US Cyber Command ostrzega użytkowników, aby natychmiast załatali nową krytyczną podatność w PAN-OS. My także jesteśmy takiego zdania. Wynik 10/10 w skali CVSSv3 oznacza, że zdecydowanie nie wolno odkładać tego na później… Cyberprzestępcy prawdopodobnie wkrótce zaczną wykorzystywać tę podatność. A mówimy przecież o next-generation firewall… Więcej na ten temat przeczytasz poniżej.
1. PAN-OS z poważną podatnością, która pozwala hakerom ominąć uwierzytelnianie w popularnych zaporach nowej generacji
Palo Alto Networks poinformowało o krytycznej podatności (CVE-2020-2021) w systemie operacyjnym PAN-OS, który obsługuje zapory ogniowe nowej generacji (NGFW) tego producenta. Błąd pozwala atakującym obejść uwierzytelnianie.
W sytuacji gdy uwierzytelnianie SAML (Security Assertion Markup Language) jest włączone, a opcja „Potwierdzaj tożsamość certyfikatu dostawcy” jest wyłączona, nieprawidłowa weryfikacja podpisów w uwierzytelnianiu SAML PAN-OS umożliwia nieuwierzytelnionemu atakującemu dostęp do chronionych zasobów. Ważne: atakujący musi posiadać dostęp sieciowy do podatnego serwera. Tylko wtedy jest on w stanie wykorzystać tę lukę. Ale niektóre urządzenia zostały „umyślnie” skonfigurowane w opisany sposób. Właściciele, którzy korzystają z zewnętrznych IdP lub IDP (dostawców tożsamości) – takich jak uwierzytelnianie Duo lub rozwiązania uwierzytelniające firm Centrify, Trusona lub Okta – zostali poinstruowani, aby ustawić właśnie tę konkretną konfigurację…
Podatność w PAN-OS jest bardzo niebezpieczna
Podatność w PAN-OS została oceniona jako krytyczna i otrzymała 10 na 10 punktów w ramach CVSSv3. Wynik 10/10 oznacza, że stosunkowo łatwo można przeprowadzić atak – nie wymaga on zaawansowanych umiejętności technicznych… Błąd można wykorzystać do wyłączenia zapór ogniowych lub zasad kontroli dostępu VPN, skutecznie wyłączając urządzenia z systemem PAN-OS.
Podatność dotyczy wersji PAN-OS 9.1 wcześniejszych niż PAN-OS 9.1.3; Wersje PAN-OS 9.0 wcześniejsze niż PAN-OS 9.0.9; Wersje PAN-OS 8.1 wcześniejsze niż PAN-OS 8.1.15 i wszystkie wersje PAN-OS 8.0 (EOL). Błąd nie występuje w PAN-OS 7.1.
Dobra wiadomość jest taka, że jak dotąd nie zaobserwowano jeszcze ataków wykorzystujących błąd w PAN-OS. Mimo to użytkownicy powinni sprawdzać dzienniki uwierzytelniania, logi User-ID, ACC Network Activity Source/Destination Regions, Custom Reports (Monitor > Report) a także logi GlobalProtect. Wykrycie nietypowych nazw użytkowników lub źródłowych adresów IP w dziennikach i raportach jednoznacznie wskazuje, że doszło do naruszenia urządzenia.
2. Uwaga pracownicy zdalni – luki w Apache Guacamole pozwolą przejąć kontrolę nad siecią
Apache Guacamole – popularny, darmowy i otwarty system zdalnego dostępu, jest podatny na szereg błędów bezpieczeństwa związanych z protokołem RDP (Remote Desktop Protocol). Administratorzy powinni zaktualizować swoje systemy (tak, na szczęście dostępna jest już łatka), aby uniknąć ataków mających na celu kradzież informacji lub zdalne wykonanie kodu.
Guacamole ma ponad 10 milionów pobrań. Umożliwia pracownikom zdalny dostęp do firmowych sieci komputerowych z dowolnego miejsca za pomocą przeglądarki internetowej. Nic dziwnego, że jest chętnie wykorzystywane w czasie pracy zdalnej. Ponadto jest wbudowane w inne produkty, takie jak Jumpserver Fortress, Quali i Fortigate.
Specjaliści z Check Point rozpoczęli analizę tego oprogramowania w połowie lutego, gdy firma sama przygotowała się do wdrożenia modelu pracy zdalnej dla ponad 5 tys. pracowników. Szybko odkryli problem z bramą typu open source. Zauważyli, że jeśli łączy się z zainfekowanym komputerem, osoby atakujące mogą użyć go do przejęcia kontroli nad całą bramą. Po jej opanowaniu, atakujący mogą podsłuchiwać wszystkie przychodzące sesje, rejestrować używane poświadczenia, a nawet kontrolować resztę komputerów w organizacji. W praktyce oznacza to uzyskanie pełnej kontroli nad całą siecią firmową.
Ponadto znaleźli kilka krytycznych luk w zabezpieczeniach odwrotnego RDP, dzięki którym maszyna docelowa mogłaby zostać użyta do sterowania bramą oraz luki we FreeRDP, czyli darmowej implementacji zastrzeżonego RDP.
Luki te umożliwiają ujawnienie informacji w stylu Heeartbleed oraz uszkodzenie pamięci. Połączenie ich ze sobą daje dowolne możliwości odczytu i zapisu w bramie. Badaczom udało się wykorzystać je do przeprowadzenia ataku polegającego na podniesieniu uprawnień, i przejęciu kontroli nad systemem.
Oficjalna łatka jest dostępna od 28 czerwca (wersja 1.2.0). Pamiętaj, że wszystkie wersje Guacamole wydane przed styczniem 2020 r. używają podatnych wersji FreeRDP, dlatego ważne jest, aby jak najszybciej zainstalować aktualizację.
3. Haker zaatakował 47% baz MongoDB. Grozi wyciekiem i RODO
Haker zaatakował 22,900 baz danych MongoDB – czyli 47% z wszystkich dostępnych online!
Jak? Atakujący korzysta ze zautomatyzowanego skryptu, aby odszukać źle skonfigurowane bazy MongoDB. Następnie usuwa ich zawartość i pozostawia notatkę z żądaniem zapłaty 0,015 bitcoinów (ok. 140$). Daje firmom dwa dni na zapłatę okupu. W innym przypadku grozi publikacją danych i zgłoszeniem wycieku do lokalnych organów odpowiedzialnych za przestrzeganie RODO/GDPR.
Chociaż niektóre z tych baz danych wydają się być instancjami testowymi, to odnotowano również ataki na niektóre systemy produkcyjne, które straciły swoje dane.
Ataki związane z kasowaniem danych i szantażowaniem właścicieli baz MongoDB nie są niczym nowym. Najnowszą falę można wręcz uznać jako ostatnią z serii ataków, które rozpoczęły się w 2016 roku, gdy okazało się, że to całkiem lukratywny biznes.
Dlaczego MongoDB są tak podatne? Z reguły do naruszeń dochodzi w momencie, gdy administratorzy korzystają z nieoficjalnych tutoriali i popełniają błędy podczas konfiguracji systemów lub używają obrazów serwerów dostarczanych z nieprawidłowo skonfigurowanym systemem MongoDB.
Administratorom, którzy chcą zabezpieczyć swoje serwery MongoDB w odpowiedni sposób, zalecamy korzystanie z oficjalnej strony producenta poświęconej bezpieczeństwu.
4. Stare modele Lenovo NAS pod ostrzałem – hakerzy usuwają dane i pozostawiają wiadomości z żądaniem okupu
Kampania – prowadzona przez grupę podpisującą się Cl0ud SecuritY; – trwa już ponad miesiąc. Atakowane są wyłącznie urządzenia LenovoEMC oraz Iomega. Dzieje się tak z prostego powodu – są one podłączone do sieci i łatwo je wyszukiwać m.in za pomocą Shodan. Problemem jest ich interface graficzny służący do zarządzania NASem. Jeśli nie jest odpowiednio zabezpieczony, atakujący mogą zdalnie przesyłać lub usuwać zgromadzone na urządzeniu zasoby. Łatwy łup? Jak najbardziej. Shodan aktualnie wyświetla sporą ilość Iomega NAS, które są bez żadnych zabezpieczeń podłączone do sieci.
Wróćmy do obecnej kampanii. Hakerzy pozostawiają wiadomości tekstowe z informacją o możliwości odzyskania danych. Użytkownik musi jednak za to zapłacić od 200 do 275 dolarów amerykańskich. Wszystko wskazuje na to, że pliki nie są usuwane a raczej ukrywane gdzieś na urządzeniu.
BleepingComputer poinformował, że jedna z ofiar odzyskała zasoby z pomocą oprogramowania do odzyskiwania plików, po podłączeniu urządzenia NAS do komputera za pomocą portu USB. Jednak metoda ta nie sprawdza się we wszystkich przypadkach.
QNAP i Synology także są na celowniku przestępców
Użytkownicy urządzeń Iomega NAS nie są jedynymi którzy mierzą się obecnie z cyberatakami. Ransomware eCh0raix atakuje urządzenia NAS firmy QNAP. Po wielu raportach nadsyłanych przez użytkowników, producent przygotował informację w jaki sposób zablokować i zabezpieczyć urządzenia. Także firma Synology wydała opublikowała poradnik przybliżający jak radzić sobie z zagrożeniem ze strony ataków brute force.
Lepiej dmuchać na zimne… O ile nie potrzebujesz publicznego dostępu do swoich zasobów, wszystkie urządzenia NAS powinny być schowane za zaporą ogniową i dostępne wyłącznie poprzez VPN. Jeśli taki rozwiązanie nie wchodzi w grę, zabezpiecz urządzenie silnym hasłem.