PODCAST č. 122
Zásadná chyba v Linux pipe funkcii má dopady na všetko, čo používa zraniteľné jadro, viac ako 230 tisíc MikroTik routrov tvorilo botnet, ktorý bol využívaný ako Botnet-as-a-service, vysvetľujeme rozdiel medzi SIEM a SOAR, hackerská skupina Lapsus úspešne zaútočila na Microsoft, ale asi je to jej posledný útok, 250 modelov tlačiarní spoločnosti HP má vážnu kritickú chybu, rozhovor na tému threat hunting a informácie o zaujímavých eventoch ale aj pozvánky na zaujímavé eventy.
SPRÁVY:
Zásadná chyba v Linux Pipe ohrozuje už aj QNAP Network Attached Storage a mobily Pixel či Samsung
https://www.csoonline.com/
https://www.bleepingcomputer.com/
https://arstechnica.com/
Problém dostal názov Dirty pipe, označenie má CVE_2022-0847 a score 7,8 čo je celkom dosť vysoké a týka sa to linux jadier od verzie 5.8 po 5.10.102, 5.15 po 5.15.25 a 5.16 až po 5.16.11
Skontrolujte si, či niektorý z typov nemáte doma alebo vo firme na stole.
A ponúkame aj odporúčania QNAP na elimináciu problému.
Botnet tvorený sieťou 230 tisíc MikroTik routrami.
https://thehackernews.com/
Ešte v roku 2018, konkrétne 13 apríla MikroTik oznámil, že vydal patch na zraniteľnosť CVE_2018-14847. Táto zraniteľnosť umožňovala cez administratívny port 8291 komukoľvek stiahnúť databázu prihlasovacích údajov z MicroTic routra, dekódovať prístupové heslá.Správa však „nezarezonovala a 230 000 routrov slúžilo ako botnet sieť pre všeličo možné.
Ponúkame návod, čo všetko urobiť, aby MikroTik patril zasa vám a nie útočníkom.
SIEM versus SOAR – čo je čo a na čo sa to hodí
https://www.techtarget.com/searchsecurity/answer/SOAR-vs-SIEM-Whats-the-difference
Security Information and Event Management – v skratke SIEMSecurity Orchestration, Automation and Response – v skratke SOAR Vysvetľujeme, čo je čo.
4. Microsoft potvrdil, že bol cieľom útoku ransomverovou skupinou Lapsus
https://www.bleepingcomputer.com/
21.marca hekerská skupina Lapsus uvoľnila 37 GB zdrojového kódu zo servera Azure DevOps spoločnosti Microsoft. Spoločnosť to 22.marca potvrdila. Nachádzal sa tam zdrojový kód projektov Bing, Cortana, Bing Maps. Došlo k tomu tak, že sa hekerskej skupine podarilo kompromitovať jeden zamestnanecký účet.
5. Máte tlačiareň spoločnosti HP? Tak POZOR!
https://www.csoonline.com/
Spoločnosť HP zverejnila výstrahu pre viac ako 250 modelov tlačiarní. Chyba má označenie CVE-2022-3942,klasifikovaná hodnotou 8,4 teda kritická, zneužíva protokol LLMNR teda Link-Local Multicast Name Resolution, ktorý používa UDP port 5355.
Ako znefunkčniť protokol LLMNR na vašom počítači nájdete na tomto linku.
POZVÁNKY
- A) 1.marca sa na Slovensku začala doteraz najväčšia – verejne dostupná- hackerská súťaž – CyberGame. Odborným garantom súťaže je Národné centrum kybernetickej bezpečnosti SK-CERT, ktorého tím profesionálov vytvoril všetky súťažné úlohy. Dnes je už vyše 700 účastníkov, hrá sa o skvelé ceny – teda hrá sa, je to cybergame, teda analyzujete, používate rôzne nástroje, detekujete symptómy a zbierate vlajky a body. Garantujeme vám, že aj keď nevyhráte, oplatí sa to vyskúšať.
- B) Cluster kybernetickej bezpečnosti otvára na strednej odbornej škole elektrotechnickej „Centrum excelentnosti kybernetickej bezpečnosti“. Má to vznešený názov, ale jedná sa hlavne o umožnenie študentom zoznámiť sa s technológiami, ktoré sa využívajú v SOC centrách aj na monitoring bezpečnosti kritickej infraštruktúry štátu. Snahou je zvýšiť záujem študentov o informačnú a kybernetickú bezpečnosť.
- C) Aj incident rozbehol vlastný projekt s názvom ONE IP, kde študentov postupne oboznamujeme s hackerskými nástrojmi, postupmi a vysvetľujeme aké škody dokážu napáchať a čo robiť preto, aby tie škody nevznikli.
- D) 17. mája sa bude konať už tradičná SecTec Security Day konferencia, ale tentokrát trocha ináč. Nebudú to tradičné predstavenia vendorov a technológií… tomu bude venovaná len jedna štvrtina. Podstatná časť bude venovaná okrúhlym stolom na veľmi zaujímavé témy.
- E) 25. a 26. mája sa bude konať v Prahe obľúbená bezpečnostná konferencia Qubit 2022.
Registrovať sa môžete on-line na: https://prague.qubitconference.com/register/
A pokiaľ uvažujete o účasti a počúvate tento podcast, bingooo – práve ste ušetrili 😊
Na získanie zľavy použite tento voucher: Qp22Incident10
ROZHOVOR:
S Robom Lipovským – principal threat Intelligence Resarcher spoločnosti ESET
na tému Threat hunting (Petya, NotPetya, Industroyer, WonnaCry, ransomware a wiper)
POĎKOVANIE:
Ďakujeme spoločnosti ESET za podporu a spoluprácu, za ESET aj Incident môžeme sľúbiť, že rozhovory na témy hrozby, zraniteľnosti a threat hunting v priebehu roka ešte prinesieme.
