną, co oznaczało, że plik został zmodyfikowany. Zespół Monero przeprowadził dochodzenie i potwierdził, że ich bezpieczeństwo zostało naruszone. Dotyczy ono również Windowsa.
Trwa dochodzenie w sprawie sposobu, w jaki napastnikom udało się niepostrzeżenie zmienić plik. Jeden z członków zespołu potwierdził w wątku na reddit, że atakującym udało się wyłączyć monitorowanie integralności plików na zaatakowanym urządzeniu.
Badacz bezpieczeństwa dokonał szybkiej analizy złośliwego pliku binarnego i zauważył, że dodano do niego kilka funkcji, mających na celu kradzież danych portfela niezbędnych do wyciągnięcia z niego środków.
Monero zaleca, aby każdy, kto pobrał portfel CLI z ich strony w poniedziałek 18 listopada między 3:30 a 17:30 sprawdził skróty swoich plików binarnych. Jeżeli nie odpowiadają oryginalnym pod żadnym pozorem nie należy ich otwierać – trzeba je usunąć i pobrać ponownie – tym razem właściwe. Jednocześnie zapewnia, że teraz pliki binarne są obsługiwane z innego, bezpiecznego źródła.
Rada: Zaleca się każdorazowe sprawdzanie integralności pobieranych plików binarnych z oryginałami. Wraz z rozwojem blockchaina i popularnością kryptowalut możemy spodziewać się coraz więcej podobnych zagrożeń.