Zestawienie tygodniowe 8 – 15 listopada

BotenaGo nowe zagrożenie dla routerów i urządzenia Internetu rzeczy

Zgodnie z ostrzeżeniem AT&T Alien Labs nowo odkryte złośliwe oprogramowanie oparte na Golang wykorzystuje w atakach ponad 30 exploitów, potencjalnie narażając miliony routerów i urządzenia Internetu rzeczy (IoT) na ryzyko infekcji złośliwym oprogramowaniem.

Zagrożenie o nazwie BotenaGo wdraża backdoora na zaatakowanym urządzeniu, a następnie czeka na polecenia – od zdalnego operatora lub złośliwego modułu na urządzeniu – w celu zainicjowania ataku.

W ramach typowego ataku BotenaGo złośliwe oprogramowanie najpierw mapuje potencjalne cele do funkcji ataku, a następnie wysyła do celu zapytanie za pomocą żądania GET, po czym przeszukuje zwrócone dane, a dopiero potem próbuje wykorzystać zagrożony cel.

Na zaatakowanym urządzeniu złośliwe oprogramowanie tworzy dwa porty backdoora: 31412 i 19412 i zaczyna nasłuchiwać na porcie 19412, aby odebrać adres IP ofiary. Następnie przechodzi przez zmapowane funkcje exploitów, aby wykonać je za pomocą dostarczonego adresu IP.

Badacze AT&T Alien Labs zidentyfikowali łącznie 33 funkcje exploitów, które inicjuje BotenaGo.

„Jako ładunek BotenaGo będzie wykonywać zdalne polecenia powłoki na urządzeniach, w których luka została skutecznie wykorzystana. W zależności od zainfekowanego systemu złośliwe oprogramowanie wykorzystuje różne odsyłacze, każdy z innym ładunkiem” – wyjaśniają badacze.

Złośliwe oprogramowanie nie ma aktywnych funkcji komunikacji dowodzenia i kontroli (C&C), co sugeruje, że inny moduł jest prawdopodobnie wdrażany na zhakowanych urządzeniach wraz z BotenaGo lub że zagrożenie będące obecnie w fazie testów lub mogło zostać przypadkowo ujawnione.

Intel i AMD łatają na potęgę

Producenci chipów Intel i AMD wydali w tym tygodniu łatki dla wielu luk w zabezpieczeniach w szerokiej gamie produktów, w tym poprawki dla szeregu problemów wysokiego ryzyka w sterownikach oprogramowania.

Firma AMD opublikowała w tym tygodniu trzy biuletyny dokumentujące co najmniej 27 problemów związanych z bezpieczeństwem w sterowniku graficznym AMD dla systemu Windows 10.

Wykorzystanie tych luk może pozwolić atakującemu na eskalację uprawnień w podatnym systemie, wyciek informacji, ominięcie KASLR, spowodowanie odmowy usługi lub zapisanie dowolnych danych w pamięci jądra.

AMD ocenił 18 luk w zabezpieczeniach jako luki o wysokim stopniu ważności, a pozostałym 9 przypisał średnie ryzyko. Niektóre z tych problemów zostały zidentyfikowane i zgłoszone w zeszłym roku, a wszystkie zostały rozwiązane wraz z wydaniem oprogramowania Radeon w wersji 21.4.1 i nowszej oraz sterownika 21.Q2 Enterprise Driver.

Oddzielnie Intel opublikował w tym tygodniu łącznie 25 porad, w których poprawki dla wielu z tych luk są dostępne również dla procesorów Intel Core ze zintegrowaną grafiką Radeon RX Vega M GL.

Błędy dotyczą procesorów Intel Core i5-8305G i i7-8706G, które mają zintegrowaną grafikę AMD, a także sterownik graficzny Intel dla 64-bitowego systemu Windows 10 dla NUC8i7HNK i NUC8i7HVK. Intel powiedział, że wersja 21.10 lub nowsza tych sterowników usuwa błędy.

Intel dostarczył również łatki dla luk o wysokim poziomie istotności w produktach PROSet/Wireless WiFi i Killer WiFi, produktach Data Center (DC) na dyskach półprzewodnikowych (SSD), sterowniku SoC Watch i procesorach Intel.

Firma twierdzi, że przeciwnicy mogą wykorzystać te luki w celu spowodowania odmowy usługi, eskalacji uprawnień lub wycieku informacji.