SECURITY SUNDAY 39/2024

Patrik Žák

3 min read
SECURITY SUNDAY 39/2024

Kritická chyba ve službě CUPS ohrožuje Linuxové systémy

 

Bylo nalezeno několik kritických bezpečnostních chyb v systému pro správu tisku Common Unix Printing System (CUPS) pro Linux označených jako CVE-2024-47175 až CVE-2024-47177.

Security research Simone Margaritelli ukázal, že cizí neautorizovaný útočník může potichu nahradit existující tiskárny (nebo nainstalovat nové) což má za následek libovolné vykonání příkazu při spuštění tiskové úlohy.

Chyba pramení z nedostatečného ověřování sítových dat, což útočníkům umožňuje, aby zranitelný systém nainstaloval škodlivý ovladač tiskárny, poslal na tento ovladač tiskovou úlohu a vyvolal tak spuštění škodlivého kódu.

Společnost Rapid7 upozornila, že postižené systémy jsou zranitelné buď z veřejného internetu nebo napříč síťovými segmenty, pouze pokud je dostupný UDP port 631.

Aktuálně se vytvářejí opravy a očekává se, že budou vydané v nadcházejících dnech.

Doporučuje se deaktivovat a odstranit službu "cups-browsed", pokud není nutná, a blokovat nebo omezit provoz na UDP portu 631.

Podle Shodanu bylo v době psaní tohoto článku v České republice a na Slovensku dostupných 355 veřejných IP adres s otevřenou službou CUPS do internetu.

Miliony vozů Kia bylo možné vzdáleně ovládat útočníky

 

Do milionů vozů Kia bylo možné vzdáleně proniknout prostřednictvím informací z poznávací značky, dokud výrobce v polovině srpna neopravil chybu, která takový přístup umožňovala.

Výzkumník Sam Curry uvedl, že zranitelnost Kia objevil při dodatečném výzkumu chyb, které s kolegy objevil před několika lety v automobilech Kia, Honda, Infiniti, Nissan, Acura, BMW, Mercedes a dalších. Tehdy výzkumníci ukázali, jak kdokoli mohl využít zranitelností a bylo možné vzdálené uzamčení a odemčení vozidel, zapínání a vypínání motoru a aktivaci světel a klaksonu vozidla.

Novou zranitelnost, kterou Curry a jeho kolegové objevili, byla spojena s API, pomocí kterého se posílají příkazy do vozů Kia. Útočník mohl v tichosti získat osobní údaje včetně jména, telefonního čísla, e-mailové adresy a fyzické adresy majitele.

Zajímavostí je že tyto útoky bylo možné provést na dálku na jakémkoli vozidle během přibližně 30 sekund bez ohledu na to, zda mělo aktivní předplatné služby Kia Connect.

Telegram bude sdílet telefonní čísla a IP adresy uživatelů s policií

 

Telegram oznámil, že nyní bude na základě platných právních požadavků sdílet telefonní čísla a IP adresy uživatelů s orgány činnými v trestním řízení. Toto opatření by mělo být uplatněno pouze v případě, kdy je uživatel podezřelý z trestné činnosti a existuje platné soudní rozhodnutí. Dříve byly tyto údaje sdíleny pouze v případech týkajících se podezření z terorismu.

 

Tato změna byla oznámena CEO Telegramu Pavlem Durovem, který také uvedl, že jakékoli sdílení dat bude zahrnuto ve čtvrtletních zprávách o transparentnosti.

 

Tato opatření byla zavedena poté, co byl Pavel Durov, ruský zakladatel a CEO Telegramu, zatčen ve Francii v souvislosti s vyšetřováním používání Telegramu pro podvody, obchod s drogami a šíření nelegálního obsahu. Durov byl později propuštěn na kauci.

Microsoft oznámil ukončení vývoje WSUSu

 

Microsoft oznámil oficiální ukončení vývoje Windows Server Update Services (WSUS).

WSUS, původně představený v roce 2005 jako Software Update Services (SUS), umožňuje IT administrátorům spravovat a distribuovat aktualizace produktů Microsoftu napříč rozsáhlými korporátními sítěmi.

Navzdory tomu, že nové funkce a vývoj pro WSUS skončí, Microsoft plánuje podporovat stávající funkčnost a aktualizace služby, které budou nadále distribuovány i po jejím vyřazení.

Tato změna ovlivní podniková prostředí, která jsou závislá na WSUS pro správu aktualizací dodávaných mnoha zařízením, ale nijak neovlivní domácí uživatele nebo ty, kteří používají Microsoft Configuration Manager.

Po vyřazení WSUS Microsoft doporučuje podnikům přejít na cloudová řešení pro klienta a správu serverových aktualizací, jako je Windows Autopatch, Microsoft Intune a Azure Update Manager.

Malware 'Necro' infikoval 11 milionů zařízení přes Google Play

 

Nová verze trojského koně s názvem Necro zasáhla 11 milionů zařízení s operačním systémem Android prostřednictvím Google Play.

Kyberbezpečnostní firma Kaspersky odhalila přítomnost trojského koně Necro ve dvou aplikacích na Google Play. První z nich je Wuta Camera od Benqu, nástroj na úpravu a zkrášlení fotografií, který si na Google Play stáhlo přes 10 milionů uživatelů. Druhou infikovanou aplikací je Max Browser od WA message recover-wamr, prohlížeč s milionem stažení, který byl následně na základě zpráv od Kasperskyho odebrán z Google Play.

Podle analytiků z Kaspersky LAB se Necro objevil na aplikaci Wuta Camera s vydáním verze 6.3.2.148 a zůstal tam až do verze 6.3.6.148. Přestože byl trojan odstraněn ve verzi 6.3.7.138, některé payloady nainstalované prostřednictvím starších verzí mohou stále zůstat na zařízeních s Androidem.

U Max Browseru bylo provedeno odstranění aplikace a uživatelům se doporučuje aplikaci odinstalovat a přejít na jiný prohlížeč.

Počet infikovaných zařízení touto vlnou trojského koně Necro je neznámý, ale z dat Google Play jich je minimálně 11 milionů.

Read more