Kiberpodkāsts: nedēļas ziņu apkopojums

14 December, 2021

Šonedēļ galvenā tēma ir ievainojamība log4j bibliotēkā, kas radījusi ķēdes efektu. Uzbrukumi sākās ar Minecraft spēlētājiem, bet drīz kļuva skaidrs, ka ievainojama ir liela daļa interneta.

Taču ar “log4shell” vienu pašu neaprobežosimies, jo ir publicētas arī daudzas citas ievainojamības, kā arī novērojama palielināta botnetu aktivitāte.

Caurumi

Log4j apokalipse

Kritiska ievainojamība populārā Java bibliotēkā izraisījusi atjauninājumu vētru, jo skarti neskaitāmi projekti un produkti, sākot ar open source risinājumiem kā Apache Struts, Logstash un Jitsi, līdz vendoriem kā Cisco, VMWare un Sophos, un pat interneta milžiem (Amazon, Apple iCloud).

Publiski pieejamie servisi jau tiek masveidā skenēti un tiek ziņaots, ka caurumu izmanto vairāki botneti.

Vairāk informācijas par šo ievainojamību: https://caurumi.lv/news/2021-12-log4j/

SonicWall

Kritiski caurumi SonicWall VPN iekārtās ļauj pilnībā pārņemt to darbību. Šīs ievainojamības jāpatcho prioritāri, jo tās jau tiek izmantotas savvaļā.

NodeBB

Populārā forumu dzinējā NodeBB atrasta ievainojamību sērija, sliktākais caurums pieļauj Remote Code Execution.

Pansionātu softs CATIE

Pansionātu softā atrastas kritiskas ievainojamības, pie tam atklātie caurumi joprojām nav aizlāpīti.

Grafana

Open source sistēmu monitoringu rīkā Grafana atrastas un aizlāpītas svarīgas ievainojamības, kas jau tiek ekspluatētas reālos uzbrukumos.

GOautodial

Zvanu centru programmatūrā GOautodial atrastas vairākas ievainojamības, kas kopumā nodrošina pilnu exploit chain, t.i. tās var izmantot zvanu centru uzlaušanai.

Jamf Pro (Apple MDM)

SSRF ievainojamība Jamf Pro risinājumā. Par laimi caurums atklāts servera pusē un lietotāju ierīces tiešā veidā nav apdraudētas.

Zoho

Kārtējā ievainojamība Zoho ManageEngine serveros, šoreiz skarta Endpoint management komponente “ManageEngine Desktop Central”. Nulles dienas ievainojamība tika ekspluatēta vēl pirms ielāpu publicēšanas.

Incidenti

TP-Link botnets

Šogad publicētie TP-Link caurumi tiekot izmantoti jauna botneta veidošanai.

Confluence un GitLab

Līdz šim neaizlāpītie Confluence un GitLab serveri cieš ransomware uzbrukumos. Šis nav pirmais atgadījums, bet izskatās, ka tagad šie uzbrukumi ir automatizēti.

WordPress

Masīvs uzbrukums WordPress mājaslapām: automatizēti eksploiti vairākiem WordPress paplašinājumiem un tēmām. Potenciāli uzbrukumā varētu tikt uzlauztas līdz 1.6M mājaslapām.

HikVision kameru botnets

Jauns botnets specializējas uz HikVision kameru pārņemšanas. Šīm ierīcēm tika atklātas vairākas ievainojamības septembrī, kameras visai populāras arī Latvijā.

$150 miljonu zādzība no BitMart

Kriptovalūtu apmaiņas platforma BitMart pazaudējusi $150 miljonus. Līdzekļi esot pārskaitīti no “karstajiem” kriptomaciņiem, t.i. visticamāk uzlauzts kompānijas tīkls vai inficēti izstrādātāju datori.

QNAP NAS

QNAP kompānijas ražotajām NAS iekārtām uzbrūk kriptomaineri. Nav zināms, kādā veidā sistēmas tiek inficētas, jo jauni caurumi tajās nav atklāti.

Aresti

“Crypting” servisa operatora arests

ASV arestēts Krievijas pilsonis, kas uzturēja “crypting” servisu — t.i. ļāva noziedzniekiem paslēpt ļaunatūru no antivīrusiem.

Kanādā arestēts ransomware operators

Kanādā arestēts ransomware grupas dalībnieks. Šis ir lielākais tāda veida arests Kanādā.