Baron Samedit to najświeższa luka bezpieczeństwa, która stanowi poważne zagrożenie dla większości ekosystemów Linux. Błąd nie jest nowy – istnieje od prawie dziesięciu lat. Na szczęście został już załatany. Więcej w tym temacie przeczytacie w najnowszym wydaniu Centrum Bezpieczeństwa Xopero.
1. Baron Samedit – dziesięcioletnia podatność w Sudo zagraża większości obecnych dystrybucji Linux
Luka Baron Samedit (CVE-2021-3156) została odkryta przez firmę Qualys – zajmującą się audytem bezpieczeństwa – około dwa tygodnie temu i już doczekała się patcha. Wspomniana łatka została wypuszczona 27 stycznia wraz z wydaniem Sudo 1.9.5p2. Czytając ten artykuł zrozumiecie, dlaczego stało się to tak szybko.
Błąd Baron Samedit może zostać wykorzystany przez atakującego, który uzyskał dostęp do konta o niskich uprawnieniach w celu uzyskania dostępu do konta roota – nawet jeśli dane konto nie zostało wymienione w /etc/sudoers. Chodzi w tym wypadku o plik konfiguracyjny, który kontroluje, którzy użytkownicy mogą mieć dostęp komend su lub sudo. Luka może zostać wykorzystana przez operatorów botnetów w kolejnych etapach ataku, aby pomóc im w łatwym uzyskaniu dostępu do roota i przejęciu kontroli nad zhakowanym serwerem. Tego typu botnety – wykorzystujące ataki brute force – są obecnie dość powszechne.
Cofnijmy się wstecz…
Chociaż w ciągu ostatnich dwóch lat wykryto dwie inne luki w zabezpieczeniach Sudo, ujawniony niedawno błąd jest uważany za najbardziej niebezpieczny z nich wszystkich. Dwa poprzednie błędy, CVE-2019-14287 (błąd -1 UID) i CVE-2019-18634 (pwfeedback), były trudne do wykorzystania, ponieważ wymagały złożonych i niestandardowych konfiguracji sudo.
Co gorsza Baron Samedit dotyczy wszystkich instalacji Sudo, w których obecny jest plik sudoers (/etc/sudoers), występujący zwykle w większości domyślnych instalacji Linux+Sudo.
W tym wypadku mamy też do czynienia z tzw. błędem long tail. Podatność po raz pierwszy pojawiła się w kodzie Sudo w lipcu 2011 r. Dotyka więc wszystkie wersje Sudo wydane w ciągu ostatnich dziesięciu lat. Zespół Qualys opracował wiele wariantów exploitów dla Ubuntu 20.04 (Sudo 1.8.31), Debian 10 (Sudo 1.8.27) i Fedora 33 (Sudo 1.9.2).
2. LogoKit, nowe narzędzie w arsenale cyberprzestępców pozwala dynamicznie tworzyć strony phishingowe
Specjaliści z RiskIQ odkryli nowy phishingowy kit o nazwie LogoKit, który dynamicznie tworzy treści phishingowe w czasie rzeczywistym.
LogoKit posiada modułową strukturę – zestaw funkcji JavaScript – która ułatwia wdrożenie narzędzia w modelu Phishing-as-a-Service.
LogoKit wykorzystuje specjalnie spreparowane adresy URL zawierające e-mail odbiorcy. Spreparowane URL wysyłane do ofiar zazwyczaj zawierają ich e-mail jako hash lokalizacji. Przyjrzyjmy się temu w praktyce. Dysponujemy następującym adresem URL: phishingpage [.] Site/login.html#victim@company.com. Hash lokalizacji zostaje podzielony na części. Symbol „@” pełni funkcję separatora – w ten właśnie sposób przestępcy wyodrębniają domenę użytkownika lub firmy w celu pobrania właściwego logo. Favicon jest zazwyczaj zaciągany z baz Clearbit lub Google.
Co dzieje się dalej? Zależy to w dużej mierze od wdrożenia LogoKit. Po zweryfikowaniu faktu czy dane zostały wprowadzono poprawnie, w niektórych sytuacjach LogoKit wyświetla fałszywy komunikat że wprowadzone hasło jest nieprawidłowe. Ponowienie operacji przekierowuje użytkownika na firmową domenę. W czasie kiedy user zastanawia się gdzie popełnił właściwie błąd, skrypt nadal wykonuje żądanie AJAX do domeny będącej w rękach cyberprzestępców i wysyła chociażby wykradzione dane uwierzytelniające na e-mail atakującego.
Zespół RiskIQ wykrył już ponad siedemset unikalnych domen uzbrojonych w LogoKit – i to zaledwie w ciągu ostatnich 30 dni. Atakujący podszywają się pod wiele usług, w tym MS SharePoint, Adobe Document Cloud, OneDrive, Office 365 a także giełdy kryptowalut.
Czy jest prosty sposób umożliwiający wykrycie LogoKit?
Atakujący zazwyczaj sięgają po popularne platformy umożliwiające wdrożenie aplikacji. Dlatego w tym wypadku blokowanie tych usług raczej nie wchodzi w grę. Na przykład całkowite zablokowanie przechowywania obiektów przez Amazon prawdopodobnie doprowadziłoby do licznych problemów w firmie. Poniżej prezentujemy listę usług, które zostały wykorzystane w atakach z udziałem LogoKit.
glitch.me: Application Deployment Platform
appspot.com: Google Cloud Platform
web.app: Google Firebase
firebaseapp.com: Google Firebase
storage.googleapis.com: Google Cloud Storage
firebasestorage.googleapis.com: Google Firebase Storage
s3.amazonaws.com: Amazon S3 Object Storage
csb.app: Google CodeSandbox
website.yandexcloud.net: Yandex Static Hosting
github.io: GitHub Static Page Hosting
digitaloceanspaces.com: DigitalOcean Object Storage
oraclecloud.com: Oracle Object Storage
Chociaż atakujący bardzo często sięgają po popularne usługi hostingowe, specjaliści z RiskIQ zaobserwował również, że część witryn została zhakowana. Wiele z nich jest postawionych na WordPress. Zapewne ich administratorzy nie załatali w porę licznych podatności…
3. Gang od ransomware Avaddon wykorzystuje ataki DDoS, aby wymusić zapłatę okupu (w tym od polskiej sieci klinik kardiologicznych)
Do tej pory, tylko operatorzy SunCrypt i RagnarLocker zostali przyłapani na wykorzystywaniu ataków DDoS przeciwko sieciom i stronom internetowym swoich ofiar, jako techniki na wymuszenie okupu. I to stosunkowo niedawno, bo mniej więcej we wrześniu 2020 roku.
Teraz dołączył do nich gang odpowiedzialny za ransomware Avaddon. Jedną z ofiar ataku jest największa sieć klinik kardiologicznych w Polsce – American Heart, której przestępcy grożą teraz upublicznieniem 44 GB danych. Jeżeli ktoś nadal myśli, że poważne ataki nie przytrafiają się firmom w Polsce – czas najwyższy zmienić zdanie…
Operatorzy Avaddon wykorzystują teraz ataki DDoS, aby zmusić swoje ofiary do kontaktu, negocjacji i wreszcie zapłaty okupu.
W zasadzie, nie powinno nas to mocno dziwić. Ataki DDoS są tanie i proste, a mogą przekonać ofiary, że zapłata jest mniej bolesnym rozwiązaniem. Ponadto, im więcej presji nałożą przestępcy na firmy, tym większa może być skuteczność ataków.
Kiedy grupa Maze wprowadziła na cyberprzestępczy rynek technikę podwójnego wymuszenia (ang. double-extortion), bardzo szybko zaadaptowali ją kolejni, najwięksi operatorzy oprogramowania szyfrującego. I tak też – w pierwszym kwartale 2020 roku istniały dwie grupy ze stronami do publikowania wykradzionych danych. W Q4 ich liczba wzrosła do 17… Takie i inne statystyki znajdziesz w pierwszym rozdziale raportu Cyberbezpieczeństwo: Trendy 2021, w którym przyglądamy się najgłośniejszym atakom i incydentom 2020 r. i bierzemy pod lupę najnowsze trendy w technikach przestępców i sposobach na zabezpieczenie danych biznesowych.
Czy ataki DDoS powtórzą sukces techniki podwójnego wymuszenia? Na ten moment ciężko jeszcze to stwierdzić, ale biorąc pod uwagę fakt, że są stosunkowo tanie i łatwe do przeprowadzenia, mogą stać się kolejną kartą przetargową w rękach operatorów ransomware…
4. Lebanese Cedar – grupa związana z Hezbollahem – stoi za atakami na Telco i ISP na całym świecie
Grupa przestępcza Lebanese Cedar (zwana również jako Volatile Cedar), powiązana z Hezbollahem, jest odpowiedzialna za włamania do sieci operatorów telekomunikacyjnych i dostawców usług internetowych. W takich krajach jak Stany Zjednoczone, Wielka Brytania, Izrael, Egipt, Arabia Saudyjska, Liban, Jordania. Autonomia Palestyńska i Zjednoczone Emiraty Arabskie.
Całoroczna kampania rozpoczęła się na początku 2020 roku i została odkryta przez izraelską firmę zajmującą się cyberbezpieczeństwem – ClearSky. Zidentyfikowała ona co najmniej 250 serwerów internetowych, które zostały zhakowane przez Lebanese Cedar. Wygląda na to, że ataki miały na celu zebranie informacji i kradzież firmowych baz danych, zawierających wrażliwe informacje – w tym rejestry rozmów i prywatne dane klientów.
Ataki przebiegały według prostego schematu. Libańscy operatorzy wykorzystali hakerskie narzędzia typu open source do przeskanowania Internetu w poszukiwaniu niezałatanych serwerów Atlassian i Oracle. Następnie wdrożyli exploity, aby uzyskać dostęp do serwera i zainstalowali web shells w celu uzyskania dostępu w przyszłości. Następnie grupa użyła powłok do ataków na wewnętrzne sieci firm, skąd wyprowadziła poufne dokumenty.
Hakerzy wykorzystali luki CVE-2019-3396 w Atlassian Confluence, CVE-2019-11581 w Atlassian Jira oraz CVE-2012-3152 w Oracle Fusion. Web shells takie jak: ASPXSpy, Caterpillar 2, Mamad Warning. Wykorzystane narzędzie open source to z kolei JSP file browser (które może również działać jako powłoka internetowa).
Po wejściu do sieci atakujący wdrożyli Explosive RAT – czyli “wybuchowego” trojana zdalnego dostępu – złośliwe oprogramowanie używane poprzednio wyłącznie przez Lebanese Cedar.
Ponadto badacze stwierdzili również, że atakujący popełniali błędy w działaniu. Często ponownie wykorzystywali pliki między włamaniami. Pozwoliło to ClearSky śledzić ataki na całym świecie i powiązać je z grupą.
Nazwy niektórych ofiar zostały upublicznione. Z bardziej rozpoznawalnych, na liście znajdują się Vodafone Egypt, Etisalat UAE, SaudiNet w Arabii Saudyjskiej i Frontier Communications w USA.