Witajcie w Centrum Bezpieczeństwa Xopero! Przywykliśmy już do newsów o ataku ransomware i zaszyfrowaniu firmowych urządzeń. Jednak dane można utracić na więcej sposobów. Choćby z powodu przywrócenia ustawień fabrycznych. Ofiarą takiej masowej „aktualizacji” padli właśnie posiadacze WD My Book NAS. Szczegóły tej tajemniczej akcji (lub cyberataku) znajdziecie poniżej. Opisujemy dla was również przypadek firmy Dell, która ma poważny problem. Dostępny na ich komputerach preinstalowany firmware updater może narazić na atak prawie 30 milionów użytkowników lub jak kto woli – 128 modeli sprzętu tego producenta. W tym tygodniu również: Microsoft poluje na BazaCall – grupę, która wykorzystuje fałszywe call center oraz błędy w Linux Marketplace. Zaczynamy.
WD My Book NAS na całym świecie zostały zdalnie wyczyszczone
Wyobraź to sobie – budzisz się, przychodzisz do biura i dowiadujesz się, że Twój WD My Book NAS został w tajemniczy sposób zresetowany do ustawień fabrycznych, a wszystkie Twoje pliki zostały usunięte. Brzmi niemożliwie? Otóż, ta historia przydarzyła się w minionym tygodniu użytkownikom WD z całego świata.
WD My Book to urządzenie pamięci masowej, które wygląda jak mała pionowa książka, którą można postawić na biurku. Aplikacja WD My Book Live umożliwia właścicielom zdalny dostęp do plików i zarządzanie urządzeniami, nawet jeśli serwer NAS znajduje się poza zaporą sieciową lub routerem.
W miniony czwartek użytkownicy nie mogli już zalogować się do urządzenia z użyciem aplikacji lub przeglądarki. Każda próba kończyła się komunikatem o nieprawidłowym haśle. Analiza logów wykazała, że urządzenia otrzymały zdalne polecenie przywrócenia do ustawień fabrycznych, które rozpoczęło się w środę o godz. 15:00 i trwało przez całą noc.
W odróżnieniu od innych urządzeń typu NAS, które są zwykle podłączone do Internetu i potencjalnie narażone na ataki (np. QLocker Ransomware), urządzenia Western Digital My Book są przechowywane poza zaporą sieciową i komunikują się za pośrednictwem serwerów w chmurze My Book Live, aby zapewnić zdalny dostęp. Dlatego też niektórzy użytkownicy obawiają się, że serwery WD zostały zhakowane i pozwoliły atakującym na wysłanie polecenia zdalnego przywracania do ustawień fabrycznych do wszystkich urządzeń podłączonych do usługi. Jeśli tak, to aż dziwne, że nikt nie zgłosił otrzymania notki z okupem lub innych gróźb.
Na moment pisania artykułu, nie ma jeszcze jednoznacznego oświadczenia ze strony WD. Firma stwierdziła, że aktywnie bada zagrożenia i nie wierzy w atak na ich serwery. Sugeruje, że ataki zostały przeprowadzone w efekcie włamania na konta użytkowników My Book.
Jeśli posiadasz urządzenie Western Digital My Book NAS, zalecamy odłączenie go od sieci, dopóki szczegóły zdarzenia nie będą nam znane.
Update: Western Digital w swoim najnowszym oświadczeniu twierdzi, że urządzenia My Book Live i My Book Live Duo podłączone do Internetu zostały zaatakowane z wykorzystaniem luki w zabezpieczeniach umożliwiającej zdalne wykonanie kodu. Ponadto analiza logów wykazała, że na niektórych urządzeniach atakujący zainstalowali trojana z plikiem o nazwie „.nttpd,1-ppc-be-t1-z”, który jest plikiem binarnym Linux ELF skompilowanym dla architektury PowerPC używanej przez My Book Live and Live Duo. Próbka tego trojana została przechwycona do dalszej analizy i przesłana do VirusTotal.
BIOSConnect – preinstalowany firmware updater od Dell naraża na atak aż 128 modeli komputerów tej firmy
Niedawno odkryte cztery luki w narzędziu zabezpieczającym oprogramowanie układowe firmy Dell mają wpływ na bezpieczeństwo aż 128 modeli komputerów tej marki. W grę wchodzą komputery stacjonarne, laptopy oraz tablety. Badacze szacują, że podatnych na atak może być ponad 30 milionów urządzeń.
Luki występują się w BIOSConnect, funkcji która umożliwia użytkownikom łatwe, a nawet automatyczne pobieranie aktualizacji oprogramowania układowego. BIOSConnect jest częścią szerszego mechanizmu aktualizacji i zdalnego zarządzania systemem operacyjnym firmy Dell o nazwie SupportAssist.
Mechanizmy aktualizacji są cennymi celami dla atakujących, ponieważ jeśli zostaną ‘skażone’ rozpowszechnianie złośliwego oprogramowania staje się znacznie łatwiejsze.
Cztery luki, które badacze wykryli w BIOSConnect, nie pozwoliłyby hakerom na jednoczesne udostępnienie złośliwych aktualizacji oprogramowania wszystkim użytkownikom sprzętu Dell. Mogą jednak zostać wykorzystane do przeprowadzenia ukierunkowanego ataku – a w konsekwencji, łatwego uzyskania zdalnej kontroli nad podatnym sprzętem. Złamanie oprogramowania układowego urządzenia daje atakującym pełną kontrolę nad maszyną. BIOSConnect koordynuje zarówno hardware jak i software. Dodatkowo uruchamia się przed systemem operacyjnym i aplikacjami na urządzeniu.
Warto w tym miejscu wspomnieć, że atakujący nie są w stanie wykorzystać podatności BIOSConnect z poziomu internetu. Oznacza to, że zanim przystąpią oni do zatruwania firmware muszą znajdować się już w sieci ofiary. Jednak kiedy hacker złamie już oprogramowanie układowe, szanse na jego szybkie wykrycie słabną z każdą godziną. Jak więc widać, gra jest warta przysłowiowej ‘świeczki’, pomimo wszystkich wspomnianych komplikacji.
Microsoft poluje na BazaCall – grupę, która wykorzystuje fałszywe call center
Atakujący wykorzystują wiadomości e-mail, aby skłonić ofiary do kontaktu z fałszywym call center, którego operatorzy instruują jak pobrać złośliwy plik. Oto nowy modus operandi BazarCall, grupy przestępczej ściganej przez Microsoft Security Intelligence, która wykorzystuje złośliwe oprogramowanie o nazwie BazarLoader (również BazaLoader) do dystrybucji ransomware.
Kampania BazaCall rozpoczyna się od otrzymania przez potencjalną ofiarę wiadomości e-mail z instrukcją rezygnacji z rzekomej subskrypcji usługi Microsoft. Według niej ofiara musi wykonać telefon pod wskazany w wiadomości numer (co ciekawe, zmieniany przynajmniej raz dziennie). Kiedy już zadzwoni, trafia do fałszywego centrum telefonicznego obsługiwanego przez przestępców. Każą jej oni odwiedzić stronę internetową i pobrać plik Excel w celu anulowania usługi. Ten plik zawiera oczywiście złośliwe makro, które pobiera ładunek.
Szkodliwe oprogramowanie BazarLoader zostało zaprojektowane w celu zapewnienia dostępu do zainfekowanego urządzenia z systemem Windows za pomocą backdoora. Przy takim poziomie dostępu osoby atakujące mogą wysyłać inne formy złośliwego oprogramowania, skanować środowisko docelowe i uskuteczniać inne ataki na podatne maszyny w tej samej sieci.
Zespół bezpieczeństwa Microsoftu zaobserwował również, że grupa używa Cobalt Strike – znanego zestawu do testowania penetracyjnego w celu kradzieży danych uwierzytelniających, w tym bazy danych Active Directory (AD). Cobalt Strike jest często używane do ruchu bocznego w sieci po włamaniu. Kradzież danych AD to z kolei poważna sprawa dla przedsiębiorstwa, gdyż baza ta zawiera informacje o danych uwierzytelniających organizacji.
Błędy w Linux Marketplace narażają cię na atak typu wormable – a łatek brak
Luka w aplikacji PlingStore grozi zdalnym wykonywaniem kodu (RCE). Do tego może zostać wywołana z dowolnej strony internetowej, o ile aplikacja jest już aktywna. W grę wchodzą więc także ataki typu drive-by.
PlingStore? Co to właściwie jest?
Jest to instalator i aplikacja do zarządzania treścią, która działa jako skonsolidowana cyfrowa witryna sklepowa dla różnych usług oferujących oprogramowanie i wtyczki dla systemu Linux. Użytkownik chce dodać plugin lub zmienić motyw systemu? Klika „Zainstaluj” i w zasadzie wszystko jest już gotowe.
Dla potencjalnych atakujących Linux Marketplace może stanowić główny cel, jednak problem dotyczy wszystkich marketplaców opartych na Pling – w tym AppImage Hub, Gnome-Look, KDE Discover App Store, Pling.com czy XFCE-Look.
Błąd XSS wiele ma postaci…
Błąd stored XSS został po raz pierwszy wykryty w KDE Discover. Stored XSS, znany również jako trwały XSS, występuje, gdy złośliwy skrypt jest wstrzykiwany bezpośrednio do podatnej na ataki aplikacji internetowej. W przeciwieństwie do reflected XSS, atak ten wymaga jedynie, aby ofiara odwiedziła zhakowaną stronę internetową. Atakujący mogą wykorzystać go do modyfikowania aktywnych listingów lub opublikowania nowych w marketplaceach opartych na Pling w kontekście innych użytkowników, co skutkuje tzw. wormable XSS.
Łatek nie ma (i nie będzie?)
Specjaliści z Positive Security, którzy odkryli podatności, próbowali skontaktować się z Pling w lutym br., bez powodzenia. Na ten moment tylko KDE Discover podjął odpowiednie działania i już w marcu wypuścił łatkę dla swoich użytkowników. Co powinni zrobić ci którzy mieli mniej szczęścia?
Użytkownikom marketplaców opartych na Pling doradza się aby unikali korzystania z aplikacji PlingStore i wylogowali się ze swoich kont w witrynach, których problem dotyczy… Do czasu rozwiązania problemów bezpieczeństwa.