W tym tygodniu przygotowali\u015bmy dla was sze\u015b\u0107 jeszcze gor\u0105cych news\u00f3w ze \u015bwiata IT. Zaczynamy od problem\u00f3w Citrix – z powodu podatno\u015bci zagro\u017conych atakiem jest prawie 80 tys. firm. Dalej. Do grupy ransomware, kt\u00f3ra szczeg\u00f3lnie upodoba\u0142a sobie ataki na biznes, do\u0142\u0105czy\u0142 nowy gracz – SNAKE. Mozilla wymaga pilnej aktualizacji – wszystko z powodu powa\u017cnej luki zero-day. W tym tygodniu jeszcze nt. ataku na koncern naftowy z wykorzystaniem Dustman – czy to ci\u0105g dalszy prowadzonej przez hacker\u00f3w akcji, czy mo\u017ce tuszowanie \u015blad\u00f3w – oraz OpenCV i Joker. Zapraszamy do lektury. <\/p>\n\n\n\n\n\n\n\n
Citrix – oraz jego u\u017cytkownicy – ma problem. Przed \u015bwi\u0119tami firma poinformowa\u0142a o podatno\u015bci, kt\u00f3ra zagra\u017ca Citrix Application Delivery Controller (ADC) oraz Citrix Gateway. Nieza\u0142atana mo\u017ce umo\u017cliwi\u0107 zdaln\u0105 egzekucj\u0119 kodu. Niestety na ten moment firma nie wyda\u0142a jeszcze poprawki.<\/p>\n\n\n\n
\u015arodki zaradcze.<\/strong> Wed\u0142ug raportu z ko\u0144ca grudnia, zagro\u017conych jest prawie 80 tys. podmiot\u00f3w w 158 krajach. Najwi\u0119cej – bo a\u017c 38% – znajduje si\u0119 na terenie USA. Nast\u0119pnie mamy Wielk\u0105 Brytani\u0119, Niemcy, Holandi\u0119 oraz Australi\u0119 (dane: Positive Technologies<\/a>). Do czasu a\u017c Citrix wyda poprawk\u0119, administratorzy powinni wdro\u017cy\u0107 zalecenia<\/a>, kt\u00f3re w podstawowym zakresie pozwalaj\u0105 zabezpieczy\u0107 podatne maszyny. Na jak d\u0142ugo? Trudno powiedzie\u0107, jednak przest\u0119pcy szukaj\u0105 ju\u017c potencjalnych ofiar. Kevin Beamont z SANS ISC natrafi\u0142 na \u015blady wskazuj\u0105ce, \u017ce atakuj\u0105cy skanuj\u0105 w poszukiwaniu podatnych system\u00f3w \u2013 a kiedy ju\u017c takie znajd\u0105 \u2013 wyszukuj\u0105 ich pliki konfiguracyjne.<\/p>\n\n\n\n Citrix potwierdzi\u0142, \u017ce luka CVE-2019-19781 jest gro\u017ana dla nast\u0119puj\u0105cych produkt\u00f3w: Citrix ADC i Citrix Gateway w wersji 13.0, Citrix ADC i NetScaler Gateway w wersji 12.1, Citrix ADC i NetScaler Gateway w wersji 12.0, Citrix ADC i NetScaler Gateway w wersji 11.1, Citrix NetScaler ADC i NetScaler Gateway w wersji 10.5.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Do grona ransomware, kt\u00f3re szczeg\u00f3lnie upodoba\u0142y sobie organizacje oraz biznes, doszed\u0142 nowy gracz. Ransomware SNAKE wyszukuje firmowe sieci, a nast\u0119pnie szyfruje wszystkie pod\u0142\u0105czone do nich urz\u0105dzenia.<\/p>\n\n\n\n Ransomware zosta\u0142 napisany w j\u0119zyku Go. Co ciekawe, charakteryzuje si\u0119 znacznie wy\u017cszym poziomem zaciemnienia, ni\u017c zwykle obserwowany przy podobnych infekcjach. W pocz\u0105tkowej fazie ataku, SNAKE usuwa z komputera Shadow Volume Copies oraz wy\u0142\u0105cza liczne procesy powi\u0105zane ze SCADA, maszynami wirtualnymi, systemami kontroli przemys\u0142owej, narz\u0119dziami do zdalnego zarz\u0105dzania, oprogramowaniem do zarz\u0105dzania sieci\u0105, itp. Nast\u0119pnie szyfruje pliki zgromadzone na urz\u0105dzeniu, z pomini\u0119ciem nast\u0119puj\u0105cych folder\u00f3w systemowych:<\/p>\n\n\n\n Zaszyfrowane pliki zyskuj\u0105 nowe rozszerzenie, zawieraj\u0105ce string charakterystyczny dla nowego zagro\u017cenia np. 1.doc b\u0119dzie widoczny jako 1.docqkWbv<\/strong>.<\/p>\n\n\n\n Specjali\u015bci nadal analizuj\u0105 pliki binarne SNAKE. Na ten moment jego kod wydaje si\u0119 by\u0107 jednak solidny. Trudno tak\u017ce powiedzie\u0107 \u201eczy\u201d lub \u201ekiedy\u201d pojawi si\u0119 narz\u0119dzie deszyfruj\u0105ce dane.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n W \u015brod\u0119, 8 stycznia Mozilla wyda\u0142a aktualizacj\u0119 dla przegl\u0105darki Firefox, kt\u00f3ra usuwa luk\u0119 zero-day wykorzystan\u0105 w atakach ukierunkowanych. Wersja 72.0.1. pojawi\u0142a si\u0119 praktycznie dzie\u0144 po wyczekiwanej premierze 72.0.<\/p>\n\n\n\n Krytyczna luka (CVE-2019-17026) dotyczy IonMonkey – kompilatora JavaScript JIT dla SpiderMonkey – g\u0142\u00f3wnego komponentu Firefox core, kt\u00f3ry obs\u0142uguje operacje JavaScript. <\/p>\n\n\n\n Luka zosta\u0142a sklasyfikowana jako b\u0142\u0105d type confusion<\/em>. Jest to b\u0142\u0105d pami\u0119ci, w kt\u00f3rym dane wej\u015bciowe s\u0105 pocz\u0105tkowo oznaczane jako jeden typ, ale podczas manipulacji zostaj\u0105 zmienione na inny. Powoduje to nieoczekiwane konsekwencje przetwarzania danych, w tym mo\u017cliwo\u015b\u0107 wykonania kodu w podatnym systemie.<\/p>\n\n\n\n W biuletynie bezpiecze\u0144stwa Mozilla stwierdzi\u0142a, \u017ce \u200b\u200b\u201ejest \u015bwiadoma ukierunkowanych atak\u00f3w nadu\u017cywaj\u0105cych t\u0119 luk\u0119\u201d. Ameryka\u0144ska organizacja CISA (Cybersecurity and Insfrastructure Security Agency), ostrzega natomiast, \u017ce zagro\u017cenie mo\u017ce wi\u0105za\u0107 si\u0119 z istnieniem jednego lub wi\u0119cej exploit\u00f3w wykorzystywanych do przej\u0119cia kontroli nad systemem.<\/p>\n\n\n\n Zalecamy aktualizacj\u0119 Firefox do wersji 72.0.1. – mo\u017cna to zrobi\u0107 bezpo\u015brednio z poziomu przegl\u0105darki. <\/p>\n\n\n\n \u0179r\u00f3d\u0142o: 1<\/a> | 2<\/a> | 3<\/a><\/p>\n\n\n\n Dustman – nowe z\u0142o\u015bliwe oprogramowanie do czyszczenia danych uderzy\u0142o w Bapco – krajowy koncern naftowy pochodz\u0105cy z Kr\u00f3lestwa Bahrajnu – jednej z najwi\u0119kszych firm tego typu na \u015bwiecie. Zagro\u017cenie mo\u017ce wydawa\u0107 si\u0119 nieco odleg\u0142e geograficznie, ale z technicznego punktu widzenia jest niesamowicie interesuj\u0105ce. <\/p>\n\n\n\n Cho\u0107 incydent mia\u0142 miejsce pod koniec 2019, zosta\u0142 podany do wiadomo\u015bci publicznej dopiero teraz. Powodem mog\u0142y by\u0107 napi\u0119cia, kt\u00f3re nast\u0105pi\u0142y po zab\u00f3jstwie genera\u0142a Suleimaniego. Atak przypisywany jest bowiem ira\u0144skiej grupie haker\u00f3w wspieranych przez pa\u0144stwo – pasuje do tego zar\u00f3wno modus operandi, specjalizacja w oprogramowaniu czyszcz\u0105cym oraz targetowanie grup naftowych. Infekcja z\u0142o\u015bliwym oprogramowaniem nie mog\u0142a by\u0107 jednak uwarunkowana politycznie (Bahrajn i USA s\u0105 bliskimi sojusznikami) poniewa\u017c mia\u0142a miejsce wcze\u015bniej. <\/p>\n\n\n\n Dustman to data-wiping malware<\/em> – z\u0142o\u015bliwe oprogramowanie zaprojektowane do usuwania danych z zainfekowanych komputer\u00f3w po ich uruchomieniu. To ju\u017c trzecie takie narz\u0119dzie powi\u0105zane z re\u017cimem w Teheranie (wcze\u015bniejsze to chocia\u017cby Shamoon czy ZeroCleare). Dustman wydaje si\u0119 by\u0107 ich ulepszon\u0105 wersj\u0105. Wsp\u00f3lnym mianownikiem jest tu EldoS RawDisk – legalny zestaw narz\u0119dzi programowych do interakcji z plikami, dyskami i partycjami. Wykorzystuj\u0105 one r\u00f3\u017cne exploity<\/a> i techniki, aby podnie\u015b\u0107 poziom dost\u0119pu do poziomu administratora sk\u0105d rozpakowuj\u0105 i uruchamiaj\u0105 EldoS RawDisk w celu czyszczenia danych na zainfekowanych hostach.\u00a0<\/p>\n\n\n Okazuje si\u0119, \u017ce celem Dustmana nie by\u0142o spowodowanie przerwy w dzia\u0142aniu Bapco. U\u017cyto go, aby usun\u0105\u0107 \u015blady wcze\u015bniejszego ataku, podczas kt\u00f3rego pope\u0142niono b\u0142\u0119dy umo\u017cliwiaj\u0105ce jego wykrycie. Firma po raz pierwszy zosta\u0142a zaatakowana latem. <\/p>\n\n\n\n Punktem wej\u015bcia by\u0142y serwery VPN firmy podatne na zdalne przeprowadzenie ataku. Chocia\u017c nie odnaleziono jeszcze \u017cadnego konkretnego urz\u0105dzenia, latem ujawniono b\u0142\u0119dy w wielu serwerach VPN klasy korporacyjnej, takich jak Fortinet, Pulse Secure i Palo Alto Networks.<\/p>\n\n\n\n O\u015bwiadczenie <\/strong><\/p>\n\n\n\n Z raportu Saudi CNA dowiadujemy si\u0119, atakuj\u0105cy uzyskali dost\u0119p do sieci i skopiowali z\u0142o\u015bliwe oprogramowanie oraz narz\u0119dzie do zdalnego wykonywania polece\u0144 \u201ePSEXEC\u201d na serwer konsoli zarz\u0105dzania antywirusem, kt\u00f3ry zosta\u0142 pod\u0142\u0105czony do wszystkich komputer\u00f3w w sieci. Kilka minut p\u00f3\u017aniej atakuj\u0105cy uzyskali dost\u0119p do serwera VPN ofiar i r\u0119cznie usun\u0119li wszystkie woluminy.<\/p>\n\n\n\n Nast\u0119pnie wykonali zestaw polece\u0144, aby rozpowszechnia\u0107 z\u0142o\u015bliwe oprogramowanie Dustman na wszystkich pod\u0142\u0105czonych komputerach. Wi\u0119kszo\u015b\u0107 z pod\u0142\u0105czonych maszyn zosta\u0142a wyczyszczona. Pojawi\u0142 si\u0119 na nich komunikat Blue Screen of Death (BSOD) <\/p>\n\n\n Ewidentnie atak przebiega\u0142 w atmosferze chaosu – zar\u00f3wno po\u015bpiech jak i brak test\u00f3w mia\u0142y wp\u0142yw na powodzenie ca\u0142ej operacji czyszczenia. Z\u0142o\u015bliwe oprogramowanie nie dzia\u0142a\u0142o bowiem poprawnie w niekt\u00f3rych systemach. <\/p>\n\n\n\n Sk\u0105d ten po\u015bpiech? Tego jeszcze nie wiadomo. <\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n OpenCV to popularna biblioteka open source wykorzystywana w wielu projektach z zakresu uczenia maszynowego, rozpoznawania twarzy, robotyki, czy \u015bledzenia ruchu. Korzysta z niej m.in. Google, Yahoo, Microsoft, Intel, IBM, Sony, Honda, Toyota i ogromna liczba innych firm technologicznych. Atakuj\u0105cy mog\u0105 wykorzysta\u0107 istniej\u0105ce w niej podatno\u015bci do uszkodzenia struktury danych oraz wykonywania z\u0142o\u015bliwego kodu.<\/p>\n\n\n\n Pierwsze zagro\u017cenie – CVE-2019-5063 – jest podatno\u015bci\u0105 przepe\u0142nienia bufora sterty. Z jej pomoc\u0105 przest\u0119pca mo\u017ce pisa\u0107 do\/z biblioteki OpenCV, a nast\u0119pnie pobiera\u0107 pliki bezpo\u015brednio ze struktury danych. Druga podatno\u015b\u0107 – CVE-2019-5064 – r\u00f3wnie\u017c wyst\u0119puje w funkcji trwa\u0142o\u015bci struktury danych i mo\u017ce zosta\u0107 wywo\u0142ana przy u\u017cyciu specjalnie spreparowanego pliku JSON.<\/p>\n\n\n\n Wed\u0142ug skali Common Vulnerability Scoring System (CVSS) obie luki s\u0105 bardzo powa\u017cne i otrzyma\u0142y po 8.8 punkt\u00f3w ka\u017cda. 10.0 jest zarezerwowane dla najci\u0119\u017cszych \u201eprzypadk\u00f3w\u201d. Z dobrych wie\u015bci – jest ju\u017c dost\u0119pna aktualizacja, kt\u00f3ra niweluje gro\u017ab\u0119 ataku. <\/p>\n\n\n\n2. Wystrzegaj si\u0119 w\u0119\u017ca – ransomware SNAKE poluje na firmowe sieci<\/strong><\/h2>\n\n\n
3. Mozilla Firefox z gro\u017an\u0105 luk\u0105 0-day do pilnej aktualizacji<\/strong><\/h2>\n\n\n
4. Dustman czy\u015bci dane koncernu naftowego <\/strong><\/h2>\n\n\n
Atak czy tuszowanie \u015bladu?<\/strong> <\/h6>\n\n\n
Przebieg ataku z wykorzystaniem Dustman<\/h6>\n\n\n
5. OpenCV posiada dwie powa\u017cne podatno\u015bci – ale co to w\u0142a\u015bciwie oznacza?<\/strong><\/h2>\n\n\n