Bezpečnostní přehled: Pwn2Own přidává i útoky na hypervisory

Pavel Houser , 22. únor 2016 15:00 0 komentářů
Bezpečnostní přehled: Pwn2Own přidává i útoky na hypervisory

Flashové reklamy v síti Googlu skončí. Knihovna glibc opravena, pozor na zranitelnosti v Cisco Adaptive Security Appliance a v hypervisoru Xen. Podíl spamu dále klesá.

Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Další rána pro Flash

Od 30. 6 nebude možné do reklamních sítí Googlu (AdWords a DoubleClick) nahrávat reklamy ve formátu Flash. V roce 2017 se už Flash v sítích Googlu nebude vůbec zobrazovat. Google již blokuje flashové bannery v Chrome a nepožívá Flash ve výchozím nastavení YouTube, pro videa přestal Flash podporovat také Facebook.

Flash byl dlouhodobě významným bezpečnostním rizikem a vektorem zero day útoků. Adobe se s tím na rozdíl od jiného svého rozšířeného produktu, Acrobat Readeru, nepodařilo nic moc udělat, zero day chyb neubývalo. Viz také: Zero day chyby a nejistá budoucnost formátu Flash.

Poznámka: S podporou Flash jako první přestal (respektive nezačal) u svých mobilních zařízení Apple. Podle některých komentátorů šlo ještě o Jobsovu pomstu za to, jakým způsobem Adobe přistupovala k vývoji svých grafických a DTP programů pro Mac OS X (kdy Apple zřejmě potřeboval Adobe víc než naopak).

Také Instagram začal nabízet dvoufaktorovou autentizaci na bázi zasílané SMS.

Botnet s pevnou pracovní dobou?

Loni v říjnu policie ve Velké Británii a USA rozbila botnet Dridex, jeho hlavní provozovatel původem z Moldavska byl zatčen. Nyní se ale podle analýzy Symantecu zdá, že Dridex je opět na scéně. Původní síť ovládaných počítačů zřejmě obsahovala více segmentů, které používaly různé skupiny útočníků a i po technické stránce dokáží tyto části asi fungovat na sobě relativně nezávisle. Symantec na základě analýz botnetu mimochodem uvádí, že funguje jako provozovaný „zaměstnanci“, kteří mají padla; jiná než automatizovaná aktivita se přerušuje o víkendech nebo přes Vánoce. Provozovatelé Dridexu šíří především bankovní malware.

Od roku 2011, kdy Facebook začal vyplácet odměny za reportované bezpečnostní zranitelnosti, firma utratila již 4,3 milionů dolarů – za 2 400 hlášených a uznaných chyb. Programu se účastní asi 800 lidí, hlavně z Indie, ale třeba také z Egypta či z Trinidadu a Tobago. Vyplácená částka již neroste, alespoň za rok 2015 byla mírně nižší než předloni. Zajímavé je, že ve výčtu hlavních reportovaných zranitelností dle kategorií se uvádí nejen cross-site scripting (XSS) a cross-site request forgery (CSRF), ale i „business logic“.

Kampaň BlackEnergy má velký dosah

Kampaň trojského koně BlackEnergy, která na konci loňského roku možná vedla k výpadkům ukrajinských elektrorozvodných sítí, souvisí i s podobnými útoky na ukrajinské těžební firmy a společnosti podnikající v železniční dopravě. K takovému závěru alespoň došla analýza firmy Trend Micro. Podle ní jde u BlackEnergy zřejmě o největší průnik do řídicích průmyslových systémů od roku 2010, kdy červ Stuxnet narušil íránské systémy na obohacování uranu.

Zranitelné hypervisory

Na hackerském klání skupiny Pwn2Own se bude soutěžit také o to, komu se podaří kompromitovat hypervisor VMware, tj. z verze pro Windows se dostat z úrovně hostovaného na hostitelský systém. Odměna je 75 000 dolarů. Již tradičně odměnu získají také ti, kdo předvedou zero day zranitelnosti v různých webových prohlížečích nebo v plug-inu Flash.

Vydána byla nová verze hypervisoru Xen (4.6.1), tvůrci do ní nicméně zapomněli zahrnout dvě bezpečnostní záplaty (XSA-155 a XSA-162, první z nich útočníkovi umožňuje spuštění kódu). Uživatelé by měli zkontrolovat, jakou verzi mají aktuálně nainstalovanou, a případně opravy doinstalovat ručně.

The Register upozorňuje, že v případě Xenu jde už o druhou podobnou „organizační“ chybu v poslední době: loni v prosinci organizace omylem porušila svoji vlastní politiku zveřejňování bližších informací o zranitelnostech vždy až 2 týdny po vydání záplaty, aby uživatelé měli čas na její nasazení (Xen se používá i v obřích projektech typu Amazon Web Services, kde aktualizace může být složitější/delší).

Oprava Cisco ASA

Zařízení řady Cisco Adaptive Security Appliance (firewally, přepínače, směrovače i čistě softwarové moduly) obsahovala kritickou zranitelnost. Chybu CVE-2016-1287 mohl vzdálený útočník zneužít zasláním speciálních UDP paketů. Zranitelnost, na kterou upozornili výzkumníci firmy, Exodus Intelligence, je již opravena, záplatu se doporučuje nasadit co nejrychleji. Pokusy o zneužití zatím nebyly oznámeny, projevily by se zřejmě hlavně růstem provozu na portu 500, eventuálně 4500.

Počet domén zabezpečených pomocí DNSSEC v roce 2015 představoval 477 037 z celkových 1 230 330 domén druhé úrovně v TLD .cz. V roce 2015 se oproti roku 2014 podíl takto zabezpečených domén prakticky nezměnil. (Zdroj: Domain Report 2015 sdružení CZ.NIC)

CSIRT varuje/oznamuje

Byla opravena závažná chyba v knihovně glibc používané v linuxových distribucích i dalších operačních systémech. Zranitelnost může vést ke vzdálenému spuštění kódu. Poznámka: Opravená verze má číslo 2.18. Vlastní chyba se týkala překladu doménových jmen, když příliš dlouhá číselná adresa mohla vyvolat přetečení zásobníku.

Siemens vydal aktualizaci firmwaru pro své zařízení SIMATIC S7-1500 z řady programovatelných automatů (PLC). Zalátané zranitelnosti umožňovaly útok na dostupnost zařízení (DoS), i když pouze útočníkům zevnitř sítě. (Zdroj: Národní centrum kybernetické bezpečnosti)

Ze světa firem

Nový maninframe IBM z13s má být optimalizován pro prostředí hybridního cloudu a integrace šifrování do hardwaru (včetně použití speciálních koprocesorových karet) umožňuje zabezpečit data bez většího dopadu na výkon systému. Mainframe se dodává i se specializovaným bezpečnostním softwarem a službou Cyber Security Analytics; součástí je učení běžného chování uživatelů a na tomto základě pak detekce anomálních situací. (Zdroj: tisková zpráva společnosti IBM)

Axis představil nástroj Site Designer – webovou aplikaci, která umožňuje projektantům integrovaných systémů a instalačním firmám ušetřit čas a námahu potřebnou při návrhu ucelených bezpečnostních řešení. Aplikace obsahuje šablony pro celou škálu bezpečnostních požadavků a poskytuje interaktivní vedení při návrhu systémů až do 100 kamer. (Zdroj: tisková zpráva společnosti Axis Communications)

Securitas nabízí český stavebním firmám nový typ mobilního zabezpečení – na bázi dočasné instalace IP kamer (jako doplnění fyzické ostrahy i nezávisle na ní). (Zdroj: tisková zpráva společnosti Securitas)

Česká spořitelna upozorňuje na novou phishingovou kampaň; podvodné e-maily obsahující odkaz na „přihlašovací web“ měly jako adresu odesílání uvedeno servis.24.com. (Zdroj: tisková zpráva České spořitelny)

Visa Europe oznámila rozšíření své platební tokenizační služby, tj. rozšíření stávající podpory mobilních bezkontaktních plateb. (Zdroj: tisková zpráva asociace Visa Europe)

Představena byla služba Barracuda Vulnerability Manager, nástroj pro kontrolu zabezpečení webů, který provádí testování nejčastějších zranitelností (SQL injection, cross-site scripting...). (Zdroj: tisková zpráva společnosti Gesto Communications (distributor Barracuda pro ČR a SR))

Podíl spamu na veškeré e-mailové komunikaci v roce 2015 poklesl na 55 %. Rok předtím to bylo o 11 % více. Více než tři čtvrtiny (79 %) všech odeslaných e-mailů byly menší než 2 kB, což ukazuje na trvalý pokles velikosti e-mailů spamovacích kampaní. Co se týče témat ve phishingu, objevuje se už i využívání olympiády v Brazílii. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Již asi 10 let působící skupina Poseidon má být zajímavá mj. tím, že její phishing i mlaware se zaměřuje na systémy s brazilskou portugalštinou. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Psali jsme na ITBiz.cz

Na téma zabezpečení na ITBiz viz také:

Malware může z ERP pronikat do průmyslových systémů SCADA

Obrana vybuduje novou datovou síť odolnou proti kyberútokům

Úřad rozdělil veřejnou zakázku na dvě části. V první etapě, která je předmětem aktuální zakázky, má být budována páteřní a přístupová vrstva datové sítě. Navazující druhá etapa bude zaměřena na služby, zejména hlasovou komunikaci, a související doplnění lokálních sítí.


Komentáře

RSS 

Zprávičky

Španělsko prý kvůli daním provedlo razii v kancelářích Googlu

ČTK , 01. červenec 2016 16:00

Španělské úřady dnes provedly razii v madridských kancelářích americké internetové společnosti Googl...

Více 0 komentářů

Oracle musí zaplatit HP v případě Itanium odškodné 3 miliardy dolarů

Petr Velecký , 01. červenec 2016 14:00

Kalifornský soud nařídil společnosti Oracle zaplatit konkurenční firmě Hewlett-Packard Enterprise Co...

Více 0 komentářů

ÚOHS schválil prodej druhého největšího e-shopu v Česku Mall.cz

ČTK , 01. červenec 2016 11:00

Úřad pro ochranu hospodářské soutěže (ÚOHS) schválil prodej druhého největšího e-shopu v Česku Mall....

Více 0 komentářů

Starší zprávičky

Vodafone by mohl přesunout centrálu z Londýna do zahraničí

ČTK , 30. červen 2016 13:00

Britský mobilní operátor Vodafone by mohl přesunout své ústředí z Londýna do zahraničí, bude to ale ...

Více 0 komentářů

Zákon zřejmě umožní elektronicky ověřit identitu občanů EU

ČTK , 30. červen 2016 10:00

Sněmovna schválila zákon, který umožní elektronicky ověřit identitu občanů EU například při přeshran...

Více 0 komentářů

Tiscali koupilo službu pro zasílání dat Úschovna.cz

ČTK , 29. červen 2016 14:00

Provozovatel webů Tiscali Media koupil službu pro zasílání objemných dat Úschovna.cz. Firma to dnes ...

Více 0 komentářů

V zóně u Klášterce nad Ohří vznikne datové centrum

ČTK , 29. červen 2016 12:00

V průmyslové zóně Verne u Klášterce nad Ohří na Chomutovsku vznikne do konce roku 2017 datové centru...

Více 0 komentářů