Security News - Červen 2018

 

 

Přidáno: 06.12.2018, 15:41

Kalendář nejbližších akcí

WEBINÁŘE

Nezapomeňte sledovat pravidelně naše webináře v českém jazyce!

Připravujeme pro Vás webináře:

Záznamy webinářů najdete na YouTube

Konference Security & Networking Praha 2018

Aktuální témata

Analýza společnosti Lastline odhalila zvýšený výskyt pokročilého Malwaru ve finančním sektoru

Společnost Lastline, lídr v oblasti pokročilé kybernetické ochrany, zveřejnila svoji analýzu Malscape Snapshot se zaměřením na finanční sektor. Tato studie zjistila, že finanční průmysl je ohrožován nejméně třemi typy škodlivého softwaru keylogger. Ze 100 nejnovějších malware vzorků objevených z oblasti finančního sektoru byl objeven neobvykle velký počet keyloggeru iSpy, jenž je variantou známého HaWkEye loggeru.

Analýza také detekovala sofistikované keyloggery Emotet a URSNIF distribuované pomocí dokumentů Microsoft Office. Tyto dva typy škodlivého softwaru obsahují rozšíření zamezující jejich odhalení pomocí dynamické analýzy. Keyloggery dále disponují dalším modulem, který jim umožnuje infiltrovat finanční transakce pomocí metody man-in-the-middle a přidává schopnost útoku na automatizované bankovní transakce.

Autor zprávy a zároveň ředitel divize Threat Intelligence, Andy Norton, sdělil, že v oblasti finančního sektoru je výskyt sofistikovaného malware vyšší než obvykle. Ve finančním sektoru vykazuje 1/10 malwarových hrozeb pokročilé chování (malware je navržen tak, aby nebyl detekován ani statickou, ani dynamickou analýzou). V celosvětovém průměru je výskyt tohoto pokročilého malware nižší (1/12).

Společnost Lastline vyvíjí unikátní technologie určené k ochraně proti pokročilým hrozbám. Tento jedinečný detekční systém dokáže zachytit i pokročilý malware, které nelze identifikovat statickou a dynamickou analýzou.

Celý report naleznete zde13:
Více informací o Lastline naleznete zde

 

Společnosti Sophos vydala novou verzi Sophos XG Firewallu – 17.1.0

Společnost Sophos vydala novou verzi operačního systému oblíbeného XG Firewallu – SFOS v17.1.0. Tato verze je zatím k dispozici jako manuální upgrade na webu společnosti Sophos
(odkaz na stažení zde12 –), On-the-box upgrade se teprve chystá. Mezi nejdůležitější aktualizace verze 17.1.0 patří:
Cloud App Visibility – Pokroková funkcionalita přináší vhled do cloudových aplikací. Díky Cloud App Visibility dokáže XG Firewall identifikovat data v cloudu, jenž mohou být v ohrožení. Zároveň poskytuje detailní reporting uživatelské aktivity a objemu dat, která přichází a odchází do cloudových služeb. (demo video ke shlédnutí zde12 – )
Synchronized App Control – Stávající technologie se dočkala detailnějšího zpracování správy nově objevených aplikací, včetně možností hledat, filtrovat a odstraňovat aplikace. Další novinkou je kategorické řazení nově objevených aplikací.
Email Security – Emailová ochrana se dočkala velkých inovací. K dispozici jsou zejména granulárnější politiky a možnosti nastavení než v předchozí verzi. Dále je to propracovanější správa uživatelů z přímo z uživatelského portálu, nebo možnost tvořit Allow listy pro Bypass politiky, kde lze přidat jednotlivé uživatele, či domény.
SSL VPN Port Option – Jedna z nejžádanějších funkcionalit XG Firewallu – možnost customizovat SSL VPN port pro naslouchání.
Vylepšení Firewallu – Byla výrazně zjednodušena správa pravidel, nově je zde také možnost blokovat Google QUIC's HTTPS.  Dále také větší flexibilita v definicích ACL výjimek u restrikcí přístupu ke službám jako třeba Uživatelský portál apod.
Vylepšení Wireless – XG Firewall v17.1 poskytuje vylepšení bezdrátové sítě včetně možnosti nastavit šířku kanálu pro bezdrátové radiostanice v grafickém uživatelském rozhraní, stejně jako funkce Radius Accounting.

Celá sdělení na webu výrobce zde
Více informací o XG Firewallu zde

 

Společnost Barracuda představila nový Web Application Firewall na cloudové bázi

Nová služba společnosti Barracuda zjednodušuje a zrychluje zavádění zabezpečení webových aplikací. Web Application Firewall-as-a-Service je postaven na osvědčené technologii zabezpečení aplikací.
 
Barracuda WAFaaS poskytuje ochranu pro webové aplikace proti pokročilým layer 7 útokům, OWASP Top 10, botům, DDoS, a zero-day hrozbám. Díky cloudovému nasazení je nízká počáteční investice i režijní náklady. Nabízí širokou škálu možností konfigurace pomocí služby Barracuda Vulnerability Remediation Service (BVRS). BVRS umožňuje administrátorům najít, automaticky opravovat a neustále sledovat zranitelnosti webových aplikací, což usnadňuje zavádění potřebných opatření webových aplikací s minimálními administrativními náklady organizaci jakékoli velikosti.

 
Další informace o službě Barracuda WAF-as-a-service naleznete na adrese zde:
Více o produktech Barracuda zde

                   

                 

Sophos a McAfee úspěšně obstáli v testu společnosti MRG Effitas zejména v kategorii In-the-wild malware protection                                                                           

Společnosti McAfee a Sophos získali nejvyšší hodnocení v testu společnosti MRG Effitas v kategorii In-the-wild malware protection.  Uvedená kategorie testovala produkty společností McAfee Endpoint Threat Protection a Sophos Intercept X 2.0.0 with Endpoint Advanced. Test hodnotil schopnosti detekce známého a potenciálně neznámého malware, detekci zero-day útoků a délku poskytované ochrany v případě, kdy není produkt aktualizován.

Zpětné zrcátko IT bezpečnosti

Hackeři získali data ze slovenských státních orgánů

Útočníci se dostali do informačních systémů státních orgánů pomocí specializovaného softwaru. Ve své zprávě na to upozornila slovenská tajná služba SIS. Tyto programy byly využity ke sběru dat a následně byly použity k uskutečnění dalších kybernetických útoků např. spear phishingových kampaní. SIS nezveřejnila, o jaké orgány šlo, ani žádné detaily incidentů.  SIS ve své zprávě upozorňuje na neuspokojivou úroveň informační bezpečnosti ve více orgánech státní správy. Tento stav může způsobit nedostatečně účinnou reakci na náhlé kybernetické hrozby. SIS také přiznává rezervy i ve vlastních řadách, a to v oblasti jak personální, tak technické.

Zdroj: www.dsl.sk/article.php

 

Zranitelnost u milionů routerů

Zranitelnost routerů s OS Zynos. ZyNOS si nese docela slušnou sbírku bezpečnostních chyb. Jednou z nich je i zranitelnost „rom-0“. Jedná se o chybu nedostatečné kontroly přístupu ve webovém rozhraní pro správu routeru. Router umožňuje vyexportovat a stáhnout celou konfiguraci v podobě binárního souboru. Součástí konfigurace jsou i přístupová hesla k webovému administračnímu rozhraní. Chyba pak spočívá v tom, že tento soubor lze stáhnout, aniž je před tím vyžadováno heslo – stačí pouze znát jednoduché URL tohoto souboru. A kritická je tato chyba proto, že značné množství routerů ve výchozím nastavení umožňuje konfiguraci stáhnout i přes WAN rozhraní, tedy odkudkoliv z internetu.

Útočník změní DNS servery na routeru tak, že si přesměruje dotazy na svůj server, tím se snaží uživatele nalákat ke stažení a spuštění malware. V ČR cca 6000 boxů, např. TP-LINK TD-W8961ND, D-Link DSL-2640R.

Podle ZyXEL je tato chyba historická a nepostihuje žádný současný originální produkt společnosti ZyXEL.

Zdroj: https://www.root.cz/clanky/analyza-zranitelnost-rom-0-postihuje-1-5-milionu-domacich-routeru/

 

Zranitelnost u milionů routerů

Zranitelnost routerů s OS Zynos. ZyNOS si nese docela slušnou sbírku bezpečnostních chyb. Jednou z nich je i zranitelnost „rom-0“. Jedná se o chybu nedostatečné kontroly přístupu ve webovém rozhraní pro správu routeru. Router umožňuje vyexportovat a stáhnout celou konfiguraci v podobě binárního souboru. Součástí konfigurace jsou i přístupová hesla k webovému administračnímu rozhraní. Chyba pak spočívá v tom, že tento soubor lze stáhnout, aniž je před tím vyžadováno heslo – stačí pouze znát jednoduché URL tohoto souboru. A kritická je tato chyba proto, že značné množství routerů ve výchozím nastavení umožňuje konfiguraci stáhnout i přes WAN rozhraní, tedy odkudkoliv z internetu.

Útočník změní DNS servery na routeru tak, že si přesměruje dotazy na svůj server, tím se snaží uživatele nalákat ke stažení a spuštění malware. V ČR cca 6000 boxů, např. TP-LINK TD-W8961ND, D-Link DSL-2640R.

Podle ZyXEL je tato chyba historická a nepostihuje žádný současný originální produkt společnosti ZyXEL.

Zdroj: https://www.root.cz/clanky/analyza-zranitelnost-rom-0-postihuje-1-5-milionu-domacich-routeru/

 

Malware VPNFilter útočící na routery

Projekt Cisco Talos objevil malware, který cílí na routery (Linksys, MikroTik, Netgear, TP-Link a na NAS značky QNAP). Malware, který je označen jako VPNFilter, se překrývá s kódem malwaru BlackEnergy, který cílil na zařízení na Ukrajině. Aktivita VPNFilter se dělí na tři fáze. V první fázi malware napadne linuxový systém používající Busybox a dále se snaží stáhnout záškodnický kód. Kód využívaný v první fázi je perzistentní, je uložen v NVRAM a vydrží i restart. V druhé fázi, co je malware stažen a spuštěn, tak si vytvoří svůj adresář a poté spouští příkazy z řídícího serveru. Třetí fáze obsahuje dva moduly (zatím prozkoumány), kdy jeden modul provádí odposlech na zařízení a druhý modul je určen pro komunikaci po síti TOR. Modulů bude více, ale je nutno je ještě prozkoumat. VPNFilter nakazil půl milionu zařízení v 54 zemích.

Zdroj: https://www.root.cz/clanky/malware-vpnfilter-na-pul-milionu-routeru-linksys-mikrotik-netgear-a-tp-link/

 

Zranitelnosti ve vozech BMW

Čínští bezpečnostní výzkumníci během bezpečnostního auditu odhalili více než 14 zranitelností ve vozech BMW. Z nichž některé je možné zneužít i vzdáleně. U méně závažných zranitelností byl potřeba fyzický přístup, přístup k USB, ale některé je možné zneužít přes Bluetooth nebo pomocí mobilní sítě. 8 zranitelností bylo obsaženo v palubním počítači, 4 zranitelnosti v Telematics Control Unit (TCU) a dvě zranitelnosti v Central Gateway Module. Více podrobností ohledně zranitelností není k dispozici z bezpečnostních důvodů. Výrobce uvádí, že zranitelnosti jsou již opraveny. Některé byly distribuovány skrz OTA, kvůli některým je potřeba navštívit autorizovaný servis.
Zdroj: https://thehackernews.com/2018/05/bmw-smart-car-hacking.html

 

Příklady hrozeb, které zachytil ThreatGuard

 

Nový druh zranitelnosti Spectre

Byl nalezen nový druh zranitelnosti Spectre (Variant 4), který dokáže získat soukromá data jako jsou hesla a čísla kreditních karet.
Návrh řešení týmu viz ThreatGuard-ID: 391

SQL injection v Nagios XI

Zranitelnosti v Nagios XI umožňují vzdálenému neautorizovanému útočníkovi způsobit SQL Injection na cílovém systému. Na tyto zranitelnosti existují PoC exploity. Výrobce tuto zranitelnost zatím neopravil.
Návrh řešení týmu viz ThreatGuard-ID: 389

cURL – vzdálené spuštění kódu

Zranitelnost v cURL umožňuje neověřenému, vzdálenému útočníkovi provést libovolný kód na cíleném systému.
Návrh řešení týmu viz ThreatGuard-ID: 392

 

 

 

 

TIP: Přejete-li si znát i návrh řešení, tak vyzkoušejte ThreatGuard ZDARMA na 14 dní www.threatguard.cz nebo napište na sales@comguard.cz o cenovou nabídku.