Security Sunday 22/2024

Security Sunday 22/2024

Bankovní trojan Anatsa číhá v obchodě Google Play

Výzkumníci ze společnosti Zscaler ThreatLabz odhalili sofistikovaný bankovní trojan pro Android s názvem Anatsa (známý také jako TeaBot), který aktivně cílí na uživatele systému Android prostřednictvím zdánlivě neškodných aplikací v obchodě Google Play.

Anatsa je známý bankovní malware pro Android, který se zaměřuje na aplikace více než 650 finančních institucí, především v Evropě. Anatsa využívá techniku dropper, kdy se původní aplikace po instalaci tváří jako čistá, ale následně stáhne škodlivý payload ze C2 serveru, maskovaný jako neškodná aktualizace aplikace. Tato metoda umožňuje malwaru vyhnout se detekci obchodu Google Play.

Nedávno výzkumníci identifikovali dva škodlivé payloady spojené s aplikací Anatsa distribuovanou prostřednictvím obchodu Google Play. Tyto kampaně se vydávaly za aplikace pro čtení PDF a QR kódů, které dohromady nashromáždily více než 70 000 instalací. 

Rozsah této hrozby je alarmující. Laboratoř Zscaler ThreatLabz identifikovala v obchodě Play více než 90 aplikací infikovaných Anatsa, které dohromady nashromáždily přes 5,5 milionu instalací. 


PoC Exploit pro MacOS CVE-2024-27842 umožňuje spuštění kódu na úrovni jádra

Bezpečnostní výzkumník Wang Tielei nedávno zveřejnil PoC pro významnou zranitelnost s eskalací oprávnění (CVE-2024-27842) v systému macOS. 

Zranitelnost se nachází v komponentě UDF (Universal Disk Format), konkrétně ve funkci VNOP_IOCTL. Tato chyba umožňuje útočníkovi spustit libovolný kód s právy jádra. Ústředním bodem tohoto zneužití se stává UDF, rozšíření jádra přítomné v systému macOS již desítky let.

PoC Wang Tieleiho ukazuje, jak snadno lze tuto zranitelnost zneužít, a zdůrazňuje, že uživatelé musí své systémy naléhavě aktualizovat.

Kromě zranitelnosti CVE-2024-27842 vydal Wang Tielei také PoC exploit pro CVE-2023-40404, další zranitelnost se zvýšením oprávnění v systému macOS Sonoma. Tato zranitelnost, způsobená chybou use-after-free v komponentě Networking, umožňuje útočníkům získat zvýšená oprávnění a spustit libovolný kód s právy jádra.

Pro ochranu před těmito zranitelnostmi se uživatelům systému macOS důrazně doporučuje, aby své systémy okamžitě aktualizovali na macOS Sonoma 14.5 nebo novější. Aktualizace obsahuje potřebné záplaty, které řeší jak CVE-2024-27842, tak CVE-2023-40404, a zajišťuje tak vyšší bezpečnost a ochranu před možným zneužitím.


TP-Link opravuje kritickou chybu v routeru C5400X

Herní router TP-Link Archer C5400X je zranitelný kritickou bezpečnostní chybou CVE-2024-5035 , která může neautentifikovanému útočníkovi umožnit spouštět na zařízení příkazy.

Chyba v zařízení TP-Link Archer C5400X je sledována jako CVE-2024-5035 (skóre CVSS v4: 10.0, "kritická") a byla identifikována analytiky společnosti OneKey pomocí binární statické analýzy.

Výzkumníci zjistili, že binární soubor "rftest" vystavuje síťovou službu zranitelnou vůči command injection a přetečení bufferu na portech TCP 8888, 8889 a 8890.

Útočník může pomocí shellu odeslat na tyto porty speciálně vytvořené zprávy a potenciálně dosáhnout spuštění libovolného příkazu se zvýšenými právy.

Vzhledem k tomu, že uvedené porty jsou ve výchozí konfiguraci routeru otevřené a aktivně používané službou "rftest", mají dopad na všechny uživatele používající zranitelné verze firmwaru až do verze 1.1.1.6.

Analytici společnosti OneKey oznámili svá zjištění skupině PSIRT společnosti TP-Link 16. února 2024, přičemž výrobce měl beta verzi záplaty připravenou do 10. dubna 2024.

Koncem minulého týdne, 24. května 2024, byla konečně vydána aktualizace zabezpečení Archer C5400X(EU)_V1_1.1.7 Build 20240510, která účinně řeší CVE-2024-5035.

Uživatelům doporučujeme stáhnout aktualizaci firmwaru z oficiálního portálu společnosti TP-Link pro stahování nebo použít panel správce routeru k provedení aktualizace.


PoC pro kritickou zranitelnost CVE-2024-23108 v FortiSIEM

Bezpečnostní výzkumníci zveřejnili PoC pro zneužití kritické zranitelnosti sledované jako  CVE-2024-23108 s CVSS v3 score 10 v SIEM systému FortiSIEM. Jedná se o zranitelnost typu command injection, kterou objevil a nahlásil odborník na zranitelnosti Zach Hanley z Horizon3 a která umožňuje vzdálené spuštění příkazu jako root bez nutnosti ověření.

Zranitelnost CVE-2024-23108 ovlivňuje FortiClient FortiSIEM verze 6.4.0 a vyšší a společnost ji opravila 8. února spolu s druhou zranitelností RCE(CVE-2024-23109) s hodnocením závažnosti 10/10.

V úterý, více než tři měsíce poté, co společnost Fortinet vydala bezpečnostní aktualizace opravující tuto bezpečnostní chybu, se útočný tým Horizon3 podělil o PoC a zveřejnil technickou analýzu.

Pokusy o zneužití CVE-2024-23108 zanechají zprávu v logu, která obsahuje neúspěšný příkaz  datastore.py nfs test.

Exploit PoC, který dnes zveřejnila společnost Horizon3, umožňuje spouštět příkazy jako root na jakémkoli neopraveném zařízení FortiSIEM.

Zranitelnosti společnosti Fortinet jsou často zneužívány - často jako zero-days - při ransomwarových a kyberšpionážních útocích zaměřených na podnikové a vládní sítě.

Read more