SecurityNewsProsinec2023.jpg

 

Sledujeme pro Vás, s našimi partnery, aktuální informace o kybernetických hrozbách v české republice. V prosinci došlo k mírnému nárustu evidovaných incidentů oproti měsíci listopadu, ale i přesto byla výsledná hodnota pod ročním průměrem, který se pohyboval okolo 19 incidentů měsíčně. NÚKIB registroval během prosince pouze méně významné kybernetické incidenty, které v roce 2023 tvořily více než čtyři pětiny všech evidovaných incidentů.

Podobně jako v průběhu celého roku, také v prosinci v rámci klasifikace incidentů dominovala kategorie Dostupnosti. Incidenty z této kategorie v roce 2023 tvořily téměř dvě třetiny všech evidovaných incidentů. Mimo to NÚKIB řešil také incidenty z kategorií Informační bezpečnost a Průnik.

Náš partner Comguard také pravidelně sleduje aktuální hrozby kyberbezpečnosti, které registruje ve své platformě ThreatGuard, zde jsou ty, které se objevily během prosince:

Comguard Security News za prosinec

Zastaralé Exchange Servery

Podle výsledků skenování od The ShadowServer Foundation je na veřejném internetu dosažitelných téměř 20 000 serverů Microsoft Exchange, které dosáhly konce životnosti. Další zdroje uvádí dokonce počty přes 30 000. Jedná se převážně o verze Exchange server 2013, v o něco menší míře pak Exchange server 2010 a dokonce několik stovek instancí Exchange server 2007. Na všech těchto serverech hrozí zneužití zranitelností jako ProxyLogon, ProxyShell a ProxyToken a získání citlivých informací.

Zdroj: https://www.bleepingcomputer.com/news/security/over-20-000-vulnerable-microsoft-exchange-servers-exposed-to-attacks/

 

Ukrajinci zažili najhorší kybernetický útok od začiatku vojny

V polovici decembra prestali na Ukrajine fungovať poskytované služby jedného z najväčších mobilných operátorov Kyivstar. Milióny klientov sa tak nedokázali pripojiť na mobilné dáta, posielať SMS a nikam sa dovolať. Oprava trvala celý týždeň, a počas tohto obdobia sa vypredali jednorazové SIM karty od konkurenčných operátorov. Za útokom stojí ruská hackerská skupina Sandworm, ktorá sa k útoku prihlásila. Predpokladá sa, že útočníci sa do internej siete dostali minimálne v priebehu novembra, a jednalo sa o mesiace plánovaný útok. Existujú podozrenia, že sa útočníci dostali aj k osobným údajom klientov vrátane ich pohybu a obsahu SMS správ. Tieto tvrdenia však Kyivstar nepotvrdil.

Zdroj: https://thehackernews.com/2024/01/russian-hackers-had-covert-access-to.html

 

Microsoft zrušil instalaci aplikací pomocí MSIX App Installer kvůli nájezdům ransomwaru

Microsoft musel koncem roku omezit systém App Installer, který ve Windows 10 a 11 umožňoval instalaci aplikací přímo z webu bez nutnosti stažení instalační aplikace do počítače. Tento způsob začal být vysoce zneužíván útočníky, kteří vytvořili napodobující stránky oficiálních aplikací typu TeamViewer, AnyDesk, Zoom, Tableau a díky optimalizaci je dokázali dostat na přední místa ve vyhledávačích. Za pomoci phishingu pak přesvědčili uživatele k instalaci těchto závadných aplikací, které pak použili k instalaci malwaru do postižených zařízení.

Zdroj: https://thehackernews.com/2023/12/microsoft-disables-msix-app-installer.html

 

LogoFAIL – zranitelnosti v parsování loga výrobce systému v UEFI

Společnost Binarly publikovala informaci o existenci zranitelností postihujících parsery obrázků v UEFI užívané pro zobrazování loga výrobců systémů při bootování počítačů, které lze údajně na zranitelných systémech využít k instalaci bootkitů. Dle již publikovaných informací jimi byla v době jejich objevení údajně postižena zařízení od všech významných výrobců. Zranitelnost umožňuje uložit závadné logo do EFI System Partition (ESP) nebo do nepodepsaných částí aktualizace firmware. Při spuštění systému je pak zpracován a načten takto podstrčený obrázek, který může obsahovat další kód a dojde k jeho spuštění. Tím umožní obejít bezpečnostní funkce jako je Intel Boot Guard, AMD Hardware-Validated Boot or ARM TrustZone-based Secure Boot.

Zdroj: https://thehackernews.com/2023/12/logofail-uefi-vulnerabilities-expose.html

 

Lock Screen bypass v Android 13 a 14

Vo verziách Android 13 a 14 bola objavená zraniteľnosť, ktorá umožňuje obídenie zámku obrazovky. Podľa dostupných informácií spoločnosť Google o tomto probléme vedela najmenej šesť mesiacov, pričom daný problém nebol riešený. Vplyv zneužitia sa líši v závislosti od inštalácie a konfigurácie aplikácie Google Maps a závažnosť sa výrazne zvyšuje, ak je aktivovaný režim DRIVING MODE.

Zdroj: https://securityaffairs.com/155588/hacking/android-14-13-lock-screen-bypass.html

 

Příklady hrozeb, které zachytil ThreatGuard

Navýšení oprávnění v NETGEAR ProSAFE Network Management Systém

Byla detekována zranitelnost v produktu NETGEAR ProSAFE Network Management System, jež umožňuje útočníkovi navýšit svá oprávnění na napadených instalacích. Pro její úspěšné zneužití je nezbytná minimální interakce s uživatelem. Uvedená zranitelnost existuje v metodě saveNodeLabel z důvodu nesprávné validace uživatelem zadaných dat, což umožňuje útočníkovi vložit libovolný script, navýšit svá oprávnění ke zdrojům, k nímž by normálně neměl mít přístup.

Návrh řešení týmu viz ThreatGuard-ID: 2975

 

Nová Zero-Day zranitelnost v prohlížeči Chrome

Společnost Google vydala bezpečnostní aktualizace pro webový prohlížeč Chrome, které řeší vysoce závažnou zero-day zranitelnost, která je aktivně zneužívána. Zranitelnost, které byl přidělen identifikátor CVE-2023-7024, byla popsána jako chyba přetečení bufferu v rámci WebRTC, kterou lze zneužít k pádu programu nebo spuštění libovolného kódu.

Návrh řešení týmu viz ThreatGuard-ID: 2974

 

Google Forms zneužívané na phishingové útoky

Pri phishingových útokoch sú zneužívané Google Forms, ktoré phishingovým útokom zvyšujú dôveryhodnosť tým, že zvyšujú zdanlivú pravosť pôvodných škodlivých e-mailov. Najnovší spôsob útoku, ktorý zistila spoločnosť Abnormal Security, je formulár vytvorený pomocou Google Forms, ktorý sa používa ako prostriedok na zdieľanie údajov o údajnom predplatnom. Formulár má povolené prijímanie odpovedí, ktoré odosiela kópiu odpovede respondentovi formulára e-mailom, takže útočník môže poslať pozvánku na vyplnenie formulára sám a získať tak odpovede. Použitie Google Forms je dômyselné aj v tom, že sa odpovede odosielajú z adresy "forms-receipts-noreply@google[.]com", ktorá je dôveryhodnou doménou, a preto je väčšia šanca, že budú obídené zabezpečené e-mailové brány.

Návrh řešení týmu viz ThreatGuard-ID: 2961

 

NUKIB statistiky za prosinec 2023

Počet kybernetických bezpečnostních incidentů nahlášených NÚKIB

Ačkoli v prosinci došlo k mírnému nárůstu evidovaných incidentů oproti předešlému měsíci, i nadále byla výsledná hodnota poměrně nízko pod ročním průměrem, který se pohyboval okolo 19 incidentů měsíčně.

 

Závažnost řešených kybernetických incidentů

Stejně jako v listopadu NÚKIB registroval během prosince pouze méně významné kybernetické incidenty, které v roce 2023 tvořily více než čtyři pětiny všech evidovaných incidentů.

 

Klasifikace incidentů nahlášených NÚKIB

Stejně jako v průběhu celého roku, také v prosinci v rámci klasifikace incidentů dominovala kategorie Dostupnosti. Incidenty z této kategorie v roce 2023 tvořily téměř dvě třetiny všech evidovaných incidentů. Stejně jako v uplynulých měsících byly vyšší počty incidentů vedoucí k narušení dostupnosti spojeny s DDoS útoky.

NÚKIB v průběhu prosince řešil incidenty v dalších dvou kategoriích:

  • Během prosince byl evidován průnik do systému regulovaného subjektu, který vedl k úniku identifikačních a kontaktních údajů zákazníků a některých dalších údajů. Prvotní vektor útoku je prozatím neznámý.
  • NÚKIB v rámci kategorie Informační bezpečnost zaznamenal útok dosud neznámého ransomwaru, během kterého útočníci zašifrovali data subjektu a následně také smazali jejich zálohy.

 

Trendy v kybernetické bezpečnosti za prosinec pohledem NÚKIB

Phishing, spear-phishing a sociální inženýrství

NÚKIB v prosinci nezaregistroval žádný případ, v rámci kterého by bylo využito phishingu či jiných metod sociálního inženýrství.

Malware

V prosinci probíhaly kontinuální aktivity v oblasti malwarové analýzy se zaměřením na vybrané incidenty.

Zranitelnosti

Během prosince NÚKIB nevydal žádné plošné upozornění týkající se nových zranitelností.

Ransomware

NÚKIB evidoval pouze jeden incident spojený s ransomwarem. Útočníci získali přístup skrze do internetu otevřený protokol RDP (Remote Desktop Protocol) a posléze zašifrovali soubory a databáze daného subjektu, včetně jejich záloh.

Útoky na dostupnost

V prosinci došlo k mírnému nárůstu DDoS útoků vedených různými aktéry. Za útoky stála například skupina NoName057(16), ale také skupina Anonymous Russia, která se na české cíle zaměřila po více než půl roce. U několika DDoS útoků pak jejich původce není prozatím známý.

Zaměřeno na hrozbu: Upozornění na zranitelnost v aplikaci TeamCity

 

Dne 13. prosince vydala americká kyberbezpečnostní agentura CISA (Cybersecurity & Infrastructure Security Agency) spolu s dalšími americkými, polskými a britskými bezpečnostními institucemi společné varování před zranitelností v softwarovém řešení TeamCity společnosti JetBrains. Konkrétně upozorňují na zranitelnost CVE-2023-42793, která při zneužití umožňuje útočníkovi vzdáleně spouštět škodlivý kód. Podle CISA je tato zranitelnost aktivně zneužívána skupinou APT29 (též známá jako CozyBear či NOBELIUM/Midnight Blizzard) spojovanou s ruskou Službou vnější rozvědky (SVR). Útočníci ji využívají jako prvotní vektor útoku za účelem získání přístupu do infrastruktury oběti, kdy následně provádí hlubší průzkum sítě a pokouší se o zajištění dlouhodobé perzistence.

Softwarové řešení TeamCity je převážně CI/CD (continuous integration & continuous delivery) platformou. CI/CD platformy jsou obvykle využívány programátory a DevOps specialisty pro psaní kódu, jeho verzování a následné testování a integraci. Jeden z hlavních důvodů, proč vývojářské společnosti nasazují podobná řešení, je ten, že umožňuje automatizovat velké množství procesů a aktivit spojených s vývojem software.

NÚKIB v kontextu této kampaně chce upozornit na nutnost kontroly dodavatelského řetězce. Pro možnost kontroly dodavatelské řetězce je nutné, aby si každý dodavatel vedl tzv. SBOM (software bill of materials). V rámci tohoto seznamu jednotlivých softwarových komponent lze následně jednoduše dohledat zranitelnou komponentu, identifikovat její zařazení v infrastruktuře a sjednat nápravu.

Při probíhajícím vyhodnocování aktuální kampaně NÚKIB nezaznamenal vysoké riziko zneužívání konkrétní zranitelnosti v softwarovém řešení TeamCity v rámci své konstituence, nicméně i přes to NÚKIB upozorňuje na potřebu kontroly dodavatelského řetězce a při detekování zranitelné verze softwarového řešení TeamCity mitigovat jeho zneužití, v lepším případě aktualizovat tuto komponentu.

 

Zdroje: https://nukib.gov.cz/download/publikace/vyzkum/kyberneticke-incidenty-pohledem-NUKIB-prosinec-2023.pdf

            Comguard

 

Google opravuje dvě zranitelnosti Androidu zneužité při cílených útocích

Google varuje před omezeným, cíleným zneužitím dvou zranitelností vyřešených nejnovější aktualizací zabezpečení Androidu.

Pozor na phishing! Nová vlna podvodů cílí i na Česko

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) ve středu 24.října 2024 vydal varování před rozsáhlou phishingovou kampaní, která cílí i na uživatele  v Česku.

Ochrana, na kterou se můžete spolehnout – Palo Alto Networks

V dnešním světě, kde kybernetické hrozby neustále rostou a jsou stále sofistikovanější, je bezpečnost firemních dat klíčová. Mnoho podniků si to uvědomuje až ve chvíli, kdy už je pozdě.

Jak vybrat vhodné zálohovací řešení pro vaši firmu: Srovnání zálohovacích systémů Veeam, Veritas, Acronis a Nakivo

Správně nastavené zálohovací řešení je pro každou firmu nezbytné, protože ztráta dat může vést k vážným finančním ztrátám, ztrátě důvěry klientů a v některých případech i k likvidaci firmy. V tomto článku si představíme čtyři hlavní zálohovací...

Zvýšené riziko kyberůtoku po návratu z dovolené. Otestujte svoje zaměstnance a zlepšete svou bezpečnost.

Léto skončilo a s návratem do práce přichází také zvýšené riziko kybernetických útoků. Kyberzločinci se často zaměřují na zaměstnance, kteří po dovolené povolí v ostražitosti. Právě teď je ten správný čas, abyste se ujistili, že váš tým je...

Nové chyby v aplikacích Microsoft pro macOS mohou umožnit hackerům získat neomezený přístup

V aplikacích Microsoft pro macOS bylo objeveno osm zranitelností, které mohou útočníci využít k získání zvýšených oprávnění nebo přístupu k citlivým datům obejitím modelu oprávnění operačního systému, který se zakládá na frameworku Transparency,...