Обеспечение информационной безопасности. Обзор зарубежной прессы

Тихий январь: обзор зарубежной прессы по ИБ

Итоги и предсказания

В начале года традиционно принято анализировать тенденции прошедшего года и обсуждать прогнозы на предстоящий год. Журналисты издания Threatpost собрали предсказания аналитиков на 2021 год [1]. Естественно, что в большинстве прогнозов указывается на усиление роли удаленной работы и увеличение вероятности атак через домашние компьютеры пользователей, так же как и усиление важности защиты мобильных решений и облачных сервисов. Компаниям в нынешнем году также важно будет организовать более качественную защиту от инсайдеров, поскольку велика вероятность, что под видом дистанционно работающих пользователей к корпоративной сети будут подключаться посторонние и инсайдеры. Важной темой 2021 года также будет автоматизация средств защиты с помощью технологий искусственного интеллекта и глубокого машинного обучения – эти инструменты должны помочь в организации распределенной защиты удаленных работников и используемых ими облачных сервисов.

Исследователи безопасности из компании Recorded Future опубликовали исследование [2] в котором проанализировали использование в 2020 году различных командных серверов, связанных с определенными вредоносными программами – таких серверов по всему миру эксперты обнаружили более 10 тыс. Причем большая часть из них относится к двум продуктам: Cobalt Strike и Metasploit – 1441 и 1122 серверов соответственно. Причем вместе эти команды контролируют почти четверть всех установленных в мире серверов. Инструменты эти используются в том числе и легальными пентестерами из так называемых «красных бригад» (red team), которые по контракту проводят тестирование корпоративных сетей. При этом исследователи из Recorded Future связали инструменты Cobalt Strike с такими кибер-группировки как APT41 и Mustang Panda, которые ассоциированы с китайскими хакерами, а Metasploit – с Evilnum и Turla, то есть российскими хакерами.

Обновления января

Компания Microsoft выпустила первый в этом году набор обновлений [3], в которым исправила 10 критических уязвимостей, одна из которых активно эксплуатируется хакерами. Почему-то она связывается с атакой на SolarWinds, о которой стало известно в декабре прошлого года. Всего же в январском наборе содержатся исправления для 83 уязвимостей в различных продуктах Microsoft.

Также в январе компания Cisco трижды исправляла свои продукты. В частности, была исправлена уязвимость [4] в конфигурации модуля AnyConnect маршрутизаторов для небольшого бизнеса RV110W, RV130, RV130W и RV215W, которая позволяла атакующему захватить систему с помощью альтернативного пароля. Ещё несколько важных ошибок [5] было обнаружено и исправлено компаний в наборе продуктов SD-WAN. Третья ошибка была обнаружена компаний в своем продукте Cisco DNA Center [6] – она позволяла совершить CSRF-атаку на административный интерфейс, что было оценено достаточно высоко по шкале CVSS – 7.1. Справедливости ради стоит отметить, что и в продуктах других телеком-производителей также обнаруживаются ошибки. Например, в межсетевом экране Zyxel [7] была просто закодирована специальная учётная запись с административным полномочиями, которая давала посторонним контроль над всем межсетевым экраном.

Исследователи, которые занимаются защиты от DDoS-атак обнаружили [8], что злоумышленники все чаще используют для усиления своих атак открытые RDP-сервера. Компания Netscout обнаружила их уже более 14 тыс. Собственно, это и понятно – во время пандемии именно протокол RDP активно использовался для организации удаленной работы сотрудников, поэтому все больше организаций открывают эти сервера для общего доступа. Хакеры их быстро обнаруживают и начинают использовать в своих целях – как усилители DDoS.

В Linux исправлена уязвимость практически десятилетней давности [9], которая связана с утилитой изменения полномочий sudo. Обнаруженная уязвимость может быть использована для поднятия полномочий в некоторых версиях Linux. Это при том, что в январе было замечено активное распространение двух зомби-сетей DreamBus и FreakOut [10], которые нацелены как раз на небольшие подключенные к Интернет устройства базирующиеся на операционной системе Linux.

Новый год – новые утечки

Европейское медицинское агентство EMA объявило [11] о том, что неизвестными лицами с их серверов произошел доступ к документам по новой вакцине от коронавируса компании Pfizer/BioNTech. Атака была совершена 19 декабря прошлого года, однако разглашение информации по вакцине было доступно на хакерских форумах с 31 декабря 2020 года по 13 января 2021 года.

У производителя IoT-устройств компании Ubiquiti, которая производит маршрутизаторы, сетевые записывающие устройства, камеры видеонаблюдения и системы контроля доступа, случилась утечка учетных данных пользователей [12]. Утверждается, что в утечке виноват сторонний поставщик облачного решения. Пользователям сервисов данной компании рекомендуется сменить пароли от своих систем или перейти на двухфакторный метод аутентификации.

Утечка исходных кодов приложений произошла у автопроизводителяNissan [13]. Объем украденных данных составляет 20 ГБайт информации. Предполагается, что хакеры похитили данные о мобильных приложениях компании и диагностических инструментах. Утечка произошла из-за неправильной конфигурации репозитория разработчиков, расположенного в компании.

Ещё одна утечка данных платежных карт [14] случилась у индийского стартапа Juspay. По анализу данных она может затронуть информацию по 35 млн индийских пользователей сервиса, хотя специалисты ИБ компании заметили и прервали выгрузку данных во вне. Похоже, что утечка произошла из облачного хранилища данных, которое расположено в Amazon.

Исследователи безопасности обнаружили в Интернет репозиторий с персональным данным сотрудников Организации Объединенных Наций в количестве 100 тыс. человек [15]. Общий доступ к данным явно вызван ошибкой администрирования репозитория. При этом не ясно кто мог получить доступ к данным и вообще кому-то эти данные оказались нужны.

Национальный кибер-директор

Избранный Президент США Джо Байден собирается сформировать новую должность для координации киберопераций США [16], которая уже получила наименование «Национальный кибер-директор» (National Cyber Director – NCD). Предполагается, что пост этого кибер-директора займет бывшая сотрудница АНБ и Совета национальной безопасности Джейн Истерли – на этом посту она будет контролировать деятельность федерального правительства в области кибербезопасности. Джейн Истерли входила в состав команды, создавшей киберкомандование США при Министерстве обороны. Кроме того, ожидается, что бывший помощник секретаря по киберполитике Министерства внутренней безопасности Роб Сильверс будет назначен директором Агентства по кибербезопасности и безопасности инфраструктуры (CISA), главу которого Криса Креббса уволил в ноябре прошлого года Дональд Трамп, когда тот признал прошедшие выборы как самые чистые с точки зрения информационной безопасности. Предполагается, что Джо Байден выделит на совершенствование кибер-защиты всех государственных ведомств порядка 10 млрд долл.

Защита паролей

Два основных браузера Microsoft Edge и Google Chrome обновили свои инструменты для защиты паролей своих пользователей [18]. Microsoft встроила в свой браузер инструмент с названием Password Monitor, который проверяет базы известных паролей и предупреждает пользователя если его пароль содержится в одной из этих баз. Аналогичный инструмент предусмотрен и в Google Chrome версии 88. Браузер может проверить сохраненные пароли на их попадание в одну из опубликованных баз опубликованных паролей. Оба браузера будут предупреждать пользователя если станет известно, что его пароль скомпрометирован.

[1] https://threatpost.com/2021-cybersecurity-trends/162629/

[2] https://www.darkreading.com/risk/cobalt-strike-and-metasploit-tools-were-attacker-favorites-in-2020/d/d-id/1339854

[3] https://threatpost.com/critical-microsoft-defender-bug-exploited/162992/

[4] https://threatpost.com/cisco-flaw-cmx-software-retailers/163027/

[5] https://threatpost.com/critical-cisco-sd-wan-bugs-rce-attacks/163204/

[6] https://threatpost.com/cisco-dna-center-bug-remote-attack/163302/

[7] https://www.hackread.com/zyxel-firewalls-vpn-gateways-backdoor-account/

[8] https://threatpost.com/threat-actors-can-exploit-windows-rdp-servers-to-amplify-ddos-attacks/163248/

[9] https://www.darkreading.com/application-security/critical-vulnerability-patched-in-sudo-utility-for-unix-like-oses/d/d-id/1339996

[10] https://www.darkreading.com/attacks-breaches/dreambus-freakout-botnets-pose-new-threat-to-linux-systems/d/d-id/1339953

[11] https://www.hackread.com/pfizer-biontech-covid-19-vaccine-data-leaked/

[12] https://krebsonsecurity.com/2021/01/ubiquiti-change-your-password-enable-2fa/

[13] https://www.hackread.com/nissan-source-code-leaked-online/

[14] https://www.hackread.com/juspay-data-breach-card-data-sold-dark-web/

[15] https://www.darkreading.com/threat-intelligence/united-nations-security-flaw-exposed-100k-staff-records/d/d-id/1339882

[16] https://go.theregister.com/feed/www.theregister.com/2021/01/25/biden_cybersecurity_team/

[17] https://threatpost.com/microsoft-edge-google-chrome-roll-out-password-protection-tools/163272/