Bezpečnostní přehled: Pwn2Own přidává i útoky na hypervisory

Pavel Houser , 22. únor 2016 15:00 0 komentářů
Bezpečnostní přehled: Pwn2Own přidává i útoky na hypervisory

Flashové reklamy v síti Googlu skončí. Knihovna glibc opravena, pozor na zranitelnosti v Cisco Adaptive Security Appliance a v hypervisoru Xen. Podíl spamu dále klesá.

Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Další rána pro Flash

Od 30. 6 nebude možné do reklamních sítí Googlu (AdWords a DoubleClick) nahrávat reklamy ve formátu Flash. V roce 2017 se už Flash v sítích Googlu nebude vůbec zobrazovat. Google již blokuje flashové bannery v Chrome a nepožívá Flash ve výchozím nastavení YouTube, pro videa přestal Flash podporovat také Facebook.

Flash byl dlouhodobě významným bezpečnostním rizikem a vektorem zero day útoků. Adobe se s tím na rozdíl od jiného svého rozšířeného produktu, Acrobat Readeru, nepodařilo nic moc udělat, zero day chyb neubývalo. Viz také: Zero day chyby a nejistá budoucnost formátu Flash.

Poznámka: S podporou Flash jako první přestal (respektive nezačal) u svých mobilních zařízení Apple. Podle některých komentátorů šlo ještě o Jobsovu pomstu za to, jakým způsobem Adobe přistupovala k vývoji svých grafických a DTP programů pro Mac OS X (kdy Apple zřejmě potřeboval Adobe víc než naopak).

Také Instagram začal nabízet dvoufaktorovou autentizaci na bázi zasílané SMS.

Botnet s pevnou pracovní dobou?

Loni v říjnu policie ve Velké Británii a USA rozbila botnet Dridex, jeho hlavní provozovatel původem z Moldavska byl zatčen. Nyní se ale podle analýzy Symantecu zdá, že Dridex je opět na scéně. Původní síť ovládaných počítačů zřejmě obsahovala více segmentů, které používaly různé skupiny útočníků a i po technické stránce dokáží tyto části asi fungovat na sobě relativně nezávisle. Symantec na základě analýz botnetu mimochodem uvádí, že funguje jako provozovaný „zaměstnanci“, kteří mají padla; jiná než automatizovaná aktivita se přerušuje o víkendech nebo přes Vánoce. Provozovatelé Dridexu šíří především bankovní malware.

Od roku 2011, kdy Facebook začal vyplácet odměny za reportované bezpečnostní zranitelnosti, firma utratila již 4,3 milionů dolarů – za 2 400 hlášených a uznaných chyb. Programu se účastní asi 800 lidí, hlavně z Indie, ale třeba také z Egypta či z Trinidadu a Tobago. Vyplácená částka již neroste, alespoň za rok 2015 byla mírně nižší než předloni. Zajímavé je, že ve výčtu hlavních reportovaných zranitelností dle kategorií se uvádí nejen cross-site scripting (XSS) a cross-site request forgery (CSRF), ale i „business logic“.

Kampaň BlackEnergy má velký dosah

Kampaň trojského koně BlackEnergy, která na konci loňského roku možná vedla k výpadkům ukrajinských elektrorozvodných sítí, souvisí i s podobnými útoky na ukrajinské těžební firmy a společnosti podnikající v železniční dopravě. K takovému závěru alespoň došla analýza firmy Trend Micro. Podle ní jde u BlackEnergy zřejmě o největší průnik do řídicích průmyslových systémů od roku 2010, kdy červ Stuxnet narušil íránské systémy na obohacování uranu.

Zranitelné hypervisory

Na hackerském klání skupiny Pwn2Own se bude soutěžit také o to, komu se podaří kompromitovat hypervisor VMware, tj. z verze pro Windows se dostat z úrovně hostovaného na hostitelský systém. Odměna je 75 000 dolarů. Již tradičně odměnu získají také ti, kdo předvedou zero day zranitelnosti v různých webových prohlížečích nebo v plug-inu Flash.

Vydána byla nová verze hypervisoru Xen (4.6.1), tvůrci do ní nicméně zapomněli zahrnout dvě bezpečnostní záplaty (XSA-155 a XSA-162, první z nich útočníkovi umožňuje spuštění kódu). Uživatelé by měli zkontrolovat, jakou verzi mají aktuálně nainstalovanou, a případně opravy doinstalovat ručně.

The Register upozorňuje, že v případě Xenu jde už o druhou podobnou „organizační“ chybu v poslední době: loni v prosinci organizace omylem porušila svoji vlastní politiku zveřejňování bližších informací o zranitelnostech vždy až 2 týdny po vydání záplaty, aby uživatelé měli čas na její nasazení (Xen se používá i v obřích projektech typu Amazon Web Services, kde aktualizace může být složitější/delší).

Oprava Cisco ASA

Zařízení řady Cisco Adaptive Security Appliance (firewally, přepínače, směrovače i čistě softwarové moduly) obsahovala kritickou zranitelnost. Chybu CVE-2016-1287 mohl vzdálený útočník zneužít zasláním speciálních UDP paketů. Zranitelnost, na kterou upozornili výzkumníci firmy, Exodus Intelligence, je již opravena, záplatu se doporučuje nasadit co nejrychleji. Pokusy o zneužití zatím nebyly oznámeny, projevily by se zřejmě hlavně růstem provozu na portu 500, eventuálně 4500.

Počet domén zabezpečených pomocí DNSSEC v roce 2015 představoval 477 037 z celkových 1 230 330 domén druhé úrovně v TLD .cz. V roce 2015 se oproti roku 2014 podíl takto zabezpečených domén prakticky nezměnil. (Zdroj: Domain Report 2015 sdružení CZ.NIC)

CSIRT varuje/oznamuje

Byla opravena závažná chyba v knihovně glibc používané v linuxových distribucích i dalších operačních systémech. Zranitelnost může vést ke vzdálenému spuštění kódu. Poznámka: Opravená verze má číslo 2.18. Vlastní chyba se týkala překladu doménových jmen, když příliš dlouhá číselná adresa mohla vyvolat přetečení zásobníku.

Siemens vydal aktualizaci firmwaru pro své zařízení SIMATIC S7-1500 z řady programovatelných automatů (PLC). Zalátané zranitelnosti umožňovaly útok na dostupnost zařízení (DoS), i když pouze útočníkům zevnitř sítě. (Zdroj: Národní centrum kybernetické bezpečnosti)

Ze světa firem

Nový maninframe IBM z13s má být optimalizován pro prostředí hybridního cloudu a integrace šifrování do hardwaru (včetně použití speciálních koprocesorových karet) umožňuje zabezpečit data bez většího dopadu na výkon systému. Mainframe se dodává i se specializovaným bezpečnostním softwarem a službou Cyber Security Analytics; součástí je učení běžného chování uživatelů a na tomto základě pak detekce anomálních situací. (Zdroj: tisková zpráva společnosti IBM)

Axis představil nástroj Site Designer – webovou aplikaci, která umožňuje projektantům integrovaných systémů a instalačním firmám ušetřit čas a námahu potřebnou při návrhu ucelených bezpečnostních řešení. Aplikace obsahuje šablony pro celou škálu bezpečnostních požadavků a poskytuje interaktivní vedení při návrhu systémů až do 100 kamer. (Zdroj: tisková zpráva společnosti Axis Communications)

Securitas nabízí český stavebním firmám nový typ mobilního zabezpečení – na bázi dočasné instalace IP kamer (jako doplnění fyzické ostrahy i nezávisle na ní). (Zdroj: tisková zpráva společnosti Securitas)

Česká spořitelna upozorňuje na novou phishingovou kampaň; podvodné e-maily obsahující odkaz na „přihlašovací web“ měly jako adresu odesílání uvedeno servis.24.com. (Zdroj: tisková zpráva České spořitelny)

Visa Europe oznámila rozšíření své platební tokenizační služby, tj. rozšíření stávající podpory mobilních bezkontaktních plateb. (Zdroj: tisková zpráva asociace Visa Europe)

Představena byla služba Barracuda Vulnerability Manager, nástroj pro kontrolu zabezpečení webů, který provádí testování nejčastějších zranitelností (SQL injection, cross-site scripting...). (Zdroj: tisková zpráva společnosti Gesto Communications (distributor Barracuda pro ČR a SR))

Podíl spamu na veškeré e-mailové komunikaci v roce 2015 poklesl na 55 %. Rok předtím to bylo o 11 % více. Více než tři čtvrtiny (79 %) všech odeslaných e-mailů byly menší než 2 kB, což ukazuje na trvalý pokles velikosti e-mailů spamovacích kampaní. Co se týče témat ve phishingu, objevuje se už i využívání olympiády v Brazílii. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Již asi 10 let působící skupina Poseidon má být zajímavá mj. tím, že její phishing i mlaware se zaměřuje na systémy s brazilskou portugalštinou. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Psali jsme na ITBiz.cz

Na téma zabezpečení na ITBiz viz také:

Malware může z ERP pronikat do průmyslových systémů SCADA

Obrana vybuduje novou datovou síť odolnou proti kyberútokům

Úřad rozdělil veřejnou zakázku na dvě části. V první etapě, která je předmětem aktuální zakázky, má být budována páteřní a přístupová vrstva datové sítě. Navazující druhá etapa bude zaměřena na služby, zejména hlasovou komunikaci, a související doplnění lokálních sítí.


Komentáře

RSS 

Komentujeme

Moorův zákon a umění odkladu

Pavel Houser , 20. září 2016 11:30
Pavel Houser

Jak souvisí prokrastinace a Moorův zákon? I když by člověka možná taková spojitost na první pohled n...

Více





RSS 

Zprávičky

Datasys otestuje zabezpečení hranic čidel napojených na síť pro IoT

ČTK , 27. září 2016 14:00

Česká technologická společnost Datasys v pilotním projektu otestuje možnost zabezpečení evropských h...

Více 0 komentářů

Yahoo čelí žalobě kvůli rozsáhlému kybernetickému útoku

ČTK , 27. září 2016 10:30

Americká internetová společnost Yahoo čelí žalobě v důsledku útoku hackerů, při kterém jí byly ukrad...

Více 0 komentářů

S vlastním počítačem do práce? Jen v 7 % českých firem

ITBiz.cz , 27. září 2016 10:26

Snadnější možnost úniku dat, bezpečnostní incidenty a komplikovanější správa počítačů - to jsou hlav...

Více 3 komentářů

Starší zprávičky

Návštěvnost webů v srpnu meziročně klesla na 7,8 milionu

ČTK , 27. září 2016 09:00

Návštěvnost tuzemských webů se v srpnu meziročně snížila o čtyři procenta na 7,84 milionu uživatelů ...

Více 1 komentářů

Samsung v Koreji obnoví prodej telefonů Galaxy Note 7 později

ČTK , 26. září 2016 15:00

Jihokorejská společnost Samsung Electronics obnoví prodej telefonů Galaxy Note 7 v Jižní Koreji až 1...

Více 0 komentářů

Krádež dat Yahoo je zřejmě největším kybernetickým útokem

ČTK , 26. září 2016 11:30

Krádež citlivých dat o účtech uživatelů internetové společnosti Yahoo je zřejmě doposud největším ky...

Více 0 komentářů

Twitter by prý mohl v brzké době obdržet nabídku na převzetí

ČTK , 26. září 2016 09:30

Americká společnost Twitter by už brzy mohla dostat oficiální nabídku na převzetí, zájem o ni projev...

Více 0 komentářů