Linux pipe vulnerability, MikroTik botnet, Lapsus útočí na Microsoft, zraniteľné HP tlačiarne

122

PODCAST č. 122

Zásadná chyba v Linux pipe funkcii má dopady na všetko, čo používa zraniteľné jadro, viac ako 230 tisíc MikroTik routrov tvorilo botnet, ktorý bol využívaný ako Botnet-as-a-service, vysvetľujeme rozdiel medzi SIEM a SOAR, hackerská skupina Lapsus úspešne zaútočila na Microsoft, ale asi je to jej posledný útok, 250 modelov tlačiarní spoločnosti HP má vážnu kritickú chybu, rozhovor na tému threat hunting a informácie o zaujímavých eventoch ale aj pozvánky na zaujímavé eventy.

SPRÁVY:

  1. Zásadná chyba v Linux Pipe ohrozuje už aj QNAP Network Attached Storage a mobily Pixel či Samsung

https://www.csoonline.com/
https://www.bleepingcomputer.com/
https://arstechnica.com/

Problém dostal názov Dirty pipe, označenie má CVE_2022-0847 a score 7,8 čo je celkom dosť vysoké a týka sa to linux jadier od verzie 5.8 po 5.10.102, 5.15 po 5.15.25 a 5.16 až po 5.16.11
Skontrolujte si, či niektorý z typov nemáte doma alebo vo firme na stole.
A ponúkame aj odporúčania QNAP na elimináciu problému.

  1. Botnet tvorený sieťou 230 tisíc MikroTik routrami.

https://thehackernews.com/
Ešte v roku 2018, konkrétne 13 apríla MikroTik oznámil, že vydal patch na zraniteľnosť CVE_2018-14847. Táto zraniteľnosť umožňovala cez administratívny port 8291 komukoľvek stiahnúť databázu prihlasovacích údajov z MicroTic routra, dekódovať prístupové heslá.Správa však „nezarezonovala a 230 000 routrov slúžilo ako botnet sieť pre všeličo možné.
Ponúkame návod, čo všetko urobiť, aby MikroTik patril zasa vám a nie útočníkom.

  1. SIEM versus SOAR – čo je čo a na čo sa to hodí

https://www.techtarget.com/searchsecurity/answer/SOAR-vs-SIEM-Whats-the-difference
Security Information and Event Management – v skratke SIEMSecurity Orchestration, Automation and Response – v skratke SOAR Vysvetľujeme, čo je čo.

4. Microsoft potvrdil, že bol cieľom útoku ransomverovou skupinou Lapsus

https://www.bleepingcomputer.com/
21.marca hekerská skupina Lapsus uvoľnila 37 GB zdrojového kódu zo servera Azure DevOps spoločnosti Microsoft. Spoločnosť to 22.marca potvrdila. Nachádzal sa tam zdrojový kód projektov Bing, Cortana, Bing Maps. Došlo k tomu tak, že sa hekerskej skupine podarilo kompromitovať jeden zamestnanecký účet.

5. Máte tlačiareň spoločnosti HP? Tak POZOR!

https://www.csoonline.com/
Spoločnosť HP zverejnila výstrahu pre viac ako 250 modelov tlačiarní. Chyba má označenie CVE-2022-3942,klasifikovaná hodnotou 8,4 teda kritická, zneužíva protokol LLMNR teda Link-Local Multicast Name Resolution, ktorý používa UDP port 5355.
Ako znefunkčniť protokol LLMNR na vašom počítači nájdete na tomto linku.

POZVÁNKY

  • A) 1.marca sa na Slovensku začala doteraz najväčšia – verejne dostupná- hackerská súťaž – CyberGame. Odborným garantom súťaže je Národné centrum kybernetickej bezpečnosti SK-CERT, ktorého tím profesionálov vytvoril všetky súťažné úlohy. Dnes je už vyše 700 účastníkov, hrá sa o skvelé ceny – teda hrá sa, je to cybergame, teda analyzujete, používate rôzne nástroje, detekujete symptómy a zbierate vlajky a body. Garantujeme vám, že aj keď nevyhráte, oplatí sa to vyskúšať.
  • B) Cluster kybernetickej bezpečnosti otvára na strednej odbornej škole elektrotechnickej „Centrum excelentnosti kybernetickej bezpečnosti“. Má to vznešený názov, ale jedná sa hlavne o umožnenie študentom zoznámiť sa s technológiami, ktoré sa využívajú v SOC centrách aj na monitoring bezpečnosti kritickej infraštruktúry štátu. Snahou je zvýšiť záujem študentov o informačnú a kybernetickú bezpečnosť.
  • C) Aj incident rozbehol vlastný projekt s názvom ONE IP, kde študentov postupne oboznamujeme s hackerskými nástrojmi, postupmi a vysvetľujeme aké škody dokážu napáchať a čo robiť preto, aby tie škody nevznikli.
  • D) 17. mája sa bude konať už tradičná SecTec Security Day konferencia, ale tentokrát trocha ináč. Nebudú to tradičné predstavenia vendorov a technológií… tomu bude venovaná len jedna štvrtina. Podstatná časť bude venovaná okrúhlym stolom na veľmi zaujímavé témy.
  • E) 25. a 26. mája sa bude konať v Prahe obľúbená bezpečnostná konferencia Qubit 2022.
    Registrovať sa môžete on-line na: https://prague.qubitconference.com/register/
    A pokiaľ uvažujete o účasti a počúvate tento podcast, bingooo – práve ste ušetrili 😊
    Na získanie zľavy použite tento voucher: Qp22Incident10

ROZHOVOR:

S Robom Lipovským – principal threat Intelligence Resarcher spoločnosti ESET
na tému Threat hunting (Petya, NotPetya, Industroyer, WonnaCry, ransomware a wiper)

POĎKOVANIE:

Ďakujeme spoločnosti ESET za podporu a spoluprácu, za ESET aj Incident môžeme sľúbiť, že rozhovory na témy hrozby, zraniteľnosti a threat hunting v priebehu roka ešte prinesieme.

Facebook
Twitter
LinkedIn
Pinterest

ĎALŠIE ČLÁNKY, KTORÉ BY ŤA MOHLI ZAUJÍMAŤ

ITAPA 2022: Výber TOP spíkrov kongresu

ITAPA 2022: Výber TOP spíkrov kongresu Téma: Ženy v IT, úspešné podnikateľky Anca D. Goron, expertka na umelú inteligenciu, zakladateľka 2 startupov, ktorá bola zaradená do…

Richard „Citrón“ Lintner exkluzívne pre ITAPA

Tlačová informácia Richard „Citrón“ Lintner exkluzívne pre ITAPA: Vychovávame výnimočných ľudí. Nie vďaka, ale skôr napriek systému Bratislava, 22. november 2022 – Je tomu už…