Уязвимости

  • Използвате ли някой от тези девет рутера – може да сте уязвими

    Идентифицирани са 226 потенциални уязвимости в девет популярни WiFi рутера, дори при работа с най-новия фърмуер. Изследването е проведено от IoT Inspector.

    Начело на списъка е TP-Link Archer AX6000 (с 32 уязвимости), следва Synology RT-2600ac (с 30 грешки в сигурността). Тествани са още рутери, произведени от Asus, AVM, D-Link, Netgear, Edimax и Linksys – всички те се използват от милиони хора.

    Използвате ли някой от тези 9 рутера – може да сте уязвими
    Източник: CHIP

    Специалистите са открили и някои общи проблеми, които се отнасят до повечето тествани модели:

    • Остаряло Linux ядро във фърмуера
    • Остарели мултимедийни и VPN функции
    • Използване на по-стари версии на BusyBox
    • Използване на слаби пароли по подразбиране (напр. „admin“)
    • Кодирани идентификационни данни под формата на текст

    Всички засегнати производители пуснаха пачове на фърмуера, които елиминират голяма част от откритите уязвимости, но не всички.

    Препоръка:

    Ако използвате някой от споменатите модели, препоръчваме:

    • Да приложите наличните актуализации на защитата
    • Да активирате „автоматичните актуализации“
    • Да промените фабричната парола по подразбиране с уникална и силна парола

    Внимание! Прилагайте тези правила при първо стартиране на всяко IoT устройство – у дома или в корпоративната мрежа.

  • Zero-day заплахи: какво е добре да знаете за тях

    Zero-day или 0-day (oh day) – “нулев ден” на български – е клас уязвимости (vulnerability) или методи за атака (exploit). Използването на този термин стартира през 90-те години на миналият век в warez BBS средите.

    Малко история

    Определението Х-day, където Х е брой дни – 30, 60 и т.н., се е използвало за да се отбележи колко време е необходимо, за да се изготви пиратска версия (крак) за даден софтуер, след първоначалното му публикуване. Най-търсен и елитен е бил пиратският софтуер, маркиран със 0-day етикет, понеже официално не е бил публикуван никъде и най-вероятно за набавянето му е била хакната компанията, която го разработва.

    0-day днес – какво се е променило

    В наши дни терминът има съвсем друго значение – характеризира клас уязвимости (слабост/недостатък/пропуск), открити от независими субекти (изследователи в областта на информационната сигурност) преди собственика/разработчика на съответния софтуер/хардуер.

    Интерпретацията на “0” може да бъде доста разновидна, но двете най-точни определения са:

    • 0 дни за подготовка от страна на защитаващата страна, за да се предпази от атаките на недоброжелатели
    • 0 дни, за да се изготви fix/patch от страна на производителя/разработчика на засегнатият софтуер/хардуер

    И в двата случая можем да преведем 0-day като „никакво време”.

    0-day уязвимости и 0-day атаки

    0-day може да бъде както уязвимост, така и експлойт/вектор за атака. Когато става дума за 0-day уязвимост, то тя може да бъде теоретична или много трудна за експлоатиране, да има определени условия/изисквания, за да бъде успешна атака и т.н.

    0-day атаки/експлойти, от друга страна, са много „по-страшни“ и изискват спешни действия за справяне с тях. Не забравяйте, че някой вече е намерил съответната уязвимост, разучил я е и успешно осъществява атаки „in the wild“ (в реални условия срещу реални жертви).

    Още малко теория

    Може да срещнете, макар и доста рядко, терминът Forever-day vulnerability. Това означава, че откритият 0-day няма да бъде поправен от разработчика/вендора. Причините може да са, че продуктът вече не се поддържа (End-of-Life) или разработчикът няма интерес да поправи пропуските.

    В такава ситуация имате две възможности:

    • Да потърсите алтернативен продукт (софтуер/хардуер), който не ви излага на риск
    • Да приложите заобиколен начин (workaround) за смекчаване/отстраняване на уязвимостта

    Времевата линия при откриването на 0-day

    Времевата линия при откриването на 0-day

    Дефинирането и точното описание на 0-day уязвимост или експлойт е доста трудно. Повече детайли можете да откриете в блог поста Like Nailing Jelly to the Wall: Difficulties in Defining “Zero-Day Exploit”.

    Кой, как и защо търси 0-day уязвимости

    Пропуски, слабости и бъгове в софтуерни и хардуерни продукти се намират постоянно и по най-различни начини, канали и поводи.

    В зависимост от целта обаче, можем да разделим субектите, занимаващи се със 0-day уязвимости и/или експлойти, в следните категории:

    • Добронамерени изследователи (security researchers)

    Независими или работещи за дадена компания, тези професионалисти търсят 0-day уязвимости за да ги докладват на производителите/вендорите.

    Процесът по докладване се нарича “responsible disclosure” или “coordinated disclosure”. Случва се изследователите да не могат да осъществят контакт, да не срещнат съдействие или дори да бъдат заплашени със съд от страна на производителя.

    При такива обстоятелства, изследователите извършват Full Disclosre, т.е. правят своето откритие публично достояние и то без да спестяват детайли. Неписано правило е, че ако 90 дни след Responsible Disclosure, вендорът не е взел мерки и не е публикувал patch, адресиращ уязвимостта, то изследователят има право да сподели своето откритие, без това да се счита за неморално.

    Случва се също изследовател да постъпи неетично и да публикува откритията си, дори преди да е направил опит да предупреди производителя. Това обикновено има негативни последствия за имиджа на изследователя, тъй като поставя потребителите и клиентите на въпросния производител в риск.

    • Самите производители

    Една част от 0-day уязвимостите биват откривани от разработчика на съответния продукт/услуга и биват отстранявани без да е необходимо да бъдат публично оповестявани.

    Когато съществуват съмнения, че тези уязвимости са били експлоатирани „in the wild“, вендорите би трябвало да следват добрите практики и да направят Full Disclosure. Такъв пример е 0-day атаките срещу Sophos XG NGFW през пролетта на 2020 г.

    • Криминални организации и злонамерени хакери

    Те имат същите професионални умения като добронамерените изследователи, но често, финансово мотивирани, се “крият в сенките” и опитват да се възползват максимално от своите открития.

    • Шпионски, военни и спонсорирани от държавата организации (Advanced Persistent Threats – APT)

    Някои от вас ще си помислят, че се шегувам и ще кажат: “Този е гледал твърде много филми за агент 007 и прекарва твърде много време в разнищването на конспирации!”.

    Тези, които имат задълбочен опит в сферата на киберсигурността ще потвърдят, че именно тези организации са най-големият “производител” на 0-day експлойти!

    Няма как да сте забравили за NotPetya и WannaCry! А помните ли, че EternalBlue експлойтите, използвани в тези червеи (worms), са всъщност 0-days изтекли от NSA (No Such Agency?!).

    Ще освежа паметта ви с The “Shadow Brokers” Story и със скорошните атаки, експлоатиращи 0-days в Exchange сървъри.

    На най-недоверчивите препоръчвам The Perfect Weapon, Zero Days, Countdown to Zero Day: Stuxnet and the Launch of the World’s First Digital Weapon, DARKNET DIARIES EP 29: STUXNET

    Zero-day по света

    Наскоро FireEye публикува изследване, включващо географското разпределение на 0-day уязвимости/атаки през последните няколко години:

    b1dc6d685552940dba99706b8942f2a9.png
    b1dc6d685552940dba99706b8942f2a9.png

    Game Theory: Why System Security Is Like Poker, Not Chess предлага една по-различна перспектива по темата.

    Бизнесът със 0-days

    Като оставим настрана шпионските игри, 0-days са чист бизнес, който цели генериране на финансова печалба или имидж. Ето кои са едни от най-големите играчи:

    • Zerodium: Компания, която търгува със 0-day уязвимости и създава експлойти. Цената на някои 0-days е внушителна (2,5 млн. USD). Компанията често е обект на критика, поради липсата на прозрачност относно клиентите ѝ.
    • ZeroDayInitiative (ZDI): Платформа, финансирана от Trend Micro. Напълно прозрачна относно процеса и възнагражденията (макар и доста по-малки от тези на Zerodium), предлагани в замяна на 0-day уязвимости и експлойти. ZDI са организатор на Pwn2Own състезанието, за което сме писали няколко пъти. Горещо препоръчвам DARKNET DIARIES EP 82: MASTER OF PWN
    • NSO Group и Cellbrite: Kомпании, фокусирани върху предлагането на продукти и услуги, използващи 0-day експлойти. Често са обект на критика, защото търгуват с държави, управлявани чрез диктатура. NSO Group стана най-известна след разкритията на канадската CitizenLab: HIDE AND SEEK Tracking NSO Group’s Pegasus Spyware to Operations in 45 Countries
    • Google Project Zero: Мисията им е да направят откриването и експлоатацията на 0-day уязвимости от недоброжелатели по-трудни, съответно да подобрят значително безопасността и сигурността на Интернет за всички. Публикуват и поддържат таблицата 0-day “In the Wild”. Наскоро откриха 11 0-day уязвимости, използвани в изключително сложна атака срещу Windows, Android и iOS потребители (за сравнение – Stuxnet използва 4).
    • MSRC – Microsoft Security Response Center и TALOS са подорганизации съответно на Microsoft и Cisco. Те също се занимават с откриването и отстраняването на уязвимости, независимо от производителя.

    Как да се предпазите

    Макар да няма “универсална” защита и стратегия срещу 0-day експлойти, спазването на добра работна хигиена е задължителна:

    • Следете новините, за да сте информирани за новооткритите 0-day уязвимост или експлойти
    • Поддържайте системите актуални (up-to-date)
    • Минимизирайте повърхността за атака (attack surface)
    • Следвайте всички добри практики в сферата на киберсигурността
  • Актуализирайте вашите Fortinet устройства, за да не станете жертва на хакери

    ФБР и CISA (Агенцията за киберсигурност и сигурност на инфраструктурата на САЩ) предупреждават, че все още се злоупотребява с Fortinet устройства, които не са своевременно актуализирани.

    APT групи могат да използват активно известните уязвимости на Fortinet FortiOS CVE-2018-13379, CVE- 2020-12812 и CVE-2019-5591, за да получат първоначален достъп до множество правителствени, търговски и технологични услуги.

    Fortinet препоръчва, ако не използвате най-новата им версия, да посетите Fortinet PSIRT, за да оцените потенциалните рискове.

  • ФБР има достъп до криптираните съобщения в Signal

    Доскоро Signal беше смятан за един от най-сигурните и поверителни начини за комуникация. Дали това продължава да е така?

    Данни от изтекли съдебни документи сочат, че Федералното бюро за разследвания (ФБР) разполага с инструмент, който позволява достъп до криптирани съобщения в приложението Signal.

    Според информация, оповестена от Forbes, шифрованите съобщения могат да бъдат прихващани върху iPhone устройства, когато те са в режим на „частичен AFU“ т.е. „след първо отключване“.

    Предполага се, че ФБР използва много усъвършенстван подход, като се възползва хардуерни уязвимости за извличане на чувствителна информация – един от спряганите инструменти е GrayKey.

    Израелската компания Cellebrite също се споменава като вероятен разработчик на инструментите за разбиване на криптирани съобщения в Signal. Твърди се, че компанията е добавила и възможност за прескачане на началния екран в операционната система Android. По този начин се дава възможност за работа върху устройството без да е нужно преминаването през проверка на ПИН или биометрика.

    Signal е платформа за обмен на съобщения и медия, която бързо набра популярност сред потребителите, които бранят личното си пространство.

    Последни данни обаче сочат, че платформата може да е уязвима и да има „пролуки“, които подкопават защитата на поверителността, предоставена чрез услугата за криптирани съобщения. Дори се допуска, че може да не става дума за недостатък в дизайна, а по-скоро за умишлена задна врата, която позволява на властите да имат достъп до лични съобщения.

    Не е трудно да предположим, че след като съобщенията в Signal могат да бъдат прихванати от федералните власти, то и потенциално враждебни интереси биха могли да се възползват.

  • Бъг във Facebook Messenger е позволявал на хакери да ви подслушат, преди да приемете обаждането

    Facebook закърпи бъг в приложението си Messenger за Android, който е можел да позволи на нападател да се обади на набелязана жертва и да я подслушва, още преди тя дори да отговори на повикването.

    Уязвимостта засяга версия 284.0.0.16.119 (и по-старите) на Facebook Messenger за Android. Открита е от екипа на Google Project Zero и е докладвана на Facebook още на 6 октомври 2020 г.

    Недостатъкът е бил в протокола за описание на сесията (SDP) на WebRTC, който определя стандартизиран формат за обмен на медиен поток между две крайни точки. Той е позволявал на нападател да изпрати специален тип съобщение  („SdpUpdate“), чрез което да се свърже с устройството на повикания, още преди разговора да бъде приет.

    Бъгът е сходен с този във функцията за групови разговори на FaceTime на Apple миналата година, който позволяваше на потребители да подслушват разговори, като добавят свой собствен номер като трето лице в групов чат, преди човекът от другата страна да приеме входящото повикване. Тогава Apple дори деактивира временно функцията за групови разговори.

    Разликата при Facebook Messenger е, че уязвимостта е можела да бъде експлоатирана само в разговори между приятели във Facebook.

  • iPhone 11 Pro с iOS 14 хакнат за 10 секунди

    Най-успешният хак в тазгодишния турнир, провеждан от TianFu Cup, е този на iPhone 11 Pro с iOS 14 – само за 10 секунди.


    Разбира се, уязвимостите на хакнатия софтуер са докладвани на производителя, така че да бъдат отстранени при следващите актуализации.

  • Как визуализацията на линкове в чат приложения може да ви компрометира

    Визуализацията (краткият предварителен преглед) на линковете, които си разменяме през чат приложенията, е много удобна функционалност. Тя съдържа картинка и кратък текст, които ни насочват какво е прикаченото съдържание. Оказва се обаче, че това улеснение може да доведе до сериозни нарушения на поверителността и сигурността ви.

    Как е възможно една обикновена функция да се превърне в заплаха

    За да създаде подходяща визуализация, чат приложението трябва да посети връзката, да отвори файла там и да проучи какво има в него. В резултат на това, изпращането/получаването на линкове в някои чат приложения може да отвори вратички, които недоброжелатели да използват.

    Instagram сървърите например изтеглят всеки един директен линк, който се изпраща в съобщение, независимо от големината му. Това означава, че хакерите спокойно могат да инжектират Java script в сървърите на Инстаграм.

    Визуализацията на линковете е внедрена в най-популярните приложения за чат на iOS и Android. Кликайки върху нея може да се окаже, че давате достъп до IP адреси, излагате връзки, споделени в криптираните от край до край чатове или  изтегляте значителен обем ненужна информация.

    Как чат приложенията генерират визуализация на линковете

    Използват се следните различни подходи:

    1. Не се генерира визуализация

    Най-добрият вариант е да се откажете от прегледа на линкове. Оставете линкът, така както ви е изпратен, така че приложението да не го отваря, без да сте го посетили. Малко от приложенията обаче предлагат тази опция: Signal, Threema, TikTok, WeChat.

    1. Подателят генерира визуализацията на линка

    При изпратен линк, приложението изтегля данните, генерира кратък преглед на страницата и го изпраща, прикачен към линка. Получателят има възможност бързо да погледне за какво става дума, без да е нужно да посещава линка – това го защитава от злонамерени съобщения. Така работят iMessage, Signal, Viber, WhatsApp.

    1. Получателят генерира визуализацията на линка

    В този случай приложението автоматично отваря всеки получен линк, за да създаде кратък преглед. Това се случва без дори да кликате върху линка – достатъчно е само да отворите чата.
    Защо това е най-лошият вариант и не се използва от популярните приложения? Подобно на уеб браузърите, чат приложенията посещават адреса (линка) и зареждат съдържанието чрез GET заявка. В нея включват IP адреса на телефона, за да знае сървърът къде да изпрати данните обратно. Това би било от полза за вас ако планирате да отворите линка. Но ако някой иска да узнае къде се намирате?

    1. Сървър генерира визуализацията

    Това означава, че когато изпратите линк, той отива във външен сървър, който генерира визуализацията и я изпраща обратно на получателя и/или подателя. На пръв поглед този вариант изглежда по-приемлив от предходния. Но не и когато изпращате лични данни, а сървърът им направи копие, за да генерира визуализация.

    Тук възниква и въпросът: Запазва ли сървърът тези данни? Ако отговорът е ДА, то за колко време и какво друго прави той с тях?

    Приложенията, които работят по този начин са Discord, Facebook Messenger, Google Hangouts, Instagram, LINE, LinkedIn, Slack, Twitter, Zoom

    Какви са рисковете и последиците за поверителността

    1. Създаване на неразрешени копия на лична информация

    Споделените в чатовете линкове към документи могат да съдържат лична информация, предназначена само за получателите. Това могат да бъдат сметки, договори, медицински досиета или друга поверителна информация. Приложенията, които разчитат на сървъри за генериране на визуализации на линкове, могат да нарушават поверителността на своите потребители, като изпращат линковете, споделени в личен чат на своите сървъри. Въпреки че приложението се доверява на тези сървъри, не е сигурно какво точно изтеглят те. В държавите от ЕС действа Общ регламент за защита на личните данни (GDPR), който налага ограничения относно събирането, обработката и съхранението на лични данни.

    1. Изтегляне на голямо количество информация

    Повечето чат приложения, които разчитат на сървъри за генериране на визуализации на линковете, слагат ограничение на изтегляните данни. Причината за това е, че изтеглянето на твърде голям обем данни може да запълни капацитета на сървъра и да причини прекъсвания на услугите. Има приложения обаче – Facebook Messenger и Instagram – чиито сървъри могат да изтеглят дори много големи файлове (gigabytes).

    1. Сриване на приложения и източване на батерията

    Този проблем възниква при чат-приложенията, които не ползват сървъри за генериране на визуализация на линкове и когато приложението не е ограничило данните, които да се изтеглят. Негативният резултат ще е за вас: изтощена батерия и изразходвани данни. Това също може да доведе до непредвидено изчерпване на системни ресурси.

    1. Разкриване на IP адреси

    За да отвори връзка, телефонът ви трябва да комуникира със сървъра, към който сочи линка. Това означава, че сървърът ще знае IP адреса на вашия телефон, което може да разкрие приблизителното ви местоположение. Обикновено това не би представлявало голям проблем, ако можете да избегнете отварянето на връзки, които смятате за злонамерени. Но може ли да сте сигурни в това?

    1. Изтичане на криптирани връзки

    Някои приложения за чат криптират съобщенията от край до край. Това означава, че само подателят и получателят да ги прочетат. В такъв случай опцията за отваряне на визуализация от сървър трябва да е невъзможна. Но при някои приложения това не е така, например LINE.

    1. Изпълнение на потенциално злонамерен код върху сървърите за визуализация на линкове

    Понастоящем повечето уебсайтове съдържат код на Javascript, за да ги бъдат по-интерактивни. Такива са и рекламите, които ни облъчват.  Когато генерирате визуализации на линкове е добре да избягвате изпълнението на какъвто и да е код от тези уебсайтове. Никога не трябва да се доверявате напълно на линкове, които получавате в чата, още повече – от непознат.

    Чат приложенията не изчерпват списъка

    Чат приложенията не са единствените, които генерират визуализация на линкове. Много приложения за електронната поща, бизнес приложения, приложения за запознанства, игри с вграден чат и др. могат да генерират визуализации на линкове по начин, който да окаже негативно влияние върху сигурността и поверителността ви.

    Повече информация по темата може да прочетете в това проучване.

  • Apple запуши 3 zero-day уязвимости – ъпдейтнете сега

    Apple пусна актуализации на защитата за iOS, с която закърпва 3 zero-day уязвимости.

    Съветваме потребителите на iOS да ъпдейтнат веднага до iOS 14.2 ако това вече не е направено автоматично.

    Става дума за:

    • CVE-2020-27930 – проблем с отдалечено изпълнение на код в компонента на iOS FontParser, който позволява на атакуващите да стартират дистанционно код на устройства с iOS
    • CVE-2020-27932 – уязвимост за ескалация на привилегии в ядрото на iOS, която позволява на атакуващите да стартират злонамерен код с привилегии на ниво ядро
    • CVE-2020-27950 – изтичане на памет в ядрото на iOS, което позволява на нападателите да извличат съдържание от паметта на ядрото на iOS устройство

    Смята се, че трите са били използвани заедно, като част от експлойт верига, позволяваща на нападателите да компрометират iPhone устройства от разстояние.

  • Множество Sangoma и Asterisk с отворен достъп за атаки

    Хакери са компрометирали VoIP (Voice over Internet Protocol) телефонни системи в близо 1200 компании по целия свят през 2020 г.

    Атакуващите са се възползвали от CVE-2019-19006 – критична уязвимост в телефонните системи Sangoma и Asterisk VoIP, която позволява на външни лица да получат достъп от разстояние без каквато и да е форма на удостоверяване.

    Уязвимостта е била закърпена още през 2019 г., но много организации все още не са приложили пача. Точно от това са се възползвали киберпрестъпниците, които само е трябвало сканират мрежата за неизправни системи.

    Достъпът до VoIP системи предоставя на киберпрестъпниците възможност да набират създадени от самите тях номера с високи ставки, за да генерират пари за сметка на компрометираната организация.

    По-опасно за жертвите обаче е, че достъпът отваря врати към други атаки – слушане на частни разговори, криптомайнинг, иницииране на по-мащабни хакерски кампании.

    Потенциално възможно е атакуващите да използват компрометирана VoIP система като вход към останалата част от мрежата. Това отваря възможността за кражба на идентификационни данни или внедряване на злонамерен софтуер.

    Напомняме отново: Прилагайте обновления навреме и редовно. Ъпдейтите не са като виното и не стават по-добри с отлежаването! Напротив!

    Прочетете повече по темата тукПрочетете повече »

  • Над 6.7 млн. записа лични данни са източени от онлайн търговеца Answear.com

    Полският търговец на дрехи BrandBQ е станал жертва на кибератака, довела до източването на над 1 млрд. записа от базите данни на организацията.

    В 6.7 млн. от източените записи е имало Personally Identifiable Information (PII или данни, с които може да се идентифицира физическо лице). Тя включва име, e-mail, адрес, рожденна дата, телефонен номер, пол и история за търсенията и покупки на клиентите на магазините на компанията.

    BrandBQ има онлайн и физически магазини в Източна Европа – България, Полша, Румъния, Унгария, Словакия, Украйна и Чехия. Сред свързаните с компанията марки са WearMedicine.com и Answear.com (който е засегнат от пробива).

    Като причина за теча се посочват неправилно конфигуриран cloud сървър. За нередностите първи са научили и взели действия екип от киберспециалисти от vpnMentor, които веднага са предприели стъпки към уведомяване на търговеца.

    Освен личните данни на частните клиенти, в базата данни на сървъра е имало и около 50 хил. записа на локални фирми, имащи договорни отношения с BrandBQ. Тези записи са съдържали информация като ЕИК, начин на плащане, цени на поръчки и получатели и адреси на техни онлайн клиенти.

    Всички тези открити незащитени записи са цяла златна мина за хакери и киберизмамници. Те могат да я използват не само да изнудват полският бранд, но и да последват фишинг атаки към техните клиенти или да извършват различни престъпления с крадените самоличности. Сред другите опции са злоупотреба с данни за доставчици, изнудване и потенциална загуба на репутация.

    Самата конфигурация на клауд сървъра от своя страна, може да даде нужната информация как са били настройвани ИТ ресурсите в BrandBQ и къде могат да търсят бъдещи грешки и пролуки за достъп.

    Конкурентите на модния бранд също биха могли да се възползват за да откупят информацията и опитат да откраднат повече клиенти с атрактивни цени или условия. Не на последно място, тъй като компанията е базирана в Европа, попада под регулаторните мерки и закони спрямо GDPR. Това е предпоставка за възможно огромна глоба и съдебни искове срещу BrandBQ.

    Какви са препоръките на специалистите от vpnMentor – за да се предпазим от подобни течове и загуба на ценна информация от база данни, можем да направим следните базови стъпки –

    • Да защитим работещите сървъри
    • Да се въведат правилни access list-и
    • Никога да не оставяме сървър/система която да не изисква автентикация и да е видима в интернет
    • Да не събираме чувствителна персонални данни, освен ако наистина не е необходимо. В този случай е препоръчително да бъдат криптирани и защитени
Back to top button