Cisco

Cisco se rozhoupalo k největší akvizici ve své historii. Za vyšší stovky miliard koupí firmu podnikající v oblasti kyberbezpečnosti.

Druhá dávka bezpečnosti tento týden. Máme tu několik zajímavých úniků dat, vishing z domácích luhů, podezřelý nárůst blokací účtů, příhodně nedefinovaný bajt v hlavičce archivu a oblíbenou sbírku nepěkných zranitelností. Uživatelé brazilské eskortní služby Fatalmodel mají problém. Službě uniklo ze dvou nechráněných databází dat přes 18 milionů záznamů. Nejen uživatelů, ale i 33 900 kompletních záznamů druhé strany, včetně verifikační fotografie.

V dnešním díle Postřehů si posvítíme – ideálně chytrou žárovkou – na reklamu Amazonu, VPN od Cisca, a dáme si pozor na e-maily z Duolinga. Na závěr se přesvědčíme, zda máme pro strach uděláno. Není žádnou novinkou, že se v dnešní době snaží podvodníci na internetu zamotat hlavy nevinným uživatelům. Aktuálně se do popředí dostává strategie, která využívá klamavé reklamy Amazonu na Google platformě.

Komedie kolem stavby továrny TSMC v USA. Americké sankce vůči Číně poškodily Intel. První akvizice OpenAI a další investice pro Anthropic. Zprávy z IT, každý pátek na Lupě. Vždy v pátek připravuje reportér Jan Sedlák výběr zajímavých zpráv ze světa IT. Co se událo v tomto týdnu?

V chladném Norsku bylo někomu pěkně horko, v USA mají novou kyberpečeť, ve Velké Británii možná nebudou mít Facetime a na Havaji to měli drahé. AMD má svůj „bleed“, Microsoft dohání Google a VirusTotal se omlouvá. Norská bezpečnostní služba (NSM) potvrdila informaci, že došlo ke kybernetickému útoku skrze systém Ivanti Endpoint Manager Mobile, softwarový nástroj pro správu a ochranu koncových zařízení (MDM), aplikací a obsahu, dříve známý pod názvem MobileIron Core. Ten je často používán i ve státních službách a jen v Norsku jej využívá 12 ministerstev ze 16. Útočníci, jejichž identita zatím není známa, zneužili zero-day zranitelnost (CVE-2023–35078, CVSS:10.0) vedoucí k obejití autentizace API. To jim umožnilo narušit důvěrnost informací jako jsou jména, telefonní čísla a identifikátory zařízení začleněných do systému EPMM. Zároveň mohli tuto zranitelnost zneužít k úpravě konfigurace serveru, což může vést i k vytvoření administrátorského účtu a následně kompromitace systému jako takového.

Sankce na ruské IT firmy. Automatický dabing v YouTube. Nový kapitál pro Nothing, evropskou naději ve smartphonech. Zprávy z IT, každý pátek na Lupě. Vždy v pátek připravuje reportér Jan Sedlák výběr zajímavých zpráv ze světa IT. Co se událo v tomto týdnu?

V tomto díle Postřehů se podíváme na útočníky vydávající se za novináře, na útoky ransomware na školská zařízení, na návrh nového ZKB, na ChatGPT účty na dark webu a na řadu dalších zajímavostí. Bezpečnostní výzkumníci varovali, že hackeři podporovaní severokorejskou vládou se vydávají za novináře, aby shromáždili strategické informace, které pomohou ovlivnit rozhodování země. Na odborníky zabývající se děním v Severní Koreji je cíleně vedena kampaň využívající sociálního inženýrství a výzkumníci ze SentinelLabs tvrdí, že existuje propojení mezi touto kampaní a skupinou APT43, která je známá od roku 2012 a údajně shromažďuje citlivé informace pro tamní vládu.

V dnešním díle Postřehů se podíváme na kryptoscamy, na zenové útočníky z Play Store, na zranitelnosti v MS Outlook, Cisco Small Business či Keepassu, na IT security analytika k nezaplacení a řadu dalších zajímavostí. Podle FBI investiční podvody převýšily ztráty všech ostatních typů kyberkriminality a meziročně vzrostly na trojnásobek na 2,6 miliardy dolarů. Krebsonsecurity přináší zajímavá zjištění Renauda Chaputa, programátora na volné noze, který se zabývá škálováním sociální sítě Mastodon.

Ve Zlíně proběhlo setkání provozovatelů počítačových sítí a hovořilo se nejen o výkonu sítí, ale také o současných regulačních směrnicích, nakládání s informacemi o zranitelnostech či podepisování kořenové zóny. Paket při přijetí dorazí na síťovou kartu, projde subsystémem linuxového jádra a dorazí do procesu. Proces pak vytvoří další paket, který je vlastně odpovědí. V případě routingu se paket otočí jen v linuxovém jádře a odchází některým z rozhraní.

V dnešním díle Postřehů se podíváme na zneužívání domén z TLD ZIP, ransomwarové skupiny využívající uniklý zdrojový kód ransomwaru Babuk nebo novou zranitelnost ve správci hesel KeePass. Společnost Google si v posledních týdnech vysloužila kritiku mnohých členů bezpečnostní komunity v souvislosti se spuštěním registrací domén spadajících do top-level domény ZIP (a v menší míře za spuštění registrací domén spadajících do top-level domény MOV).

Ve Zlíně probíhá další komunitní setkání provozovatelů telekomunikačních sítí s názvem CSNOG. Hovořilo se na něm především o zrychlování sítí, automatizaci, detekci anomálií či stavbě anycastových sítí. CSNOG byl vymyšlen v roce 2017 jako místo setkání českých a slovenských síťových operátorů. Podobná setkání se konají po celém světě a mívají neformální podobu. Cílem je výměna informací mezi lidmi, kteří zjednodušeně řešeno spravují internet, zahájil akci Ondřej Caletka. Akce by měla být spíše setkáním než klasickou konferencí, protože informace by měly téci všemi směry.

V pravidelných pondělních bezpečnostních postřezích se podíváme na úspěch operace MEDUSA, ransomwarový dekryptor White Phoenix, Phishing-as-a-Service službu a kritickou zranitelnost v tiskových serverech. Díky spojenému úsilí národních bezpečnostních a zpravodajských agentur, známých jako Five Eyes, došlo k úspěšnému zneškodnění infrastruktury malwaru Snake. Snake je spymalware provozovaný ruskou Federální bezpečnostní službou (FSB). Konkrétně je spojen s ruskou hackerskou skupinou Turla, která spadá pod FSB a je známá také pod názvy Waterbug a Venomous Bear. K provádění škodlivých aktivit pomocí tohoto nástroje vytvořila FSB tajnou síť P2P (peer-to-peer) síť s mnoha počítači infikovanými Snakem po celém světě.

Tento týden se podíváme na opletačky OpenAI s GDPR, projdeme zranitelnosti Wi-Fi, Open vSwitche, jakožto i několik starších zranitelností, které začaly být zneužívány, třeba v útoku na 3CX. V minulém vydání Postřehů jsme se dozvěděli, že zranitelnost v ChatGPT mohla odhalit citlivé údaje předplatitelů. Týden se ani nestihl uzavřít a italský úřad „Garante Privacy“ (dohledový úřad pro GDPR) nařídil společnosti OpenAI omezení zpracovávání osobních dat uživatelů v Itálii s odkazem na tento incident, což v této chvíli OpenAI vyřešilo blokaci přístupu k ChatGPT. O tomto již Root psal ve zprávičce.

Western Digital My Cloud byl napaden. Konec bezplatného Midjourney. Čipová továrna TSMC v Drážďanech je v ohrožení. Zprávy z IT, každý pátek na Lupě. Vždy v pátek připravuje reportér Jan Sedlák výběr zajímavých zpráv ze světa IT. Co se událo v tomto týdnu?

V dnešním díle Postřehů se podíváme na údajné prolomení aplikace Telegram, na to, jak bezpečnostní složky předstírají prodej DDoS útoků, na několik zranitelností nebo na nový nástroj pro bezpečnostní profesionály. Ruská státní firma Rostekh, která se aktivně podílí na monitorování informací v Rusku, má údajně k dispozici nástroj, jak odhalit identitu uživatelů oblíbené aplikace Telegram. S touto informací přišla ruská média Bell a Medusa, která se zabývala sérií zatčení anonymních administrátorů telegramových kanálů, ke kterým došlo v roce 2022. Podle jejich zprávy dceřiná společnost Rostekhu Avtomatika koupila v roce 2021 společnost T. Hunter, která stojí za vývojem tohoto nástroje.

V dnešním ohlédnutí za uplynulým týdnem se podíváme na výsledky analýzy malwaru BlackLotus, zranitelnosti IP telefonů a platformy Booking.com, na nesmrtelný Internet Explorer a řadu dalších zajímavostí. Martin Smolár ze společnosti ESET zveřejnil analýzu malware známého jako BlackLotus. Tento malware je schopný fungovat i na plně aktualizovaném systému s Windows 11 a je k dispozici na prodej na různých fórech za 5000 dolarů. UEFI bootkity (jako třeba BlackLotus) mají schopnost spustit se již při startu počítače, což velmi znesnadňuje jejich detekci a navíc mají nejvyšší dostupná oprávnění. Tím jsou mimo jiné schopné zabránit vlastnímu vymazání. Zajímavostí je například i to, že malware neinfikuje počítače ve vybraných zemích (podle locales). Nejzajímavější z nich jsou asi Rusko a Ukrajina.

Čína krade u ASML. Největší pokles prodeje procesorů za třicet let. PID Lítačka umožňuje placení za parkování v Praze. Cisco je stále dostupné v Rusku. Zprávy z IT, každý pátek na Lupě. Vždy v pátek připravuje reportér Jan Sedlák výběr zajímavých zpráv ze světa IT. Co se událo v tomto týdnu?

V aktuálním dílu postřehů se podíváme na možné důsledky útoku na herní společnost Riot Games, na bezpečnostní varování společností Microsoft a QNAP a na zranitelnost nezranitelnost správce hesel KeePass. Po úspěšném útoku z minulého týdne proti společnosti Riot Games, která stojí za populárními hrami League of Legends či Team Fight Tactics, přišla zpráva od útočníků. Požadují deset milionů dolarů, jinak prý zveřejní ukradené zdrojové kódy ke zmíněným hrám a také k anti-cheat nástroji Packman. Útočníci přislíbili, že v případě zaplacení výkupného zdrojové kódy smažou a „velkoryse“ nabídli pomoc při zabezpečení před dalšími útoky.

Čipy M2 Pro a M2 Max. První startupová investice Tchaj-wanu v regionu. Z Wi-Fi signálu lze sestavit 3D modely lidí. Zprávy z IT, každý pátek na Lupě. Vždy v pátek připravuje reportér Jan Sedlák výběr zajímavých zpráv ze světa IT. Co se událo v tomto týdnu?

V dnešním díle Postřehů se podíváme na nezáplatované závažné zranitelnosti v produktech Citrix ADC a Gateway, údajný únik dat 400 milionů uživatelů Twitteru a další události posledního týdne roku 2022. V průběhu listopadu a prosince 2022 byly publikovány záplaty pro dvě vysoce závažné zranitelnosti v produktech Citrix Application Delivery Controller (ADC) a Citrix Gateway, s jejichž pomocí je možné získat neautorizovaný přístup ke zranitelným systémům, resp. dosáhnout spuštění libovolného kódu na nich.

Tentokrát si přečteme o zranitelných produktech mnoha známých firem, o falešných balíčcích, o několika užitečných projektech i o tom, že data uniknuvší z hacknutého webu mohou pomoci spravedlnosti. Firma Cisco zveřejnila bezpečnostní zprávu Cisco IP Phone 7800 and 8800 Series Cisco Discovery Protocol Stack Overflow Vulnerability o zranitelném firmwaru v IP telefonech řady 7800 a 8800 (kromě Cisco Wireless IP Phone 8821). Zranitelnost má název CVE-2022–20968 a CVSSv3 skóre 8.1/10. Existuje Proof of Concept, podle něhož by mohl útočník odesláním speciálně formátovaného rámce protokolu Cisco Discovery způsobit přetečení zásobníku a spuštění libovolného neautorizovaného kódu nebo odepření služby; skutečný případ zneužití zatím není znám.

Podíváme se na to, jakým způsobem útočníci těží kryptoměny na účet GitHubu, nebezpečné termokamery sledující počítač, ransomwarový útok na síť velkoobchodů a další bezpečnostní aktuality. Threat Research tým společnosti Sysdig tento týden zveřejnil analýzu rozsáhlé kryptominingové kampaně, při které aktéři hrozby využívali zdarma dostupných cloudových služeb a služeb kontinuální integrace a nasazení (CI/CD). Tým techniku nazval Purpleurchin a obecně je v bezpečnostní komunitě známá jako freejacking.

Další masivní čipové sankce USA mířící na Čínu. Nvidia nevydá RTX 4080 12 GB. Zranitelnost jádra Linuxu. Zprávy z IT, každý pátek na Lupě. Vždy v pátek připravuje reportér Jan Sedlák výběr zajímavých zpráv ze světa IT. Co se událo v tomto týdnu?

V dnešním dílu pravidelných týdenních bezpečnostních postřehů se podíváme na zranitelnost pluginu WPGateway, záplatování RCE zranitelností v IPsec ve Windows, na vždy aktuální phishing a další zajímavosti. Společnost Wordfence Threat Intelligence upozornila na aktivní zneužívání zranitelnosti nultého dne, která útočníkovi umožňuje získat administrátorský přístup k WordPressu. Zdrojem problému je zranitelný plugin WPGateway, který dovoluje uživatelům cloudové služby WPGateway spravovat weby využívající redakční systém WordPress z jednotného dashboardu. Zneužitím chyby v pluginu může nepřihlášený útočník docílit přidání nového uživatele s právy administrátora.

NASA přejde na RISC-V. První start nových Ryzenů může trvat. Přehled levných Wi-Fi mesh systémů. Zprávy z IT, každý pátek na Lupě. Vždy v pátek připravuje reportér Jan Sedlák výběr zajímavých zpráv ze světa IT. Co se událo v tomto týdnu?

V dnešním díle Postřehů se podíváme na aktivně zneužívané zranitelnosti v platformě Zimbra, úspěšný průnik do sítě společnosti Cisco i tři ransomwarové útoky na jednu organizaci v průběhu dvou týdnů. Společnost Volexity ve středu na svém blogu informovala, že identifikovala masivní vlnu pokusů o sekvenční zneužívání dvou zranitelností v Zimbra Collaboration Suite (ZCS).

V tomto díle Postřehů z bezpečnosti se podíváme na novou verzi Traffic Light protokolu, zranitelnost v parsování URL GoLangem, prolomení šifrovacího algoritmu SIKE a novinky z oblasti Command and control útoků. Výzkumníkům se podařilo prolomit šifrovací algoritmus SIKE (Supersingular Isogeny Key Encapsulation), který se uchází o zařazení mezi NIST standardy pro postkvantovou kryptografii (PQC). Americký NIST pravidelně vyhodnocuje kryptografické systémy, které pravděpodobně nebude možné prolomit pomocí kvantových počítačů. Ty budou totiž schopny cracknout mnoho v současnosti používaných kryptosystémů s veřejným klíčem.

V dnešním díle postřehů se podíváme na záplaty od výrobce automatizovaného SW ICS, na nový bankovní trojan, na únosy SOHO směrovačů, na varování CISA a na ostatní zajímavosti ze světa výpočetní techniky.

Pravidelný týdenní souhrn bezpečnostních novinek. Dnes se podíváme na akci Interpolu, velký update pro hackerský toolkit, zajímavý útok na dotykové obrazovky a další postřehy z bezpečnosti z předchozího týdne. Pod taktovkou Interpolu se 76 zemí zapojilo do operace s krycím názvem First Light 2022. Cílem bylo zaměřit se na podvodníky, kteří ve svých operacích využívají techniky sociálního inženýrství, například různé druhy phishingu. Operace byla velice úspěšná a zapojeným státům se během dvou měsíců podařilo z rukou podvodníků zabavit celkově přes 50 milionů dolarů a tisíce z nich zatknout.

Dnes postřehneme přes 10 let starou zranitelnost antiviru AVAST, Pandu v Mustangu, zranitelnost BIG-IP, analýzu skupiny Lazarus a upravený dokument NIST k tématu cyber supply chain risk managementu. Výzkumníci ze Sentinel Labs (SentinelOne) objevili dvě závažné zranitelnosti v antivirových produktech firmy Avast, konkrétně v Anti Rootkit driveru, který využívá ve svých produktech i společnost AVG.

Studie uveřejněná společností Cisco se zabývá hybridní prací – trendem, který urychlila globální pandemie, kdy zaměstnanci kombinují práci z domova s občasným docházením do kanceláře.

Pravidelný přehled bezpečnostních událostí, které se odehrály v digitálním světě. Velikonoční výslužka nových zranitelností v RPC, nový botnet, QBot malware a zajímavý výzkum. To vše vás čeká v dnešním díle. Součástí Microsoft patch Tuesday byly tři zranitelnosti, které se týkají Remote Procedure Call (RPC) runtime, z nichž jedna nevyžaduje interakci uživatele a jedná se tedy o zero-click zranitelnost s CVSS skóre 9.8. RPC je protokol typu klient-server, který slouží ke vzdálenému volání procedur. Jakýkoliv příkaz je vykonáván se stejným oprávněním, jako má RPC server samotný, což v může v některých případech znamenat plný administrátorský přístup na úrovni SYSTEM.

Od konce února rychle přibývá podvodných e-mailů, které jako své téma zneužívají válku na Ukrajině. Jejich primárním cílem je okrást osloveného o peníze, objevují se ale také malwarové kampaně. Bezpečnostní odborníci z Cisco Talos upozorňují na narůstající počty podvodných e-mailů souvisejících s konfliktem. Cíl je jednoduchý: zneužít situace a přesvědčit příjemce k akci, která ovšem obohatí útočníka. Jde sice jen o část celé spamové scény, ale s pokračujícím konfliktem se objevují nové a nové způsoby, jak oběti nalákat na falešnou notu humanitární pomoci.

K sankcím proti Rusku kvůli jeho nesmyslnému napadení Ukrajiny se v posledních dnech postupně přidala řada technologických firem. V Rusku už není možné si koupit nový iPhone, dodávky svých výrobku pozastavil Samsung nebo Intel a své služby ukončili i giganti jako je Oracle či HPE. Nepochopitelná ruská agrese proti Ukrajině vypukla ve čtvrtek 24. února 2022. Na útok nejdřív reagovaly vlády některých zemí, postupně se ale přidaly i soukromé firmy.

Cisco bude stavět privátní 5G sítě. Intel vstupuje do RISC-V. AMD smí převzít Xilinx. Číňané kradou technologii ASML. Zprávy z IT, každý pátek na Lupě. Vždy v pátek připravuje reportér Jan Sedlák výběr zajímavých zpráv ze světa IT. Co se událo v tomto týdnu?

Pojišťovny se snaží vykroutit z placení za útok ransomware, řádí malware CoinStomp a hackerská skupina Shuckworm. Probereme i problémy ropných terminálů a díry UEFI, Samby či Windows. Možná si ještě vzpomenete na ransomware notPetya, který v roce 2017 vyvolal docela „rozruch“ a podle některých odhadů celkové škody dosáhly až několika miliard dolarů. Vzhledem k tomu, že některé firmy měli již v té době pojištění proti kybernetickým útokům došlo k zajímavé při mezi firmami a pojišťovnami. Pojišťovny se totiž odkazovaly na podmínky pojištění, konkrétně na bod, ve kterém stálo, že nemusí proplácet škody způsobené válečnými akty.

Stát chystá technologickou modernizaci Czech POINTu. Začal vypisovat veřejné zakázky, dvě už ale zrušil. V roce 2007 spuštěný projekt Czech POINT projde generační obměnou a výrazně se modernizuje. Ministerstvo vnitra a jemu podřízený státní IT podnik NAKIT rozjely projekt Czech POINT 2.0, jehož technická realizace se očekává během letošního roku. NAKIT, který byl vybudováním pověřen, začal vypisovat veřejné zakázky. Náklady se mají pohybovat v řádech vyšších desítek milionů korun.

Společnost Cisco vydala svůj každoroční technologický výhled. Tentokrát se zaměřila na trendy, které přesáhnou hranici roku 2022 a jejich rozvoj můžeme očekávat v několika dalších letech. Společnost Cisco, celosvětový technologický lídr, v příštích letech očekává vývoj v pěti hlavních oblastech: etice umělé inteligence, všeobecném rozšíření internetu, aplikacích vytvořených prostřednictvím API (Application Programming Interface), edge computingu a kvantové technologii.

Odborníci na kyberbezpečnost z organizace Cisco Talos označili metaverse za „sen zločinců“. Co je k tomu vedlo? Metaverse, tedy virtuální svět, který se má přiblížit fungování reálného světa, je pojem, který ještě před nedávnem široké veřejnosti nic moc neříkal. To se ale změnilo s nedávným výstupem Marka Zuckerberga, který metaverse prakticky považuje za naši nevyhnutelnou budoucnost.

Podíváme se na jednu nepovedenou záplatu, mrkneme se na novou taktiku, kterou útočníci prodlužují dobu trvanlivosti phishingové stránky, na skrytý mobilní spyware, na zneužívání zranitelnosti ProxyShell nebo vzestup malware Flubot.

Náznaky nových procesorů AMD. Intel kvůli brexitu nepostaví továrnu v UK. Samsung rozjel výrobu DDR5. USA se lámou do TSMC. Zprávy z IT, každý pátek na Lupě. Vždy v pátek připravuje reportér Jan Sedlák výběr zajímavých zpráv ze světa IT. Co se událo v tomto týdnu?

Rekordní DDoS. ČR je na tom v IPv6 bídně. Třicet let Linuxu. USA mírní embargo na Huawei. Zprávy z IT, každý pátek na Lupě.

Apple Music nabídne bezztrátovou kvalitu. Novinky z Google I/O. Bezpečnostní díry v AMD Epyc. 1Password na Linuxu. Zprávy z IT, každý pátek na Lupě.

Dnes se podíváme na Wi-Fi sítě, na konec civilizace v USA, na zranitelnost v implementaci Turingova stroje, na příliš zvídavý zvonek a řekneme si, kde získat padělaný americký certifikát o očkování. Keatron Evans na portále Infosec v krátkém videu demonstruje útok Man-in-the-middle. Názornou formou přepíná mezi počítačem oběti a svým vlastním terminálem, kde nejprve otráví ARP cache, aby oběť přesvědčil, že jeho pracovní stanice je gateway pro spojení ven do Internetu a šmíruje obrázky, které z něho oběť stahuje stahuje (mimo HTTPS).

Fotorealistická grafika v GTA 5. VMware má nového šéfa. Další zranitelnosti Wi-Fi včetně WPA3. Divoké dění kolem čipů. Zprávy z IT, každý pátek na Lupě.

V pravidelném pondělní přehledu se podíváme na phishingové praktiky v populárním komunikačním programu. Odhalíme zranitelnost VPN a nakonec se dozvíme, že routery je lepší vyměnit než aktualizovat. Různé komunikační nástroje jsou poslední dobou velmi oblíbené a proto se útočníci zaměřují převážně na ně. V Google Play se objevila aplikace s názvem FlixOnline, která se snaží vydávat za aplikaci umožňující neomezené sledování Netflixu. Ve skutečnosti se jedná o důmyslný phishingový útok na uživatele prostřednictvím komunikačního nástroje WhatsUp. Po instalaci začne odesílat automatické odpovědi na příchozí konverzace a uživatele láká k návštěvě stránky, která se snaží získat přihlašovací a platební údaje.

Hitachi za 9,6 miliardy dolarů kupuje GlobalLogic. Americká armáda nakoupí HoloLens za 22 miliard dolarů. Zprávy z IT, každý pátek na Lupě.