Witamy w Centrum Bezpieczeństwa! Naszym cotygodniowym przeglądzie precyzyjnie wyselekcjonowanych newsów o najbardziej niszczycielskich cyberatakach, krytycznych lukach i najgłośniejszych wyciekach danych.
Nie przegap tego i rozpocznij tydzień cyber-bezpiecznie! Zapisz się na newsletter, a w każdy poniedziałek dostarczymy go na Twoją skrzynkę mailową. Dodatkowo otrzymasz porcję najgorętszych wiadomości firmowych oraz dostęp do wybranych artykułów technicznych przygotowanych przez naszych ekspertów z poradami i trikami dla skutecznego zabezpieczenia Twojej infrastruktury IT.
Wyciek poufnych danych z serwisu Amazon Twitch
Usługa streamingowa Twitch firmy Amazon stała się celem cyberataku. Haker ujawnił cały kod źródłowy Twitcha wraz z przeogromnym zbiorem danych. Wypłynęło prawie 128 GB danych, w tym informacje o wypłatach dla twórców, zastrzeżone pakiety SDK i wewnętrzne usługi AWS używane przez Twitcha. Co gorsza, upublicznione zostały także informacje o cybernarzędziach wykorzystywanych przez Red Team. Eksperci alarmują, aby wszyscy streamerzy jak najszybciej podjęli działania mające na celu ochronę kont bankowych. Nie miejmy złudzeń – w kolejnych tygodniach czeka ich seria targetowanych ataków. Co w danej sytuacji robi sam Twitch? Serwis zresetował wszystkie klucze streamingowe, a użytkowników przekierowuje na dedykowaną stronę gdzie mogą bezpiecznie pobrać nowe.
Apache łata groźną lukę 0-day wykrytą w HTTP Server
Z powodu podatności w Apache HTTP Server 2.4.49 atakujący mogą wykorzystać atak typu path traversal aby zmapować adresy URL do plików znajdujących na zewnątrz katalogu root. Jeśli pliki spoza katalogu głównego nie są zabezpieczone przez „require all denied”, takie żądania mogą zostać wykonane z powodzeniem. Jednak to jeszcze nie wszystko. Okazuje się, że podatność umożliwia również zdalne wykonanie kodu (RCE) w systemie Linux, jeśli serwer został skonfigurowany pod obsługę CGI poprzez mod_cgi. Jeśli atakujący będzie w stanie przesłać plik za pomocą exploita path traversal i ustawić uprawnienia do wykonywania na ten plik, będzie już w stanie wykonywać komendy z uprawnieniami tożsamymi dla procesów Apache.
Z tym skryptem Python przestępcy błyskawicznie szyfrują serwery VMware ESXi
Atakujący uwielbiają VMware ESXi. Dlaczego? Ponieważ jednorazowy atak pozwala na przejęcie całych farm maszyn wirtualnych. Jest to możliwe ponieważ atakujący są w stanie dotrzeć do scentralizowanych dysków wirtualnych, które są używane do przechowywania danych z różnych maszyn VM. Dodatkowo z pomocą nowo odkrytego ransomware napisanego w języku Python, proces dosłownie przebiega w “zawrotnym” tempie. Przestępcy potrzebują zaledwie trzech godzin do wykonania całego ataku – licząc od włamania się do infrastruktury, a kończąc na pełnym zaszyfrowaniu dostępnych maszyn. Wspomniany ransomware tworzy dodatkowo unikalny klucz przy każdym swoim uruchomieniu. W praktyce więc, atakujący wykonują skrypt dla każdego ESXi datastore niezależnie – z każdą operacją program generuje unikalną parę kluczy do szyfrowania zasobów.
Pozostałe newsy ze świata IT
- Windows 11 bug reverts users back to the Windows 10 taskbar (Bleeping Computer)
- Smashing Security podcast #246: Facebook has fallen (Graham Cluley)
- 5-Year Breach May Have Exposed Billions of Text Messages (Dark Reading)
- Google warns 14,000 Gmail users targeted by Russian hackers (Bleeping Computer)
- Additional fixes released addressing Apache HTTP Server issue (ZDNet)
- Microsoft is disabling Excel 4.0 macros by default to protect users (Bleeping Computer)