XZ-Utils Backdoor
Na začiatku mesiaca bol zamestnancom Microsoftu odhalený backdoor v populárnej kompresnej knižnici xz utils, ktorá je integrovaná vo všetkých známych distribúciách Linuxu. Tento backdoor tam bol pridaný priamo správcom danej knižnice, ktorý vystupoval pod nickname Jia Tan. Za týmto účtom pravdepodobne stála štátom sponzorovaná skupina, pretože v priebehu rokov 2021 – 2024 pridal viac ako 6 tisíc commitov do celkovo 7 open-source projektov. Celé toto malo pravdepodobne zvýšiť kredibilitu účtu, až kým nedošlo k prepisu správcu projektu xz utils práve na tento účet. Následne vo februári 2024 bol do utility pridaný malý backdoor, ktorý umožňoval konkrétnemu súkromnému kľúču autentizovať sa do akejkoľvek SSH inštancie. Našťastie sa podarilo náhodou backdoor odhaliť ešte pred tým, ako sa táto verzia dostala do stable Linux distribúcií. V prípade, že by ďalších pár mesiacov nebol backdoor odhalený, jednalo by sa pravdepodobne o najsofistikovanejší supply-chain útok v histórií.
Zdroj: https://www.wired.com/story/jia-tan-xz-backdoor/
OWASP oznámil únik dát
OWASP Foundation sa informovala o nesprávnej konfigurácii ich starého webového servera, čo viedlo k úniku údajov týkajúcich sa životopisov členov OWASP starých desať rokov. OWASP Foundation sa prehodnocuje svoje zásady uchovávania údajov a zavádza dodatočné bezpečnostné opatrenia, aby zabránila budúcim únikom. Podľa najnovších informácií by sa jednalo o únik dát, ktorý bol spôsobený nesprávnou konfiguráciou.
Zdroj: https://owasp.org/blog/2024/03/29/OWASP-data-breach-notification.html
Google zabránil zverejneniu viac ako 2 miliónov škodlivých aplikácií
Google v roku 2023 zabránil zverejneniu 2,28 milióna aplikácií porušujúcich zásady v obchode Google Play aj vďaka investíciám do nových a vylepšených bezpečnostných funkcií, aktualizácií zásad a pokročilých procesov strojového učenia a kontroly aplikácií. Na základe nastavených procesov bolo taktiež identifikovaných a zakázaných 333 tisíc škodlivých účtov kvôli potvrdenému malwaru alebo opakovanému porušovaniu zásad.
Zdroj: https://security.googleblog.com/2024/04/how-we-fought-bad-apps-and-bad-actors-in-2023.html
Dropbox Sign zaznamenal únik dát
Dropbox zaznamenal neoprávnený pripojenie do produkčného prostredia Dropbox Sign (pôvodne HelloSign). Útočník získal prístup k údajom týkajúcim sa všetkých užívateľov Dropbox Sign, ako sú napríklad e-maily a užívateľské mená. V prípade podskupín používateľov mal útočník prístup aj k telefónnym číslam, hashovaným heslám a určitým autentifikačným informáciám, ako sú kľúče API, tokeny OAuth a viacfaktorová autentizácia. Neexistujú dôkazy o tom, že by útočník pristupoval k obsahu účtov používateľov, ako sú ich zmluvy alebo šablóny, alebo k ich platobným údajom.
Zdroj: https://www.sec.gov/Archives/edgar/data/1467623/000146762324000024/dbx-20240429.htm
Problémy s post-kvantovým mechanizmom v Chrome a MS Edge
Chrome a MS Edge v najnovšej verzií zapli funkcie, ktoré implementujú kvantovo odolné mechanizmy pre výmeny kľúčov v rámci spojenia TLS 1.3. Od zapnutia tejto funkcie sa užívatelia sťažujú na problémy s pripojením na niektoré webové servery. Problém nie je priamo v prehliadači, ale v implementácií protokolu TLS 1.3 týmito servermi, ktoré nezvládajú väčšiu veľkosť Client Hello správ, ktorá je pre kvantovo odolné mechanizmy nutná.
Příklady hrozeb, které zachytil ThreatGuard
Kritická chyba v generátore PuTTy umožňuje získanie privátneho kľúču
Verzie PuTTy od 0.68 do 0.80 (vrátane) obsahujú chybu v generovaní tzv. "biased ECDSA cryptographic nonces" pri vytváraní nového páru kľúčov typu NIST P-521 (ecdsa-sha2-nistp521). Chyba spočívala v tom, že generovací algoritmus nastavuje prvých 9 bitov na nuly. Z približne 60 správ, ktoré boli podpísané takýmto súkromným kľúčom, je možné obnoviť celý kľúč použitím techniky state-of-the-art. Na to aby útočník získal potrebný počet podpísaných správ je nutné aby napríklad získal prístup na operačný systém, ku ktorému sa pripája operátor pomocou daného kľúču (SSH, SCP, atd.) alebo získal prístup do GIT repozitáru, ktorý obsahuje podpísané commity daným kľúčom. Problémom je, že takého GIT repozitáre sú bežne dostupné na platformách ako GitHub/GitLab, pretože sa podpisovanie commitov používa na zaručenie integrity zmien kódu. Vyššie vymenované sú najčastejšie príklady pre získanie podpísaných správ zraniteľnými kľúčmi. Podobných situácií može existovať viac. Zraniteľným software je PuTTy 0.68 - 0.80.
Návrh řešení týmu viz ThreatGuard-ID: 3161
Spuštění kódu v Microsoft Windows
Uvedená zranitelnost se vyskytuje v knihovně Libarchive, která je součástí systému Microsoft Windows, z důvodu přetečení celého čísla. Zranitelnost je způsobena nedostatečnou kontrolou hranic délky bloku filtru RARVM používaného pro předzpracování Intel E8, který je součástí komprimovaných dat archivu RAR. Vzdálený útočník může tuto zranitelnost zneužít tak, že cílového uživatele naláká k extrakci vytvořeného archivu RAR. Úspěšné zneužití by mohlo vést ke spuštění libovolného kódu v kontextu aplikace používající zranitelnou knihovnu.
Návrh řešení týmu viz ThreatGuard-ID: 3164
Palo Alto GlobalProtect Gateway umožňuje OS command injection
Zraniteľnosť vo funkcionalite GlobalProtect softwaru PAN-OS spoločnosti Palo Alto Networks v konkrétnych verziách systému PAN-OS a rozdielnych konfiguráciách funkcií môžu umožňovať neautentizovaným útočníkom spustenie ľubovoľného kódu s oprávneniami root na firewalle. Ovplyvnené verzie: PAN-OS < 11.1.2-h3, PAN-OS < 11.0.4-h1, PAN-OS < 10.2.9-h1.
Návrh řešení týmu viz ThreatGuard-ID: 3156
Přejete si znát návrh řešení nebo být okamžitě informováni o všech kritických hrozbách ihned po jejich identifikaci? Vyzkoušejte www.ThreatGuard.cz ZDARMA na 14 dní nebo napište na sales@comguard.cz o cenovou nabídku.
