SECURITY SUNDAY 28/2024

Vítejte opět po týdnu u Vašeho shrnutí ze světa cybersecurity.

NATO se chystá vybudovat nové centrum kybernetické obrany

Členové NATO se dohodli na výstavbě nového zařízení kybernetické obrany, které má vojenské alianci pomoci zvýšit odolnost a lépe reagovat na digitální hrozby.

V době, kdy aliance oslavila 75. výročí svého založení summitem ve Washingtonu, který se konal od 9. do 11. července, odhalila plány na vybudování nového Integrovaného centra kybernetické obrany NATO (NICC), které bude sídlit na Vrchním velitelství spojeneckých sil v Evropě (SHAPE) v Belgii.

“Centrum bude složeno z civilních a vojenských odborníků z různých členských států a bude vybaveno pokročilými technologiemi určenými ke zlepšení situačního povědomí a posílení kolektivní kybernetické odolnosti a obrany” uvedlo NATO.

Podrobnosti budou upřesněny v následujících měsících, přičemž hlavním úkolem NICC bude informovat vojenské velitele NATO o útočných kybernetických hrozbách a zranitelnostech, které by mohly mít dopad na alianci, včetně soukromé civilní kritické infrastruktury.

Gitlab opravuje kritickou zranitelnost v pipeline jobech

Společnost GitLab vydala další sérii aktualizací, které mají odstranit bezpečnostní chyby včetně kritické zranitelnosti, která umožňuje útočníkovi spouštět pipeline úlohy jako libovolný uživatel.

Chyba je označena jako CVE-2024-6385 a má skóre CVSS 9,6 z maximálních 10,0.

"V systému GitLab CE/EE byla objevena chyba, která se týká verzí 15.8 před 16.11.6, 17.0 před 17.0.4 a 17.1 před 17.1.2 a která umožňuje útočníkovi za určitých okolností spustit pipeline jako jiný uživatel," uvedla společnost ve středečním oznámení.

Stojí za zmínku, že Gitlab koncem minulého měsíce opravila podobnou chybu (CVE-2024-5655, skóre CVSS: 9,6), která mohla být rovněž zneužita ke spuštění pipeline jako jiný uživatel.

Nová ransomware skupina zneužívá zranitelnost Veeam Backup

Nově opravenou bezpečnostní chybu v softwaru Veeam Backup & Replication zneužívá nově vznikající ransomwarový gang známý jako EstateRansomware.

Společnost Group-IB, která aktéra hrozby objevila na začátku dubna 2024, uvedla, že modus operandi zahrnuje zneužití CVE-2023-27532 (skóre CVSS: 7,5) k provádění škodlivých aktivit.

Počáteční přístup do cílového prostředí byl umožněn pomocí zařízení Fortinet FortiGate firewall SSL VPN s využitím neaktivního účtu.

"Útočník se z brány FortiGate Firewall přes službu SSL VPN přesunul v síti" uvedl bezpečnostní výzkumník Yeo Zi Wei v dnes zveřejněné analýze.

"Před ransomware útokem byly v dubnu 2024 zaznamenány pokusy o brute-force VPN pomocí neaktivního účtu identifikovaného jako 'Acc1'. O několik dní později bylo úspěšné přihlášení do sítě VPN pomocí účtu 'Acc1' vysledováno na vzdálenou IP adresu 149.28.106[.]252."

Poté útočníci přistoupili k navázání připojení RDP z firewallu k failover serveru a následně k nasazení trvalého backdooru s názvem "svchost.exe", který je denně spouštěn prostřednictvím naplánované úlohy.

Následný přístup do sítě byl realizován pomocí backdooru, aby se vyhnul detekci.

Společnost Group-IB uvedla, že pozorovala útočníka využívajícího chybu CVE-2023-27532 společnosti Veeam s cílem povolit xp_cmdshell na zálohovacím serveru a vytvořit podvodný uživatelský účet s názvem "VeeamBkp".

Útok vyvrcholil nasazením ransomwaru, ale ne dříve, než byly podniknuty kroky ke zhoršení obrany a přesunu z AD serveru na všechny ostatní servery a pracovní stanice využívající kompromitované doménové účty.

"Program Windows Defender byl trvale deaktivován pomocí DC.exe [Defender Control], následovalo nasazení a spuštění ransomwaru pomocí PsExec.exe," uvedla společnost Group-IB.

Cloudflare se stal cílem BGP hijackingu

Internetový gigant Cloudflare hlásí, že jeho služba DNS resolveru 1.1.1.1 byla nedávno pro některé zákazníky nedostupná kvůli únosu protokolu BGP (Border Gateway Protocol).

K incidentu došlo minulý týden a postihl 300 sítí v 70 zemích. Navzdory těmto číslům společnost uvádí, že dopad byl "poměrně malý" a v některých zemích si ho uživatelé ani nevšimli.

Cloudflare uvádí, že 27. června v 18:51 UTC začala společnost Eletronet S.A. (AS267613) oznamovat IP adresu 1.1.1.1/32 svým partnerům a poskytovatelům připojení.

Toto nesprávné oznámení bylo přijato několika sítěmi, včetně poskytovatele Tier 1.

K únosu došlo, protože směrování BGP upřednostňuje nejkonkrétnější trasu. Oznámení AS267613 na 1.1.1.1/32 bylo konkrétnější než 1.1.1.0/24 společnosti Cloudflare, což vedlo k tomu, že sítě nesprávně směrovaly provoz na AS267613.

V důsledku toho byl provoz určený pro 1.1.1.1 DNS resolver společnosti Cloudflare blackholedován/odmítnut, a proto se služba stala pro některé uživatele nedostupnou.

Společnost Cloudflare problémy identifikovala kolem 20:00 UTC a únos vyřešila zhruba o dvě hodiny později. Problém byl vyřešen v 02:28 UTC.