Twój cotygodniowy przegląd newsów IT

Dziś omawiamy m.in. złośliwy trojan udający Google oraz luki w routerach Cisco, a także zaglądamy w przyszłość cyberataków –  roje inteligentnych botów, czy zastąpią RaaS i ataki DDoS? Zaczynajmy.

1. Uwaga na luki w routerach Cisco

Posiadacze routerów Cisco Small Business RV320 i RV325 Dual Gigabit WAN VPN powinni się mieć na baczności. Eksperci bezpieczeństwa IT wykryli bowiem potencjalnie złośliwe próby sieciowego skanowania tych urządzeń w celu wykorzystania ich dwóch nowych podatności. Luki w ochronie routerów pozwalają na zdalny, nieautoryzowany wgląd w konfigurację, stwarzając ryzyko zdalnego wykonania szkodliwego kodu. Obie podatności dotyczą webowego interfejsu wspólnego dla obu urządzeń. Pierwsza z nich w reakcji na komendę GET (zapytanie o zasoby /cgi-bin/config.exp) odsyła szczegóły urządzenia wraz z danymi administratora (na szczęście hasło jest zhashowane). Ujawniony przy tym zostaje również identyfikator sieci (SSID), pozwalając atakującym określić nawet fizyczne położenie urządzenia. Druga z podatności sprawia, że wysyłając żądanie HTTP POST do interfejsu urządzenia agresor może wykonywać komendy Linuxowej powłoki shell. Wiadomo, że narażonych jest 9657 urządzeń w 122 krajach – większość co prawda w USA, ale lepiej sprawdźcie, czy i nie w Waszej serwerowni.

Źródło newsa [EN]

2. Nowe zagrożenie: rój inteligentnych botów do wynajęcia

Jak sprawnie zarządzać klastrami nanobotów liczących setki i tysiące jednostek? Naukowcy z Hong Kongu eksperymentują z wdrożeniem algorytmu symulującego naturalne zachowania roju. Taka inteligencja “stadna” pozwala członkom kierowanej nią grupy dynamicznie reagować na wszelkie zmiany środowiska, w tym przeszkody stojące na drodze do obranego celu. Specjaliści bezpieczeństwa IT alarmują, że zastosowanie podobnej metodologii do stworzenia roju inteligentnych botów jest tylko kwestią czasu i – jeśli firmy nie wdrożą nowych zabezpieczeń – może drastycznie zmienić układ sił na korzyść cyberprzestępców. Rój botów może łączyć wiele wyspecjalizowanych jednostek wykorzystujących m.in. uczenie maszynowe. Te, unikając wykrycia, samodzielnie przeprowadzą rekonesans w sieci ofiary, by w oparciu o wykryte luki bez udziału człowieka zaprojektować i przeprowadzić skuteczne uderzenie. Rosnąca dostępność autonomicznych cyberataków zmniejszy ich koszta, przyciągając nowych cyberprzestępców. A ci na pewno spróbują na nich zarobić w modelu usługowym (as-a-service) tak, jak obecnie na ransomware (RaaS) czy atakach DDoS.

Źródło newsa [EN]

3. Trojan AZORlut doskonale udaje Google Update

AZORlut jest ekspertem w kradzieży danych, zwłaszcza związanych z bankowością i kryptowalutami. Na koncie zagrożenia jest ponad 40 tysięcy loginów pozyskanych w atakach phishingowych na biznesmenów i wysoko postawionych urzędników z całego świata. Wirus towarzyszący ostatnio m.in. szyfrującemu GandCrab zaprezentował ostatnio sprytny sposób maskowania się jako pozornie legalny update Google. Do analizy ekspertów trafiła próbka zagrożenia ukryta w pliku GoogleUpdate.exe podpisana ważnym certyfikatem bezpieczeństwa. Chociaż sam plik przygotowano z najwyższą dbałością o szczegóły upodabniające go do oryginału, specjaliści rozpoznali oszustwo właśnie weryfikując ów certyfikat. Wirus ukrywa się na dysku ofiary podmieniając oryginalny plik w folderze C:\Program Files\Google\Update\GoogleUpdate.exe. Dzięki temu zagrożenie zyskuje uprawnienia administracyjne i może modyfikować działanie systemu bez dodawania wpisów w rejestrze i planowania zadań, które użytkownik mógłby wykryć.

Źródło newsa [EN]

4. Linux: nowe patche dla podatności w systemd

Systemd to popularne linuxowe narzędzie używane m.in. do zarządzania startem systemu i logowaniem użytkowników. Działając w tle i uruchamiając wiele swoich składników w trybie root, systemd zyskuje uprawnienia administratora i jako nadrzędny wobec pozostałych procesów systemu, pozwala wprowadzać w nim zmiany. To właśnie ten zakres uprawnień przy dużej złożoności (zatem wielu możliwościach nadużycia) programu sprawia, że dla części administratorów bilans jest prosty – systemd może przynieść więcej szkód w razie cyberataku, niż daje korzyści w codziennej pracy. W styczniu pojawiło się na to kilka argumentów. Pierwszy z wykrytych błędów (CVE-2018-16865) pozwala ładować do pamięci gigabajty danych, bo systemd nie sprawdza, czy wystarczy zasobów od obsłużenia żądania. W efekcie następuje wielokrotne przeładowanie stosu (słynny już tzw. stack overflow). Inna luka (CVE-2018-16866) jeszcze ułatwia potencjalny atak, pozwalając najpierw zidentyfikować losowe fragmenty pamięci przypisywane podobnym procesom. Dzięki temu atakujący ma pewność, że doprowadzi do przeładowania stosu, a przy odpowiednich umiejętnościach zyska możliwość zdalnego wykonywania złośliwego kodu na zaatakowanej maszynie.

Źródło newsa [EN]

5. Japonia sprawdzi bezpieczeństwo urządzeń IoT swoich obywateli

Już za miesiąc Japonia rozpocznie  “ankietę bezpieczeństwa” 200 milionów działających na jej terenie urządzeń IoT. Etyczni hakerzy (tzw. white-hats) będą próbowali zalogować się do wspomnianych urządzeń korzystając z domyślnych loginów i haseł ich producentów, a także haseł wyjątkowo popularnych i nadużywanych. Jeżeli urządzenie zostanie zidentyfikowane jako niewłaściwie chronione, jego dostawcy internetu i lokalne władze otrzymają stosowne powiadomienie. Na pierwszy ogień pójdą sprzęty ulegające cyberatakom najczęściej tj. routery i  kamery internetowe. Inspiracją narodowego badania IoT są m.in. cyberataki na ubiegłoroczną olimpiadę w Korei Płd. i rosnące zagrożenie wieloplatformowymi botnetami. Mimo postulowanego od kilku lat podejścia security-by-design (by projektanci uwzględniali bezpieczeństwo już na początku tworzenia produktu) wiele sprzętów IoT jest bardzo podatnych na cyberataki – częściowo z winy producentów, częściowo z winy beztroskich użytkowników. W tym kontekście japoński audyt wydaje się dobrym pomysłem, a o jego wynikach na pewno Was powiadomimy. Więcej o trendach dotyczących zagrożeń IoT przeczytacie w naszym najnowszym raporcie!

Źródło newsa [EN]

6. 2,2 mld cudzych maili do przeczytania za darmo w sieci

Do sieci trafiła gigantyczna baza wykradzionych danych określana jako “Collections #2-5.” Szacuje się, że ważąca 845 GB paczka zawierać może nawet 3x więcej wpisów niż ujawniona kilka tygodni temu “Collection #1”. Przypomnijmy, że do pierwszej transzy cudzych informacji trafiły m.in. 773 miliony unikalnych adresów mailowych wraz z hasłami. Wiadomo już, że dane w obu bazach częściowo dublują się, a niektóre z nich są przestarzałe (więc mniej warte dla przestępców) i pochodzą z wcześniejszych głośnych wycieków, m.in. z firmy Yahoo. Z drugiej strony w 2,2 mld nowych wpisów znalazło się 611 mln zupełnie nowych rekordów. Tradycyjnie warto sprawdzić, czy nie ma wśród nich żadnego z naszych haseł. Można to zrobić m.in. za pomocą witryny https://haveibeenpwned.com. A jeżeli jesteś administratorem to na wszelki wypadek sprawdź pod kątem wycieku wszystkie adresy w domenie swojej firmy/organizacji, nim pomysłowi czytelnicy Dark Webu spróbują dobrać się do Twojej sieci np. przez pocztowy serwer.

Źródło newsa [EN]

7. Europol ściga klientów usług DDoS

Przeładowanie (no, może wysycenie 99%) serwera zapytaniami od klientów to marzenie wielu firm – znak, że biznes rośnie i warto zainwestować w potężniejszy serwer. Z drugiej strony uporczywe blokowanie strony złośliwymi zapytaniami może być biznesowym koszmarem. Uruchomiona w 2015 roku witryna Webstresser.org umożliwiała zamówienie ataku DDoS na wybrany cel – bez żadnej wiedzy technicznej i za symboliczną opłatą w wysokości £10. Oferta okazała się tak atrakcyjna, że do zamknięcia strony przez Europol w kwietniu 2018 za jej pośrednictwem przeprowadzono ponad 4 miliony ataków. Teraz przedstawiciele Europolu zapowiedzieli operacje mające doprowadzić do wytropienia i ujęcia blisko 151 000 zarejestrowanych użytkowników portalu, których dane są w posiadaniu policji. Część z tych działań już trwa, a pierwsze zarzuty ma wkrótce usłyszeć grupa około 250 osób. Skala zamówionego cyberataku ma w tym momencie znaczenie drugorzędne – liczy się sam fakt jego zamówienia. Jeśli faktycznie tak będzie, to nawet najdrobniejsi amatorzy złośliwego procederu nie będą mogli liczyć na pobłażliwość.

Źródło newsa [EN]