Noutățile săptămânii din securitatea cibernetică (11.09.2020)
Dispozitivele ce acceptă Bluetooth BR/EDR și LE folosind CTKD sunt vulnerabile la suprascrierea cheii
Bluetooth SIG - o organizație care supraveghează dezvoltarea standardelor ce vizează Bluetooth, a emis o alertă de securitate cu privire la o vulnerabilitate recent descoperită care afectează dispozitivele “dual-mode” care acceptă atât Bluetooth Classic, cât și Bluetooth Low Energy.
Această vulnerabilitate (CVE-2020-15802) este denumită BLURtooth, iar dispozitivele care acceptă Bluetooth BR/EDR și LE folosind derivarea cheii de transport încrucișat (CTKD) pentru asociere sunt vulnerabile la suprascrierea cheii, ceea ce poate permite persanelor rău intenționate să obțină acces suplimentar, neautorizat la profiluri sau servicii ce nu sunt restricționate la suprascrierea unei chei autentificate cu o cheie neautentificată.
Derivarea cheii de transport încrucișat (CTKD) reprezintă o componentă Bluetooth responsabilă de negocierea cheilor de autentificare în cazul în care sunt asociate două dispozitive Bluetooth împreună, cunoscute și sub numele de dispozitive “dual-mode”.
Exploatată cu succes, vulnerabilitatea poate permite atacatorilor să se conecteze neautorizat la dispozitivele vizate în apropiere, suprascriind cheia autentificată sau reduc eficiența cheii de criptare, astfel efectuând atacuri de tip Man in the Middle (MITM).
Un raport privind detaliile tehnice privind vulnerabilitatea respectivă, precum și soluții de remediere, pot și vizualizate aici.
Sursa: https://thehackernews.com/2020/09/new-bluetooth-vulnerability.html
Se înregistrează o creștere a activității malware-ului Emotet, răspândit prin e-mail
Cercetătorii de securitate de la CERT NZ au emis recent mai multe alerte de securitate cu privire la reapariția și intensificarea atacurilor prin e-mail ce conțin atașamente sau linck-uri rău intenționate cauzate de malware-ul Emotet.
Malware-ul Emotet reprezintă un troian avansat, modular și auto-propagabil, conceput inițial ca troian bancar pentru a compromite acreditările de conectare ale conturile de e-mail. Acreditările compromise sunt, ulterior, direcționate către roboții spam ce transmit un număr considerabil de e-mail-uri spam cu scopul răspândirii malware-lui. Atașamentele incluse în e-mail-uri pot prezenta facturi autentice, documente financiare, CV-uri, etc. În prezent, malware-ul Emotet este folosit ca distribuitor de alte programe malware, implementează ransomware precum Ryuk, Maze, Conti sau ProLock în rețeaua afectată și poate compromite informațiile aflate în cutiile poștale. De asemenea, Emotet este utilizat pentru a instala alte programe malware, cum ar fi de exemplu Trickbot și QBot în sistemul afectat.
Analiza publicată de către CERT NZ privind detaliile tehnice, modul de funcționare, strategia de atac, recomandările privind prevenirea infecției cu malware-ul Emotet, dar și măsurile ce trebuie întreprinse în cazul în care sistemul a fost afectat pot fi vizualizate aici.
De asemenea, CERT Japonia a publicat un instrument care poate fi utilizat pentru a verifica prezența malware-ului Emotet pe un calculator, poate fi accesat aici.
Sursa:https://www.cert.govt.nz/it-specialists/advisories/emotet-malware-being-spread-via-email/
Infractorii cibernetici folosesc instrumente legitime de monitorizare în cloud pentru a efectua atacuri cibernetice
Cercetătorii de securitate de la Intezer au publicat recent o alertă privind grupul cibernetic TeamTNT ce lansează atacuri asupra mediilor cloud, inclusiv instanțele Docker și Kubernetes.
TeamTHT utilizează o nouă tehnică prin care abuzează instrumentul Weave Scope de automatizare ce oferă monitorizare, vizualizare și control asupra instanțelor Docker și Kubernetes, prin intermediul căruia utilizatorul obține controlul deplin asupra infrastructurii, inclusiv toate informațiile și metadatele despre containere, procese și gazde.
Pentru a instala Weave Scope pe server, atacatorii utilizează un port expus al Docker API creând un nou container privilegiat și configurat pentru a monta sistemul de fișiere al containerului creat la sistemul de fișiere al serverului victimă, obținând, astfel, acces la toate fișierele aflate pe server. Comanda inițială dată containerului constă din descărcarea și executarea mi multor criptomineri. Ulterior, atacatorii încearcă să obțină acces root la server prin configurarea unui utilizator local privilegiat, numit “hilde”, pe serverul gazdă, utilizându-l pentru conectarea prin SSH. Odată instalat, aceștia se pot conecta la tabloul de bord Weave Scope prin HTTP, portul 4040, astfel, obținând vizibilitate deplină și control asupra infrastructurii victimei.
Analiza tehnică detaliată privind acest atacul provocat de TeamTHT poate fi vizualizată aici.
Nou malware numit CDRThief vizează softswitches Voice over IP (VoIP)
Cercetătorii de securitate de la ESET au descoperit și analizat un malware, numit CDRThief care este conceput pentru viza o platformă VOIP utilizată de două softswitches – Linknat VOS2009 și VOS3000.
Un softswitch reprezintă un element de bază al unei rețele VoIP care asigură controlul, facturarea și gestionarea apelurilor, acestea rulând pe serverele Linux standard.
Obiectivul principal al malware-ului este filtrarea diverselor date private dintr-un softswitch compromis, inclusiv înregistrările detaliilor apelurilor (CDR). CDR-urile conțin metadatele despre apelurile VoIP, cum ar fi adresele IP ale emițătorului și receptorului, ora începerii apelului, taxa de apel, etc. Pentru a compromite aceste metadate, malware-ul interoghează bazele de date interne MySQL utilizate de softswitch.
Analiza tehnică completă ale malware-ului CDRThief poate fi accesată aici.
Sursa:https://www.welivesecurity.com/2020/09/10/who-callin-cdrthief-linux-voip-softswitches/
Nou atac numit Raccoon ar putea permite persoanelor rău intenționate “să spargă” criptarea SSL/TLS
Raccoon reprezintă o vulnerabilitate (CVE-2020-1968) de sincronizare în specificația TLS care afectează HTTPS și alte servicii care se bazează pe SSL și TLS. Aceste protocoale permit tuturor utilizatorilor din internet să navigheze web, să transmită mesaje, e-mail-urile, să efectueze plăți online, etc., fără ca părți terțe să poată citi comunicarea.
În anumite condiții, prin intermediul atacului Raccoon, persoanele rău intenționate pot sparge criptarea și intercepta informațiile sensibile ale utilizatorilor. Atacul vizează schimbul de chei Diffie-Hellman în TLS versiunile 1.2 și cele inferioare. Există două condiții prealabile pentru ca atac:
- Serverul reutilizează cheile DH publice în TLS handshake. Acesta reprezintă cazul în care serverul este configurat să utilizeze suita de cifrare statică (TLS-DH) sau efemeră (TLS-DHE) și reutilizează cheile efemere pentru conexiuni multiple;
- În cazul descoperirii primului octet al informației secrete DH partajate.
În cazul în care sunt îndeplinite aceste circumstanțe, atacul poate permite persoanelor răi intenționate să decripteze conexiunea dintre utilizator și server, de obicei, incluzând nume de utilizator, parole, numere de card de credit, e-mail-uri, mesaje instantanee, documente sensibile, etc.
Raportul complet privind detaliile tehnice ale atacului Raccoon poate fi vizualizat aici.
Sursa:https://thehackernews.com/2020/09/raccoon-ssl-tls-encryption.html
