/* Urbjam un lāpam */

Kiberpodkāsts #9: caurumi Hikvision kamerās, Autodiscover servisā un Netgear rūteros

Apskatām svarīgākās šīs nedēļas kiberdrošības ziņas:

  • triviāli ievainojamas Hikvision kameras
  • Autodiscover serviss un tā nedienas
  • caurums, kas ļauj pārņemt Netgear rūterus
  • uzbrukumi “Zoho ManageEngine” Single Sign-On risinājumam

Ievainojamības

Kritisks caurums Hikvision kamerās 

CVE-2021-36260 ir kritiska ievainojamība populārās Hivision kamerās, kas ļauj tās pilnībā pārņemt, zinot tikai kameras IP adresi.

Pēc Shodan datiem, Latvijā internetam pieslēgtas vairāk par 5000 šī ražotāja kamerām, lai gan ne visas no tām ir ievainojamas.

Caurums vairāku Netgera rūteru atjauninājumu procesā 

Daudzi Netgear rūteri piedāvā trafika filtrēšanas opciju (“parental control”) caur iebūvētu Circle servisu. Izrādās, ka šis serviss atjauninājās neatkarībā no pārējās Netgear OS, turklāt atjauninājumi netika parakstīti un nāca caur nešifrētu HTTP protokolu.    Pārtverot šādas iekārtas trafiku iespējams nomainīt īstos Circle atjauninājumus ar ļaunatūru, tādā veidā pārņemot rūtera darbību.

AutoDiscover problēma 

Jauns pētījums atradis ievainojamību Autodiscover mehānismā, ko lieto populārais epastu klients Outlook, servera iestatījumu noteikšanai. Ievadot jaunu epasta adresi, tiek nosūtīti pieprasījumi uz iespējamām Autodiscover servera atrašanās vietām. Teiksim, spam@caurumi.lv epasta lietotājam pieprasījumi varētu tikt nosūtīti secīgi uz:

  1. Autodiscover.caurumi.lv/Autodiscover/Autodiscover.xml 
  2. Caurumi.lv/Autodiscover/Autodiscover.xml 
  3. Autodiscover.lv/Autodiscover/Autodiscover.xml 

Trešais pieprasījums, kas tiek nosūtīts uz pilnībā nesaistītu domēnu, ilustrē problēmas būtību. Iebūvētais “back-off” algoritms paredzēts gadījumiem, kad lielākās organizācijās lietotāji izmanto subdomēnus, bet Autodiscover iestatījumi visiem ir vieni un serviss darbojas uz organizācijas pamatdomēna. Lai noteiktu pamatdomēnu, Outlook ņem nost domēna daļu līdz pirmajam punktam un atkārto algoritmu.

Praktiski tas nozīmē, ka Outlook lietotāju dati var tikt nosūtīti trešajām pusēm, ja viņi lieto korporatīvu domēnu, kuram netiek lietots Autodiscover serviss.

Jāatzīmē, ka organizācijas, kas lieto Exchange epasta serveri, visticamāk būs sakonfigurējušas arī Autodiscover servisu. Līdz ar to lielākais risks ir tieši tām organizācijām, kuru lietotāji lieto Outlook, bet uz servera stāv kāda cita programmatūra, nevis Exchange (piem. tāds open source risinājums kā Exim vai Postfix).

VMware vCenter Server ievainojamības

VCenter Server produktā izlabotas vairākas ievainojamības, svarīgākā no kurām (CVE-2021-22005) var tikt izmantota attālinātai koda palaišanai (RCE).

Izlaisti ielāpi populāram web serverim Apache

Svarīgākais caurums ļāva veikt Server-Side Request Forgery (SSRF tipa uzbrukumus). Tā kā Apache praksē netiek bieži atjaunināts un SSRF uzbrukumus parasti ir grūti automatizēt, tad ļoti iespējams, ka šīs ievainojamības daudzviet paliks neaizlāpītas ilgu laiku.

Incidenti

Uzbrukumi Zoho ManageEngine komponentei

CISA un FBI brīdina par aktīviem uzbrukumiem pret ManageEngine servisu, kas tiek izmantots lielākās organizācijās autentifikācijas datu glabāšanai un Single Sign-On (SSO) funkcijai.

Par laimi, Latvijā šis rīks nav sevišķi izplatīts.

Phishing vilnis, kas izmanto WhatsApp vārdu 

Spānijā uzradies jauns phishing epastu vilnis. Epasti rakstīti labā spāņu valodā un satur linku uz it kā WhatsApp sarakstes kopiju. Patiesībā .zip fails satur ļaunatūru.

Ransomware

FBI bija uzlauzis REvil serveri

Washington Post publicēja detaļas par Kaseya ransomware incidentu. Izrādās, FBI bija ieguvuši pieeju uzbrucēju serveriem dienas pēc incidenta. Cita starpā iegūtas arī šifrēšanas atslēgas, kas varēja tikt izmantotas datu atgūšanai. 

FBI gan nepublicēja atslēgas uzreiz, lai nepadotu signālu uzbrucējiem, ka viņi tiek novēroti. Operācija beidzās jūlija vidū, kad REvil paši pārtrauca savu darbību. 

CISA publisko detalizētu rakstu par Conti ransomware 

CISA publiskojusi detalizētu rakstu, kas apraksta Conti ransomware pielietotās tehnikas un veidus, kā pasargāties no šiem uzbrukumiem. 

Interesanti, ka cita starpā pieminēta sadarbība ar ZLoader trojānu, kas kā šonedēļ atklāja Microsoft, aizvien biežāk tiek izplatīts caur reklāmu tīkliem (t.sk. Google). 

Šis sakrīt ar ziņu par to, ka NSA, CIA un citi ASV drošības dienesti izmanto reklāmas bloķētājus, jo uzskata reklāmu tīklus par pārāk lielu risku.

Pētniecība

Apple iOS 15 “Private Relay” privātuma problēmas 

Sākot ar iOS 15 Apple ierīcēs kļūst pieejams iebūvēts VPN serviss - “Private Relay”. Pētnieki atklājuši, ka šis serviss tomēr nepasargā lietotāju privātumu tikpat labi, kā citi VPN servisi: 

  • Iespējams iegūt lietotāja paroli caur WebRTC 
  • Instalētās aplikācijas var komunicēt ar saimniekserveriem, apejot “Private Relay” 
  • Ja “Private Relay” serveri tiek bloķēti tīkla līmenī, funkcija tiek automātiski atslēgta un trafiks iet uz internetu pa tiešo 
Menu