Linux pipe vulnerability, MikroTik botnet, Lapsus útočí na Microsoft, zraniteľné HP tlačiarne

122

PODCAST č. 122

Zásadná chyba v Linux pipe funkcii má dopady na všetko, čo používa zraniteľné jadro, viac ako 230 tisíc MikroTik routrov tvorilo botnet, ktorý bol využívaný ako Botnet-as-a-service, vysvetľujeme rozdiel medzi SIEM a SOAR, hackerská skupina Lapsus úspešne zaútočila na Microsoft, ale asi je to jej posledný útok, 250 modelov tlačiarní spoločnosti HP má vážnu kritickú chybu, rozhovor na tému threat hunting a informácie o zaujímavých eventoch ale aj pozvánky na zaujímavé eventy.

SPRÁVY:

  1. Zásadná chyba v Linux Pipe ohrozuje už aj QNAP Network Attached Storage a mobily Pixel či Samsung

https://www.csoonline.com/
https://www.bleepingcomputer.com/
https://arstechnica.com/

Problém dostal názov Dirty pipe, označenie má CVE_2022-0847 a score 7,8 čo je celkom dosť vysoké a týka sa to linux jadier od verzie 5.8 po 5.10.102, 5.15 po 5.15.25 a 5.16 až po 5.16.11
Skontrolujte si, či niektorý z typov nemáte doma alebo vo firme na stole.
A ponúkame aj odporúčania QNAP na elimináciu problému.

  1. Botnet tvorený sieťou 230 tisíc MikroTik routrami.

https://thehackernews.com/
Ešte v roku 2018, konkrétne 13 apríla MikroTik oznámil, že vydal patch na zraniteľnosť CVE_2018-14847. Táto zraniteľnosť umožňovala cez administratívny port 8291 komukoľvek stiahnúť databázu prihlasovacích údajov z MicroTic routra, dekódovať prístupové heslá.Správa však „nezarezonovala a 230 000 routrov slúžilo ako botnet sieť pre všeličo možné.
Ponúkame návod, čo všetko urobiť, aby MikroTik patril zasa vám a nie útočníkom.

  1. SIEM versus SOAR – čo je čo a na čo sa to hodí

https://www.techtarget.com/searchsecurity/answer/SOAR-vs-SIEM-Whats-the-difference
Security Information and Event Management – v skratke SIEMSecurity Orchestration, Automation and Response – v skratke SOAR Vysvetľujeme, čo je čo.

4. Microsoft potvrdil, že bol cieľom útoku ransomverovou skupinou Lapsus

https://www.bleepingcomputer.com/
21.marca hekerská skupina Lapsus uvoľnila 37 GB zdrojového kódu zo servera Azure DevOps spoločnosti Microsoft. Spoločnosť to 22.marca potvrdila. Nachádzal sa tam zdrojový kód projektov Bing, Cortana, Bing Maps. Došlo k tomu tak, že sa hekerskej skupine podarilo kompromitovať jeden zamestnanecký účet.

5. Máte tlačiareň spoločnosti HP? Tak POZOR!

https://www.csoonline.com/
Spoločnosť HP zverejnila výstrahu pre viac ako 250 modelov tlačiarní. Chyba má označenie CVE-2022-3942,klasifikovaná hodnotou 8,4 teda kritická, zneužíva protokol LLMNR teda Link-Local Multicast Name Resolution, ktorý používa UDP port 5355.
Ako znefunkčniť protokol LLMNR na vašom počítači nájdete na tomto linku.

POZVÁNKY

  • A) 1.marca sa na Slovensku začala doteraz najväčšia – verejne dostupná- hackerská súťaž – CyberGame. Odborným garantom súťaže je Národné centrum kybernetickej bezpečnosti SK-CERT, ktorého tím profesionálov vytvoril všetky súťažné úlohy. Dnes je už vyše 700 účastníkov, hrá sa o skvelé ceny – teda hrá sa, je to cybergame, teda analyzujete, používate rôzne nástroje, detekujete symptómy a zbierate vlajky a body. Garantujeme vám, že aj keď nevyhráte, oplatí sa to vyskúšať.
  • B) Cluster kybernetickej bezpečnosti otvára na strednej odbornej škole elektrotechnickej „Centrum excelentnosti kybernetickej bezpečnosti“. Má to vznešený názov, ale jedná sa hlavne o umožnenie študentom zoznámiť sa s technológiami, ktoré sa využívajú v SOC centrách aj na monitoring bezpečnosti kritickej infraštruktúry štátu. Snahou je zvýšiť záujem študentov o informačnú a kybernetickú bezpečnosť.
  • C) Aj incident rozbehol vlastný projekt s názvom ONE IP, kde študentov postupne oboznamujeme s hackerskými nástrojmi, postupmi a vysvetľujeme aké škody dokážu napáchať a čo robiť preto, aby tie škody nevznikli.
  • D) 17. mája sa bude konať už tradičná SecTec Security Day konferencia, ale tentokrát trocha ináč. Nebudú to tradičné predstavenia vendorov a technológií… tomu bude venovaná len jedna štvrtina. Podstatná časť bude venovaná okrúhlym stolom na veľmi zaujímavé témy.
  • E) 25. a 26. mája sa bude konať v Prahe obľúbená bezpečnostná konferencia Qubit 2022.
    Registrovať sa môžete on-line na: https://prague.qubitconference.com/register/
    A pokiaľ uvažujete o účasti a počúvate tento podcast, bingooo – práve ste ušetrili 😊
    Na získanie zľavy použite tento voucher: Qp22Incident10

ROZHOVOR:

S Robom Lipovským – principal threat Intelligence Resarcher spoločnosti ESET
na tému Threat hunting (Petya, NotPetya, Industroyer, WonnaCry, ransomware a wiper)

POĎKOVANIE:

Ďakujeme spoločnosti ESET za podporu a spoluprácu, za ESET aj Incident môžeme sľúbiť, že rozhovory na témy hrozby, zraniteľnosti a threat hunting v priebehu roka ešte prinesieme.

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on pinterest
Pinterest

ĎALŠIE ČLÁNKY, KTORÉ BY ŤA MOHLI ZAUJÍMAŤ

SecTec Security Day 2022

Kybernetická vojna – sme v bezpečí? Čo vám napadne ako prvé, keď sa povie kybernetická bezpečnosť? Zrejme firewall, monitoring siete, antivírus, SIEM a takto by sme…