Witamy w kolejnej odsłonie Centrum Bezpieczeństwa Xopero! Tym razem przygotowaliśmy dla was m.in. informacje nt. Ripple20. Nie jest to „typowa” podatność”. W rzeczywistości jest to zbiór aż 19 poważnych 0-day, który wykryto w popularnej bibliotece TCP / IP.
1. Ripple20, zestaw 19 podatności 0-day stanowi zagrożenie dla miliardów urządzeń – od drukarek po pompy infuzyjne
Ripple20 to zespół 19 podatności, które wykryto w niskopoziomowej bibliotece TCP / IP stworzonej przez firmę Treck. Z ich pomocą atakujący są w stanie uzyskać pełną kontrolę nad urządzeniami – oczywiście bez konieczności jakiejkolwiek interwencji po stronie użytkownika.
Istnieją cztery krytyczne luki w stosie TCP / IP, które otrzymały wynik powyżej 9 w skali CVSS. Umożliwiają one hackerom zdalne wykonywanie dowolnego kodu na atakowanym urządzeniu. Jedna z nich wpływa również na protokół DNS. Pozostałe 15 luk oceniono jako mniej groźne, choć skala jest bardzo zróżnicowana – od 3,1 do 8,2 punktów CVSS. Te podatności z kolei mogą m.in. doprowadzić do Denial of Service lub także umożliwić przestępcom zdalne wykonywanie kodu.
Badacze z JSOF poinformowali o swoich odkryciu firmę Treck, która już załatała większość problemów w wydaniach biblioteki w wersji 6.0.1.67 lub wyższej. Specjaliści skontaktowali się również z dostawcami podatnych na atak urządzeń. Wśród nich są m.in. HP, Schneider Electric, Intel, Rockwell Automation, Caterpillar, Baxter i Quadros. Wiele z tych firm pracuje już nad własnymi poprawkami. Nie zmienia to jednak faktu, że nadal istnieją miliony urządzeń które niestety nie otrzymają stosownej aktualizacji jeszcze przez dosyć długi czas. W zasadzie obecnie każda branża wykorzystuje w jakimś zakresie podatne urządzenia sieciowe: sektor medyczny, konsumencki, centra danych, telekomunikacja, produkcja, energię jądrową, transport… a to zaledwie ich mały procent.
W tej sytuacji specjaliści od cyberbezpieczeństwa zalecają, aby wszystkie urządzenia systemu sterowania nie były dostępne z poziomu Internetu. Administratorzy powinni również ukryć sieci systemu sterowania i urządzenia zdalne za zaporą ogniową, a także odizolować je od sieci biznesowej.
2. „USB for Remote Desktop” z błędem, który umożliwia dodawanie fałszywych urządzeń
Luka CVE-2020-9332 znajduje się w sterowniku magistrali „USB for Remote Desktop” opracowanym przez firmę FabulaTech. Błąd umożliwia podwyższenie uprawnień i w efekcie podpięcie do docelowej maszyny fałszywego urządzenia.
Rozwiązania przekierowujące USB działają poprzez oprogramowanie klient/serwer. Informacje o przekierowanym urządzeniu zbiera oprogramowanie klienckie i następnie przesyła na serwer działający po stronie zdalnej maszyny. Z pomocą sterownika magistrali, serwer tworzy i następnie programuje wirtualny obiekt, który ma powtórzyć całą komunikację pomiędzy systemami/urządzeniami wejścia-wyjścia a rzeczywistym urządzeniem.
Sterownik magistrali wywołuje niepewną procedurę IoCreateDevice, która nie umożliwia zablokowania dostępu mniej uprzywilejowanym podmiotom. W ten właśnie sposób atakujący są w stanie niejako zdezorientować system operacyjny postawiony na zdalnej maszynie. W efekcie uważa ona, że podłączono do niej prawdziwe urządzenie USB. Ponadto usługi FabulaTech działające na koncie LocalSystem, posiadają szeroki zakres uprawnień.
Atakujący są w stanie symulować dowolne urządzenie USB. Fałszywy kursor? Jak najbardziej. Jednak istneiją bardziej zaawansowane scenariusze ataku. Przestępcy mogą dodać kartę sieciową Ethernet i w ten sposób przechwytywać aktualny ruch.
Zespół SentinelOne – który namierzył podatność – próbował skontaktować się z FabulaTech dwukrotnie. Najpierw 29 stycznia, a następnie ponownie 4 lutego. Próby zgłoszenia błędu były raczej bezowocne. W końcu jednak FabulaTech wydało oficjalne oświadczenie. Dowiadujemy się z niego, że błąd zostanie naprawiony w najkrótszym możliwym czasie w najbliższej przyszłości. Miło wiedzieć, tym bardziej, że firma posiada bardzo rozpoznawalnych klientów. Wśród nich są m.in. Google, Microsoft, BMW, MasterCard, NASA, Reuters, Intel, Shell, Xerox, Harvard, General Electric i Raiffeisen Bank.
3. Luki w Oracle EBS pozwalają na oszustwa finansowe i kradzież danych
Korzystasz z Oracle E-Business Suite? Lepiej upewnij się, że masz aktualną wersję.
Raport wydany przez firmę Onapsis zajmującą się cyberbezpieczeństwem, ujawnia szczegóły techniczne luk w pakiecie Oracle E-Business Suite (EBS). Grupie aplikacji CRM, ERP i SCM zaprojektowanych do automatyzacji procesów organizacyjnych.
Dwa błędy, o których mowa, nazwane „BigDebIT” i ocenione na 9,9 w skali CVSS, zostały załatane przez Oracle w ramach styczniowej aktualizacji. Firma przyznała jednak, że ok. 50% klientów EBS wciąż jej nie zainstalowało…
Według specjalistów nieautoryzowany przestępca może wykonać zautomatyzowany exploit w module General Ledger, aby “wyciągnąć” aktywa z firmy (np. gotówkę) i zmodyfikować tabele księgowe nie pozostawiając po sobie śladu.
Udane wykorzystanie tej luki może umożliwić osobie atakującej kradzież poufnych informacji, dokonanie oszustwa finansowego i wywołanie opóźnień w raportach finansowych związanych z procesami zgodności firmy (compliance).
Nowe wady, oznaczone jako CVE-2020-2586 i CVE-2020-2587, znajdują się w Oracle Human Resources Management System (HRMS), w komponencie o nazwie Hierarchy Diagrammer. Umożliwia on użytkownikom tworzenie hierarchii organizacji i pozycji związanych z przedsiębiorstwem. Luki zostać wykorzystane nawet jeśli klienci EBS wdrożyli poprzednie łatki wydane w kwietniu 2019. Dlatego tak ważne jest zainstalowanie najnowszej wersji oprogramowania.
4. AWS zatrzymuje rekordowy atak DDoS o ruchu wielkości 2,3 Tb/s
W swoim najnowszym raporcie AWS Shield Threat Landscape, Amazon ujawnia zatrzymanie największego ataku DDoS w historii – mowa tu o ruchu wielkości 2,3 Tb/s (!)
W dokumencie nie zdradzono informacji o kliencie, którego dotknął atak. Stwierdzono jedynie, że został on przeprowadzony przy użyciu przejętych serwerów sieciowych CLDAP (Connection-less Lightweight Directory Access Protocol) i spowodował trzy dni “podwyższonego zagrożenia” dla pracowników AWS Shield.
Protokół ten zaczął być wykorzystywany jako wektor ataków DDoS pod koniec 2016 roku. Serwery CDLAP potrafią bowiem zwiększyć ruch nawet 70-krotnie. Stąd też często są oferowane w modelu DDoS-as-a-service (czyli ataku DDoS jako usługi).
Poprzedni rekord wyniósł 1,7 Tb/s i został złagodzony przez NETSCOUT Arbor w marcu 2018 r. Dziś większość ataków osiąga ruch wielkości 500 Gb/s, dlatego wartość 2,3 Tb/s wywołała spore zaskoczenie w branży.
Wcześniej tego samego dnia, Akamai – jeden z największych dostawców usług w chmurze na świecie – również poinformował o złagodzeniu ataku DDoS o wielkości 1,44 Tb/s…
…czyżby trwał jakiś wyścig?