BleedingTooth / SonicWall VPN z podatnością / Lemon Duck /

Specjaliści z Intel i Google odkryli kilka groźnych błędów – noszących wspólną nazwę BleedingTooth – w jądrze Linux Bluetooth od firmy BlueZ. W sieci można już obejrzeć pierwsze demo, ukazujące możliwy atak. Więcej w tym temacie przeczytacie poniżej.

1. BleedingTooth, czyli błąd w Linux Bluetooth naraża użytkowników na atak typu Zero-Click

Luki Bluetooth, które wykryto w jądrze Linuksa, mogą zostać wykorzystane do uruchomienia dowolnego kodu lub uzyskania dostępu do poufnych informacji.

Błędy – określane wspólnym mianem jako BleedingTooth – wykrył Andy Nguyen, security engineer pracujący dla Google. 

CVE-2020-12351 (8.3 punkta w skali CVSS) to najpoważniejszy z błędów i dotyczy wersji Linux Kernel 4.8 oraz wyższych. Aby przeprowadzić atak, przestępca musi znajdować się z zasięgu Bluetooth ofiary, a także znać adres bd urządzenia. W celu wywołania błędu, atakujący przesyła złośliwy pakiet l2cap. W efekcie tego działania jest w stanie doprowadzić do odmowy dostępu a w niektórych przypadkach także wykonywania dowolnego kodu z uprawnieniami jądra systemu. Błąd można również wywołać z pomocą złośliwego układu Bluetooth. To właśnie ta podatność może doprowadzić do ataku Zero-Click, czyli takiego który nie wymaga interwencji ze strony użytkownika. 

Druga podatność – CVE-2020-12352 – została uznana za mniej groźną (5.3 p. CVSS). Dotyczy głównie wycieku informacji ze stosu, który występuje w wersjach Linux Kernel 3.6 oraz wyższych. Atakujący, który znajdzie się w niewielkiej odległości od ofiary, znający adres bd urządzenia jest w stanie pobrać informacje ze stosu jądra – w tym także dane dotyczące kluczy szyfrujących. 

Ostatni błąd – CVE-2020-24490 (również 5.3 punkta w skali CVSS) dotyczy wersji Linux Kernel 4.19 oraz późniejszych. Atak przebiega w taki sam sposób, tyle że w tym wypadku przestępca uzyskuje dane z kanału advertising. Także w tym przypadku atak może doprowadzić do odmowy dostępu i zdalnego wykonywania kodu przez przestępcę. 

Opisane wyżej luki dotyczą wszystkich wersji jądra Linuks w wersji 5.9 lub wcześniejszych.

BlueZ, firma odpowiadająca za rozwój Linux Bluetooth ogłosiła już, że pracuje nad poprawkami do jądra. Wydanie ich ma rozwiązać wszystkie trzy problemy bezpieczeństwa. Nie sposób jednak określić, kiedy użytkownicy otrzymają nowy release. 

Źródło

2. Podatność VPN – tym razem narażonych na atak jest ok. 800 tys. urządzeń SonicWall VPN

SonicWall NSA są używane jako zapory i portale SSL VPN do filtrowania, kontrolowania i umożliwiania pracownikom dostępu do sieci wewnętrznych i prywatnych. Jak się okazało, prawie 800 000 applianców tej firmy – dostępnych z poziomu internetu – wymaga bardzo szybkiej aktualizacji.

CVE-2020-5135 to błąd w komponencie obsługującym niestandardowe protokoły. Wpływa on bezpośrednio na SonicOS, system operacyjny który działa na urządzeniach SonicWall Network Security Appliance (NSA).

Drobny błąd, ale bardzo groźny

Niebezpieczny komponent znajduje się w interface’ie WAN, oznacza to więc, że o ile atakujący zna adres IP urządzenia, bez problemu przeprowadzi atak. Podatność może doprowadzić do denial of service i awarii urządzenia. 

CVE-2020-5135 sklasyfikowano jako błąd klasy krytycznej – 9,4 w 10 punktowej skali CVSS. Specjaliści podejrzewają, że pierwsze ataki pojawią się wraz z upublicznieniem PoC. Tym bardziej, że wykorzystanie luki nie wymaga od atakującego posiadania ważnych danych uwierzytelniających. Błąd występuje przed jakimikolwiek operacjami uwierzytelniania.

Tripwire, którego zespół odkrył lukę, zgłosił błąd do SonicWall. Poprawki zostały wydane w ostatni poniedziałek – 12 października.

Źródło

3. Lemon Duck – cryptominery znów w centrum uwagi

Specjaliści z Cisco Talos ostrzegają przed drastycznym wzrostem aktywności cryptominera Lemon Duck, wykradającego Monero. Choć zagrożenie znane jest co najmniej od końca grudnia 2018 r., ostatnio stało się nad wyraz aktywne. Należy mieć się na baczności bo to jeden z najbardziej złożonych botnetów z wieloma asami w rękawie. 

Jak działa? Infekcja rozpoczyna się od skryptu ładującego PowerShell, który jest kopiowany z innych zainfekowanych systemów za pomocą SMB, poczty elektronicznej lub zewnętrznych dysków USB. Przestępcy mogą również wykorzystać gamę exploitów dla luk w zabezpieczeniach, takich jak SMBGhost i Eternal Blue. W niektórych wersjach jest również obecny kod wykorzystujący lukę Bluekeep

Botnet zawiera wykonywalne moduły, które są pobierane i sterowane przez główny moduł, który komunikuje się z serwerem dowodzenia (C2) przez HTTP.

Moduł rozprzestrzenia się za pomocą wiadomości e-mail wykorzystujących tematy związane z COVID-19. Zainfekowany załącznik z kolei jest wysyłany z użyciem automatyzacji Outlooka do każdego kontaktu w książce adresowej użytkownika, którego dotyczy problem.

Kalejdoskop wektorów. Lemon Duck ma co najmniej 12 niezależnych wektorów infekcji – więcej niż większość tego typu malware. Wród 9 na Windows są m.in ataki typu brute-force na SMB i RDP, exploit BlueKeep, luki RDP, phishing. Osoby atakujące mogą również skutecznie włamać się do hosta Linux za pośrednictwem Redis, YARN lub SSH.

Moduły zawierają głównego loadera, który sprawdza poziom uprawnień użytkownika oraz posiadane komponenty niezbędne do kopania kryptowalut, takie jak dostępne karty graficzne (w tym GTX, Nvidia, GeForce, AMD i Radeon). Jeśli te GPU nie zostaną wykryte, moduł ładujący pobiera i uruchamia skrypt wydobywczy XMRig oparty na CPU.

Lemon Duck nie po raz pierwszy “wynurzył się” w 2020 roku. Wcześniejsza kampania uderzyła w IoT – inteligentne drukarki, smart TV i samochody wykorzystujące system Windows 7. W lutym ostrzegano, że odbija się to na sprzęcie powodując jego awarię, ekspozycję na zagrożenia i utratę danych. 

Administratorzy muszą być czujni i monitorować zachowanie systemów w swojej sieci. Choć organizacje muszą koncentrować się na ochronie danych (inwestując m.in. w program do backupu danych) to nie powinny ignorować zagrożeń ukierunkowanych na infrastrukturę. Zwłaszcza, że botnety do kradzieży kryptowalut mogą być bardzo kosztowne. 

Źródła: 12

4. Kilkanaście dni po premierze FIFA 21, cyberprzestępcy już kradną dane graczy

Minęło zaledwie kilkanaście dni od premiery gry FIFA 21, a specjaliści już wykryli funkcje, które mogą zapewnić oszustom łatwy dostęp do danych graczy.

Gorąco oczekiwana premiera gry wideo FIFA 21, wraz z powrotem profesjonalnych rozgrywek dała fanom piłki nożnej powód do świętowania. Cyberprzestępcy już zastanawiają się, jak oni sami mogą na niej zarobić…

Christopher Boyd, specjalista z Malwarebytes Labs, opisał różne sposoby, w jakie oszuści wykorzystują ogromną popularność FIFA 21 oraz towary i nagrody w grze, aby szybko dorobić się na tym tytule. Ich furtką jest tryb gry o nazwie FIFA Ultimate Team (FUT), w którym gracze mogą zdobywać „monety” wykorzystywane w grze do kupowania „kart” nazwanych przez Boyda „siłą napędową gry”. Wskazuje, że źródłem problemy są „punkty FIFA”, które można kupić za prawdziwe pieniądze w grze w legalnych źródłach. Właśnie taki scenariusz przyciąga uwagę oszustów.

Oferują oni w sprzedaży fałszywe “gifty” i “nagrody”, reklamują je za pośrednictwem banerów, postów w mediach społecznościowych i w bezpośrednich wiadomościach. Celem jest skłonienie graczy do nieświadomego podania danych osobowych w celu odebrania nagrody. Te informacje to imię i nazwisko, adres, dane logowania i inne. Niezależnie od tego, w jaki sposób gracze są kierowani na fałszywe oferty, wszystkie drogi prowadzą do stron phishingowych. 

Oczywiście taktyka ta nie jest niczym nowym – przestępcy od lat przeprowadzają podobne ataki na graczy popularnych tytułów, pasjonatów sportu, kina itd. Następnym razem, gdy nabierzesz podejrzeń co do wiarygodności takich komunikatów – lepiej daj im czerwoną kartkę. 

Źródło