SECURITY SUNDAY 36/2024

SECURITY SUNDAY 36/2024

Výzkumníci nalezli způsob, jak obejít bezpečnostní kontroly na letištích

 

Bezpečnostní výzkumníci identifikovali zranitelnost v klíčovém systému letecké bezpečnosti FlyCASS, který by umožnil neoprávněným osobám obejít bezpečnostní kontroly na letišti a získat přístup do letadel.

Ian Carroll a Sam Curry objevili zranitelnost ve službě FlyCASS, webové službě třetí strany, kterou některé letecké společnosti využívají k řízení programů Known Crewmember (KCM) a Cockpit Access Security System (CASS). Služby KCM a CASS jsou systémy používané k ověření identit a oprávnění zaměstnanců leteckých společností, které jim umožňují vyhnout se bezpečnostním kontrolám a získat přístup do kokpitů letadel.

 

Vědci zjistili, že přihlašovací systém FlyCASS byl náchylný k SQL Injection, což je zranitelnost umožňující útočníkům vložit škodlivé SQL příkazy do databázových dotazů. Tímto způsobem se mohli útočníci přihlásit jako administrátoři a manipulovat se zaměstnaneckými daty v systému. Přidali fiktivního zaměstnance a nastavili tomuto účtu přístup jak k KCM, tak k CASS. Tímto způsobem nově vytvořený zaměstnanec efektivně obejít bezpečnostní kontroly a získat přístup k letadlu.

 

Při uvědomění si závažnosti problému okamžitě oznámili chybu, kdy kontaktovali Ministerstvo vnitra (DHS). Ministerstvo reagovalo a potvrdilo vážnost zranitelnosti a potvrdilo, že FlyCASS byl odpojen od systému KCM/CASS. Krátce poté byla zranitelnost v systému FlyCASS odstraněna.

 

Bezpečnostní odborníci nastolili otázku, zda je takový systém vůbec bezpečný a jaké jsou další potenciální rizika pro letecký průmysl a ochranu osobních údajů.


Severokorejská skupina Citrine_Sleet využívá zero-dat zranitelnost v chromiu

 

Microsoft odhalil, že severokorejská skupina označovaná jako Citrine Sleet, využíval zero-day zranitelnost v Chromiu k získání RCE.

Citrine Sleet je severokorejský aktér hrozeb, který se primárně zaměřuje na finanční instituce, zejména organizace a jednotlivce spravující kryptoměny. Aktér hrozeb vytváří falešné webové stránky, které se vydávají za legitimní obchodní platformy pro kryptoměny, a používá je ke šíření falešných nabídek práce nebo ke svádění cílů ke stažení upravených kryptoměnových peněženek nebo obchodních aplikací založených na legitimních aplikacích.

Microsoft vysvětlil, že skupina Citrine Sleet se zaměřuje na sektor kryptoměn za účelem finančního zisku. Zranitelnost CVE-2024-797 která ovlivňuje verze Chromia před verzi 128.0.6613.84. Google vydal opravu zranitelnosti 21. srpna 2024 a uživatelé by měli ujistit, že používají nejnovější verzi Chromia.

 

V procesu útoku Citrine Sleet využívá malware FudModule. Tento rootkit je sofistikovaný a speciálně cílí na jádro systému, zatímco se snaží vyhnout detekci. Hrozby byly pozorovány při použití rootkitu FudModule pro získání přístupu admin-to-kernel k systémům založeným na Windows. Tento rootkit byl poprvé pozorován na počátku roku 2024 v rukou jiné severokorejské kybernetické skupiny, Diamond Sleet.


Zelené barety kompromitovaly Wi-Fi síť a ovládly budovu

 

Speciální jednotky americké armády, známé také jako zelené barety, předvedly během nedávných vojenských cvičení své dovednosti v oblasti útočné kybernetické bezpečnosti. Cvičení se zaměřilo na napadení bezdrátových sítí a bylo demonstrováno na cílové budově ve Švédsku, kterou napadli příslušníci 10. skupiny speciálních sil. Přístupem k Wi-Fi sítím a jejich sledováním se týmu podařilo získat přehled a kontrolu nad cílem.

 

Speciální jednotky použily nejmenované zařízení pro vzdálený přístup k identifikaci sítí Wi-Fi, na kterých běží bezpečnostní systémy budovy. Po prolomení hesla procházeli sítí, vypínali průmyslové kamery, otevírali zabezpečené dveře a deaktivovali další bezpečnostní opatření. To vše provedli z dodávky před budovou.

 

Po kyberbezpečnostní prohlídce se druhý tým vysadil na padáku sedm kilometrů od cíle. Tento tým prozkoumal oblast, vstoupil do nyní nezabezpečené budovy a zanechal po sobě zařízení pro rušení signálu, aby vymazal veškeré důkazy o své přítomnosti.

Fotografie později odhalily, že po sobě zanechali také notebook s písní Never Gonna Give You Up od Ricka Astleyho.

 

Tato cvičení jsou součástí rozsáhlejšího výcviku NATO Swift Response 24, jehož cílem je ukázat, jak mohou členské země spolupracovat v případě útoku. Toto cvičení je jedním z nejrozsáhlejších za poslední roky a účastní se ho 17 000 příslušníků amerických a 23 000 příslušníků služeb ostatních národů NATO. Ukázka vysílá zemím, jako je Rusko, jasný signál o připravenosti NATO na možné hrozby. Je to také poprvé, kdy se operací účastní noví členové NATO Finsko a Švédsko.


Společnost Cisco varuje před zadními vrátky v administrátorském účtu v nástroji Smart Licensing Utility

 

Společnost Cisco varovala před zadními vrátky v administračním účtu v rámci Cisco Smart Licensing Utility (CSLU). CSLU je Windows aplikace umožňující správu licencí a spojených produktů bez nutnosti připojení k cloudovému řešení společnosti Cisco - Smart Software Manager. Společnost uvedla, že tato závažná chyba (CVE-2024-20439) umožňuje neautentizovaným útočníkům vzdálené přihlášení do nepatchovaných systémů pomocí nezdokumentovaných statických uživatelských údajů pro administrátorský účet.

 

Cisco také vydala zabezpečovací aktualizace pro kritické bezpečnostní chyby v CSLU ohledně odhalení citlivých informací (CVE-2024-20440). Tyto chyby mohou neautentizovaní útočníci využít k přístupu do logovacích souborů obsahujících citlivá data (včetně přihlašovacích údajů k API) prostřednictvím speciálně upravených HTTP požadavků na postižená zařízení.

Obě bezpečnostní chyby ovlivňují pouze systémy běžící na náchylných verzích Cisco Smart Licensing Utility, bez ohledu na jejich softwarovou konfiguraci. Tyto slabiny jsou zneužitelné pouze pokud uživatel spustí Cisco Smart Licensing Utility, která není navržena k běhu na pozadí.


 

D-Link varuje, že čtyři chyby umožňující vzdálené spuštění kódu (RCE), které postihují všechny routery DIR-846W, nebudou opraveny, protože tyto produkty již nejsou podporovány.

Tyto čtyři RCE chyby, z nichž tři jsou hodnoceny jako kritické a nevyžadují autentizaci, objevil bezpečnostní výzkumník yali-1002, který zveřejnil podrobnosti na svém účtu na GitHubu. Výzkumník zveřejnil informace 27. srpna 2024, ale zatím se zdržel zveřejnění důkazů exploitačních konceptů (PoC).

 

Přestože D-Link uznal bezpečnostní problémy a jejich závažnost, poznamenal, že spadají pod jeho standardní politiky konce životnosti / konce podpory, což znamená, že nebudou k dispozici žádné zabezpečovací aktualizace, které by je řešily.

"Jako všeobecnou politiku, když produkty dosáhnou EOS / EOL, již nemohou být podporovány a veškerý vývoj firmware pro tyto produkty přestane," uvádí D-Link.

D-Link důrazně doporučuje, aby byl tento produkt vyřazen a varuje, že další použití tohoto produktu může představovat riziko pro připojená zařízení.

 

Read more