Witamy w Centrum Bezpieczeństwa! Naszym cotygodniowym przeglądzie precyzyjnie wyselekcjonowanych newsów o najbardziej niszczycielskich cyberatakach, krytycznych lukach i najgłośniejszych wyciekach danych.
Nie przegap tego i rozpocznij tydzień cyber-bezpiecznie! Zapisz się na newsletter, a w każdy poniedziałek dostarczymy go na Twoją skrzynkę mailową. Dodatkowo otrzymasz porcję najgorętszych wiadomości firmowych oraz dostęp do wybranych artykułów technicznych przygotowanych przez naszych ekspertów z poradami i trikami dla skutecznego zabezpieczenia Twojej infrastruktury IT.
Wyciek 87 tys. haseł do urządzeń Fortinet FortiGate VPN
Wystawione na sprzedaż dane (nazwy loginów i hasła) pochodzą z systemów, które w momencie wykonywania przez hackerów skanowania, nadal posiadały niezałataną lukę CVE-2018-13379. Luka jest ściśle powiązana z podatnością path traversal w ramach portalu web FortiOS SSL VPN. Stwarza ona atakującym możliwość odczytywania dowolnych plików systemowych, w tym pliku sesji, który zawiera nazwy użytkowników i hasła przechowywane w postaci zwykłego tekstu. Chociaż błąd został naprawiony w maju 2019 r. przestępcy często się nim posługują. Ciekawostka: CVE-2018-13379 otrzymał oficjalny tytuł najczęściej wykorzystywanych podatności roku 2020.
W świetle ostatnich wydarzeń Fortinet zaleca firmom natychmiastowe wyłączenie wszystkich sieci VPN, aktualizację urządzeń do FortiOS 5.4.13, 5.6.14, 6.0.11 lub 6.2.8 i nowszych, a następnie zainicjowanie resetu haseł w całej organizacji. Producent ostrzega również, że niektóre organizacje mogą pozostać narażone pomimo wcześniejszej aktualizacji. Tu decydujący jest czas skanowania w poszukiwaniu podatnych urządzeń. Stąd tak duży nacisk na reset haseł u wszystkich klientów.
Microsoft udostępnia tymczasową łatkę dla aktualnie wykorzystywanego 0-day w Office 365
Microsoft udostępnił tymczasowe rozwiązanie chroniące użytkowników Office 365 i Office 2019 z systemem Windows 10 przed zdalnym wykonaniem kodu. Nowy zero-day – o oficjalnej nazwie CVE-2021-40444 – wykryto w MSHTML. Podatny element to silnik renderowania przeglądarki, z którego korzystają również dokumenty pakietu Microsoft Office. Aby atak się udał musi zostać spełnionych kilka zależności. Po pierwsze atakujący musi stworzyć odpowiednią kontrolkę ActiveX i następnie skłonić jeszcze ofiarę do otwarcia złośliwego dokumentu. Jest jednak duże „ale”… Atak zostanie udaremniony, jeśli Microsoft Office działa z domyślną konfiguracją, w której dokumenty pobrane z sieci są otwierane w trybie widoku chronionego.
Ponieważ obecnie nie ma dostępnej jeszcze aktualizacji zabezpieczeń, Microsoft wydał obejście dla tego problemu. Użytkownicy powinni niezwłocznie wyłączyć możliwość instalacji wszystkich formantów ActiveX w programie Internet Explorer. W kolejnym kroku konieczne jest także wdrożenie rozszerzenia .reg, aby zostało ono zastosowane w ramach Policy hive. Po ponownym uruchomieniu systemu, nowa konfiguracja będzie kompletna.
Nowy Ghostscript 0-day całkowicie łamie zabezpieczenia serwera (exploit PoC)
Ghostscript to pakiet oprogramowania oparty na interpreterze języków opisu stron PostScript i Portable Document Format (PDF) firmy Adobe Systems. Jego głównym celem jest rasteryzacja lub renderowanie plików języka opisu strony, wyświetlanie lub drukowanie stron dokumentów oraz konwersja między plikami PostScript i PDF. Biblioteka jest powszechnie używana przez wiele serwerów, które wykorzystują ją do konwersji obrazów. Znalazła również zastosowanie w aplikacjach służących do edycji i przetwarzania obrazów rastrowych m.in. takich jak ImageMagick.
Luka dotyczy zdalnego wykonania kodu (RCE) i może umożliwić atakującemu całkowite złamanie zabezpieczeń serwera. Do tego sam atak można stosunkowo łatwo przeprowadzić. Atakujący musi jedynie przesłać zniekształcony plik SVG, który następnie uruchomi złośliwy kod w zagrożonym systemie operacyjnym.
Pozostałe newsy ze świata IT
- Netgear Smart Switches Open to Complete Takeover (Threat Post)
- A server of the Jenkins project hacked by exploiting a Confluence flaw (Security Affairs)
- Yandex is battling the largest DDoS in Russian Internet history (Bleeping Computer)
- GitHub tackles severe vulnerabilities in Node.js packages (ZDNet)
- Zoho warns of zero-day authentication bypass flaw actively exploited (Security Affairs)
- Microsoft Warns of Cross-Account Takeover Bug in Azure Container Instances (The Hacker News)