REvil ma nowy cel – maszyny wirtualne ESXi / PrintNightmare / Krytyczna luka w routerach NETGEAR

Witajcie w Centrum Bezpieczeństwa Xopero. Pamiętacie historie Dell’a i WD My Book NAS z ostatniego tygodnia? Czy dzisiejsze tematy mogą je przebić? Oceńcie sami. W cyberprzestępczym świecie od jakiegoś już czasu widzimy nowy i niepokojący trend. Coraz więcej grup migruje w kierunku maszyn wirtualnych ESXi. Teraz również operatorzy REvil przygotowali enkryptor Linux, który jest w stanie szyfrować wirtualne zasoby. W sieci zadebiutował (przypadkowo) również nowy exploit PoC. PrintNightmare, czyli nowy krytyczny Windows RCE, działa na najwyższym poziomie uprawnień. Oznacza to, że jest on w stanie dynamicznie ładować pliki binarne innych firm. Problem jest więc poważny. W ostatnich dniach wiele dyskutowano również na temat krytycznych luk w zabezpieczeniach routerów NETGEAR, które można wykorzystać jako punkt wejścia do sieci i uzyskania nieograniczonego dostępu. Mamy również złą wiadomość dla posiadaczy kont LinkedIn – na czarny rynek trafiła właśnie nowa baza, licząca 700 milionów rekordów. Szczegóły znajdziecie poniżej.

Najnowszy Linux enkryptor od grupy REvil zagraża maszynom wirtualnym ESXi

Najświeższy enkryptor od REvil atakuje oraz szyfruje maszyny wirtualne ESXi. Jednak cyberprzestępcy od REvil / Sodinokibi nie są jedynymi, którzy migrują na VM. Maszyny ESXi są teraz ‘gorącym’ i interesującym celem. W ostatnich miesiącach podobną taktykę obrali m.in. grupa Babuk, RansomExx/Defray, Mespinoza, GoGoogle, DarkSide, czy Hellokitty. 

Skąd ta zmiana?  W sytuacji, gdy tak wiele firm enterprise wybiera maszyny wirtualne – w celu łatwiejszego zarządzania backupem, urządzeniami czy też efektywniejszego wykorzystania zasobów – nie powinno zaskakiwać, że wiele gangów ransomware tworzy narzędzia do masowego szyfrowania zasobów VM.

Najnowszy wariant ransomware REvil (Linux) jest plikiem wykonywalnym ELF64 i zawiera te same opcje konfiguracyjne, co bardziej popularny plik wykonywalny Windows. Jest to jednak pierwszy znany przypadek publicznego udostępnienia wariantu Linuksa od czasu jego wydania.

Po uruchomieniu na serwerze atakujący może określić ścieżkę do zaszyfrowania i włączyć tryb silent mode. Następnie ransomware odpala narzędzie wiersza poleceń esxcli, w celu wyświetlenia listy wszystkich aktywnych maszyn wirtualnych ESXi. W kolejnym kroku rozpoczyna uśmiercanie wykrytych wcześniej procesów.  

Specjalnie zaprojektowane polecenie służy do zamykania plików dysku maszyny wirtualnej (VMDK) przechowywanych w folderze /vmfs/. W ten sposób ransomware jest w stanie szyfrować pliki bez blokowania ich przez ESXi.

Jeśli jednak maszyna wirtualna, przed jej zaszyfrowaniem, nie zostanie poprawnie zamknięta może dojść do uszkodzenia danych. Wtedy nawet deszyfrator dostarczony przez cyberprzestępców na niewiele się zda. Jednak to jest już problem z którym administratorzy zostaną sami. 

Źródło

PrintNightmare, nowy krytyczny Windows RCE, którego exploit PoC przypadkowo wyciekł do internetu

Exploit typu proof-of-concept (PoC) związany z luką umożliwiającą zdalne wykonanie kodu w systemie Windows na krótko trafił do internetu, po czym bardzo szybko został usunięty. Ale jak wiemy, w sieci nic nie ginie.

Jeśli w tym momencie nasuwa wam się myśl, czy to nie jest przypadkiem błąd załatany przez Microsoft w ostatnim miesiącu, to macie rację.

Podatność Print Spooler, znana również pod nazwą CVE-2021-1675, może umożliwić atakującym przejęcie pełnej kontroli nad podatnym systemem. Program którego problem dotyczy zarządza procesem drukowania w systemie Windows, w tym m.in. ładowaniem odpowiednich sterowników drukarki i planowaniem zadania drukowania. I to właśnie dlatego podatność niepokoi specjalistów. Polecenia bufora wydruku działają na najwyższym poziomie uprawnień i są w stanie dynamicznie ładować pliki binarne innych firm.

Kryptonim „PrintNightmare”

Producent Windows naprawił tę lukę w ramach wtorkowej aktualizacji poprawki z 8 czerwca 2021 r. Następnie około dwa tygodnie później Microsoft zrewidował ocenę podatności – problem urósł do zagrożenia RCE, a także zmienił oznaczenie z Ważny na Krytyczny. W tym czasie firma Sangfor z Hongkongu, zajmująca się cyberbezpieczeństwem, opublikowała szczegółowe informacje na temat luki wraz z w pełni działającym kodem PoC na swoim repozytorium GitHub. Kod był dostępny publicznie przez kilka kolejnych godzin.

Co w takim razie nam grozi? Udana eksploatacja CVE-2021-1675 może otworzyć drogę do całkowitego przejęcia podatnego systemu. Co gorsza, istnieje podejrzenie, że wydana w czerwcu poprawka nie usuwa całkowicie głównej przyczyny błędu. To tylko zwiększa prawdopodobieństwo, że jest to luka zero-day wymagająca pełnej aktualizacji. Na podstawie tych ostatnich informacji zalecamy więc administratorom wyłączenie usługi bufora wydruku systemu Windows na kontrolerach domeny i systemach, które nie wykonują operacji drukowania.

Źródło

Microsoft ujawnia krytyczne błędy umożliwiające przejęcie routerów NETGEAR

Firma Microsoft wykryła krytyczne luki w zabezpieczeniach routerów NETGEAR, które można wykorzystać jako punkt wejścia do sieci i uzyskania nieograniczonego dostępu.

Luki dotyczą routerów serii DGN2200v1 z oprogramowaniem sprzętowym w wersji wcześniejszej niż 1.0.0.60 i kompatybilnym ze wszystkimi głównymi dostawcami usług internetowych DSL.

Umożliwiają one nieuwierzytelnionym atakującym dostęp do niezałatanych stron zarządzania poprzez obejście uwierzytelniania, uzyskanie dostępu do tajnych danych przechowywanych na urządzeniu oraz zapisanych danych uwierzytelniających do urządzenia za pomocą kryptograficznego ataku typu side-channel.

Badacze odkryli, że poświadczenia zostały zaszyfrowane przy użyciu stałego klucza, który można wykorzystać do odzyskania hasła i nazwy użytkownika w formie plaintext.

Problemy z zabezpieczeniami zostały wykryte przez pracowników Microsoft podczas przeglądania Microsoft Defender pod kątem nowych funkcji wykrywania endpointów. Zauważyli wówczas, że do portu zarządzania routera DGN2200v1 uzyskało dostęp inne urządzenie w sieci.

Firma NETGEAR naprawiła luki, a w grudniu opublikowała zalecenie dotyczące bezpieczeństwa z dodatkowymi szczegółami.

Aby pobrać i zainstalować zaktualizowane oprogramowanie sprzętowe routera NETGEAR, musisz:

  1. Odwiedź stronę NETGEAR support
  2. Wpisać numer modelu routera w polu wyszukiwania i wybrać swój jak tylko się pojawi lub wyszukać model po kategorii 
  3. Kliknąć pobieranie
  4. Z sekcji Current Versions wybrać tę o tytule rozpoczynającym się od nazwy Firmware Version
  5. Zatwierdzić pobieranie
  6. Podążać za instrukcjami w manualu i zainstalować nowe oprogramowanie sprzętowe.

Źródła 1 | 2

700 milionów rekordów Linkedin wystawione na sprzedaż na czarnym rynku

Historia lubi się powtarzać – ta zła również. Pamiętacie jak w kwietniu 500 milionów użytkowników Linkedin padło ofiarą data scrapingu? Otóż w minionym tygodniu na popularnym forum hakerskim pojawiła się oferta sprzedaży 700 milionów rekordów z tego popularnego serwisu społecznościowego.

Na wpis hakera o nazwie „GOD User TomLiner” na RaidForums z 22 czerwca natknęli się specjaliści z Privacy Sharks. Jako “dowód” złodziej udostępnił do pobrania próbkę 1 mln rekordów…

Rekordy obejmują imiona i nazwiska, płeć, adresy e-mail, numery telefonów i informacje branżowe. Nie jest do końca oczywiste skąd pochodzą dane, ale data scraping publicznych profili wydaje się prawdopodobnym źródłem. To właśnie on był przyczyną wycieku z kwietnia…

Według LinkedIn i tym razem nie doszło do naruszenia sieci. Firma jednak nadal bada tę sprawę.

Dobrą wiadomością jest to, że dane kart kredytowych, treści prywatnych wiadomości i inne poufne informacje nie wyciekły w ramach incydentu. Niestety, użytkownicy Linkedin mogą stać się celem kampanii spamowych lub co gorsza kradzieży tożsamości. Pamiętajmy również o potencjalnych atakach typu brute-force. Wreszcie, dane te mogą okazać się dla przestępców socjotechniczną żyłą złota… 

Użytkownicy LinkedIn powinni być ostrożni i podejrzliwi w stosunku do wszelkich wątpliwych wiadomości lub zdarzeń. Powinni także aktualizować hasła Linkedin i włączyć uwierzytelnianie dwuskładnikowe dla swoich kont.

Źródło