CISA varuje před technikou Fast Flux DNS
CISA, FBI, NSA a mezinárodní kyberbezpečnostní agentury vyzývají organizace a poskytovatele DNS, aby mitigovali techniku Fast Flux, kterou stále více používají státem sponzorované skupiny a ransomware gangy k obcházení bezpečnostních opatření. Útočníci rychle mění DNS záznamy, používají častou rotaci IP adres spojených s doménovým jménem a dochází i k rychlé změně samotných DNS serverů. CISA doporučuje analyzovat DNS logy a monitoring podezřelého provozu, integraci externích zdrojů hrozeb pro DNS/IP reputaci do FW, SIEM, DNS FW a používání DNS/IP blacklistů pro blokování přístupu k Fast Flux infrastruktuře.
Zdroj: bleepingcomputer.com
Útočníci si udržiavajú prístup k FortiGate zariadeniam
Fortinet varoval, že útočníci využívajú symbolické odkazy (symlinky) a vlastné scripty v SSL-VPN komponentoch FortiGate zariadení na zachovanie prístupu aj po opravení známych zraniteľností (napr. CVE-2022-42475, CVE-2023-27997). Týmto spôsobom obchádzajú tradičné detekčné mechanizmy a zostávajú v systéme neodhalení. Nutné sú dlhšie forenzné analýzy, aby sa ich podarilo odhaliť. Zo strany Fortinet bolo vydané odporúčanie na aktualizácie zariadení, ktoré by to mali vedieť opraviť. CISA vydala vlastné odporúčanie aby sa zakázala funkcia SSL-VPN, kým nebude možné použiť opravy.
Zdroj: thehackernews.com
Malware SpyNote a BadBazaar cielený na Android a iOS používateľov cez falošné aplikácie
Šíri sa cez falošné webové stránky, ktoré sa vydávajú za oficiálne inštalačné stránky aplikácií ako Avast a Google Chrome. Napr chrom3-browser[.]org. Stránky sú len v angličtine a v čínštine. Po stiahnutí aplikácie z týchto webov aplikácia získa prístup k SMS, kontaktom, GPS, mikrofónu a vie zachytiť heslá a dvojfaktorové overenie. Aplikácie si stiahlo už niekoľko desiatok tisíc ľudí. Podľa firmy Proofpoint v roku 2024 až 30 % používateľov klikne na odkazy stránok, ktoré obsahuje malware a až 74 % zo všetkých kybernetických hrozieb je práve ľudská chyba.
Zdroj: thehackernews.com
Google přestane používat regionální domény, všechny přesměruje na Google.com
Protože v průběhu let se zlepšily možnosti a schopnosti poskytovat místní odpovědi i mimo národní domény nejvyšší úrovně (ccTLD, např. Google.cz) společnost se rozhodla, že sjednotí a zjednoduší práci s vyhledáváním a postupně, během následujících měsíců začne provoz z těchto ccTLD domén přesměrovávat na Google.com.
Zdroj: google.com
Certifikáty pro HTTPS zkrátí postupně do roku 2029 svou životnost na 47 dní
CA/Browser Fórum odhlasovalo změnu maximální délky platnosti nově vystavovaných certifikátů. CA/Browser Fórum zahrnující certifikační autority, tvůrce prohlížečů a další organizace se shodlo na nových pravidlech pro délku platnosti nově vydaných certifikátů pro TLS. V příštích čtyřech letech se výrazně zkrátí životnost certifikátů podle nově zavedeného schématu. Od 15. března 2026 bude maximální platnost certifikátů 200 dní. Od 15. března 2027 bude maximální platnost certifikátů 100 dní a od 15. března 2029 bude maximální platnost 47 dní.
Zdroj: root.cz
Příklady hrozeb, které zachytil ThreatGuard
Kritická SSH zranitelnost v Erlang/OTP umožňuje neautentizované RCE
V komponentě SSH serveru Erlang/OTP byla objevena kritická zranitelnost umožňující vzdálené spuštění kódu na jakémkoliv hostiteli, který provozuje SSH server založený na Erlang/OTP. Zneužitím chyby ve zpracování zpráv protokolu SSH může útočník získat neoprávněný přístup k postiženým systémům a provádět libovolné příkazy bez platných přihlašovacích údajů. Tuto komponentu používají i výrobci třetích stran, společnost Cisco prozatím potvrdila zranitelnosti v produktech Network Service Orchestrator (NSO) a ConfD, ConfD Basic.
Návrh řešení týmu viz ThreatGuard-ID: 3906
Kritická chyba v pgAdmin umožňuje vzdálené spuštění kódu
V pgAdmin, nástroji pro správu databází PostgreSQL byla opravena chyba umožňující útočníkům ovládnout servery prostřednictvím škodlivých požadavků API. Úspěšné zneužití může vést k manipulaci s databází, krádeži nebo zničení citlivých dat PostgreSQL, krádeži přihlašovacích údajů, exktrakci klíčů API, hesel a tokenů z konfiguračních souborů, vytvoření backdoor pomocí instalace škodlivých skriptů pro dlouhodobý přístup.
Návrh řešení týmu viz ThreatGuard-ID: 3870
Zero-Day zranitelnost v SAP NetWeaver zneužitá k nasazení Webshell a C2 frameworku
Kritická zranitelnost v nástroji SAP NetWeaver Visual Composer Metadatauploader je aktivně zneužívána a umožňuje neautentifikovaným útočníkům nahrávat a spouštět škodlivé binární soubory, čímž získávají kontrolu nad zranitelnými hostiteli.
Návrh řešení týmu viz ThreatGuard-ID: 3919
Přejete si znát návrh řešení nebo být okamžitě informováni o všech kritických hrozbách ihned po jejich identifikaci?
Vyzkoušejte www.ThreatGuard.cz ZDARMA na 14 dní nebo napište na
sales@comguard.cz o cenovou nabídku.
