SECURITY SUNDAY 38/2024
Vítejte u Security Sunday, týdenního shrnutí ze světa cyber-security.
Čínští špióni strávili měsíce v síti letecké firmy
Čínští špióni pronikli do globální inženýrské firmy vyrábějící komponenty pro veřejné i soukromé letecké organizace a další klíčové sektory, včetně těžby ropy a plynu. Útočníci získali přístup do systému firmy prostřednictvím výchozích správcovských přihlašovacích údajů na starém a zapomenutém serveru IBM AIX který byl vystaven do internetu.
Podle Binary Defense, která incident vyšetřovala, byla jedna ze tří instancí AIX napadena a útočníci získali plný přístup k systému po dobu čtyř měsíců.
Poté, co byl server kompromitován, útočníci nainstalovali webový reverse shell a C2 agenta, který jim umožnil vzdáleně ovládat systém, shromažďovat Kerberos data a přidávat SSH klíče pro bezpečné přihlášení zvenčí.
Tento incident poukazuje na nebezpečí starých IT systémů, které se mohou snadno stát slabým článkem jinak bezpečné sítě.
1,3 milionu TV boxů se systémem Android obsahuje backdoor
Přibližně 1,3 milionu televizních boxů založených na Androidu bylo nedávno ovládáno pomocí malwaru. Bezpečnostní firma Doctor Web uvedla, že malware s názvem Android.Vo1d postihl zařízení s operačními systémy založenými na Android Open Source Project.
Zatímco infrastruktura malwaru je zatím podrobně zkoumána, vědci z Doctor Webu stále nejsou schopni určit zdroj infekce. Možným směrem šíření může být útok skrze další malware, který využívá zranitelnosti operačních systémů, nebo použití neoficiálních verzí firmwaru s vestavěným root přístupem.
Z analýzy Doctor Web vyplývá, že infikované zařízení byly ovládány prostřednictvím různých variant malwaru Vo1d. Cíl je v tomto případě jediný, spojení s C2 serverem ovládaným útočníkem a instalaci dalších komponent, které můžou kdykoliv nainstalovat další malware.
Společnost 23andMe zaplatí za únik dat 30 milionů dolarů
Společnost 23andMe, gigant v oblasti testování DNA, souhlasila s vyplacením 30 milionů dolarů jako součást vyrovnání žaloby týkající se úniku dat, který v roce 2023 odhalil osobní údaje 6,4 milionu zákazníků.
Navržená hromadná žaloba byla podána ve čtvrtek u federálního soudu v San Franciscu a čeká na soudní schválení.
Společnost 23andMe také souhlasila se zlepšením svých bezpečnostních protokolů, včetně ochrany před útoky typu credential-stuffing, povinnou dvoufaktorovou autentizací pro všechny uživatele a roční audity kybernetické bezpečnosti.
Navíc se 23andMe zavázala vytvořit a udržovat plán reakce na incidenty a přestane uchovávat osobní údaje pro neaktivní nebo deaktivované účty.
Discord zavádí end-to-end encryption pro audio a video hovory
Discord představilo protokol DAVE, nově navržený systém E2EE šifrování, který má zabezpečit audio a video hovory. DAVE byl vytvořen s pomocí expertů na kybernetickou bezpečnost z firmy Trail of Bits, kteří také zkontrolovali kód a implementaci E2EE systému.
Nový systém bude pokrývat audio a video hovory mezi uživateli v soukromých kanálech, hovory ve skupinách, hlasové kanály používané pro rozhovory ve větších skupinách a streamování v reálném čase.
Platforma Discord, původně vytvořená pro komunikaci hráčů během hraní her, se nyní rozrostla a stala se jednou z nejpopulárnějších komunikačních platforem na světě. DAVE představuje významný krok ke zlepšení datové bezpečnosti a ochrany soukromí.
Discord se rozhodl udělat protokol a jeho knihovny otevřenými, což umožňuje kontrolu bezpečnostními výzkumníky.
Společnost Broadcom opravuje kritickou chybu RCE v serveru VMware vCenter Server
Broadcom opravil kritickou zranitelnost ve VMware vCenter Server, kterou útočníci mohou zneužít k provádění RCE.
Tato zranitelnost (CVE-2024-38812) byla nahlášena výzkumníky bezpečnosti TZL během hackerské soutěže Matrix Cup a je způsobena chybou v implementaci protokolu DCE/RPC vCenter.
Zranitelnost ovlivňuje produkty VMware vCenter Server, VMware vSphere a VMware Cloud Foundation.
Útok je možné realizovat bez autentizace a není vyžadována uživatelská interakce
Broadcom uvádí, že nebyly zjištěny důkazy o tom, že by byl tento RCE bug aktuálně využíván. Správci, kteří nemohou okamžitě instalovat bezpečnostní aktualizace, by měli striktně kontrolovat přístup k vSphere rozhraním, včetně úložišť a vSwitchů.