BootHole to nowa luka bezpieczeństwa, którą wykryto w jednym najpopularniejszych na rynku komponentów typu bootloader. Lista systemów, których problem dotyczy jest długa. Mamy na niej serwery, stacje robocze, laptopy i komputery stacjonarne oraz prawdopodobnie dużą liczbę systemów OT (sterowania przemysłowego) a także IoT.
1. GRUB2 z dziurą ‘BootHole’ – zagrożeni są użytkownicy systemów Linux oraz Windows
Podatność nosząca nazwę BootHole pozwala atakującym wpłynąć bezpośrednio na proces rozruchowy systemu, który poprzedza start samego systemu operacyjnego.
Proces bootowania stanowi element kluczowy dla zabezpieczenia urządzenia. Opiera się on na różnych komponentach określanych jako bootloaders lub programy rozruchowe. Odpowiadają one za ładowanie firmware dla wszystkich komponentów hardware’owych urządzenia. Wróćmy do BootHole. Jest to podatność w GRUB2 – czyli jednym z najpolularniejszych komponentów typu bootloaders obecnie na rynku. Jest on wykorzystywany we wszystkich największych dystrybucjach Linux, w części maszyn działających pod kontrolą Windows OS, macOS a także systemach opartych na BSD. Wychodzi więc na to, że Secure Boot nie jest taki bezpieczny…
Główne zadanie Secure Boot to ochrona procesów przed złośliwymi aplikacjami. Podczas procesu rozruchu, wszystko co ładuje się wcześniej ma większe uprawnienia niż to, co ładuje się później. Atakujący, mogą wykorzystać podatność BootHole do ingerencji w proces rozruchowy urządzenia, a co za tym idzie kontrolować sposób ładowania składników systemu operacyjnego, omijając zabezpieczenia. Podatność można wykorzystać także w systemach, które wykorzystują Secure Boot nawet jeśli nie korzystają one z GRUB2. Czyli chodzi o wszystkie urządzenia Win z Secure Boot podpisanych standardowym certyfikatem Microsoft Third Party UEFI. Problem więc dotyczy większości laptopów, komputerów stacjonarnych, serwerów i stacji roboczych, a także urządzeń i sprzętu sieciowego używanego w przemyśle, opiece zdrowotnej i finansach.
BootHole – źródło problemu
BootHole to podatność przeciążenia bufora, która wynika ze sposobu w jaki GRUB2 parsuje zawartość pliku konfiguracji GRUB2. Plik konfiguracyjny GRUB2 jest plikiem tekstowym i zwykle nie jest podpisany tak jak inne pliki czy .exe. Atakujący może zmienić zawartość pliku konfiguracyjnego GRUB2 i w ten sposób umożliwić ładowanie złośliwego oprogramowania przed startem systemu operacyjnego.
Udana eksploatacja tej podatności umożliwiłaby wyłączenie weryfikacji integralności kodu, dzięki czemu staje się możliwe ładowanie większej liczby sterowników lub plików .exe. W ten sposób atakujący jest w stanie przejąć pełną kontrolę nad systemem operacyjnym, aplikacjami oraz danymi zgromadzonymi na urządzeniu. Atak jest możliwy nawet wtedy gdy Secure Boot jest włączony i poprawnie weryfikuje sygnatury wszystkich załadowanych plików wykonywalnych.
Niełatwe rozwiązanie problemu…
… w które zaangażowanych jest wiele podmiotów – od wydawców systemów operacyjnych, poprzez vendorów, na administratorach kończąc. Wszystkie wersje GRUB2, które ładują polecenia z zewnętrznego pliku konfiguracyjnego grub.cfg, są podatne na atak. Rozwiązanie problemu wymaga wydania nowych instalatorów oraz programów rozruchowych dla wszystkich wersji Linux. Także vendorzy muszą wypuścić nowe wersje swoich podkładek bootloadera z podpisem Microsoft 3rd Party UEFI CA. Nowe programy rozruchowe będą musiały zostać podpisane i wdrożone – a ich wcześniejsze wersje, podatne na atak, wycofane, by uniemożliwić ich użycie w przyszłości. Administratorzy będą musieli przeprowadzić pełny update wszystkich systemów operacyjnych – także zainstalowanych obrazów, w tym kopii systemów, które w przypadku awarii można uruchomić w zwirtualizowanej postaci. Jak widać, nie jest to łatwe zadanie i z całą pewnością będzie wymagało przeprowadzenia wielu testów nim wszystkie zmiany zostaną finalnie wprowadzone. Wdrożenie wszystkich wymaganych środków naprawczych będzie niestety długotrwałym procesem.
2. Niewykrywalny Doki celuje w serwery Docker hostowane na AWS czy Azure
Badacze odkryli całkowicie niewykrywalne złośliwe oprogramowanie dla systemu Linux. Atakuje ono publicznie dostępne serwery Docker hostowane na popularnych platformach chmurowych, w tym AWS, Azure i Alibaba Cloud.
Nazwane Doki jest częścią kampanii kryptominera Ngrok, aktywnej od co najmniej 2018 roku. Hakerzy wykorzystują interfejs Docker API do wdrażania nowych serwerów wewnątrz infrastruktury chmurowej firmy. Serwery, na których działa wersja Alpine Linux, są następnie infekowane złośliwym oprogramowaniem typu cryptominer, ale także malware Doki.
Według naukowców Doki:
- został zaprojektowany do wykonywania poleceń otrzymywanych od operatorów,
- używa eksploratora bloków kryptowaluty Dogecoin do dynamicznego generowania swojej domeny C2 w czasie rzeczywistym
- wykorzystuje bibliotekę embedTLS do funkcji kryptograficznych i komunikacji sieciowej,
- tworzy unikalne adresy URL o krótkim czasie życia i używa ich do pobierania ładunków w trakcie ataku.
Doki, w przeciwieństwie do innych malware, nie polega na określonej domenie czy zestawie złośliwych adresów IP. Korzysta z dynamicznych usług DNS, takich jak DynDNS, a w połączeniu z unikalnym algorytmem generowania domeny (Domain Generation Algorithms – DGA) opartym na łańcuchu bloków, może generować i lokalizować adres swojego serwera C2 w czasie rzeczywistym i korzystać z ataków typu “phone home”.
Atakującym udało się również złamać zabezpieczenia hostów i połączyć nowo utworzone kontenery z katalogiem głównym serwera, umożliwiając im dostęp i możliwość modyfikowania dowolnych plików w systemie. Osoba atakująca może więc kontrolować narzędzie cron hosta, a nawet przejąć kontrolę nad całą infrastrukturą ofiary.
Szkodliwe oprogramowanie wykorzystuje również zainfekowane systemy do dalszego skanowania sieci w poszukiwaniu portów powiązanych z Redis, Docker, SSH i HTTP, przy użyciu narzędzia skanującego, takiego jak zmap, zgrap i jq.
Doki pozostawał w ukryciu przez ponad sześć miesięcy, mimo tego, że został zgłoszony do VirusTotal (serwisu skanującego zagrożenia) w styczniu 2020 roku i wielokrotnie skanowany. Zaskakujący jest również fakt, że nadal nie znajduje go żaden z 61 najlepszych silników do wykrywania złośliwego oprogramowania. Według VirusTotal tylko sześć programów antywirusowych określa jego próbkę jako złośliwą.
Użytkownikom i organizacjom, które uruchamiają instancje Dockera, zaleca się, aby nie ujawniali interfejsów Docker API w Internecie. Jeżeli musisz to zrobić, upewnij się,że jest on dostępny tylko w zaufanej sieci lub VPN i wyłącznie dla zaufanych użytkowników.
Zapoznaj się również z najlepszymi praktykami w zakresie bezpieczeństwa Dockera tutaj.
3. Uważajcie na fałszywe powiadomienia SharePoint – to element nowej kampanii phishingowej
Użytkownicy Microsoft Office 365 znajdują się pod nieustannym ostrzałem targetowanych kampanii phishingowych. Cel oczywiście jest jeden – kradzież możliwie jak największej ilości danych uwierzytelniających.
Rozsyłane aktualnie maile udają automatyczne powiadomienia SharePoint – trafiają one do wszystkich pracowników organizacji, która pada ofiarą ataku. Statystyki zebrane przez Abnormal Security pokazują, że na ten moment liczba „atakowanych” skrzynek przekroczyła już 50 tys.
Treść powiadomienia jest bardzo krótka i ogólna – wręcz chce się powiedzieć „Nic nie mówiąca”. Nazwa atakowanej firmy przewija się kilkakrotnie. Zazwyczaj w tytule, głównej treści oraz nazwie udostępnianego dokumentu. Jest to dosyć popularna taktyka mająca na celu przekonanie użytkownika do tego, że wiadomość pochodzi z wiarygodnego źródła. Jak przy większości tego typu kampanii przestępcy chcą skłonić odbiorcę do kliknięcia w hiperłącze, które przeniesie ich na spreparowaną stronę logowania SharePoint – po drodze czeka go jednak cała seria przekierowań. Jeśli użytkownik da się nabrać i „zaloguje” się do konta SharePoint, jego dane posłużą do dalszego ataku na firmową infrastrukturę Microsoft 365. Istnieje również ryzyko, że osoby atakujące przeprowadzą wewnętrzne ataki w celu kradzieży większej liczby danych z organizacji.
4. QSnatch atakuje urządzenia QNAP NAS – 54% infekcji wykryto w Europie
Złośliwe oprogramowanie QSnatch, które po raz pierwszy wykryto pod koniec 2019 r. zbiera żniwo. Według amerykańskiej agencji CISA oraz brytyjskiej NCSC ilość zagrożonych urządzeń od tego momentu wzrosła z 7 tysięcy botów do 62 tys. – 46% z nich wykryto w Europie Wschodniej, a 8% Europie Zachodniej.
To wyrafinowane złośliwe oprogramowanie atakuje QTS, system operacyjny oparty na systemie Linux, na którym działają urządzenia tajwańskiego producenta. Jest w stanie rejestrować hasła i dane uwierzytelniające, konfigurować backdoor SSH i webshell czy eksfiltrować pliki. Co istotne, QSnatch zapewnia sobie trwałość uniemożliwiając użytkownikom instalację aktualizacji, które mogą go usunąć lub oraz zapobiegając działaniu aplikacji QNAP Malware Remover.
QSnatch nie jest nowym odkryciem – jego początki sięgają 2014 roku. Ostatni raz QNAP zaalarmował swoich użytkowników o kolejnej kampanii w listopadzie 2019 r. Co ciekawe, wciąż pozostaje tajemnicą, w jaki sposób złośliwe oprogramowanie jest dystrybuowane.
Co zrobić, jeśli QNAP został zainfekowany? Agencje twierdzą, że infrastruktura używana przez cyberprzestępców w obu kampaniach nie jest obecnie aktywna, ale niezałatane urządzenia mogą zostać naruszone.
Nie zostało potwierdzone, że aktualizacja wystarczy do usunięcia złośliwego oprogramowania. Zalecane jest przeprowadzenie pełnego przywrócenia ustawień fabrycznych na urządzeniu, a następnie sprawdzenie czy aktualizacje zostały zastosowane. Spowoduje to “zniszczenie” złośliwego oprogramowania, ale jednocześnie pociągnie za sobą usunięcie wszystkich danych przechowywanych na urządzeniu. Być może to najlepszy moment, aby dodatkowo zainwestować w backup w chmurze i zastosować regułę backupu 3-2-1 w swojej strategii ochrony danych.
Agencje dodatkowo zalecają organizacjom blokowanie połączeń zewnętrznych, gdy urządzenie jest przeznaczone wyłącznie do użytku wewnętrznego.
Tutaj można znaleźć pełne porady firmy QNAP dotyczące zapobiegania infekcjom QSnatch.