Tydzień bez wycieku tygodniem straconym – ekspozycja dwóch chińskich baz danych


Cybernews ujawnił, że wykrył dwie niezabezpieczone bazy danych z milionami rekordów, należące do chińskich firm świadczących różne rodzaje usług. Jedna baza danych należy do Xiaoxintong, który oferuje aplikacje i usługi skierowane do osób starszych. Xiaoxintong obsługuje prawie 83% wszystkich osób starszych w Chinach, czyli około 200 mln obywateli. Inna odkryta baza danych wydaje się być połączona z narzędziami Shanghai Yanhua Smartech, które zapewniają usługi związane z inteligentnymi budynkami.

Baza danych Xiaoxintong, zawiera poufne informacje, takie jak lokalizacje GPS, numery telefonów komórkowych, adresy, haszowane hasła i inne. Druga baza danych, która może pochodzić z Shanghai Yanhua Smartech (niepotwierdzone, ale bardzo prawdopodobne), zawiera jeszcze bardziej wrażliwe dane, takie jak łatwo dekodowane pliki audio, nazwiska, numery identyfikacyjne pracowników, tętno, poziomy tlenu, lokalizacje GPS i inne. Łączna liczba zapisów dla obu baz danych to potencjalnie 5 milionów wpisów. Na szczęście obie bazy danych zostały zabezpieczone.

Cyberprzestępcy mają możliwość sprzedaży tych poufnych danych, potencjalnie zarabiając nawet 1 USD za rekord. Informacje te można jednak wykorzystać w połączeniu z innymi danymi w celu skuteczniejszego oszukiwania użytkowników, których informacje są zawarte w bazie danych. Może to również obejmować bardziej ukierunkowane kampanie phishingowe.


Wybuchy w irańskich obiektach jądrowych i wojskowych, rzekomo spowodowane cyberatakami


W ostatnich tygodniach miało miejsce kilka incydentów w głównych irańskich obiektach przemysłowych, w tym pożar w miejscu wzbogacania nuklearnego w Natanz i wybuch w kompleksie wojskowym Parchin w pobliżu Teheranu. Ten ostatni uważany jest za centrum produkcji pocisków. Według doniesień, niedawne pożary i wybuchy w ważnych obiektach w Iranie mogły zostać celowo spowodowane jako część operacji obejmującej cyberataki. Urzędnicy irańscy obwinili eksplozję Parchina za wyciek gazu, a w przypadku Natanz zlekceważyli incydent twierdząc, że miał on wpływ tylko na budowany magazyn.

Jednak niektórzy uważają, że szkody były większe niż przyznał Teheran, a w przypadku Natanz również zdaje się, że doszło do eksplozji. Eksperci powiedzieli Associated Press, że incydent w Natanz najwyraźniej miał wpływ na zakład produkcyjny.

Natanz, jedno z głównych obiektów nuklearnych w Iranie, zostało dziesięć lat temu celem ataku ze szkodliwym oprogramowaniem Stuxnet w ramach kampanii rzekomo prowadzonej przez Stany Zjednoczone i Izrael. Według niektórych raportów Izrael mógł być również zaangażowany w ostatni incydent.

Kuwejcka gazeta Al-Jarida twierdzi, że dowiedziała się ze swoich źródeł, że pożar w Natanz był wynikiem cyberataku wymierzonego w systemy sprężania gazu, a wybuch prawdopodobnie spowodował pęknięcie budynku reaktora. Ta sama gazeta poinformowała, że incydent w Parchin był również spowodowany cyberatakiem.

Izrael ujawnił w kwietniu, że systemy kontroli przemysłowej (ICS) w niektórych swoich obiektach wodnych były atakowane przez wyrafinowanego „aktora”. Iran był głównym podejrzanym w tym ataku, którego celem mogło być zakłócenie lub zatrucie zaopatrzenia Izraela w wodę. Jednak Izrael powiedział, że udaremnił atak, zanim powstały jakiekolwiek szkody.


Luki w Apache Guacamole


Badacze bezpieczeństwa Check Point ostrzegają, że luki w zdalnym wykonywaniu kodu i ujawnianiu informacji usunięte w Apache Guacamole mogą być przydatne w przypadku zagrożeń ze strony podmiotów atakujących przedsiębiorstwa.

Apache Guacamole, to aplikacja zdalnego pulpitu typu open source. Aplikacja HTML5, która może być używana na wielu urządzeniach bezpośrednio z przeglądarki internetowej. Jedno z popularniejszych na rynku narzędzi do zdalnego dostępu, jest także wbudowane w różne rozwiązania w zakresie dostępności sieci i bezpieczeństwa. Guacamole obsługuje protokoły, takie jak VNC, RDP i SSH, i umożliwia pracownikom dostęp do komputerów firmowych ze zdalnych lokalizacji przy użyciu przeglądarki. Połączenie przechodzi jednak przez serwer guacamole, który obsługuje komunikację między użytkownikiem a komputerem docelowym.

Badając rozwiązanie, badacze Check Point odkryli luki w zabezpieczeniach, które można wykorzystać za pośrednictwem zainfekowanej maszyny w środowisku przedsiębiorstwa, aby przejąć i kontrolować komunikację.

W oparciu o poprzednie odkrycie luk w FreeRDP, badacze bezpieczeństwa zidentyfikowali dwa problemy w iteracjach Apache Guacamole, które nie implementują dostępnych łat dla FreeRDP. Opracowali także atak, który może zasadniczo umożliwić zdalne wykonanie kodu. Usterki to CVE-2020-9497 i CVE-2020-9498. Podatności obejmują, odpowiednio, ujawnianie informacji (zbiór trzech błędów) i problemy po użyciu.

Wykorzystując obie luki, badacze Check Point byli w stanie zaimplementować exploit zdalnego wykonania kodu (RCE) umożliwiający złośliwemu komputerowi korporacyjnemu, który działa jak serwer RDP, przejęcie kontroli nad procesem guacd, gdy użytkownik zażąda połączenia z zainfekowaną maszyną.

Luki zostały zgłoszone do Apache 31 marca, ciche poprawki zostały wprowadzone na początku maja, a ostatnie poprawki zostały wydane 28 czerwca, w wersji Guacamole 1.2.0.