security-sunday

SECURITY SUNDAY 27/2024

Patrik Žák

6 min read
SECURITY SUNDAY 27/2024
Vítejte opět po týdnu u Vašeho týdenního shrnutí ze světa cybersecurity.

regreSSHion: RCE zranitelnost OpenSSH serveru CVE-2024-6387

Oddělení výzkumu hrozeb společnosti Qualys (TRU) objevilo zranitelnost RCE (Remote Unauthenticated Code Execution) v serveru OpenSSH (sshd) v systémech Linux založených na glibc. Zranitelnost je sledovaná jako CVE-2024-6387

Zranitelnost, která spočívá v race condition obsluhy signálů v OpenSSH serveru, umožňuje neautentizované vzdálené spuštění kódu (RCE) jako root na systémech Linux založených na glibc. Tato race condition se týká sshd ve výchozí konfiguraci.

Na základě vyhledávání pomocí systémů Censys a Shodan jsme identifikovali více než 14 milionů potenciálně zranitelných instancí serverů OpenSSH vystavených internetu. uvedl Qualys

V naší bezpečnostní analýze jsme zjistili, že tato zranitelnost je obdobou dříve opravené zranitelnosti CVE-2006-5051, která byla nahlášena v roce 2006. Obdoba v tomto kontextu znamená, že jednou opravená chyba se znovu objevila v následující verzi softwaru, obvykle v důsledku změn nebo aktualizací, které neúmyslně znovu zavedly problém. Tento incident zdůrazňuje klíčovou roli důkladného testování. 

Ovlivněné verze OpenSSH:

  • Verze OpenSSH starší než 4.4p1 jsou zranitelné pokud nejsou opraveny na CVE-2006-5051 a CVE-2008-4109.
  • Verze od 4.4p1 až po 8.5p1, ale ne včetně, nejsou zranitelné díky transformační záplatě pro CVE-2006-5051, která zabezpečila dříve nebezpečnou funkci.
  • Zranitelnost se znovu objevuje ve verzích od 8.5p1 až po 9.8p1.

Systémy OpenBSD nejsou touto chybou ovlivněny, protože OpenBSD vyvinulo v roce 2001 bezpečný mechanismus, který této chybě zabraňuje.

Zneužití této zranitelnosti může vést k úplnému ohrožení systému, kdy útočník může spustit libovolný kód s nejvyššími právy, což může vést k úplnému převzetí systému, instalaci škodlivého softwaru, manipulaci s daty a vytvoření zadních vrátek pro trvalý přístup. 

OVHcloud zaznamenal rekordní DDoS útok pomocí Mikrotik routerů

Společnost OVHcloud uvádí, že na začátku letošního roku zmírnila rekordní útok DDoS který dosáhl rychlosti 840 milionů paketů za sekundu (Mpps).

Několik útoků si v posledních 18 měsících udrželo vysoké přenosové rychlosti a rychlosti paketů po delší dobu, přičemž nejvyšší přenosová rychlost zaznamenaná společností OVHcloud byla 2,5 Tb/s

Analýza některých z těchto útoků odhalila rozsáhlé využití zařízení umístěných na páteřní síti, zejména modelů Mikrotik. 

"Naše infrastruktura musela na začátku roku 2024 zmírnit několik útoků. V dubnu 2024 jsme zmírnili rekordní útok DDoS dosahující ~840 Mpps, což bylo těsně nad předchozím rekordem, který zaznamenala  společnost Akamai." vysvětluje OVHcloud.

Útok typu TCP ACK pocházel z 5 000 zdrojových IP adres. Mnoho útoků s vysokou rychlostí paketů, včetně rekordního útoku z dubna, pochází z kompromitovaných zařízení MirkoTik Cloud Core Router (CCR) určených pro vysoce výkonné sítě. 

Firma identifikovala konkrétně kompromitované modely CCR1036-8G-2S+ a CCR1072-1G-8S+. 

Mnohá z těchto zařízení vystavila své rozhraní online, běží na nich zastaralý firmware a jsou tak náchylná k útokům využívajícím exploity na známé zranitelnosti.

Společnost OVHcloud identifikovala téměř 100 000 zařízení Mikrotik, která jsou dosažitelná/zneužitelná přes internet, což představuje mnoho potenciálních cílů.

Vzhledem k vysokému výpočetnímu výkonu Mikrotik routerů, které jsou vybaveny 36jádrovými procesory, by i v případě kompromitace malého procenta z těchto 100k zařízení mohl vzniknout botnet schopný generovat miliardy paketů za sekundu.

Společnost OVHcloud spočítala, že únos 1 % exponovaných modelů do botnetu by mohl útočníkům poskytnout kapacitu k provedení útoků o síle 2,28 miliardy paketů za sekundu (Gpps).

Zařízení MikroTik byla v minulosti využita k budování výkonných botnetů, přičemž významným případem byl botnet Mēris.

Navzdory opakovaným varováním výrobce, aby uživatelé aktualizovali RouterOS na bezpečnou verzi, zůstalo mnoho zařízení zranitelných po celé měsíce. 

Chyba v Authy odhalila miliony telefonních čísel

Neznámí útočníci využili neautentizovaného koncového bodu v aplikaci Authy k exfiltraci  mobilních telefonních čísel uživatelů.

Authy, kterou od roku 2015 vlastní společnost Twilio, je populární aplikace pro dvoufaktorové ověřování (2FA).

Společnost uvedla, že přijala opatření k zabezpečení koncového bodu, aby již nepřijímal neověřené požadavky.

ShinyHunters zveřejnil na serveru BreachForums databázi obsahující 33 milionů telefonních čísel údajně z úniku Authy.

"Nezaznamenali jsme žádné důkazy o tom, že by útočníci získali přístup do systémů společnosti Twilio nebo k jiným citlivým údajům," uvádí se v bezpečnostním upozornění z 1. července 2024.

Z opatrnosti však uživatelům doporučuje, aby aktualizovali své aplikace pro systémy Android (verze 25.1.0 nebo novější) a iOS (verze 26.1.0 nebo novější) na nejnovější verzi.

Twilio také upozornilo, že útočníci se mohou pokusit využít telefonní číslo spojené s účty Authy k phishingovým a smishingovým útokům.

Čínští hackeři zneužívají zeroday zranitelnost na switchích Cisco k šíření škodlivého softwaru

Kyberšpionážní skupina z Číny s názvem Velvet Ant zneužívá zeroday chybu v softwaru NX-OS společnosti Cisco k šíření malwaru.

Zranitelnost, sledovaná jako CVE-2024-20399 (skóre CVSS: 6,0), se týká  command injection, který umožňuje autentizovanému lokálnímu útočníkovi spustit libovolné příkazy jako root.

"Využitím této zranitelnosti Velvet Ant úspěšně spustil dosud neznámý malware, který skupině umožnil vzdáleně se připojit k napadeným zařízením Cisco Nexus, nahrát další soubory a spustit další škodlivý kód," uvedla firma Sygnia

Společnost Cisco uvedla, že problém vyplývá z nedostatečné validace argumentů, které jsou předávány konkrétním konfiguračním příkazům CLI, čehož může protivník zneužít tím, že jako argument napadeného konfiguračního příkazu CLI uvede upravený vstup.

Navíc umožňuje uživateli s právy správce spouštět příkazy bez vyvolání systémových zpráv syslogu, čímž umožňuje skrýt spuštění příkazů shellu na hacknutých zařízeních.

Navzdory možnostem spuštění kódu je závažnost chyby nižší, protože úspěšné zneužití vyžaduje, aby útočník již vlastnil pověření správce a měl přístup ke specifickým konfiguračním příkazům. 

Chyba CVE-2024-20399 se týká následujících zařízení.

- switche řady MDS 9000
- switche řady Nexus 3000
- switche platformy Nexus 5500
- switche platformy Nexus 5600
- switche řady Nexus 6000
- switche řady Nexus 7000 a
- switche řady Nexus 9000 v samostatném režimu NX-OS.

Velvet Ant byl poprvé zdokumentován izraelskou firmou zabývající se kybernetickou bezpečností minulý měsíc v souvislosti s kybernetickým útokem zaměřeným na nejmenovanou organizaci se sídlem ve východní Asii po dobu přibližně tří let, a to vytvořením perzistence pomocí zastaralých zařízení F5 BIG-IP s cílem skrytě ukrást zákaznické a finanční informace.

"Síťová zařízení, zejména switche, často nejsou monitorována a jejich protokoly často nejsou předávány do centralizovaného systému pro logování," uvedla společnost Sygnia. 

Juniper opravuje kritickou zranitelnost

Společnost Juniper Networks vydala nouzovou aktualizaci, která řeší zranitelnost s maximální závažností vedoucí k obejití ověřování v produktech Session Smart Router (SSR), Session Smart Conductor a WAN Assurance Router.

Bezpečnostní chyba je sledována jako CVE-2024-2973 a útočník ji může zneužít k úplnému ovládnutí zařízení.

"Zranitelnost Authentication Bypass Using an Alternate Path or Channel v Juniper Networks Session Smart Router nebo Conductor umožňuje síťovému útočníkovi obejít ověřování a převzít plnou kontrolu nad zařízením. Tato zranitelnost se týká pouze zařízení provozovaných v redundantních konfiguracích s vysokou dostupností" uvádí společnost Juniper v bezpečnostním upozornění.

Správci používají redundantní konfigurace s vysokou dostupností tam, kde je zapotřebí kritická kontinuita služeb. Tato konfigurace je nezbytná pro zachování nepřerušených služeb a zvýšení odolnosti proti nepředvídaným událostem.

Proto je tato zranitelná konfigurace poměrně běžná v kritické síťové infrastruktuře, včetně velkých podniků, datových center, telekomunikací, elektronického obchodu a vládních či veřejných služeb.

Verze produktů, kterých se CVE-2024-2973 týká, jsou:

Relace Smart Router & Conductor:

  • Všechny verze před 5.6.15
  • Od verze 6.0 před 6.1.9-lts
  • Od 6.2 před 6.2.5-sts

WAN Assurance:

  • Verze 6.0 před 6.1.9-lts
  • 6.2 verze před 6.2.5-sts

Pro Session Smart Router byly zpřístupněny aktualizace ve verzích 5.6.15, 6.1.9-lts a 6.2.5-sts.

WAN Assurance jsou po připojení ke cloudu Mist Cloud opravovány automaticky, ale správci clusterů s vysokou dostupností musí provést aktualizaci na verzi SSR-6.1.9 nebo SSR-6.2.5.

Dodavatel ujišťuje zákazníky, že aplikace opravy nenaruší produkční provoz a měla by mít minimální dopad na zhruba 30sekundový výpadek webové správy a API rozhraní.

Read more