Bezpečnostní přehled: Zranitelnost chytrých vah

Pavel Houser , 09. květen 2016 14:30 0 komentářů
Bezpečnostní přehled: Zranitelnost chytrých vah

Opravy: GitLab, NTP démon, Xcode, velká květnová aktualizace pro Android. Čtvrtina všech útoků se má brzy týkat Internetu věcí. Objevil se proof-of-concept červ, který se dokáže šířit přímo mezi PLC apod. systémy, aniž by k tomu potřeboval infikovat počítače.

Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Gartner o Internetu věcí

Společnost Gartner předpovídá, že globální výdaje na zabezpečení internetu věcí dosáhnou letos 348 milionů dolarů, což znamená nárůst o 24 % z loňských 282 milionů. Gartner v současnosti pokládá za rozhodující otázku, jak bude IoT nasazován v nákladních automobilech, letadlech, stavebních strojích a zemědělské technice. Další prognóza praví, že do roku 2020 se bude 25 % kybernetických útoků na podniky týkat Internetu věcí, ačkoliv do této oblasti současně půjde jen 10 % výdajů na bezpečnost IT. Ve stejné době má více než polovina implementací internetu věcí používat nějakou bezpečnostní službu založenou na cloudu.

Zranitelnosti a záplaty – včetně chytré váhy

Půvabná kuriozita: Tavis Ormandy z projektu Google Project Zero odhalil bezpečnostní zranitelnost v „chytrých“ váhách FitBit Aria, které umí komunikovat přes Wi-Fi. Výrobce už vydal aktualizaci firmwaru; kde to umožňuje nastavení, měla by se nainstalovat automaticky. Tyto váhy kromě hmotnosti měří i podíl tuku nebo index BMI a posílají tyto údaje do cloudu. Až člověk příště zjistí, že přibral, příčina je nasnadě – můžou za to hackeři.

Google vydal v rámci květnové bezpečnostní aktualizace opravu 40 chyb v OS Android, 12 se záplat bylo označeno za kritické. Seznam nejzávažnějších zranitelností obsahuje i další část chyb zabezpečení ve službě Mediaserver, kterou Android používá k indexaci lokálních multimediálních souborů. Tato zranitelnost umožňovala útočníkům spouštět na mobilním zařízení škodlivý kód pomocí upraveného multimediálního souboru zaslaného prostřednictvím MMS nebo umístěného na webových stránkách. Květnová aktualizace dále opravuje chyby umožňující eskalaci uživatelských oprávnění v samotném jádře, debuggeru, komponentě Qualcomm TrustZone, ovladačích pro Qualcomm Wi-Fi a pro grafickou kartu Nvidia. (Zdroj: oznámení Národního centra kybernetické bezpečnosti, NCKB)

V GitLabu (open source platforma pro spolupráci na zdrojových kódech) byla objevena bezpečnostní zranitelnost CVE-2016-4340. Záplata je již k dispozici.

Výzkumníci Cisco upozornili na zranitelnosti v démonu pro Network Time Protocol. Program lze vyřadit z provozu nebo mu podstrčit falešné údaje pomocí speciálních paketů UDP. Opravená verze má číslo 4.2.8p7.

Apple vydal 2 bezpečnostní záplaty pro své vývojové prostředí Xcode, v němž lze vytvářet aplikace pro iOS, OS X, WatchOS i TVOS. Opravená verze má číslo 7.3.1 a běží na OS X El Capitan v10.11 a novějším. Zalátané zranitelnosti CVE 2016 2315 a CVE 2016 2324 se týkaly přetečení zásobníku/haldy a útočníkovi umožňovaly vzdálené spuštění kódu.

Bankovní trojan GozNym stále více cílí také na finanční instituce v Evropě, podle IBM X-Force napadá ve velké např. uživatele bank v sousedním Polsku. GozNym vznikl kombinací dvou zdrojových kódů, malwaru Nymaim Trojan a Gozi ISFB.

Elektrárny v ohrožení

Objevil se první červ pro programovatelné logické automaty (PLC), ve formě proof-of-concept ho představili němečtí bezpečnostní specialisté Ralf Spenneberg a Maik Brüggeman. Malware tohoto typu by mohl napadat např. elektrárny, rozvodné sítě a další kritickou infrastrukturu. V čem spočívá unikátnost představeného konceptu, když již mnoho let uplynuly od známé kauzy červa Stuxnet? Malware tohoto typu totiž až dosud k infekci průmyslových systémů vyžadoval počítač, v tomto případě se ale údajně může šířit přímo mezi PLC systémy (navrženo pro S7 1200, ale není údajně problém přepsat i pro jiné systémy Siemens nebo i dalších výrobců). Infekce, která nevyžaduje počítače, se ze systémů bude velmi obtížně odstraňovat, problém bude i s její detekcí. Současně byly totiž prezentovány techniky, které umožňují anomální chování napadených systémů po určitou dobu skrývat.

Ransomware na týden vyřadil fungování společnosti provozující elektrické a vodovodní rozvody v Michiganu. Samotná přenosová soustava dále pracovala a ani data o zákaznících nebyla ohrožena, nicméně přestaly fungovat například i telefony, zastavilo se fakturování atp.

Microsoft platí i report zranitelností v Nano Serveru

Microsoft rozšířil svůj program placení za reportované bezpečnostní zranitelnosti také na Nano Server v rámci Windows Server 2016 Technical Preview 5. Akce je časově omezena na květen až červenec, odměny se mají pohybovat mezi 500 a 15 000 dolaru podle závažnosti reportované chyby. Podmínkou je, aby zneužití nevyžadovala mít oprávnění administrátora.

Úspěšné exploity zneužívají dávno opravené chyby

Studie Verizon 2016 Data Breach Investigations Report: 10 nejúspěšnějších exploitů zneužívá dávno známé a výrobci opravené zranitelnosti. V 63 % případů úspěšný útok zahrnoval zneužití hesel: byla kompromitovaná, slabá nebo ponechána výchozí. 83 % podniků zaznamená bezpečnostní narušení až v řádu týdnů nebo ještě později. Studie uvádí, že pokročilý phishing stále častěji směřuje i proti koncovým uživatelům, nejen do podniků. Naopak internet věcí a mobilní zařízení podle analýzy Verizonu nehrály loni v bezpečnostních incidentech významnější úlohu.

CSIRT varuje/informuje

Vydány byly záplaty několika zranitelností v projektu OpenSSL.

Ransomware se velmi často dostává do organizací prostřednictvím RDP serverů. Dle Wountera Jansena z Fox-it je k získání přístupu k RDP serveru používán útok hrubou silou.

Ze světa firem

Samsung oznámil rozšíření své bezpečnostní platformy Knox. Nemá už být využívána pouze pro smartphony, ale i pro jiná podniková řešení. (Zdroj: tisková zpráva společnosti Samsung)

Nejrozšířenější malwarové rodiny v ČR: Conficker, Graftor (adware, ale také downloader a rootkit), Cryptodef (ransomware), Angler ek (exploit kit umísťovaný na infikované servery), Nlbot (backdoor umožňující útočníkovi další víceméně libovolné škodlivé aktivity), Ponmocup (trojský kůň a downloader), Ctb-locker (ransomware), Pbot (backdoor), Cutwail (především rozesílač spamu) a Locky (ransomware). (Zdroj: tisková zpráva společnosti CheckPoint Software Technologies)

Na trh přichází Safetica verze 7. Novinky: Základní nastavení má zvládnout každý běžný administrátor IT, součástí instalace je automatická konfigurace. Vedle sebe je k dispozici webová konzole pro základní přehled i desktopová konzole pro pokročilou administraci. Nástroj nově zajišťuje ochranu a řízení toku dokumentů také na mobilních zařízeních, podporovány jsou i terminálové servery. (Zdroj: tisková zpráva společnosti Safetica Technologies)

Sophos uvádí nástroj Sandstorm, který je přístupný také z jeho UTM verze 9.4. Sandstorm zajišťuje sandbox v podobě, která bude přístupná i pro menší firmy, základním cenovým modelem je předplatné cloudové služby. Do Sophos UTM 9.4 byly jako další funkce přidány také podpora pro IPv6 VPN a jednotné přihlašování bez nutnosti speciálního klienta na koncovém bodě. (Zdroj: tisková zpráva společnosti Sophos)

Zyxel představuje nový firewall USG20(W)-VPN, který je určen především pro malé podniky. Podporuje mj. vzdálený přístup do firemních sítí pomocí VPN. (Zdroj: tisková zpráva společnosti Zyxel)

Panasonic představil dvě nové odolné bezpečnostní síťové kamery určené pro dopravní prostředky, především k monitorování okolí vlaků, autobusů a nákladních automobilů. Jedná se o modely WV-SBV131M a WV-SBV111M. (Zdroj: tisková zpráva společnosti Panasonic)

Psali jsme na ITBiz.cz

Na téma zabezpečení na ITBiz viz také: Bezpečnostní přehled: Mezi nejrozšířenějšími škodlivými programy je i mobilní malware


Komentáře

RSS 

Komentujeme

Bezpečnost IT a tygří logika

Pavel Houser , 14. únor 2017 11:00
Pavel Houser

Jak praví známý vtip, běží-li za vámi tygr, netřeba se pohybovat rychleji než šelma – stačí předběhn...

Více






Kalendář

22. 02. IT mezi paragrafy
20. 03.

24. 03.
CeBIT 2017
25. 03. INSPO 2017
RSS 

Zprávičky

Blokování nelegálního hazardu na internetu není protiústavní

Pavel Houser , 22. únor 2017 13:22

Plénum Ústavního soudu zamítlo návrh skupiny 21 senátorů Senátu Parlamentu České republiky na zruš...

Více 0 komentářů

Amazon otevře v Polsku své páté logistické centrum

ČTK , 22. únor 2017 13:03

Česká pobočka firmy uvedla, že letos nabere v Dobrovízi u Prahy a ve své pražské kanceláři 1000 stál...

Více 0 komentářů

SpaceX a Boeing se možná zpozdí s dopravou lidí na ISS

ČTK , 22. únor 2017 09:30

Společnosti SpaceX a Boeing se možná zpozdí s nasazením svých lodí pro dopravu posádek na Mezinárodn...

Více 0 komentářů

Starší zprávičky

Verizon koupí aktivity Yahoo za sníženou cenu 4,48 miliardy USD

ČTK , 21. únor 2017 16:05

Americký telekomunikační operátor Verizon Communications se dohodl na nových podmínkách převzetí zák...

Více 0 komentářů

Jen desetina SMB firem těží z digitální transformace

ITBiz.cz , 21. únor 2017 09:00

Studie IDC a SAP ukázala, že čtyři z pěti SMB firem vidí v digitální transformaci značné výhody včet...

Více 0 komentářů

Trump si nechal registrovat tisíce internetových domén

ČTK , 21. únor 2017 08:30

Málokterá veřejná osoba je tak aktivní ve skupování internetových domén jako americký prezident Dona...

Více 4 komentářů

Mall Group ovládla internetový obchod s elektrem CZC.cz

ČTK , 20. únor 2017 16:39

Skupina Mall Group se stala jediným vlastníkem e-shopu CZC.cz. Od zakladatele obchodu Josefa Matějky...

Více 2 komentářů

AbcPráce