Security Week 41: тиждень патчів, 12-річна уразливість в sshd повертається, StrongPity APT

минулого тижня в Денвері пройшла 26-я за рахунком конференція VB, організована авторитетним порталом-довгожителем Virus Bulletin. Конференція з тематики схожа з BlackHat, але в ній значно менше шоу і куди більше технічних деталей. Експерти «Лабораторії» виступали на конференції з двома доповідями. З одним, про помилкові докази приналежності шкідливого коду і цільових атак, пропоную ознайомитися самостійно, а про інший розповім докладніше.

Атака StrongPity (новина, исследование) цікава не стільки своїми можливостями по крадіжці даних (тут взагалі важко чим-небудь здивувати), скільки правильним таргетуванням жертв. Організатори атаки створили кілька веб-сторінок, мимикрирующих під офіційні сайти популярного софту, конкретно WinRAR і TrueCrypt. Посилання на ці веб-сайти також вдалося протягнути на пару софтових агрегаторів.

На підроблені сайти поширювалися підготовлені дистрибутиви вищевказаного софта: вони працювали, але мали додаткову функціональність, спрямовану на збір і крадіжку даних. Крім того, шкідливі компоненти дозволяли більш детально профілювати жертв. Був передбачений пошук спеціалізованого админского софта, для шифрування або для віддаленого доступу: putty, winscp, пара клієнтів Remote Desktop і так далі. Трактувати таку поведінку можна по-різному. По-перше, очевидно, велися прицільні спроби атакувати системних адміністраторів, апріорі мають розширені права в мережі жертви. По-друге, таргетування жертв, використовують софт для шифрування даних дозволяє припустити прицільний пошук тих, кому є що приховувати.

Мережеві пристрої схильні до вразливості в SSHD 12-річної давності
Новость. Исследование Akamai.

Потужна DDoS-атака на сайт експерта-безпечника Брайана Кребса у вересні (новина) привернула підвищену увагу до мережевих автономним пристроїв, які також можна віднести і до «інтернету речей». Завдяки викладеному в мережу вихідного коду софта для автоматизованого і злому вразливих пристроїв, було остаточно підтверджено, що для атаки був використаний, нехай і не вперше, зате з максимальним масштабом, саме IoT-ботнет. Проблема була відстежено (новина) до конкретного OEM-виробників пристроїв — цифрових відеорекордерів, систем відеоспостереження та IP-камер. На жаль, говорити про «злом» пристроїв цього вендора не доводиться: зашитий пароль суперкористувача швидше можна трактувати як повна відсутність захисту у девайсів, постійно включених в мережу.

Але є і трохи менш тривіальні варіанти. Дослідники компанії Akamai на цьому тижні опублікували роботу, у якій проаналізували вразливість мережевого відеорекордера. Дослідження почалося з скарги клієнта на шкідливу активність, асоційовану з подібним пристроєм. Аналіз безпеки рекордера показав наступне: веб-інтерфейс рекордера закритий дефолтних паролем (admin:admin). Веб-інтерфейс, втім, не обов'язково доступний при підключенні з-за меж локальної мережі, зате можливо підключення ssh. Зайти з дефолтними паролем по ssh, втім, теж не вийде — така опція заблокована в налаштуваннях.



На жаль, за замовчуванням можливе підключення по ssh в режимі проксі (включена опція AllowTcpForwarding), що дозволяє обійти обмеження. В результаті рекордер (не виключено, що й інші пристрої теж) можна як мінімум використовувати для перевалки шкідливого трафіку. Як максимум — використовувати пристрій для злому локальної мережі, в якій воно встановлене. Примітно, що дана уразливість (швидше неправильна конфігурація) була описанаCVE-2004-1653) 12 років тому стосовно до OpenSSH, але зустрічається досі.

Здається прийшла пора оголосити місяць боротьби з дефолтними паролями.

Тиждень патчів: Microsoft, Adobe, Cisco, Chrome
Цей тиждень також відзначилася великою кількістю латок до популярного або стратегічно важливого софту. Microsoft (новина) закрив 10 уразливостей, з яких п'ять були кваліфіковані як zero-day — вже були зафіксовані випадки атак з їх використанням на момент випуску патча. Уразливості, здатні призвести до віддаленого виконання коду, закриті в Microsoft Edge, MS Office (обробка документів RTF) і компонент Microsoft Internet Messaging API (може бути эксплуатирована через MS Outlook).



Adobe квартальним патчем закрила понад 80 дір у своїх продуктах (новость)більшість Acrobat і Reader, плюс трохи вразливостей в Adobe Flash. Cisco, якій нещодавно довелося швидко латати уразливості, розкриті у витоку ShadowBrokers, закрила ще кілька критичних дірок в NX-OS, використовуваної в роутерах Nexus. Нарешті, Google закрила 21 уразливість в браузері Chrome, виявлених у рамках роботи з незалежними дослідниками за програмою Bug Bounty. Серед них — дві серйозні уразливості у вбудованому переглядачі PDF.

Що ще сталося:
На цьому тижні Reuters процитував генерального директора МАГАТЕ Юкія Амано, який публічно підтвердив факт успішної кібератаки на атомну електростанцію. Подробиць немає, відомо лише, що атака викликала «збої в роботі». Імовірно атака сталася 2 чи 3 роки тому.

Цікаве исследование про кейлоггер, який краде дані кредиток на стороні веб-сервера. Очевидно підвищення «ефективності» атаки при такому сценарії.

Давнину
Сімейство «Little»

Нерезидентні дуже небезпечні віруси. Довжина — всього 45 або 46 байт. Вкрай примітивні. Записують себе в початок всіх .COM-файлів поточного каталогу, не зберігаючи старого вмісту цих файлів. Уражені файли, природно, не відновлюються.

Цитата по книзі «Комп'ютерні віруси в MS-DOS» Євгена Касперського. 1992 рік. Сторінка 37.

Disclaimer: Ця колонка відображає лише приватна думка її автора. Воно може збігатися з позицією компанії «Лабораторія Касперського», а може і не збігатися. Тут уже як пощастить.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.