TOP 10 kybernetických hrozeb za rok 2020

Podívejte se na TOP kybernetické hrozby dle služby ThreatGuard za rok 2020.

Přidáno: 15.02.2021, 12:04

Podívejte se na výběr nejkritičtějších hrozeb za rok 2020 dle služby ThreatGuard. Které hrozby vnímáte jako nejvíc nebezpečné a učinili jste nápravná opatření proti uvedeným hrozbám? Pokud, ne otestujte bezplatně ThreatGuard, který poskytne potřebná nápravná opatření.


Otestujte bezplatně službu ThreatGuard a mějte přehled o kybernetických hrozbách CHCI ZDARMA OTESTOVAT

 

TOP 10 HROZEB ZA ROK 2020

  • 1. SolarWinds Orion platform backdoor - Monitorovací platforma společnosti SolarWinds byla kompromitována backdoorem nazvaným SUNBURST, který umožnoval stažení malwaru na kompromitované zařízení a vykonávání příkazů pro přenos a práci se soubory, profilování systémů a omezení/deaktivaci služeb. Tento provoz byl maskován za legitimní komunikace Orion platformy. Platformu využívají nadnárodní společnosti po celém svět a spousta z nich již byla kvůli backdooru napadena. Threatguard o backdooru okamžitě informoval a poskytl popis několika nápravných opatření.

  • 2. Zranitelnost Microsoft Windows Netlogon Remote Protocol - Microsoft Windows Netlogon Remote Protocol (MS-NRPC) používal nezabezpečený inicializační vektor AES-CFB8, čehož mohl útočník využít k obejití autentizace do domény a následnému vydávání se za jakýkoliv systém v ní. Vydáváním se za řadič domén mohl útočník získat přihlašovací údaje uživatelů v síti, včetně správce domény. Threatguard vydal několik doporučení pro zmírnění této hrozby, jako vynucení bezpečného RPC módu, ZeroLogon monitoring nebo nastavení pravidla ZeroLogon YARA.

  • 3. Microsoft DNS server obsahuje 17letou kritickou zranitelnost - Po úspěšném exploitu zranitelnosti byl útočník schopný vzdáleně spustit libovolný kód na napadeném systému. Jednalo se tak o nejvyšší možný zásah do bezpečnosti, kdy mohl útočník monitorovat veškerá data procházející dovnitř nebo ven ze systému, omezit dostupnost služeb, odcizit přihlašovací údaje a mnoho dalšího. Zranitelnost byla tak zvaného "červího" (wormable) typu, který umožňuje po kompromitaci jednoho zařízení následné šíření na další v celé organizaci. Kromě popisu aktualizace vydal Threatguard doporučení pro systémy, kde nebylo umožněno okamžité nasazení patche a také informaci o možného nahrazení Microsoft DNS bezpečnostním produktem WhaleBone

  • 4. Získání systémových práv pomocí SAP produktů - Zranitelnosti umožňovaly vzdáleným útočníkům modifikovat soubory cookies takovým způsobem, který jim dovolil provádět příkazy na operačním systému napadeného zařízení. Útočníci tímto získali možnost číst a modifikovat veškeré systémové soubory pomocí code injection, cross site scripting a také způsobit omezení služeb.

  • 5. Kritická neopravená zranitelnost ve VMware produktech - Zranitelnost typu command injection se nacházela v konfigurátoru virtualizovaného systému. Útočník, který měl přístup ke konfigurátoru na portu 8443 a dokázal se autentizovat, byl schopný zranitelnost zneužít. Úspěšný exploit umožňoval spustit příkazy v hosting systému s neomezenými právy a kontrolovat celý stroj. Threatguard vydal workaround ke zmírnění hrozby pro systémy, které nemohou být okamžitě aktualizovány.

  • 6. Vzdálené spuštění kódu a krádež dat z Apache Tomcat - Zranitelnost způsoboval Apache JServ Protokol (AJP), který naslouchá na všech konfigurovaných IP adresách a Tomcat mu důvěřuje více než například HTTP. Pokud se útočník připojil na AJP port, mohl získat jakékoliv soubory z webové aplikace nebo jiných umístění, dostupných přes ServletContext.getResourceAsStream(). Zranitelnost byla opravena ve verzích Apache Tomcat 9.0.31, 8.5.51 a 7.0.100 nebo vyšší.

  • 7. Objeveny dvě zranitelnosti v aplikaci Zoom Client pro Windows - Aplikace Zoom pro operační systémy Windows obsahovala zranitelnosti, umožňující vzdáleným útočníkům provádět takzvané Directory Traversal útoky. Obě zranitelnosti existovaly kvůli chybám ve zpracování uživatelských vstupů, které nebyly řádně ověřovány. Vzdálený útočník tak mohl do chatu zaslat speciálně vytvořenou zprávu a docílit tak zápisu libovolného souboru na zařízení ostatních účastníků meetingu nebo na nich spustit libovolný kód. Aplikace vyžadovaly okamžitou aktualizaci.

  • 8. Zranitelnost v ManageEngine Desktop Central umožňuje vzdálené spuštění kódu - Zranitelnost v softwaru pro správu a administraci vzdálené plochy ManageEngine Desktop Central se nacházela ve třídě FileStorage, a to z důvodu nesprávné validace uživatelských dat, což má za následek deserializaci nedůvěryhodných dat, čehož může útočník zneužít a spustit libovolný kód v kontextu systému. Zranitelnosti byla zveřejněna i v exploit databázi. Threatguard poskytl administrátorům detailní popis workaroundu k aktualizaci systému, bez něhož končila ve velkém procentu případů chybou.

  • 9. Vícenásobné zranitelnosti v Cisco Data Center Network Manager (DCNM) - Na sobě vázané zranitelnosti v autentizačních mechanismech platformy Cisco DCNM umožňovaly vzdáleným útočníkům obejít nutnost autentizace a následně vykonávat spouštění libovolných kódů na celém zařízení s oprávněním správce systému. Zranitelnosti byly opraveny ve verzích Cisco DCNM 11.2 a vyšší. Threatguard poskytnul administrátorům popis pro přístup k updatům systému.

  • 10. Eskalace práv a spuštění kódu v mobilních zařízení s OS Android - Zranitelnosti způsobené komponentami NewFixedDoubleArray a postNotification umožňovaly útočníkovi eskalaci práv až na úroveň systému a díky use-after-free také spuštění libovolných kódů. Zranitelné byly všechny operační systémy Android po Android 10 včetně. Kromě aktualizace systému doporučuje ThreatGuard také využívání Mobile Device Managementu pro dohled nad mobilními zařízeními ve firemní infrastruktuře.

V případě zájmu kontaktujte naše obchodní partnery nebo sales@comguard.cz.

Více informací zde: www.ThreatGuard.cz