Kybernetická bezpečnost se týká každého z nás, studujte s námi zdarma a on-line na osveta.nukib.cz


Rádi byste u nás pracovali? Aktuální seznam volných míst najdete na kariera.nukib.cz

 

Vybrané aktuality, hrozby a doporučení

Upozornění na závažné zranitelnosti ohrožující systémy Linux v Azure

Upozorňujeme na závažné zranitelnosti v softwarovém agentovi OMI (Open Management Infrastructure). Jedná se o software pro správu, který je obdobou WMI ve Windows (Windows Management Instrumentation) a je automaticky instalován na virtuální stroje s operačním systémem Linux v Azure.  

OMI agent běží s vysokým oprávněním uživatele root. Útočník může docílit vzdáleného spuštění kódu a eskalaci práv na cílovém systému, a to zasláním speciálně upraveného paketu na OMI rozhraní. V případě publikace OMI portů (5986/5985/1270) do internetu je zde vysoké riziko zneužití zranitelností, přičemž by tak útočník zvenčí mohl získat prvotní přístup do Azure prostředí oběti a následně ovládnout další provozované stroje.

V současné době je již na tyto zranitelnosti veřejně k dispozici proof-of-concept, existuje tedy vysoké riziko zneužití zranitelností k útoku.

Za pomoc se zpracováním děkujeme Ministerstvu vnitra ČR. 

Identifikátory:  CVE-2021-38647, CVE-2021-38648, CVE-2021-38645, CVE-2021-38649 CVSS3.0: 9.8, 7.8, 7.8, 7.0 

Systém/program: OMI na systémech Linux běžící v Azure  Zranitelná verze: 1.6.8.0 a nižší Opravená verze: 1.6.8.1  

Vektor zneužítí: Síť Složtost útoku: Nízká Vyžadovaná oprávnění: Žádná Vyžadovaná interakce uživatele: Ne 

Zranitelné systémy: 

- Linuxové stroje běžící v Azure s aktivovanými nástroji či službami: 

Azure Automation  Azure Automatic Update  Azure Operations Management Suite  Azure Log Analytics  Azure Configuration Management  Azure Diagnostics  Azure Container Insights 

- Stroje s nainstalovaným System Center for Linux. 

Pozn. výčet nemusí být konečný  

Doporučení: 

- bezodkladně nainstalovat poslední dostupné bezpečnostní záplaty (verze OMI1.6.8-). 

Dle dostupných informací ze strany Microsoftu nedochází k automatickým aktualizacím OMI agenta. 

- ověřit, že rozhraní OMI agenta s porty 5986, 5985 a 1270 není vystaveno do internetu či do jiné nezabezpečené sítě. 

Reference: 

https://www.wiz.io/blog/omigod-critical-vulnerabilities-in-omi-azure  Microsoft fixes OMIGOD bugs in secret Azure app - The Record by Recorded Future  Microsoft fixes critical bugs in secretly installed Azure Linux app (bleepingcomputer.com)  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38647  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38648  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38645  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38649 

Zveřejnění dešifrovacího nástroje pro ransomware REvil

Společnost Bitdefender vyvinula ve spolupráci s bezpečnostními orgány dešifrovací nástroj k obnově dat zašifrovaných ransomwarem REvil. Dekryptor umožňuje obnovit data všem obětem REvil napadeným před 13. červencem 2021. Nástroj je zdarma ke stažení na stránkách společnosti Bitdefender: Bitdefender Offers Free Universal Decryptor for REvil/Sodinokibi Ransomware

Na stránkách iniciativy No More Ransom je též k dispozici návod na použití nástroje: REvil_documentation.pdf (nomoreransom.org)

REvil/Sodinokibi je jeden z nejvýdělečnějších ransomwarů vytvořený známou hackerskou skupinou REvil. Funguje na principu ransomware-as-a-service a během své činnosti od roku 2019 ochromil tisíce společností, mezi nimiž se vyskytovaly i některé české organizace. K obrovskému nárůstu případů REvil došlo 2 července při útoku na dodavatelský řetězec skze společnost Kaseya, při kterém bylo napadeno přes 1500 společností . V některých případech se výše vymáhané částky za dešifrování dat šplhaly až k 70 milionům dolarů.

Ačkoliv po tomto útoku skupina dočasně vypnula své stránky a spekulovalo se o ukončení činnosti, od začátku září je REvil ransomware opět aktivní a nadále představuje vážnou hrozbu, data zašifrovaná tímto ransomwarem po 13. červenci není možné publikovaným dekryptorem obnovit. Nadále důrazně nedoporučujeme platit útočníkům požadované výkupné, jelikož neexistuje záruka, že útočníci dešifrují zašifrované soubory nebo nezveřejní data oběti, a zejména tím dochází k další podpoře jejich činnosti.

Doporučení pro prevenci, mitigaci a reakci na napadení vašeho systému ransomwarem naleznete na našich stránkách v sekci Podpůrné materiály: https://www.nukib.cz/download/publikace/podpurne_materialy/Ransomware%20-%20Doporuceni_pro_mitigaci_prevenci_a_reakci.pdf

V případě úspěšného dešifrování dat nás prosím informujte na adrese cert.incident@nukib.cz

Bitdefender Offers Free Universal Decryptor for REvil/Sodinokibi Ransomware

REvil ransomware gang's web sites mysteriously shut down (bleepingcomputer.com)

REvil ransomware is back in full attack mode and leaking data (bleepingcomputer.com)

REvil/Sodinokibi Ransomware Universal Decryptor Key Is Out | Threatpost

Home | The No More Ransom Project

NÚKIB vydává první dvě cloudové vyhlášky

V souvislosti s účinností zákona o změně zákonů související s další elektronizací postupů orgánů veřejné moci (tzv. DEPO) k 1. 9. 2021, který novelizuje mimo jiné i zákon o kybernetické bezpečnosti a zákon o informačních systémech veřejné správy, vydal NÚKIB ke stejnému datu vyhlášku o některých požadavcích pro zápis do katalogu cloud computingu a vyhlášku o bezpečnostních úrovních pro využívání cloud computingu orgány veřejné moci.

Vyhláška č. 316/2021 Sb., o některých požadavcích pro zápis do katalogu cloud computingu provádí zákon č. 365/2000 Sb., o informačních systémech veřejné správy a přináší soubor bezpečnostních požadavků rozdělených do bezpečnostních úrovní, které musí poskytovatelé cloud computingu naplnit, aby mohli být spolu se svými nabízenými službami zapsáni v katalogu cloud computingu.

Vyhláška č. 315/2021 Sb., o bezpečnostních úrovních pro využívání cloud computingu orgány veřejné moci je vydávána na základě zmocnění obsaženém v zákoně č. 181/2014 Sb., o kybernetické bezpečnosti a stanoví kritéria pro ohodnocení významnosti informačního nebo komunikačního systému orgánu veřejné moci a jeho zařazení do jedné ze čtyř bezpečnostních úrovní, tak aby orgán veřejné moci mohl pořizovat služby cloud computingu, které naplňují požadavky příslušné bezpečnostní úrovně.

Více informací, včetně znění jednotlivých vyhlášek a nejčastějších dotazů naleznete na těchto webových stránkách v sekci Kybernetická bezpečnost -> Regulace a kontrola.

Upozornění na aktivní zneužívání zranitelnosti Microsoft Exchange Server - ProxyShell

Upozorňujeme na sérii závažných zranilteností postihující Microsoft Exchange Server 2013, 2016 a 2019.

Identifikátor: CVE-2021-34473, CVE-2021-34523, CVE-2021-31207 CVSS:3.0: 9.1, 9.0, 6.6

Zranitelné systémy:

Systém/program: Exchange Server 2013, 2016, 2019 Zranitelná verze: 2013 CU 23 a nižší, 2016 CU 20 a nižší, 2019 CU 9 a nižší Opravená verze: Security update KB5003435 a vyšší

Vektor zneužítí: Síť Složtost útoku: Nízká Vyžadovaná oprávnění: Žádná Vyžadovaná interakce uživatele: Ne

Popis

Upozorňujeme na sérii závažných zranilteností postihující Microsoft Exchange Server 2013, 2016 a 2019. Zranitelné jsou všechny tyto servery, které nebyly aktualizované od dubna 2021 a jsou přístupné na portu 443.

CVE-2021-34473 - Vzdálené spuštění kódu skrze chybu ve zpracování požadavku CVE-2021-34523 - Eskalace oprávnění skrze chybu v Exchange PowerShell Remoting CVE-2021-31207 - Umožnění zápisu souboru na server a vzdálené spuštění kódu

Jednotlivé zranitelnosti již byly opraveny bezpečnostními aktualizacemi vydanými v dubnu (KB5001779 pro CVE-2021-34473 a CVE-2021-34523 ) a květnu (KB5003435 pro CVE-2021-31207). Zranitelnosti lze ovšem nově zneužít v jejich kombinaci k útoku zvaný ProxyShell, který byl v srpnu prezentován na konferenci BlackHat USA. Obdobně jako u série zranitelností ProxyLogon z března 2021 umožňuje tento útok nahrát na server webshell, přes který může útočník vzdáleně spouštět kód s nejvyšším oprávněním a zcela tak kompromitovat daný server.

Aktuálně již bylo zveřejněno několik dílčích kodů replikujících prezentovaný útok, a lze očekávat, že se následujících dnech objeví veřejně dostupné kompletní a sofistikovanější verze. Zranitelné systémy jsou aktuálně aktivně skenované a je zaznaměnána řada případů úspěšného zneužítí.

Dle vyhledávače Shodan se k 13.8.2021 zranitelnosti týkají 865 serverů v ČR.

Doporučení

Všem správcům dotčených systému doporučujeme bezodkladně nainstalovat poslední dostupné bezpečnostní aktualizace pro Exchange Server dle dokumentace Microsoft

Dále také doporučujeme prověřit indikátory potenciálního zneužítí:

POST requesty obsahující "/PowerShell/", "/autodiscover/autodiscover.json", "/mapi/nspi/ v IIS logu přítomnost nelegitimních .ASPX souborů ve složce "C:\inetpub\wwwroot\aspnet_client" (dle informací často o velikost 265KB)

Vzor URL požíváné útočníky ke zneužití CVE-2021-34473. Uvedená e-mailová adresa v URL nemusí být platná a může se měnit:

hXXps://Exchange-server/autodiscover/autodiscover.json?@foo.com/mapi/nspi/?&Email=autodiscover/autodiscover.json%3F@foo.com

Odkazy

Oficiální informace od Microsoft

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31207 https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-34523 https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-34473 https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-may-11-2021-kb5003435-028bd051-b2f1-4310-8f35-c41c9ce5a2f1

Další reference

https://docs.microsoft.com/en-us/exchange/exchange-server https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-servers-scanned-for-proxyshell-vulnerability-patch-now/ https://peterjson.medium.com/reproducing-the-proxyshell-pwn2own-exploit-49743a4ea9a1 https://searchsecurity.techtarget.com/news/252505085/ProxyLogon-Exchange-bug-resurfaces-after-presentation https://www.blackhat.com/us-21/briefings/schedule/index.html#proxylogon-is-just-the-tip-of-the-iceberg-a-new-attack-surface-on-microsoft-exchange-server-23442