Ważna poprawka od Cisco

W tym tygodniu Cisco ogłosiło dostępność poprawek dla poważnej luki w zabezpieczeniach AnyConnect Secure Mobility Client.

Ujawniona po raz pierwszy w listopadzie 2020 r. podatność dotyczy kanału komunikacji międzyprocesowej (IPC) bezpiecznej aplikacji VPN i może zostać wykorzystana przez lokalnego atakującego w celu spowodowania uruchomienia złośliwego skryptu przez użytkownika AnyConnect. Wykorzystanie błędu wymaga uwierzytelnienia.

Po ujawnieniu problemu Cisco poinformowało klientów, że exploit typu „proof-of-concept” (PoC) był już dostępny. Jednak wydaje się, że exploit nie jest łatwy do znalezienia w sieci i nie ma dowodów na to, że został wykorzystany w atakach.

Sklasyfikowana jako CVE-2020-3556 i posiadająca wynik CVSS 7,3, podatność dotyczy wersji klienta AnyConnect Secure Mobility Client dla systemów Linux, Windows i macOS przed wersją 4.10.00093.

Osoba atakująca może wykorzystać błąd, wysyłając spreparowany komunikat IPC do nasłuchiwania IPC klienta AnyConnect, co może skutkować wykonaniem skryptu z takimi samymi uprawnieniami, jak docelowy użytkownik AnyConnect.

Aby skutecznie wykorzystać lukę, osoba atakująca potrzebuje ważnych poświadczeń użytkownika dla wielu kont na komputerze, na którym działa klient AnyConnect, i musi zalogować się do systemu podczas ustanawiania lub ustanawiania aktywnej sesji AnyConnect. Potrzebne są również możliwości wykonywania kodu w systemie.

Firma wyjaśnia również, że wada nie może zostać wykorzystana na laptopach używanych przez jednego użytkownika, nie może być wykorzystana zdalnie i nie pozwala na eskalację uprawnień. Cisco twierdzi, że powodem, dla którego wada ma wysoki poziom ważności, jest to, że umożliwia ona dostęp do danych innego użytkownika i przestrzeni wykonywania.



Kolejne ofiary ransomware DarkSide

Liczba ofiar ransomware DarkSide, tego samego, który spowodował zamknięcie Rurociągu Kolonialnego, rośnie. W zeszłym tygodniu poinformowano, że niemiecki gigant dystrybucji chemikaliów Brenntag zapłacił operatorom DarkSide 4,4 miliona dolarów okupu. Obecnie Toshiba Tec Corp ogłosiła „cyberatak na europejskie spółki zależne grupy Toshiba Tec”.

Reuters podał, że DarkSide jest odpowiedzialne za atak na Toshiba Tec i że miał on miejsce 4 maja 2021 roku.

11 maja 2021 r. Firma Flashpoint zajmująca się analizą zagrożeń stwierdziła z „umiarkowanym przekonaniem”, że ransomware DarkSide jest odmianą REvil. Działa od sierpnia 2020 r. w obecnej wersji. W listopadzie 2020 r. Grupa uruchomiła program partnerski (ransomware-as-a-service, czyli RaaS), zapewniający innym hakerom zmodyfikowaną wersję oprogramowania.

Flashpoint „ocenia z umiarkowaną pewnością, że gracze stojący za oprogramowaniem ransomware DarkSide są pochodzenia rosyjskiego i są prawdopodobnie byłymi podmiotami powiązanymi z grupą „REvil RaaS”. Skutkiem działania jako RaaS jest to, że dowolną liczbę różnych grup można sklasyfikować jako „DarkSide” działających jednocześnie – i trudno będzie ustalić, kto faktycznie odpowiada za każdą ofiarę.

Niewiele jeszcze wiadomo o „ataku Toshiby”. W wydanym oświadczeniu firma opisała go jedynie jako „cyberatak”, nie wspominając o żadnych datach. „Zgodnie z dochodzeniem”, mówi oświadczenie Toshiba Tec, „zasięg wpływu był ograniczony do niektórych regionów w Europie i nie potwierdziliśmy jeszcze faktu, że informacje dotyczące klientów wyciekły na zewnątrz”.

Rzecznik Toshiby powiedział AFP, że atak nie uderzył w inne części grupy, a ilość utraconej pracy była minimalna.

Niestety specjaliści twierdzą, że jeśli to naprawdę DarkSide, możemy spodziewać się kradzieży danych.

NHK, znana również jako Japan Broadcasting Corporation, powiedziała dzisiaj, że dowiedziała się od japońskiej firmy zajmującej się bezpieczeństwem cybernetycznym Mitsui Bussan Secure Directions, że DarkSide przyznał się do odpowiedzialności. Roszczenie zostało najwyraźniej złożone na stronie internetowej rzekomo założonej przez DarkSide w piątek.

„W oświadczeniu na stronie”, donosi NHK, „grupa stwierdziła, że włamała się do systemu podmiotu Toshiba we Francji i ukradła poufne informacje. Grupa twierdzi, że ukradła ponad 740 gigabajtów danych, w tym informacje o zarządzaniu, nowych firmach i dane osobowe”.

Sputnik – powszechnie uważany za tubę rzecznika rosyjskiego rządu – poinformował w czwartek na swojej stronie internetowej, że DarkSide wymienił kolejne cztery, inne firmy, do których środowiska uzyskał dostęp: „Włoska firma Valvitalia, francuski dostawca usług dla śmigłowców Heli-Union, amerykańska firma zajmująca się materiałami budowlanymi, Irving Materials i amerykańska firma All American Asphalt”. (podajemy za securityweek)

Sputnik twierdzi również, że DarkSide wydało oświadczenie „podkreślające, że nie ma żadnych motywów geopolitycznych i nie jest zatrudnione przez żaden rząd. Rzecznik Kremla Dmitrij Pieskow stanowczo utrzymywał, że Rosja nie ma nic wspólnego z atakami”.



Podatności w urządzeniach Wi-Fi

Dostawcy, których dotyczy problem, wydali zalecenia dotyczące bezpieczeństwa w odpowiedzi na niedawno ujawnione luki w zabezpieczeniach Wi-Fi, które są zbiorczo śledzone jako FragAttacks.

Kilkanaście identyfikatorów CVE zostało przypisanych do błędów FragAttacks (ataki fragmentacji i agregacji) odkrytych w zeszłym roku przez badacza Mathy Vanhoef, w tym trzy dla błędów projektowych i dziewięć dla błędów wdrożeniowych.

Vanhoef przetestował 75 urządzeń Wi-Fi i stwierdził, że wszystkie były dotknięte co najmniej jedną luką w zabezpieczeniach, ale na większość z nich wpłynęło wiele problemów. Sugeruje to, że zdecydowana większość – jeśli nie wszystkie – urządzenia z funkcjami Wi-Fi są narażone na ataki. Wady projektowe są trudniejsze do wykorzystania, w przeciwieństwie do słabości implementacji.

Badacz wykazał, że luki w zabezpieczeniach mogą pozwolić napastnikowi znajdującemu się w zasięgu Wi-Fi docelowego urządzenia na wykonanie różnych działań, w tym przekierowanie użytkowników do dowolnych witryn internetowych, przejęcie kontroli nad urządzeniami w sieci, ominięcie zapór routera, kradzieży informacji o użytkowniku i szpiegowaniu potencjalnej ofiary.

Niektórzy dostawcy, których dotyczy problem, zostali powiadomieni i otrzymali 9 miesięcy na wydanie poprawek. Wkrótce po tym, jak Vanhoef upublicznił swoje ustalenia, kilkunastu dostawców opublikowało porady, a niektóre organizacje, takie jak Wi-Fi Alliance, opublikowały oświadczenia na temat FragAttacks.

Większość dostawców przyznała błędom średni stopień ważności. Niektórzy już wydali aktualizacje, które powinny usunąć luki, podczas gdy inni twierdzą, że pracują nad poprawkami.

Oto lista dostawców i innych organizacji, które do tej pory opublikowały porady i oświadczenia: Aruba Networks, Arista, Ubuntu, Cisco, Debian, Dell, Intel, Juniper Networks, Lenovo, Microsoft, NETGEAR, Sierra Wireless, Synology, SUSE, Wi-Fi Alliance, Zyxel.


Podziel się z innymi tym artykułem!