SECURITY SUNDAY 32/2024

SECURITY SUNDAY 32/2024

18 let stará zranitelnost v prohlížečích ovlivňuje MacOS a Linux

Výzkumníci v oblasti kybernetické bezpečnosti objevili novou "0.0.0.0 Day", která ovlivňuje všechny hlavní webové prohlížeče

"Kritická zranitelnost odhaluje zásadní chybu ve způsobu, jakým prohlížeče zpracovávají síťové požadavky, což potenciálně umožňuje útočníkům získat přístup k citlivým službám běžícím na zařízeních," uvedl výzkumník společnosti Oligo Security Avi Lumelsky

Izraelská společnost zabývající se bezpečností aplikací uvedla, že důsledky této zranitelnosti jsou dalekosáhlé a že pramení z nedůsledné implementace bezpečnostních mechanismů a nedostatečné standardizace napříč různými prohlížeči.

Výsledkem je, že zdánlivě neškodná IP adresa 0.0.0.0, může být použita ke zneužití místních služeb, což může vést k neoprávněnému přístupu a vzdálenému spuštění kódu útočníky. Tato mezera údajně existuje již od roku 2006.

"Použitím adresy 0.0.0.0 spolu s režimem 'no-cors' mohou útočníci pomocí veřejných domén napadnout služby běžící na localhostu a dokonce spuštět libovolný kód (RCE), a to vše pomocí jediného požadavku HTTP."

Je třeba poznamenat, že chyba se týká pouze zařízení se systémy Linux a MacOS, chyba nefunguje v systému Windows.


Společnost Cisco varuje před kritickými zero-day zranitelnostmi v IP telefonech

 

Společnost Cisco varuje před několika kritickými zero-days s možností vzdáleného spuštění kódu ve webovém rozhraní pro správu IP telefonů Small Business SPA 300 a SPA 500.

Cisco odhalilo pět chyb, z nichž tři jsou hodnoceny jako kritické (skóre CVSS v3.1: 9,8) a dvě jako vysoce závažné (skóre CVSS v3.1: 7,5).

Kritické chyby jsou sledovány jako CVE-2024-20450, CVE-2024-20452 a CVE-2024-20454.

Tyto zranitelnosti přetečení bufferu umožňují neautentifikovanému vzdálenému útočníkovi spustit v základním operačním systému libovolné příkazy s právy roota odesláním speciálně vytvořeného požadavku HTTP na cílové zařízení.

"Úspěšné zneužití může útočníkovi umožnit přetečení vnitřní vyrovnávací paměti a spuštění libovolných příkazů na úrovni práv roota," upozorňuje společnost Cisco v bulletinu.

Dvě chyby s vysokou závažností jsou CVE-2024-20451 a CVE-2024-20453. Tyto chyby jsou způsobeny nedostatečnou kontrolou HTTP paketů , která umožňuje škodlivým paketům způsobit odepření služby na postiženém zařízení.

Společnost Cisco uvádí, že všech pět chyb ovlivňuje všechny verze softwaru, které běží na IP telefonech SPA 300 a SPA 500, bez ohledu na jejich konfiguraci a jsou na sobě nezávislé, což znamená, že je lze zneužít samostatně.

Výrobce pro tato zařízení nezpřístupnil opravy a nesdělil žádné tipy na jejich zmírnění, takže uživatelé těchto produktů budou muset co nejdříve přejít na novější a aktivně podporované modely.


Google opravuje zero-day v jádře Androidu

 

Aktualizace zabezpečení systému Android tento měsíc opravují 46 zranitelností, včetně vysoce závažného vzdáleného spuštění kódu (RCE) zneužívaného při cílených útocích.

Zero-day, sledovaný jako CVE-2024-36971, představuje slabinu use after free (UAF) ve správě síťových tras linuxového jádra.

Google říká, že "existují náznaky, že CVE-2024-36971 může být v omezeném rozsahu cíleně zneužíván", přičemž útočníci jej pravděpodobně zneužívají k získání libovolného spuštění kódu bez interakce uživatele na neopravených zařízeních.

Je důležité si uvědomit, že zatímco zařízení Google Pixel dostávají měsíční bezpečnostní aktualizace ihned po vydání, ostatní výrobci musí aktualizaci implementovat do svých nadstaveb nad systémem Android.


Microsoft 365 anti-phishing lze obejít pomocí CSS

 

Výzkumníci objevili způsob, jak obejít opatření proti phishingu v Microsoft 365 (dříve Office 365), čímž se zvyšuje riziko, že uživatelé otevřou škodlivé e-maily.

"Bezpečnostní tip pro první kontakt" je funkce, která má uživatele aplikace Outlook upozornit, když obdrží e-maily od nových kontaktů. Outlook zobrazuje zprávu ve znění: "E-maily z adresy [email protected] nedostáváte často."

Společnost Certitude zjistila, že je možné tuto bezpečnostní zprávu skrýt manipulací s CSS v HTML e-mailu.

Klíčovým aspektem tohoto mechanismu je, že upozornění je připojeno k hlavnímu tělu e-mailu, což otevírá možnost manipulace pomocí CSS vloženého do e-mailové zprávy.

Společnost Certitude zaslala Microsoftu důkaz uvedených technik a podrobnou zprávu prostřednictvím portálu Microsoft Researcher Portal (MSRC).

Od společnosti Microsoft však obdrželi následující odpověď:

"Zjistili jsme, že vaše zjištění je platné, ale nesplňuje naše kritéria pro okamžitý zásah vzhledem k tomu, že se to týká hlavně phishingových útoků. Vaše zjištění jsme však přesto označili pro budoucí přezkoumání jako příležitost ke zlepšení našich produktů." – Microsoft

Zneužití chyby v Cisco SSM umožňuje změnu administrátorského hesla

 

Společnost Cisco varuje, že je nyní k dispozici kód pro zneužití zranitelnosti s maximální závažností, která útočníkům umožňuje změnit jakékoli uživatelské heslo na licenčních serverech Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem).

Cisco však zatím nenašlo důkazy o tom, že by útočníci tuto bezpečnostní chybu aktivně zneužívali.

CVE-2024-20419 je způsobena slabinou při změně hesla v autentizačním systému SSM On-Prem. Tato slabina umožňuje neautentifikovaným útočníkům vzdáleně změnit jakékoli uživatelské heslo (včetně hesel používaných pro účty správce) bez znalosti původních přihlašovacích údajů.

"Tato zranitelnost je způsobena nesprávnou implementací procesu změny hesla. Útočník může tuto zranitelnost zneužít odesláním podvržených HTTP požadavků do postiženého zařízení," vysvětlila společnost Cisco v červenci, kdy vydala bezpečnostní aktualizace řešící tuto chybu.

Pro zasažené systémy nejsou k dispozici žádná řešení a všichni správci musí upgradovat na opravenou verzi, aby zabezpečili zranitelné servery SSM On-Prem.

Read more