1. PAN-OS z powa\u017cn\u0105 podatno\u015bci\u0105, kt\u00f3ra pozwala hakerom omin\u0105\u0107 uwierzytelnianie w popularnych zaporach nowej generacji<\/strong><\/h2>\n\n\nPalo Alto Networks poinformowa\u0142o o krytycznej podatno\u015bci (CVE-2020-2021<\/a>) w systemie operacyjnym PAN-OS, kt\u00f3ry obs\u0142uguje zapory ogniowe nowej generacji (NGFW) tego producenta. B\u0142\u0105d pozwala atakuj\u0105cym obej\u015b\u0107 uwierzytelnianie.<\/p>\n\n\n\nW sytuacji gdy uwierzytelnianie SAML (Security Assertion Markup Language) jest w\u0142\u0105czone, a opcja \u201ePotwierdzaj to\u017csamo\u015b\u0107 certyfikatu dostawcy\u201d jest wy\u0142\u0105czona, nieprawid\u0142owa weryfikacja podpis\u00f3w w uwierzytelnianiu SAML PAN-OS umo\u017cliwia nieuwierzytelnionemu atakuj\u0105cemu dost\u0119p do chronionych zasob\u00f3w. Wa\u017cne:<\/strong> atakuj\u0105cy musi posiada\u0107 dost\u0119p sieciowy do podatnego serwera. Tylko wtedy jest on w stanie wykorzysta\u0107 t\u0119 luk\u0119. Ale niekt\u00f3re urz\u0105dzenia zosta\u0142y \u201eumy\u015blnie\u201d skonfigurowane w opisany spos\u00f3b. W\u0142a\u015bciciele, kt\u00f3rzy korzystaj\u0105 z zewn\u0119trznych IdP lub IDP (dostawc\u00f3w to\u017csamo\u015bci) – takich jak uwierzytelnianie Duo lub rozwi\u0105zania uwierzytelniaj\u0105ce firm Centrify, Trusona lub Okta – zostali poinstruowani, aby ustawi\u0107 w\u0142a\u015bnie t\u0119 konkretn\u0105 konfiguracj\u0119…<\/p>\n\n\nPodatno\u015b\u0107 w PAN-OS jest bardzo niebezpieczna<\/h6>\n\n\n
Podatno\u015b\u0107 w PAN-OS zosta\u0142a oceniona jako krytyczna i otrzyma\u0142a 10 na 10 punkt\u00f3w w ramach CVSSv3. Wynik 10\/10 oznacza, \u017ce stosunkowo \u0142atwo mo\u017cna przeprowadzi\u0107 atak – nie wymaga on zaawansowanych umiej\u0119tno\u015bci technicznych\u2026 B\u0142\u0105d mo\u017cna wykorzysta\u0107 do wy\u0142\u0105czenia zap\u00f3r ogniowych lub zasad kontroli dost\u0119pu VPN, skutecznie wy\u0142\u0105czaj\u0105c urz\u0105dzenia z systemem PAN-OS.<\/p>\n\n\n\n
Podatno\u015b\u0107 dotyczy wersji PAN-OS 9.1 wcze\u015bniejszych ni\u017c PAN-OS 9.1.3; Wersje PAN-OS 9.0 wcze\u015bniejsze ni\u017c PAN-OS 9.0.9; Wersje PAN-OS 8.1 wcze\u015bniejsze ni\u017c PAN-OS 8.1.15 i wszystkie wersje PAN-OS 8.0 (EOL). B\u0142\u0105d nie wyst\u0119puje w PAN-OS 7.1.<\/p>\n\n\n\n
Dobra wiadomo\u015b\u0107 jest taka, \u017ce \u200b\u200bjak dot\u0105d nie zaobserwowano jeszcze atak\u00f3w wykorzystuj\u0105cych b\u0142\u0105d w PAN-OS. Mimo to u\u017cytkownicy powinni sprawdza\u0107 dzienniki uwierzytelniania, logi User-ID, ACC Network Activity Source\/Destination Regions, Custom Reports (Monitor > Report) a tak\u017ce logi GlobalProtect. Wykrycie nietypowych nazw u\u017cytkownik\u00f3w lub \u017ar\u00f3d\u0142owych adres\u00f3w IP w dziennikach i raportach jednoznacznie wskazuje, \u017ce dosz\u0142o do naruszenia urz\u0105dzenia.<\/p>\n\n\n\n
\u0179r\u00f3d\u0142a: 1<\/a> | 2<\/a><\/p>\n\n\n\n![\"Zabezpieczenie](\"https:\/\/xopero.com\/blog\/wp-content\/uploads\/2020\/06\/xbr-baner.png\")
<\/a><\/figure><\/div>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n2. Uwaga pracownicy zdalni – luki w Apache Guacamole pozwol\u0105 przej\u0105\u0107 kontrol\u0119 nad sieci\u0105<\/strong><\/h2>\n\n\nApache Guacamole – popularny, darmowy i otwarty system zdalnego dost\u0119pu, jest podatny na szereg b\u0142\u0119d\u00f3w bezpiecze\u0144stwa zwi\u0105zanych z protoko\u0142em RDP (Remote Desktop Protocol). Administratorzy powinni zaktualizowa\u0107 swoje systemy (tak, na szcz\u0119\u015bcie dost\u0119pna jest ju\u017c \u0142atka), aby unikn\u0105\u0107 atak\u00f3w maj\u0105cych na celu kradzie\u017c informacji lub zdalne wykonanie kodu.<\/p>\n\n\n\n
Guacamole ma ponad 10 milion\u00f3w pobra\u0144. Umo\u017cliwia pracownikom zdalny dost\u0119p do firmowych sieci komputerowych z dowolnego miejsca za pomoc\u0105 przegl\u0105darki internetowej. Nic dziwnego, \u017ce jest ch\u0119tnie wykorzystywane w czasie pracy zdalnej. Ponadto jest wbudowane w inne produkty, takie jak Jumpserver Fortress, Quali i Fortigate. <\/p>\n\n\n\n
Specjali\u015bci z Check Point rozpocz\u0119li analiz\u0119 tego oprogramowania w po\u0142owie lutego, gdy firma sama przygotowa\u0142a si\u0119 do wdro\u017cenia modelu pracy zdalnej dla ponad 5 tys. pracownik\u00f3w. Szybko odkryli problem z bram\u0105 typu open source. Zauwa\u017cyli, \u017ce je\u015bli \u0142\u0105czy si\u0119 z zainfekowanym komputerem, osoby atakuj\u0105ce mog\u0105 u\u017cy\u0107 go do przej\u0119cia kontroli nad ca\u0142\u0105 bram\u0105. Po jej opanowaniu, atakuj\u0105cy mog\u0105 pods\u0142uchiwa\u0107 wszystkie przychodz\u0105ce sesje, rejestrowa\u0107 u\u017cywane po\u015bwiadczenia, a nawet kontrolowa\u0107 reszt\u0119 komputer\u00f3w w organizacji. W praktyce oznacza to uzyskanie pe\u0142nej kontroli nad ca\u0142\u0105 sieci\u0105 firmow\u0105. <\/p>\n\n\n\n
Ponadto znale\u017ali kilka krytycznych luk w zabezpieczeniach odwrotnego RDP, dzi\u0119ki kt\u00f3rym maszyna docelowa mog\u0142aby zosta\u0107 u\u017cyta do sterowania bram\u0105 oraz luki we FreeRDP, czyli darmowej implementacji zastrze\u017conego RDP. <\/p>\n\n\n\n
Luki te umo\u017cliwiaj\u0105 ujawnienie informacji w stylu Heeartbleed oraz uszkodzenie pami\u0119ci. Po\u0142\u0105czenie ich ze sob\u0105 daje dowolne mo\u017cliwo\u015bci odczytu i zapisu w bramie. Badaczom uda\u0142o si\u0119 wykorzysta\u0107 je do przeprowadzenia ataku polegaj\u0105cego na podniesieniu uprawnie\u0144, i przej\u0119ciu kontroli nad systemem.<\/p>\n\n\n\n
Oficjalna \u0142atka jest dost\u0119pna od 28 czerwca (wersja 1.2.0). Pami\u0119taj, \u017ce wszystkie wersje Guacamole wydane przed styczniem 2020 r. u\u017cywaj\u0105 podatnych wersji FreeRDP, dlatego wa\u017cne jest, aby jak najszybciej zainstalowa\u0107 aktualizacj\u0119. <\/p>\n\n\n\n
\u0179r\u00f3d\u0142o: 1<\/a> | 2<\/a><\/p>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n3. Haker zaatakowa\u0142 47% baz MongoDB. Grozi wyciekiem i RODO<\/strong><\/h2>\n\n\nHaker zaatakowa\u0142 22,900 baz danych MongoDB – czyli 47% z wszystkich dost\u0119pnych online! <\/p>\n\n\n\n
Jak? <\/strong>Atakuj\u0105cy korzysta ze zautomatyzowanego skryptu, aby odszuka\u0107 \u017ale skonfigurowane bazy MongoDB. Nast\u0119pnie usuwa ich zawarto\u015b\u0107 i pozostawia notatk\u0119 z \u017c\u0105daniem zap\u0142aty 0,015 bitcoin\u00f3w (ok. 140$). Daje firmom dwa dni na zap\u0142at\u0119 okupu. W innym przypadku grozi publikacj\u0105 danych i zg\u0142oszeniem wycieku do lokalnych organ\u00f3w odpowiedzialnych za przestrzeganie RODO\/GDPR. <\/p>\n\n\n\nChocia\u017c niekt\u00f3re z tych baz danych wydaj\u0105 si\u0119 by\u0107 instancjami testowymi, to odnotowano r\u00f3wnie\u017c ataki na niekt\u00f3re systemy produkcyjne, kt\u00f3re straci\u0142y swoje dane. <\/p>\n\n\n\n
Ataki zwi\u0105zane z kasowaniem danych i szanta\u017cowaniem w\u0142a\u015bcicieli baz MongoDB nie s\u0105 niczym nowym. Najnowsz\u0105 fal\u0119 mo\u017cna wr\u0119cz uzna\u0107 jako ostatni\u0105 z serii atak\u00f3w, kt\u00f3re rozpocz\u0119\u0142y si\u0119 w 2016 roku, gdy okaza\u0142o si\u0119, \u017ce to ca\u0142kiem lukratywny biznes. <\/p>\n\n\n\n
Dlaczego MongoDB s\u0105 tak podatne? <\/strong>Z regu\u0142y do narusze\u0144 dochodzi w momencie, gdy administratorzy korzystaj\u0105 z nieoficjalnych tutoriali i pope\u0142niaj\u0105 b\u0142\u0119dy podczas konfiguracji system\u00f3w lub u\u017cywaj\u0105 obraz\u00f3w serwer\u00f3w dostarczanych z nieprawid\u0142owo skonfigurowanym systemem MongoDB. <\/p>\n\n\n\nAdministratorom, kt\u00f3rzy chc\u0105 zabezpieczy\u0107 swoje serwery MongoDB w odpowiedni spos\u00f3b, zalecamy korzystanie z oficjalnej strony<\/a> producenta po\u015bwi\u0119conej bezpiecze\u0144stwu.<\/p>\n\n\n\n
W sytuacji gdy uwierzytelnianie SAML (Security Assertion Markup Language) jest w\u0142\u0105czone, a opcja \u201ePotwierdzaj to\u017csamo\u015b\u0107 certyfikatu dostawcy\u201d jest wy\u0142\u0105czona, nieprawid\u0142owa weryfikacja podpis\u00f3w w uwierzytelnianiu SAML PAN-OS umo\u017cliwia nieuwierzytelnionemu atakuj\u0105cemu dost\u0119p do chronionych zasob\u00f3w. Wa\u017cne:<\/strong> atakuj\u0105cy musi posiada\u0107 dost\u0119p sieciowy do podatnego serwera. Tylko wtedy jest on w stanie wykorzysta\u0107 t\u0119 luk\u0119. Ale niekt\u00f3re urz\u0105dzenia zosta\u0142y \u201eumy\u015blnie\u201d skonfigurowane w opisany spos\u00f3b. W\u0142a\u015bciciele, kt\u00f3rzy korzystaj\u0105 z zewn\u0119trznych IdP lub IDP (dostawc\u00f3w to\u017csamo\u015bci) – takich jak uwierzytelnianie Duo lub rozwi\u0105zania uwierzytelniaj\u0105ce firm Centrify, Trusona lub Okta – zostali poinstruowani, aby ustawi\u0107 w\u0142a\u015bnie t\u0119 konkretn\u0105 konfiguracj\u0119…<\/p>\n\n\n Podatno\u015b\u0107 w PAN-OS zosta\u0142a oceniona jako krytyczna i otrzyma\u0142a 10 na 10 punkt\u00f3w w ramach CVSSv3. Wynik 10\/10 oznacza, \u017ce stosunkowo \u0142atwo mo\u017cna przeprowadzi\u0107 atak – nie wymaga on zaawansowanych umiej\u0119tno\u015bci technicznych\u2026 B\u0142\u0105d mo\u017cna wykorzysta\u0107 do wy\u0142\u0105czenia zap\u00f3r ogniowych lub zasad kontroli dost\u0119pu VPN, skutecznie wy\u0142\u0105czaj\u0105c urz\u0105dzenia z systemem PAN-OS.<\/p>\n\n\n\n Podatno\u015b\u0107 dotyczy wersji PAN-OS 9.1 wcze\u015bniejszych ni\u017c PAN-OS 9.1.3; Wersje PAN-OS 9.0 wcze\u015bniejsze ni\u017c PAN-OS 9.0.9; Wersje PAN-OS 8.1 wcze\u015bniejsze ni\u017c PAN-OS 8.1.15 i wszystkie wersje PAN-OS 8.0 (EOL). B\u0142\u0105d nie wyst\u0119puje w PAN-OS 7.1.<\/p>\n\n\n\n Dobra wiadomo\u015b\u0107 jest taka, \u017ce \u200b\u200bjak dot\u0105d nie zaobserwowano jeszcze atak\u00f3w wykorzystuj\u0105cych b\u0142\u0105d w PAN-OS. Mimo to u\u017cytkownicy powinni sprawdza\u0107 dzienniki uwierzytelniania, logi User-ID, ACC Network Activity Source\/Destination Regions, Custom Reports (Monitor > Report) a tak\u017ce logi GlobalProtect. Wykrycie nietypowych nazw u\u017cytkownik\u00f3w lub \u017ar\u00f3d\u0142owych adres\u00f3w IP w dziennikach i raportach jednoznacznie wskazuje, \u017ce dosz\u0142o do naruszenia urz\u0105dzenia.<\/p>\n\n\n\n \u0179r\u00f3d\u0142a: 1<\/a> | 2<\/a><\/p>\n\n\n\n Apache Guacamole – popularny, darmowy i otwarty system zdalnego dost\u0119pu, jest podatny na szereg b\u0142\u0119d\u00f3w bezpiecze\u0144stwa zwi\u0105zanych z protoko\u0142em RDP (Remote Desktop Protocol). Administratorzy powinni zaktualizowa\u0107 swoje systemy (tak, na szcz\u0119\u015bcie dost\u0119pna jest ju\u017c \u0142atka), aby unikn\u0105\u0107 atak\u00f3w maj\u0105cych na celu kradzie\u017c informacji lub zdalne wykonanie kodu.<\/p>\n\n\n\n Guacamole ma ponad 10 milion\u00f3w pobra\u0144. Umo\u017cliwia pracownikom zdalny dost\u0119p do firmowych sieci komputerowych z dowolnego miejsca za pomoc\u0105 przegl\u0105darki internetowej. Nic dziwnego, \u017ce jest ch\u0119tnie wykorzystywane w czasie pracy zdalnej. Ponadto jest wbudowane w inne produkty, takie jak Jumpserver Fortress, Quali i Fortigate. <\/p>\n\n\n\n Specjali\u015bci z Check Point rozpocz\u0119li analiz\u0119 tego oprogramowania w po\u0142owie lutego, gdy firma sama przygotowa\u0142a si\u0119 do wdro\u017cenia modelu pracy zdalnej dla ponad 5 tys. pracownik\u00f3w. Szybko odkryli problem z bram\u0105 typu open source. Zauwa\u017cyli, \u017ce je\u015bli \u0142\u0105czy si\u0119 z zainfekowanym komputerem, osoby atakuj\u0105ce mog\u0105 u\u017cy\u0107 go do przej\u0119cia kontroli nad ca\u0142\u0105 bram\u0105. Po jej opanowaniu, atakuj\u0105cy mog\u0105 pods\u0142uchiwa\u0107 wszystkie przychodz\u0105ce sesje, rejestrowa\u0107 u\u017cywane po\u015bwiadczenia, a nawet kontrolowa\u0107 reszt\u0119 komputer\u00f3w w organizacji. W praktyce oznacza to uzyskanie pe\u0142nej kontroli nad ca\u0142\u0105 sieci\u0105 firmow\u0105. <\/p>\n\n\n\n Ponadto znale\u017ali kilka krytycznych luk w zabezpieczeniach odwrotnego RDP, dzi\u0119ki kt\u00f3rym maszyna docelowa mog\u0142aby zosta\u0107 u\u017cyta do sterowania bram\u0105 oraz luki we FreeRDP, czyli darmowej implementacji zastrze\u017conego RDP. <\/p>\n\n\n\n Luki te umo\u017cliwiaj\u0105 ujawnienie informacji w stylu Heeartbleed oraz uszkodzenie pami\u0119ci. Po\u0142\u0105czenie ich ze sob\u0105 daje dowolne mo\u017cliwo\u015bci odczytu i zapisu w bramie. Badaczom uda\u0142o si\u0119 wykorzysta\u0107 je do przeprowadzenia ataku polegaj\u0105cego na podniesieniu uprawnie\u0144, i przej\u0119ciu kontroli nad systemem.<\/p>\n\n\n\n Oficjalna \u0142atka jest dost\u0119pna od 28 czerwca (wersja 1.2.0). Pami\u0119taj, \u017ce wszystkie wersje Guacamole wydane przed styczniem 2020 r. u\u017cywaj\u0105 podatnych wersji FreeRDP, dlatego wa\u017cne jest, aby jak najszybciej zainstalowa\u0107 aktualizacj\u0119. <\/p>\n\n\n\n \u0179r\u00f3d\u0142o: 1<\/a> | 2<\/a><\/p>\n\n\n\n Haker zaatakowa\u0142 22,900 baz danych MongoDB – czyli 47% z wszystkich dost\u0119pnych online! <\/p>\n\n\n\n Jak? <\/strong>Atakuj\u0105cy korzysta ze zautomatyzowanego skryptu, aby odszuka\u0107 \u017ale skonfigurowane bazy MongoDB. Nast\u0119pnie usuwa ich zawarto\u015b\u0107 i pozostawia notatk\u0119 z \u017c\u0105daniem zap\u0142aty 0,015 bitcoin\u00f3w (ok. 140$). Daje firmom dwa dni na zap\u0142at\u0119 okupu. W innym przypadku grozi publikacj\u0105 danych i zg\u0142oszeniem wycieku do lokalnych organ\u00f3w odpowiedzialnych za przestrzeganie RODO\/GDPR. <\/p>\n\n\n\n Chocia\u017c niekt\u00f3re z tych baz danych wydaj\u0105 si\u0119 by\u0107 instancjami testowymi, to odnotowano r\u00f3wnie\u017c ataki na niekt\u00f3re systemy produkcyjne, kt\u00f3re straci\u0142y swoje dane. <\/p>\n\n\n\n Ataki zwi\u0105zane z kasowaniem danych i szanta\u017cowaniem w\u0142a\u015bcicieli baz MongoDB nie s\u0105 niczym nowym. Najnowsz\u0105 fal\u0119 mo\u017cna wr\u0119cz uzna\u0107 jako ostatni\u0105 z serii atak\u00f3w, kt\u00f3re rozpocz\u0119\u0142y si\u0119 w 2016 roku, gdy okaza\u0142o si\u0119, \u017ce to ca\u0142kiem lukratywny biznes. <\/p>\n\n\n\n Dlaczego MongoDB s\u0105 tak podatne? <\/strong>Z regu\u0142y do narusze\u0144 dochodzi w momencie, gdy administratorzy korzystaj\u0105 z nieoficjalnych tutoriali i pope\u0142niaj\u0105 b\u0142\u0119dy podczas konfiguracji system\u00f3w lub u\u017cywaj\u0105 obraz\u00f3w serwer\u00f3w dostarczanych z nieprawid\u0142owo skonfigurowanym systemem MongoDB. <\/p>\n\n\n\n Administratorom, kt\u00f3rzy chc\u0105 zabezpieczy\u0107 swoje serwery MongoDB w odpowiedni spos\u00f3b, zalecamy korzystanie z oficjalnej strony<\/a> producenta po\u015bwi\u0119conej bezpiecze\u0144stwu.<\/p>\n\n\n\nPodatno\u015b\u0107 w PAN-OS jest bardzo niebezpieczna<\/h6>\n\n\n
<\/a><\/figure><\/div>\n\n\n\n2. Uwaga pracownicy zdalni – luki w Apache Guacamole pozwol\u0105 przej\u0105\u0107 kontrol\u0119 nad sieci\u0105<\/strong><\/h2>\n\n\n
3. Haker zaatakowa\u0142 47% baz MongoDB. Grozi wyciekiem i RODO<\/strong><\/h2>\n\n\n