Bezpečnostní přehled: Pwn2Own přidává i útoky na hypervisory

Pavel Houser , 22. únor 2016 15:00 0 komentářů
Bezpečnostní přehled: Pwn2Own přidává i útoky na hypervisory

Flashové reklamy v síti Googlu skončí. Knihovna glibc opravena, pozor na zranitelnosti v Cisco Adaptive Security Appliance a v hypervisoru Xen. Podíl spamu dále klesá.

Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Další rána pro Flash

Od 30. 6 nebude možné do reklamních sítí Googlu (AdWords a DoubleClick) nahrávat reklamy ve formátu Flash. V roce 2017 se už Flash v sítích Googlu nebude vůbec zobrazovat. Google již blokuje flashové bannery v Chrome a nepožívá Flash ve výchozím nastavení YouTube, pro videa přestal Flash podporovat také Facebook.

Flash byl dlouhodobě významným bezpečnostním rizikem a vektorem zero day útoků. Adobe se s tím na rozdíl od jiného svého rozšířeného produktu, Acrobat Readeru, nepodařilo nic moc udělat, zero day chyb neubývalo. Viz také: Zero day chyby a nejistá budoucnost formátu Flash.

Poznámka: S podporou Flash jako první přestal (respektive nezačal) u svých mobilních zařízení Apple. Podle některých komentátorů šlo ještě o Jobsovu pomstu za to, jakým způsobem Adobe přistupovala k vývoji svých grafických a DTP programů pro Mac OS X (kdy Apple zřejmě potřeboval Adobe víc než naopak).

Také Instagram začal nabízet dvoufaktorovou autentizaci na bázi zasílané SMS.

Botnet s pevnou pracovní dobou?

Loni v říjnu policie ve Velké Británii a USA rozbila botnet Dridex, jeho hlavní provozovatel původem z Moldavska byl zatčen. Nyní se ale podle analýzy Symantecu zdá, že Dridex je opět na scéně. Původní síť ovládaných počítačů zřejmě obsahovala více segmentů, které používaly různé skupiny útočníků a i po technické stránce dokáží tyto části asi fungovat na sobě relativně nezávisle. Symantec na základě analýz botnetu mimochodem uvádí, že funguje jako provozovaný „zaměstnanci“, kteří mají padla; jiná než automatizovaná aktivita se přerušuje o víkendech nebo přes Vánoce. Provozovatelé Dridexu šíří především bankovní malware.

Od roku 2011, kdy Facebook začal vyplácet odměny za reportované bezpečnostní zranitelnosti, firma utratila již 4,3 milionů dolarů – za 2 400 hlášených a uznaných chyb. Programu se účastní asi 800 lidí, hlavně z Indie, ale třeba také z Egypta či z Trinidadu a Tobago. Vyplácená částka již neroste, alespoň za rok 2015 byla mírně nižší než předloni. Zajímavé je, že ve výčtu hlavních reportovaných zranitelností dle kategorií se uvádí nejen cross-site scripting (XSS) a cross-site request forgery (CSRF), ale i „business logic“.

Kampaň BlackEnergy má velký dosah

Kampaň trojského koně BlackEnergy, která na konci loňského roku možná vedla k výpadkům ukrajinských elektrorozvodných sítí, souvisí i s podobnými útoky na ukrajinské těžební firmy a společnosti podnikající v železniční dopravě. K takovému závěru alespoň došla analýza firmy Trend Micro. Podle ní jde u BlackEnergy zřejmě o největší průnik do řídicích průmyslových systémů od roku 2010, kdy červ Stuxnet narušil íránské systémy na obohacování uranu.

Zranitelné hypervisory

Na hackerském klání skupiny Pwn2Own se bude soutěžit také o to, komu se podaří kompromitovat hypervisor VMware, tj. z verze pro Windows se dostat z úrovně hostovaného na hostitelský systém. Odměna je 75 000 dolarů. Již tradičně odměnu získají také ti, kdo předvedou zero day zranitelnosti v různých webových prohlížečích nebo v plug-inu Flash.

Vydána byla nová verze hypervisoru Xen (4.6.1), tvůrci do ní nicméně zapomněli zahrnout dvě bezpečnostní záplaty (XSA-155 a XSA-162, první z nich útočníkovi umožňuje spuštění kódu). Uživatelé by měli zkontrolovat, jakou verzi mají aktuálně nainstalovanou, a případně opravy doinstalovat ručně.

The Register upozorňuje, že v případě Xenu jde už o druhou podobnou „organizační“ chybu v poslední době: loni v prosinci organizace omylem porušila svoji vlastní politiku zveřejňování bližších informací o zranitelnostech vždy až 2 týdny po vydání záplaty, aby uživatelé měli čas na její nasazení (Xen se používá i v obřích projektech typu Amazon Web Services, kde aktualizace může být složitější/delší).

Oprava Cisco ASA

Zařízení řady Cisco Adaptive Security Appliance (firewally, přepínače, směrovače i čistě softwarové moduly) obsahovala kritickou zranitelnost. Chybu CVE-2016-1287 mohl vzdálený útočník zneužít zasláním speciálních UDP paketů. Zranitelnost, na kterou upozornili výzkumníci firmy, Exodus Intelligence, je již opravena, záplatu se doporučuje nasadit co nejrychleji. Pokusy o zneužití zatím nebyly oznámeny, projevily by se zřejmě hlavně růstem provozu na portu 500, eventuálně 4500.

Počet domén zabezpečených pomocí DNSSEC v roce 2015 představoval 477 037 z celkových 1 230 330 domén druhé úrovně v TLD .cz. V roce 2015 se oproti roku 2014 podíl takto zabezpečených domén prakticky nezměnil. (Zdroj: Domain Report 2015 sdružení CZ.NIC)

CSIRT varuje/oznamuje

Byla opravena závažná chyba v knihovně glibc používané v linuxových distribucích i dalších operačních systémech. Zranitelnost může vést ke vzdálenému spuštění kódu. Poznámka: Opravená verze má číslo 2.18. Vlastní chyba se týkala překladu doménových jmen, když příliš dlouhá číselná adresa mohla vyvolat přetečení zásobníku.

Siemens vydal aktualizaci firmwaru pro své zařízení SIMATIC S7-1500 z řady programovatelných automatů (PLC). Zalátané zranitelnosti umožňovaly útok na dostupnost zařízení (DoS), i když pouze útočníkům zevnitř sítě. (Zdroj: Národní centrum kybernetické bezpečnosti)

Ze světa firem

Nový maninframe IBM z13s má být optimalizován pro prostředí hybridního cloudu a integrace šifrování do hardwaru (včetně použití speciálních koprocesorových karet) umožňuje zabezpečit data bez většího dopadu na výkon systému. Mainframe se dodává i se specializovaným bezpečnostním softwarem a službou Cyber Security Analytics; součástí je učení běžného chování uživatelů a na tomto základě pak detekce anomálních situací. (Zdroj: tisková zpráva společnosti IBM)

Axis představil nástroj Site Designer – webovou aplikaci, která umožňuje projektantům integrovaných systémů a instalačním firmám ušetřit čas a námahu potřebnou při návrhu ucelených bezpečnostních řešení. Aplikace obsahuje šablony pro celou škálu bezpečnostních požadavků a poskytuje interaktivní vedení při návrhu systémů až do 100 kamer. (Zdroj: tisková zpráva společnosti Axis Communications)

Securitas nabízí český stavebním firmám nový typ mobilního zabezpečení – na bázi dočasné instalace IP kamer (jako doplnění fyzické ostrahy i nezávisle na ní). (Zdroj: tisková zpráva společnosti Securitas)

Česká spořitelna upozorňuje na novou phishingovou kampaň; podvodné e-maily obsahující odkaz na „přihlašovací web“ měly jako adresu odesílání uvedeno servis.24.com. (Zdroj: tisková zpráva České spořitelny)

Visa Europe oznámila rozšíření své platební tokenizační služby, tj. rozšíření stávající podpory mobilních bezkontaktních plateb. (Zdroj: tisková zpráva asociace Visa Europe)

Představena byla služba Barracuda Vulnerability Manager, nástroj pro kontrolu zabezpečení webů, který provádí testování nejčastějších zranitelností (SQL injection, cross-site scripting...). (Zdroj: tisková zpráva společnosti Gesto Communications (distributor Barracuda pro ČR a SR))

Podíl spamu na veškeré e-mailové komunikaci v roce 2015 poklesl na 55 %. Rok předtím to bylo o 11 % více. Více než tři čtvrtiny (79 %) všech odeslaných e-mailů byly menší než 2 kB, což ukazuje na trvalý pokles velikosti e-mailů spamovacích kampaní. Co se týče témat ve phishingu, objevuje se už i využívání olympiády v Brazílii. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Již asi 10 let působící skupina Poseidon má být zajímavá mj. tím, že její phishing i mlaware se zaměřuje na systémy s brazilskou portugalštinou. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Psali jsme na ITBiz.cz

Na téma zabezpečení na ITBiz viz také:

Malware může z ERP pronikat do průmyslových systémů SCADA

Obrana vybuduje novou datovou síť odolnou proti kyberútokům

Úřad rozdělil veřejnou zakázku na dvě části. V první etapě, která je předmětem aktuální zakázky, má být budována páteřní a přístupová vrstva datové sítě. Navazující druhá etapa bude zaměřena na služby, zejména hlasovou komunikaci, a související doplnění lokálních sítí.


Komentáře

RSS 

Komentujeme

Agilita a devops, přepracování a vyhoření

Pavel Houser , 12. červenec 2018 12:30
Pavel Houser

Michael Cote na The Register upozorňuje na častý problém: nové „agilní“ metody vývoje, všechny příst...

Více







RSS 

Zprávičky

Čip v občanském průkazu si zatím aktivovala třetina lidí

ČTK , 20. červenec 2018 08:00

Prostřednictvím Portálu občana lidé mají přístup např. k údajům o důchodu nebo si mohou pořídit výpi...

Více 0 komentářů

Red Hat Ansible Engine přináší další automatizaci cloudu

Pavel Houser , 19. červenec 2018 13:52

Nejnovější verze platformy Red Hat Ansible Engine 2.6 rozšiřuje automatizaci cloudů AWS, Google Clou...

Více 0 komentářů

Samsung chystá na příští rok telefon se sklopným displejem

ČTK , 19. červenec 2018 10:00

Displej půjde složit na polovinu jako peněženku. Ve složeném stavu je na přední straně přístroje men...

Více 0 komentářů

Kalendář

04. 08.

09. 08.
Black Hat USA 2018
09. 08.

12. 08.
DEF CON 26
06. 09.

07. 09.
Humusoft Technical Computing Camp 2018

Starší zprávičky

Internet Mall snížil ztrátu, tržby mu vzrostly na 7,2 miliardy Kč

ČTK , 18. červenec 2018 17:29

Internet Mall mj. investuje do distribučního centra v Jirnech u Prahy, které by mělo sloužit 7 střed...

Více 0 komentářů

Google dostal kvůli Androidu od EK rekordní pokutu 4,34 mld. eur (aktualizace)

ČTK , 18. červenec 2018 13:26

Google využil Android k upevnění dominantní pozice svého internetového vyhledávače, uvádí EK....

Více 0 komentářů

EK oznámí rozhodnutí o pokutě pro Google

ČTK , 18. červenec 2018 12:10

Google dostal od EK za zneužití dominantního postavení již koncem loňského června pokutu 2,42 miliar...

Více 0 komentářů

Americká Workday koupila českou firmu Stories

ČTK , 18. červenec 2018 09:00

Českou firmu Stories založili tři datoví odborníci, kteří si dali za cíl změnit řízení velkých firem...

Více 0 komentářů