Zestawienie tygodniowe 29 czerwca – 6 lipca

Wybuchy w irańskich obiektach jądrowych i wojskowych, rzekomo spowodowane cyberatakami

W ostatnich tygodniach miało miejsce kilka incydentów w głównych irańskich obiektach przemysłowych, w tym pożar w miejscu wzbogacania nuklearnego w Natanz i wybuch w kompleksie wojskowym Parchin w pobliżu Teheranu. Ten ostatni uważany jest za centrum produkcji pocisków. Według doniesień, niedawne pożary i wybuchy w ważnych obiektach w Iranie mogły zostać celowo spowodowane jako część operacji obejmującej cyberataki. Urzędnicy irańscy obwinili eksplozję Parchina za wyciek gazu, a w przypadku Natanz zlekceważyli incydent twierdząc, że miał on wpływ tylko na budowany magazyn.

Jednak niektórzy uważają, że szkody były większe niż przyznał Teheran, a w przypadku Natanz również zdaje się, że doszło do eksplozji. Eksperci powiedzieli Associated Press, że incydent w Natanz najwyraźniej miał wpływ na zakład produkcyjny.

Natanz, jedno z głównych obiektów nuklearnych w Iranie, zostało dziesięć lat temu celem ataku ze szkodliwym oprogramowaniem Stuxnet w ramach kampanii rzekomo prowadzonej przez Stany Zjednoczone i Izrael. Według niektórych raportów Izrael mógł być również zaangażowany w ostatni incydent.

Kuwejcka gazeta Al-Jarida twierdzi, że dowiedziała się ze swoich źródeł, że pożar w Natanz był wynikiem cyberataku wymierzonego w systemy sprężania gazu, a wybuch prawdopodobnie spowodował pęknięcie budynku reaktora. Ta sama gazeta poinformowała, że incydent w Parchin był również spowodowany cyberatakiem.

Izrael ujawnił w kwietniu, że systemy kontroli przemysłowej (ICS) w niektórych swoich obiektach wodnych były atakowane przez wyrafinowanego „aktora”. Iran był głównym podejrzanym w tym ataku, którego celem mogło być zakłócenie lub zatrucie zaopatrzenia Izraela w wodę. Jednak Izrael powiedział, że udaremnił atak, zanim powstały jakiekolwiek szkody.

Luki w Apache Guacamole

Badacze bezpieczeństwa Check Point ostrzegają, że luki w zdalnym wykonywaniu kodu i ujawnianiu informacji usunięte w Apache Guacamole mogą być przydatne w przypadku zagrożeń ze strony podmiotów atakujących przedsiębiorstwa.

Apache Guacamole, to aplikacja zdalnego pulpitu typu open source. Aplikacja HTML5, która może być używana na wielu urządzeniach bezpośrednio z przeglądarki internetowej. Jedno z popularniejszych na rynku narzędzi do zdalnego dostępu, jest także wbudowane w różne rozwiązania w zakresie dostępności sieci i bezpieczeństwa. Guacamole obsługuje protokoły, takie jak VNC, RDP i SSH, i umożliwia pracownikom dostęp do komputerów firmowych ze zdalnych lokalizacji przy użyciu przeglądarki. Połączenie przechodzi jednak przez serwer guacamole, który obsługuje komunikację między użytkownikiem a komputerem docelowym.

Badając rozwiązanie, badacze Check Point odkryli luki w zabezpieczeniach, które można wykorzystać za pośrednictwem zainfekowanej maszyny w środowisku przedsiębiorstwa, aby przejąć i kontrolować komunikację.

W oparciu o poprzednie odkrycie luk w FreeRDP, badacze bezpieczeństwa zidentyfikowali dwa problemy w iteracjach Apache Guacamole, które nie implementują dostępnych łat dla FreeRDP. Opracowali także atak, który może zasadniczo umożliwić zdalne wykonanie kodu. Usterki to CVE-2020-9497 i CVE-2020-9498. Podatności obejmują, odpowiednio, ujawnianie informacji (zbiór trzech błędów) i problemy po użyciu.

Wykorzystując obie luki, badacze Check Point byli w stanie zaimplementować exploit zdalnego wykonania kodu (RCE) umożliwiający złośliwemu komputerowi korporacyjnemu, który działa jak serwer RDP, przejęcie kontroli nad procesem guacd, gdy użytkownik zażąda połączenia z zainfekowaną maszyną.

Luki zostały zgłoszone do Apache 31 marca, ciche poprawki zostały wprowadzone na początku maja, a ostatnie poprawki zostały wydane 28 czerwca, w wersji Guacamole 1.2.0.