Witajcie w kolejnym wydaniu Centrum Bezpieczeństwa Xopero – pierwszym w 2021 roku! Jakimi „niebezpiecznymi” nowinami zamykamy stary rok? Okazało się, że narzędzie Google Docs posiadało błąd, który umożliwiał podglądanie prywatnych dokumentów. Problemy zaliczył również T-Mobile. Doszło do drugiego w 2020 wycieku danych – tym razem z systemu CPNI. Problemy nie ominęły również hostingowego giganta, Wasabi. Ten dostawca pamięci masowej w chmurze uległ awarii po zawieszeniu domeny z powodu hostowania malware. Specjaliści od bezpieczeństwa przestrzegają również przed nowym multi-platformowym malware, który bardzo sprawnie przekształca serwery Windows i Linux w koparki Monero. Szczegóły znajdziecie poniżej.
1. Hakerzy mogą podglądać prywatne dokumenty Google Docs
Google załatał błąd w swoim narzędziu do przesyłania opinii. Luka mogła zostać wykorzystana do potencjalnej kradzieży zrzutów ekranu poufnych dokumentów poprzez osadzenie ich w złośliwej witrynie.
Wiele produktów Google, w tym m.in. Google Docs posiada opcję przesyłania informacji zwrotnej (“Send feedback”) lub pomocy w usprawnieniu produktów (“Help Docs improve”). Umożliwia ona użytkownikom wyrażanie opinii oraz ładowanie printscreen’ów w celu zobrazowania problemów.
Funkcja przesyłania opinii jest wdrożona na stronie głównej w www.google.com i zintegrowana z innymi domenami za pośrednictwem elementu iframe, który ładuje zawartość wyskakującego okienka z witryny „feedback.googleusercontent.com”.
Oznacza to, że ilekroć dołączony jest zrzut ekranu okna Google Docs, renderowanie obrazu wymaga przesłania wartości RGB każdego piksela do domeny głównej (google.com). Następnie przekierowuje ona te wartości do domeny opinii, która ostatecznie konstruuje obraz i wysyła go z powrotem w formacie zakodowanym w Base64.
Badacz Sreeram KL zidentyfikował błąd w sposobie przekazywania tych wiadomości do „feedback.googleusercontent.com”. Umożliwia on atakującemu zmianę ramki na dowolną, zewnętrzną witrynę internetową, a następnie kradzież i przechwytywanie zrzutów ekranu z dokumentów Google.
Wada wynika w szczególności z braku nagłówka X-Frame-Options w domenie Google Docs. Umożliwia on zmianę docelowego pochodzenia wiadomości i wykorzystanie komunikacji między stroną a zawartą w niej ramką. Chociaż atak wymaga jakiejś formy interakcji użytkownika (chociażby załączenia printscreen’a), exploit może być z łatwością wykorzystany przez atakujących do przechwycenia adresu URL przesłanego zrzutu ekranu i przeniesienia go do złośliwej witryny.
2. Wyciek danych w T-Mobile – wypłynęły dane z systemu CPNI, numery telefonów i informacje o połączeniach
T-Mobile poinformował opinię publiczną o wycieku danych, który ujawnił zastrzeżone informacje o sieci klientów (CPNI), w tym numery telefonów i historię połączeń. Gigant telekomunikacyjny ustalił, że naruszenie to dotknęło tylko niewielką liczbę użytkowników – mniej niż 0,2%, czyli około 200 000 osób.
Zdaniem zespołu ds. bezpieczeństwa T-Mobile, atakujący nie uzyskali dostępu do nazwisk użytkowników, ich adresów fizycznych lub mailowych, danych finansowych, informacji o karcie kredytowej, numerów ubezpieczenia społecznego, identyfikatora podatkowego, haseł ani kodów PIN.
Haker uzyskał wyłącznie dostęp do CPNI. Czyli do czego właściwie? Rozwinięciem tego skrótu jest Customer Proprietary Network Information, czyli mówimy tutaj o zastrzeżonych informacjach nt. klienta danej sieci. Są to więc w dużej mierze dane zbierane przez firmy telekomunikacyjne na temat połączeń telefonicznych konsumentów. Obejmują one m.in. godzinę, datę, czas trwania i numer docelowy każdego połączenia, rodzaj sieci, z której korzysta konsument, oraz wszelkie inne informacje, które widnieją później na rachunku telefonicznym klienta.
T-Mobile nadal zbiera informacje dotyczące samego ataku. W tym momencie priorytetem jest również szybki kontakt ze wszystkimi poszkodowanymi w całej tej sprawie.
3. Wasabi zostało wyłączone na 13 godzin! Powód? Hostowanie malware
Dostawca pamięci masowej w chmurze, Wasabi, uległ awarii po zawieszeniu domeny z powodu hostowania malware. Przypomnijmy: Wasabi reklamuje się zdecydowanie niższą ceną niż Amazon S3, nie pobiera dodatkowych opłat (m.in. za API) i obiecuje 99,999999999% dostępności danych.
W poniedziałek, 28 grudnia, użytkownicy Wasabi nie mogli uzyskać dostępu do swoich storage bucket’ów [1, 2, 3] hostowanych w domenie wasabisys.com. Wasabi potwierdziło problem, twierdząc, że to rozwiązania DNS powodowały „obniżoną wydajność”.
Według raportu sporządzonego przez firmę w sprawie awarii, rejestrator domeny co prawda próbował skontaktować się z Wasabi w sprawie złośliwej zawartości strony wasabisys.com, ale wysłał maila na niewłaściwy adres e-mail i w efekcie Wasabi nigdy nie otrzymało powiadomienia.
To niefortunne zdarzenie doprowadziło do zawieszenia domeny przez rejestratora, skutecznie wyłączając usługę i dostęp do przechowywanych danych w chmurze. Warto dodać, że prawie wszystkie buckety wykorzystują domenę wasabisys.com.
Po uzyskaniu informacji o nadużyciu, Wasabi zawiesiło klienta hostującego złośliwą zawartość i poprosiło rejestratora o ponowną aktywację domeny. Przywracanie jej zajęło jednak aż 13 godzin!
Wasabi nie jest wyjątkiem. Atakujący coraz chętniej nadużywają legalnych usług w chmurze do hostowania malware.
Jak się chronić? Uspokajamy – większość specjalistów jest zgodna co do tego, że infrastruktura chmurowa jest o wiele bezpieczniejsza niż ta lokalna. Warto jednak zadbać o zabezpieczenie danych przetwarzanych w ramach organizacji, zarówno lokalnie jak i w chmurze. Tak, aby w przypadku awarii błyskawicznie przywrócić dane z kopii i natychmiast wrócić do pracy.
4. Nowy multi-platformowy malware zmienia serwery Windows i Linux w koparki Monero
Nowy malware pozostaje aktywny od początku grudnia br. Jego twórcy idą z trendem – w tym przypadku również mamy do czynienia z zagrożeniem napisanym w Golang. Co więcej, program posiada również funkcje zwykle spotykane w robakach. Dzięki temu jest w stanie dosyć sprawnie rozprzestrzeniać się na inne systemy. Zagrożenie atakuje za pomocą brute-force publicznie dostępne usługi takie jak MySQL, Tomcat, Jenkins, czy WebLogic. Malware wykorzystuje tzw. password spraying oraz listę stałych danych uwierzytelniających. Starsza wersja korzystała również z luki CVE-2020-14882 wykrytej w Oracle WebLogic.
Atakujący hostują na serwerach C&C skrypty bash i dropper’a PowerShell, opartego na binariach Go robaka oraz minner’a XMRig. W momencie kiedy dojdzie już do infekcji, przestępcy wpuszczają na maszynę skrypt loader’a – w przypadku systemów Linux jest to ld.sh, a przy Windos OS ld.ps1. W obu przypadkach odpowiadają one za wdrożenie minnera oraz binariów robaka.
Specjaliści zaobserwowali, że malware automatycznie zamyka wszystkie swoje procesy jeśli wykryje, że zainfekowany system monitoruje port 52013. Jeśli port nie jest w żaden sposób wykorzystywany, robak utworzy własny network socket.
Zdaniem specjalisty od bezpieczeństwa z firmy Intezer, Avigayila Mechtingera „Fakt, że kod robaka jest prawie identyczny w przypadku wersji malware PE i ELF – oraz to, że wersja ELF nie jest wykrywana przez VirusTotal – pokazuje, że zagrożenia skoncentrowane na systemach Linux wciąż umykają większości popularnych narzędzi oraz platform cybersecurity.”