Kiberpodkāsts: nedēļas ziņu apkopojums
Šonedēļ galvenā tēma ir ievainojamība log4j bibliotēkā, kas radījusi ķēdes efektu. Uzbrukumi sākās ar Minecraft spēlētājiem, bet drīz kļuva skaidrs, ka ievainojama ir liela daļa interneta.
Taču ar “log4shell” vienu pašu neaprobežosimies, jo ir publicētas arī daudzas citas ievainojamības, kā arī novērojama palielināta botnetu aktivitāte.
Caurumi
Log4j apokalipse
Kritiska ievainojamība populārā Java bibliotēkā izraisījusi atjauninājumu vētru, jo skarti neskaitāmi projekti un produkti, sākot ar open source risinājumiem kā Apache Struts, Logstash un Jitsi, līdz vendoriem kā Cisco, VMWare un Sophos, un pat interneta milžiem (Amazon, Apple iCloud).
Publiski pieejamie servisi jau tiek masveidā skenēti un tiek ziņaots, ka caurumu izmanto vairāki botneti.
Vairāk informācijas par šo ievainojamību: https://caurumi.lv/news/2021-12-log4j/
SonicWall
Kritiski caurumi SonicWall VPN iekārtās ļauj pilnībā pārņemt to darbību. Šīs ievainojamības jāpatcho prioritāri, jo tās jau tiek izmantotas savvaļā.
NodeBB
Populārā forumu dzinējā NodeBB atrasta ievainojamību sērija, sliktākais caurums pieļauj Remote Code Execution.
Pansionātu softs CATIE
Pansionātu softā atrastas kritiskas ievainojamības, pie tam atklātie caurumi joprojām nav aizlāpīti.
Grafana
Open source sistēmu monitoringu rīkā Grafana atrastas un aizlāpītas svarīgas ievainojamības, kas jau tiek ekspluatētas reālos uzbrukumos.
GOautodial
Zvanu centru programmatūrā GOautodial atrastas vairākas ievainojamības, kas kopumā nodrošina pilnu exploit chain, t.i. tās var izmantot zvanu centru uzlaušanai.
Jamf Pro (Apple MDM)
SSRF ievainojamība Jamf Pro risinājumā. Par laimi caurums atklāts servera pusē un lietotāju ierīces tiešā veidā nav apdraudētas.
Zoho
Kārtējā ievainojamība Zoho ManageEngine serveros, šoreiz skarta Endpoint management komponente “ManageEngine Desktop Central”. Nulles dienas ievainojamība tika ekspluatēta vēl pirms ielāpu publicēšanas.
Incidenti
TP-Link botnets
Šogad publicētie TP-Link caurumi tiekot izmantoti jauna botneta veidošanai.
Confluence un GitLab
Līdz šim neaizlāpītie Confluence un GitLab serveri cieš ransomware uzbrukumos. Šis nav pirmais atgadījums, bet izskatās, ka tagad šie uzbrukumi ir automatizēti.
WordPress
Masīvs uzbrukums WordPress mājaslapām: automatizēti eksploiti vairākiem WordPress paplašinājumiem un tēmām. Potenciāli uzbrukumā varētu tikt uzlauztas līdz 1.6M mājaslapām.
HikVision kameru botnets
Jauns botnets specializējas uz HikVision kameru pārņemšanas. Šīm ierīcēm tika atklātas vairākas ievainojamības septembrī, kameras visai populāras arī Latvijā.
$150 miljonu zādzība no BitMart
Kriptovalūtu apmaiņas platforma BitMart pazaudējusi $150 miljonus. Līdzekļi esot pārskaitīti no “karstajiem” kriptomaciņiem, t.i. visticamāk uzlauzts kompānijas tīkls vai inficēti izstrādātāju datori.
QNAP NAS
QNAP kompānijas ražotajām NAS iekārtām uzbrūk kriptomaineri. Nav zināms, kādā veidā sistēmas tiek inficētas, jo jauni caurumi tajās nav atklāti.
Aresti
“Crypting” servisa operatora arests
ASV arestēts Krievijas pilsonis, kas uzturēja “crypting” servisu — t.i. ļāva noziedzniekiem paslēpt ļaunatūru no antivīrusiem.
Kanādā arestēts ransomware operators
Kanādā arestēts ransomware grupas dalībnieks. Šis ir lielākais tāda veida arests Kanādā.