Най-интересното

SQL инжекция (CVE-2023-34362) в приложението за трансфер на файлове MOVEit Transfer на Progress Software е станала причина за компрометирането на редица държавни и частни организации от цял свят. За нея се заговори по-рано през юни, а реалните мащаби на експлоатираната от хакерската група Cl0p уязвимост започнаха да стават ясни по-рано тази седмица.

Сред известните до момента жертви са:

• Британската енергийна компания Shell
• Transport for London (TfL), която оперира транспортната инфраструктура на британската столица
• Еквивалентите на Транспортните администрации на щатите Орегон и Луизиана в САЩ (само в Орегон потенциалните жертви са 3.5 млн. шофьори, чийто лични данни са били достъпвани неоторизирано – това накара местните власти да препоръчат на жителите на щата да замразят банковите си сметки заради възможност за неоторизирано теглене на кредити от тяхно име)
• Агенции към Министерството на енергетиката на САЩ (една от които отговаря за съхранението на ядрени отпадъци)

Пълен списък най-вероятно никога няма да видим, но според  Cl0p, цитирани от различни медии, жертвите са „стотици“. Ако изключим транспортните администрации на Орегон и Луизиана, всички останали известни жертви твърдят, че компрометираните данни са ограничени и щетите от пробива не могат да имат значими последици.

Как работи атаката

MOVEit Transfer е приложение за трансфер на файлове, достъпно както инсталирано на собствена инфраструктура, така и под формата на cloud инстанция.

Cl0p са експлоатирали SQL инжекция, засягаща с която хакерите могат да получат достъп до базата на уязвимата инсталация на приложението. Уязвими са всички версии преди 2023.0.2 на MOVEit. Ако ги използвате, препоръчваме да следвате препоръките за отстраняването на уязвимостта на Progress Software тук.

Атаките използващи тези уязвимости са истински „zero-day“ и може би са започнали още на 27 май 2023 г., дори преди да е публикувана налична кръпка или уязвимостта да е обществено разкрита.

Какъв е извода

Независимо от мащаба на щетите от атаката на Cl0p, тя е пореден пример за това, че уязвимостите са около нас и дебнат всеки един аспект от дейността ни.

Затова, основните заключения, които може да извлечем от този урок са:

• Никога не пренебрегвайте киберсигурността си. Планирайте как да реагирате по време и след успешна кибератака (план за защита, план за възстановяване на дейността ви след пробив)
• Действайте проактивно. Правете редовни проверки за уязвимости, актуализирайте приложенията на работните станции на служителите си, както и тези, с които работи целия ви бизнес
• Обучавайте персонала персонала си относно потенциалните заплахи и как да реагира на тях

П.П. Буквално седмици след оповестяване на уязвимостта в MOVEit File Transfer, Progress Software съобщи за още една такава: CVE-2023-35708 от 15 юни,  която позволява неоторизиран достъп до средата, в която работи приложението. С други думи, ако имате on premise инсталация и на същия сървър, на който е тя, има и други приложения – атакуващите може да се сдобият с достъп и до тях, което да увеличи потенциалните вреди от атаката. Затова, препоръката ни е да обърнете специално внимание на тази уязвимост и да следвате стъпките, описани от Progress Software, за да я елиминирате колкото се може по-бързо.

През последните няколко години чуваме за реални случаи на скрити камери във ваканционни жилища под наем. Това твърдят и 11% от участниците в проучване от 2019 г. на фирма за услуги в областта на недвижимите имоти.

Политиката на Airbnb по въпроса е недвусмислена: Камерите за сигурност и устройствата за наблюдение на шума са разрешени, „стига да са ясно разкрити в описанието на обявата и да не нарушават поверителността на други лица“.

Тъй като става въпрос за вашия личен живот, ето какво можете да направите:

• Проверете внимателно обявата: Споменава ли се в нея наличието на камери.
• Проверете физически стаята: Има ли стикери, уведомяващи за видеонаблюдение. После потърсете в часовници, детектори за дим, високоговорители или други устройства, насочени към легла или душове.
• Използвайте фенерче: Лещите на камерата са направени от стъкло и ще отразят светлината.
• Изключете осветлението и огледайте за сигналните червени или зелени светодиоди на камерите за нощно виждане.
• Следете за това приложение, което използва Time-of-Flight сеонзра на (ToF) на телефона, за да открие скрити камери, скрити в ежедневни предмети.
• Позвънете на приятел, докато се разхождате из имота. Скритата камера може да попречи на сигнала на телефона ви, ако използва радиочестоти (RF) за свързване към скрита мрежа.

Не изпадайте в параноя, просто имайте едно на ум, когато се намирате в обект под наем.

Министърът на електронното управление обяви в LinkedIn профила си, че страната ни се присъединява към държавите (общо 30 към момента), които използват услугата HIBP.

Платформата HaveIBeenPwned (дело на експерта по киберсигурност Troy Hunt) e полезен инструмент, с който да откриете дали информация за ваш акаунт е била компрометирана или включена в масив с изтекли данни (data leak).

Ако установите, че ваш имейл адрес е бил хакнат (pwned), незабавно сменете както паролата за този акаунт, така и за всички други акаунти, за достъп до които използвате същата парола.

През последните 4 години HIBP предоставя допълнителен достъп до информация за нарушение на данните на правителствени агенции, отговорни за защитата на своите граждани.

Това е крачка в правилната посока – повишаване на киберсигурността на държавата!

Умните джаджи (IoT) правят живота ти по-лесен и намаляват времето ти пред екрана на смартфона. Изследвания обаче показват, че те са податливи на манипулация, което дори може да ти причини физически дискомфорт и стрес.

Ето няколко начина да те хакнат

• През Bluetooth: той за това е направен, за свързване с други устройства, които не винаги са добронамерени
• Когато софтуерът на устройството е лошо програмиран или удостоверяването/криптирането е слабо
• През приложения – лошо написани или злонамерени
• През бекенд сървърите на облачните доставчици

Какво от това

Това, че умните джаджи са синхронизирани с различни други приложения. И това автоматично означава, че хакнатото IoT устройство отваря широк достъп на злонамерените лица и те могат да:

• Откраднат или манипулират данните ти
• Продадат на трети лица информацията ти
• Проследяват местоположението ти
• Получат достъп до дома ти

Препоръки за предпазване

Можеш да сведеш до минимум рисковете, описани по-горе, като спазваш някои добри практики:

За всички устройства:

• Включи двуфакторна автентификация (2FA)
• Заключи екрана на устройството
• Изисквай потвърждение за сдвояване (pairing)

За смартфона:

• Сваляй приложения само от официалните магазини (PlayStore, Apple Store), защото контролът на сигурността им е завишен
• Редовно ъпдейтвай софтуера на смартфона
• Не прави jailbreaking/rooting
• Разрешавай достъп само на наистина необходими приложения
• Инсталирай AV софтуер

За умната къща :

• Не синхронизирай преносими устройства с входната си врата
• Направи отделна Wi-Fi мрежа за гости
• Периодично инсталирай най-актуалния фърмуер на всички устройства
• Задължително смени фабричните пароли, които са по подразбиране

Microsoft стартира 2022 година с необичайно голям за месец януари ъпдейт: отстранени са 96 нови уязвимости в Microsoft Window, Microsoft Edge (Chromium-based), Exchange Server, Microsoft Office, SharePoint Server, .NET Framework, Microsoft Dynamics, Open-Source Software, Windows Hyper-V, Windows Defender и Windows Remote Desktop Protocol (RDP).

Препоръчително е да приложите ъпдейтите възможно най-скоро.

Девет от уязвимостите са класифицирани като Critical:

• CVE-2022-21907 (HTTP Protocol Stack Remote Code Execution Vulnerability), засягаща HTTP Protocol Stack (http.sys). Уязвимостта предполага, че може да бъде ескалирана в заплаха тип worm malware (червей).

За момента няма PoC (Proof of Concept) и не са засечени реални атаки (in-the-wild), но е желателно да се приоритизира прилагането на пачовете, особено върху сървъри с публично достъпни Web услуги (IIS и други web сървъри).

Клиентите (Windows Desktop) също са потенциално уязвими.

За по-детайлна информация препоръчваме този ресурс.

• CVE-2022-21846(Microsoft Exchange Server Remote Code Execution Vulnerability)

С последните няколко ъпдейта са отстранени три RCE уязвимости, но тази е класифицирана с най-голяма тежест. Засега е ясно, че  може да бъде експлоатирана само от съседна мрежа (частна мрежа), т.е. не би трябвало да е възможно да бъде осъществена атака от интернет.

• CVE-2022-21840(Microsoft Office Remote Code Execution Vulnerability): RCE в Office пакета с критична важност, понеже експлоатацията би мога да бъде осъществена без съдействието (кликане) и знанието (warning) на потребителя, използващ софтуера.
• CVE-2022-21857(Active Directory Domain Services Elevation of Privilege Vulnerability): позволява ескалиране на права (privilege escalation) в AD инфраструктура. Обикновено такива уязвимости се категоризират като Important, но този е Critical.
• Няколко сериозни CVE-та относно code execution в RDP клиента/протокола: изискването за успешна експлоатация е клиентът да се свърже със злонамерен RDP сървър. Повече инфо – https://www.cyberark.com/resources/threat-research-blog/attacking-rdp-from-inside

Извън контекста на сигурността, Microsoft наскоро пусна out of band patch, относно RDP проблеми в сървърните дистрибуции. За инструкции как да инсталирате тази актуализация за вашата операционна система, вижте KB, изброени по-долу:

• Windows Server 2022: KB5010197
• Windows Server 2019: KB5010196
• Windows Server 2016: KB5010195
• Windows Server 2012 R2: KB5010215

Още ъпдейти от вендори

• Adobe: Пет пача отстраняват 41 уязвимости (CVE) в Acrobat and Reader, Illustrator, Adobe Bridge, InCopy и InDesign. Препоръчително е да се обнови Acrobat and Readerдо най-актуална версия. Повече информация: https://helpx.adobe.com/security.html
• Apple: iOS/iPad OS Fixing HomeKit Vulnerability / Private Relay issues:
  https://support.apple.com/en-us/HT201222
  https://www.macrumors.com/2022/01/12/apple-icloud-private-relay-ios-15-2/

Ъпдейтът от 13 януари 2022 г. на Mozilla Firefox до версия 96 дойде с бъг. Проблемът е свързан с HTTP3 и не позволява успешното зареждане на нито един уеб сайт.

Какво е HTTP3

Да тръгнем по-отдалече: Hyper Text Transfer Protocol (HTTP) е основна градивна част на интернет пространството. Той диктува как комуникационните платформи и устройства да обменят информация и да извличат ресурси. Накратко, чрез него зареждатe уеб страници.

HTTP/3 е нов стандарт, все още в разработка, който ще подобри значително комуникацията между потребителските браузъри и сървърите, с които те комуникират, по отношение на производителност, надеждност и сигурност.

Съществената разлика спрямо предходните варианти е, че HTTP/3 работи с QUIC, който е проектиран за използване в интернет комуникацията: главно е свързан с мобилните устройства, които често се превключват от една мрежа в друга. HTTP/3 използва UDP, а не TCP, което позволява по-бърза комуникация и по-интензивно потребителско изживяване при сърфиране онлайн.

Отстранете проблема в браузъра, следвайки тези лесни стъпки:

1. Отворете нов таб в Mozila FireFox:

2. В URL полето, напишете “about:config”, натиснете бутона “Enter” и след това бутона “Accept the Risk and Continue”:

3. Ще се отвори нов прозорец, с нова търсачка:

4. В полето за търсене напишете “network.http.http3.enabled”, за да се появи настройката, която трябва да промените:

5 Кликнете два пъти върху полето “true” за да го промените на “false”. Запазете настройките и рестартирайте FireFox, за да се приложат промените.

6. Проблемът с неуспешното зареждане на страници във Firefox е елиминиран!

Повече информация относно HTTP/3 (QUIC) можете да намерите на следния линк:  https://www.cloudflare.com/learning/performance/what-is-http3/

Разкрита е критична уязвимост в библиотеката Java Log4j (CVE-2021-44228 или „Log4shell“), последиците от която са сериозни и трудни за митигиране.

Log4j е много популярна система за регистриране, широко използвана от разработчиците на уеб и сървърни приложения, базирани на Java и други езици за програмиране. Уязвимостта засяга голям спектър от услуги и приложения на сървърите, което я прави изключително опасна. Тя предоставя на хакерите сравнително лесен начин за дистанционен достъп до сървър на съответната организация, а оттам – до цялата мрежа.

Вече са засечени стотици хиляди опити от 9 декември 2021 г. (когато разкритието беше оповестено) насам за дистанционно изпълнение на код, използвайки тази уязвимост. Предполага се, че тя е била експлоатирана седмици преди публичното й оповестяване. Засегнати са услуги/продукти на вендори като Cisco, VMware,  Apple, Cloudflare, Minecraft и много други.

Какво да направите

1. Консултирайте се с разработчиците на вашите системи, за да установите дали приложенията, които използва организацията ви са написани на Java и/или част от тях разчитат на код написан на Java.
2. Ако това е така, проверeте дали приложенията включват уязвима версия на библиотеката Log4j – актуализирайте я до версия 2.15.0 или по-нова.
3. Уязвимостта може да бъде смекчена и в предишни версии (2.10 и по-нови) чрез задаване на стойност „true“ на „log4j2.formatMsgNoLookups“ или премахване на класа JndiLookup от указания път.
4. Ако използвате засегнато приложение на трета страна, уверете се, че поддържате продукта актуализиран до най-новата версия.

Подробна информация и насоки по темата можете да откриете ТУК.

Подаръчните карти (Gift Cards) се утвърждават като предпочитан коледен подарък. В глобален мащаб се очаква стойността им да достигне зашеметяващите 2 трилиона USD до 2027 г.

Защо подаръчните карти са популярни сред измамниците

• Лесно е да бъдат закупени – онлайн или на място в магазина
• Повечето търговци на дребно и известни марки вече предлагат някаква форма на карта за подарък
• Имат по-малко защити отколкото банковите разплащателни карти
• Няма ангажименти, след като салдото по картата е нулирано
• Не са обвързани с банкова разплащателна сметка

Петте най-често срещани измами, за които да внимавате:

1. Заплашително „напомняме“ за неплатени сметки

Тактиката използва класическо социално инженерство, предназначено да ви принуди бързо да вземете решение. Може да получите фишинг под формата на имейл или обаждане (вишинг), като измамникът обикновено посочва типа карта, която иска да бъде използвана за плащането. Тук трябва да ви светне червената лампа: никой уважаван бизнес или комунална услуга няма да изиска плащане чрез подаръчна карта.

2. Ботове – крадци

Измамниците настройват автоматизирани ботове, които идентифицират цифровия запис на картата, след което я използват директно, все едно че са неин собственик.

3. Подправяне на карти в магазина

Понякога измамниците крадат номерата и ПИН-кодовете на картите директно от магазина, който ги предлага. След това изчакват да регистрирате получения подарък и издават дубликат, който бързо изпразват.

4. Спечелихте награда!

Популярна тактика: поканват ви да платите малка сума с подаръчната карта, за да получите голямата награда, която… никога не идва.

5. Фишинг с цел кражба на данни

След като активирате картата си, получавате имейл, който ви приканва да предоставите лични данни и финансова информация – търсена стока на черния пазар.

Как да се предпазите

• Купувайте подаръчни карти директно от търговеца, който ги предоставя, а не от сайтове за намаления
• Купувайте само карти с ПИН-код и посъветвайте получателя на подаръка незабавно да промени кода по подразбиране
• Бъдете скептични към покани да платите текущи смети с подаръчна карта
• Проверете баланса на картата, веднага щом я получите
• Използвайте подаръчната карта възможно най-скоро
• Никога не въвеждайте лична и финансова информация при активирането на подаръчна карта

Идентифицирани са 226 потенциални уязвимости в девет популярни WiFi рутера, дори при работа с най-новия фърмуер. Изследването е проведено от IoT Inspector.

Начело на списъка е TP-Link Archer AX6000 (с 32 уязвимости), следва Synology RT-2600ac (с 30 грешки в сигурността). Тествани са още рутери, произведени от Asus, AVM, D-Link, Netgear, Edimax и Linksys – всички те се използват от милиони хора.

Специалистите са открили и някои общи проблеми, които се отнасят до повечето тествани модели:

• Остаряло Linux ядро във фърмуера
• Остарели мултимедийни и VPN функции
• Използване на по-стари версии на BusyBox
• Използване на слаби пароли по подразбиране (напр. „admin“)
• Кодирани идентификационни данни под формата на текст

Всички засегнати производители пуснаха пачове на фърмуера, които елиминират голяма част от откритите уязвимости, но не всички.

Препоръка:

Ако използвате някой от споменатите модели, препоръчваме:

• Да приложите наличните актуализации на защитата
• Да активирате „автоматичните актуализации“
• Да промените фабричната парола по подразбиране с уникална и силна парола

Внимание! Прилагайте тези правила при първо стартиране на всяко IoT устройство – у дома или в корпоративната мрежа.

Представи си, че в разгара на работния ден шефът ти звъни с молба спешно да купиш онлайн абонамент за нуждите на фирмата – разходите ще ти бъдат възстановени служебно. Веднага се сещаш, че преди седмица в офиса ви предупредиха за фишинг, свързан с онлайн абонаменти… Но обучението се отнасяше за подозрителни имейли или обаждания от непознати, а ти получаваш инструкции от шефа, освен това лично отговаряш за абонаментите във фирмата… Затова бързо се заемаш и изпълняваш задачата.

За съжаление се оказва, че полученото обаждане е фалшиво. И е звучало толкова автентично, защото е създадено от алгоритъм за машинно обучение (Machine Learning Algorithm – MLA). Шефът ти със сигурност не е доволен!

Какво е „Deepfake“

Това е фалшифициран (въпреки че изглежда легитимен) видеоклип, аудио или снимка, създаден, за да заблуди получателя му, че е автентичен (за постигане на желания ефект дори може да се използва съществуващо съдържание). Deepfake технологията манипулира желаната форма на медия чрез MLA (терминът всъщност идва от „deep learning“– методът на машинно самообучение на изкуствен интелект с помощта на изкуствени невронни мрежи).

С други думи, киберпрестъпниците са намерили още един начин за атака на човешкия елемент – най-слабото звено във всяка организация.

Фишингът се развива

Има една известна фраза на американския писател Едгар Алън По: „Вярвай само на половината от това, което виждаш и на нищо от това, което чуваш“.

Deepfake атаките разчитат на доверието, което имаш на хората около теб – колеги, приятели, семейство. И така си гарантират успех – обществото ни до голяма степен се основава на способността ни да се доверяваме на други хора да изпълнят определени задачи.

Очакванията на киберспециалистите са за разрастване на Phishing as a Service и използването на Deepfake фалшификати със сигурност ще има дял в това „развитие“.

Как да предпазим работната среда

1. Обучение, обучение, обучение. Щом нападателите се възползват от човешката природа, то и тренингите трябва да включват активно участие на служителите и социално инженерство.
2. Възможност за прилагане на наученото на практика. Deepfake, представящ се за шеф, може да отправи заплаха за наказание, ако задачата не бъде изпълнена. Важно е служителите да имат право да поставят под въпрос искане, което изглежда необичайно, дори ако идва от главния изпълнителен директор.
3. Стриктна документация и канали на комуникация. Създаването на процедури за работа и ясно дефинирани процеси ще помогнат по-лесно да се забележи необичайно или злонамерено поведение.