A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézete (NBSZ-NKI) heti rendszerességgel összeállít egy válogatást az adott időszak információbiztonsági híreiből. Azonban nem csak az NKI által közzétett válogatásban szereplő cikkekből szemezgetünk, mivel azt tapasztaltuk, hogy olvasóink azokra a hírekre is nyitottak, amelyek hatásai túlmutatnak a szűkebb kibervédelmi és technikai aktualitásokon.

Az NKI a sajtószemle mellett tájékoztatást és riasztásokat is küld, ha úgy ítéli meg, hogy azok olyan súlyú fenyegetéseket tartalmaznak, amelyeket érdemes közzétenni az érintetti körben. A legszerencsésebb (és utólag mindig kiderül, a legköltséghatékonyabb) megelőzni a bajt: azok a szervezetek, ahol az információbiztonsági felelős élő kapcsolatot ápol a rendszer üzemeltetőivel, fejlesztőivel és használóival, az érintettek megerősödött immunrendszerükkel könnyebben állnak ellen a vírusoknak, zsarolási kísérleteknek és egyéb rosszindulatú kódok mesterkedéseinek!

Összefoglaló a 2024. évi 7–9. hét eseményeiből

Aki a teljes anyagra kíváncsi itt találja meg a forrást: https://nki.gov.hu/it-biztonsag/kiadvanyok/sajtoszemle/.

Továbbra se feledjük: a kibertérben a biztonság csak egy hamis illúzió…

2024. évi 9. heti szemle

Forrás: https://nki.gov.hu/it-biztonsag/kiadvanyok/sajtoszemle/sajtoszemle-2024-9-het/

Már egy nap sem kell hozzá és beköszönt az igazi tavasz – sajnos nemcsak a füvek, fák és virágok ébrednek és nyiladoznak, de ahogy az NKI sajtószemléjéből megtudhatjuk: a kibertér sötét erői is érzik a zsongást…

„A SCREENCONNECT SÉRÜLÉKENYSÉGET HASZNÁLJÁK KI A MEGMARADT LOCKBIT TAGOK – A támadók egy maximális súlyosságú hitelesítési megkerülési sebezhetőséget használnak ki a nem javított ScreenConnect kiszolgálók feltörésére és LockBit zsarolóprogramok telepítésére a megtámadott hálózatokon.”

A cikk nem ezzel a mondattal kezdődik, de a jobb érthetőség kedvéért megtöröm az idősíkot: „A LockBit elleni akció ellenére úgy tűnik, hogy néhány társcsoportjuk még mindig aktív.”

És most nézzük a részleteket: „A hét elején a ConnectWise biztonsági frissítéseket adott ki, és több kiberbiztonsági vállalat PoC exploitokat tett közzé. Egy nappal később, a maximális súlyosságú CVE-2024-1709 auth bypass hiba aktív kihasználását jelentették.”

Aki még ennél is többet szeretne tudni az esetről itt kopogtasson: https://nki.gov.hu/it-biztonsag/hirek/a-screenconnect-serulekenyseget-hasznaljak-ki-a-megmaradt-lockbit-tagok/.

„A LOCKBIT ÚJRAÉLED ÉS FEL AKARJA VENNI A KESZTYŰT A HATÓSÁGOKKAL – A LockBit csoport, kevesebb mint egy héttel azután, hogy a bűnüldöző szervek feltörték a szervereit, új infrastruktúrán indítja újra műveleteit, és azzal fenyegetőzik, hogy még több támadást intéznek a kormányzati szektor ellen.”

„A banda egy hosszú üzenetet tett közzé a betörést lehetővé tevő gondatlanságukról és a művelet további részleteiről. Közleményükben arra hivatkoznak, hogy »személyes hanyagság és felelőtlenség« vezetett ahhoz, hogy a bűnüldöző szervek megzavarták a tevékenységüket. Bejelentették, hogy folytatják a műveleteiket.”

Nem tudom megállni, hogy ne idézzek még egy mondatot a cikkből: „Személyes hanyagságom és felelőtlenségem miatt megpihentem, és nem frissítettem időben a PHP-t. A csoport szerint a »victim’s« admin és chatpanel szervere, valamint a blog szerver 8.1.2-es PHP-t futtatott, és valószínűleg a CVE-2023-3824 néven nyomon követett kritikus sebezhetőséget kihasználva törték fel őket.”

Hát, igen… A hanyagság nemcsak a kibertér világos felén okozhat galibát, de a másik oldalon is. Az lesz majd a szép világ, amikor a LockBit csoporthoz hasonló társaságok egymás szervereit törik majd és kérnek váltságdíjat az eltulajdonított adatokért – amelyeket ebül szereztek meg tőlünk. Amit viszont az incidens további eszkalálódásának érdekében terveznek, szintén példaértékű: ilyen cselekvési/intézkedési tervek láttán az NKI is elégedetten dőlne hátra, ha nem lenne egyéb dolga – temérdek.

„HACKEREK HASZNÁLJÁK KI A 14 ÉVES CMS SZERKESZTŐT – A fenyegetettségi szereplők egy már 14 évvel ezelőtt megszüntetett CMS szerkesztőt használnak fel arra, hogy az oktatási és kormányzati szervezetek keresési eredményét rosszindulatú webhelyekkel mérgezzék.”

Itt sajnos nem igaz a régi mondás: működő rendszeren ne változtass!

„A g0njxa nevű kiberbiztonsági kutató fedezett fel egy rosszindulatú átirányítási kampányt. Ebben a kampányban a támadók által használt nyílt átirányítási kérések az FCKeditorhoz kapcsolódnak, egy egykor népszerű webes szövegszerkesztőhöz, amely lehetővé teszi a felhasználók számára, hogy a HTML tartalmat közvetlenül egy weboldalon belül szerkesszenek. A kampány elsősorban oktatási intézményeket (pl. MIT, Columbia University, Universitat de Barcelona, Auburn University, University of Washington, Purdue, Tulane, Universidad Central del Ecuador, University of Hawaii), valamint olyan kormányzati és vállalati oldalakat is célba vesz, amelyek az elavult FCKeditor bővítményt használják (pl. Virginia, Austin, Texas kormányzati, Spanyolország kormányzati és a Yellow Pages Canada oldala).”

Akit a konkrét módszer is érdekel az általános tanulságokon túl, itt kövesse az eseményeket: https://nki.gov.hu/it-biztonsag/hirek/hackerek-hasznaljak-ki-a-14-eves-cms-szerkesztot/.

Szeretett kollégánk, dr. Krasznay Csaba – ismert kiberszemélyiség – YouTube csatornáján szintén megemlékezett erről a hírről:

„MEGJELENT A NIST CYBERSECURITY FRAMEWORK 2.0 – A NIST bejelentette a Cybersecurity Framework (CSF) 2.0-ás verziójának hivatalos kiadását.”

„Ez az első nagyobb frissítés a keretrendszer egy évtizeddel ezelőtti létrehozása óta. A CSF eredetileg a kritikus infrastruktúrával foglalkozó szervezeteknek készült, de a használatát ajánlják más szervezeteknek is. A CSF 2.0-át úgy tervezték, hogy minden szervezetnek segítsen csökkenteni a kockázatokat, függetlenül az ágazattól, a mérettől vagy a biztonság fejlettségi szintjétől.”

Talán az USA-ban is megirigyelték a NIS2 hazai implemetációjának gyors jogalkotási folyamatát – ott is elő kellett rukkolni egy jelentős frissítéssel! Fogunk még hallani erről, addig is: fordítók kerestetnek! „A NIST kiberbiztonsági keretrendszerének első változata is több mint egy tucat nyelven elérhető, valószínűleg az önkéntesek lefordítják a CSF 2.0-át is.”

Ha az IT biztonsági tanács rovat nem is került be a heti válogatásba, a mobilos szekció most kapott egy frissítést: bekerült egy cikk az Androidos világ figyelmeztetésére.

„LEGALÁBB 150 000 KÉSZÜLÉKET FERTŐZHETETT MEG EGY GOOGLE PLAY-EN ELHELYEZETT TRÓJAI – A ThreatFabric csalásfelderítő vállalat kutatói november óta az Anatsa aktivitásának növekedését észlelték, legalább öt olyan androidos kampányt észleltek, amelyek célpontjai az európai felhasználók voltak.”

„Minden támadási hullám meghatározott földrajzi régiókra összpontosított. Olyan dropper alkalmazásokat használnak, amelyeket úgy alakítottak ki, hogy elérjék a Google Play »Top New Free« kategóriáit. Ez hitelességet kölcsönöz nekik és növeli a sikeres fertőzési arányt.”

A részletek ezen a linken követhetőek: https://nki.gov.hu/it-biztonsag/hirek/legalabb-150000-keszuleket-fertozhetett-meg-egy-google-play-en-elhelyezett-trojai/, de egy mondatot még fontosnak tartok kiemelni: „A felfedezés és a tanulmány publikálása óta a Google eltávolította az összes észlelt Anatsa droppert.”

A korábban már hiányolt IT biztonsági tanács rovat helyett szeretném felhívni a figyelmet az NKI Podcast csatornájára: a NIS2 forró téma – itt viszont nem kerülgetik a kását – belecsapnak a közepébe: https://nki.gov.hu/podcast/.

(A NIS2-ről már volt Kibertámadás! adás – ez a folytatás –, és az ígéretek szerint további részekre számíthatunk.)

2024. évi 8. heti szemle

Forrás: https://nki.gov.hu/it-biztonsag/kiadvanyok/sajtoszemle/sajtoszemle-2024-8-het/

„A SOLARWINDS TÖBB KRITIKUS SÉRÜLÉKENYSÉGET JAVÍTOTT – A SolarWinds öt távoli kódfuttatási hibát javított az ARM megoldásában, köztük három kritikus súlyosságú sebezhetőséget, amelyek hitelesítés nélküli kihasználást tesznek lehetővé.”

A SolarWinds feltehetően alaposan megerősítette kibervédelmi csapatát – nemcsak a termékeiben, de a beszállítói láncában és a fejlesztői környezetében is. Bevallom, nem gondoltam, hogy a cég túléli azt a botrányt, amelyet a szakma talán legnagyobb biztonsági incidensének gondolnak – legalábbis azok közül, amelyek napvilágra kerültek. Én is használok egyébként SolarWinds eszközöket – még az ingyenes verziók is jó szolgálatot tesznek –, javaslom kipróbálásra például a FING nevű eszközt; sok érdekes eszközről derülhet ki, hogy rajta „felejtődött” a hálózatunkon. Az aktuális sérülékenységekről itt olvashatunk bővebben: https://nki.gov.hu/it-biztonsag/hirek/a-solarwinds-tobb-kritikus-serulekenyseget-javitott/.

Talán már a bevezetőben említenem kellett volna: elindult az NKI LinkedIn csatornája! Érdemes követni az oldalt, nemrég épp egy banki csalóval sikerült rögzíteni egy beszélgetést: már folyik a felderítés – ha nem is Jason Statman új filmjének módszereivel és hatékonyságával: https://www.linkedin.com/company/nemzeti-kibervedelmi-intezet/.

„SÉRÜLÉKENYSÉGET TALÁLTAK EGY 25 ÉVES SZABVÁNYBAN – A CVE-2023-50387 néven nyomon követhető KeyTrap a DNSSEC tervezési problémája, és az összes népszerű DNS (Domain Name System) implementációt vagy szolgáltatást érinti. Lehetővé teszi egy támadó számára, hogy egyetlen DNS csomag elküldésével hosszantartó szolgáltatásmegtagadási (DoS) állapotot idézzen elő a sebezhető feloldókban.”

Halkan jegyzem meg, hogy a DNS-szolgáltatók éves forgalom- és alkalmazotti létszámkorlát nélkül kerülnek be a NIS2 hatálya alá. Érdemes egy társhatóság – a Szabályozott Tevékenységek Felügyeleti Hatósága, sztfh.hu – oldalán kicsit szörfözni, kiemelt figyelemmel a kibertanúsítási részleg közleményeire. Akit a részletek is érdekelnek, innen nyerhet további információt: https://nki.gov.hu/it-biztonsag/hirek/serulekenyseget-talaltak-egy-25-eves-szabvanyban/.

„WORDPRESS SÉRÜLÉKENYSÉG AKTÍV KIHASZNÁLÁSÁT JELENTETTE A GYÁRTÓ – A hackerek aktívan kihasználják a Brick Builder Theme-t érintő kritikus RCE hibát, amelynek segítségével rosszindulatú PHP kódot futtathatnak a sebezhető webhelyeken.”

Ha csak a főcímre figyelünk, hideg borzongás futhat végig a gerincünkön, de továbbolvasva a cikket láthatjuk, hogy „csak” a Brick Builder Theme-t érinti a baj. Azért nem árt figyelni és ha már ott vagyunk, végigbogarászni az esetleg korábban feltelepített, de sohasem használt elemeit az oldalunknak. (Meglepő dolgok tudnak kiesni a szekrényből.) Részletek itt: https://nki.gov.hu/it-biztonsag/hirek/wordpress-serulekenyseg-aktiv-kihasznalasat-jelentette-a-gyarto/.

„ELKAPTÁK A LOCKBIT KÉT TAGJÁT, DEKÓDOLÓ ÉRHETŐ EL! – A bűnüldöző szervek letartóztatták a LockBit zsarolóvírus csoport két újabb tagját. Miután egy nemzetközi művelet során feltörték a kiberbűnöző banda szervereit, lefoglaltak több mint 200 kriptotárcát és létrehoztak egy dekódoló eszközt a titkosított fájlok ingyenes visszaállítására.”

Sajnos a romokon már újabb hekkervirágok nyílnak, de a nemzetközi együttműködés során nyert tapasztalatokat felhasználva talán illatozni nem lesz idejük. Felmerült bennem a kérdés: azok, akik korábban ennek a társaságnak estek áldozatul, de a mundér becsületét védendő nem jelentették az incidenst, most vajon jelentkezhetnek-e a kártérítésért? (A cikk szerint a lefoglalásra került kriptotárcákon összegyűlt összegek erejéig kártalanítják azokat a szervezeteket, akiktől korábban bizonyíthatóan ez a csapat kínált visszaállító kulcsot némi szakértői díjért cserébe.) Akit a történet részletesebben is érdekel, itt talál további információkat: https://nki.gov.hu/it-biztonsag/hirek/elkaptak-a-lockbit-ket-tagjat-dekodolo-erheto-el/.

„AKÁR 97000 MICROSOFT EXCHANGE KISZOLGÁLÓ IS SEBEZHETŐ LEHET – A CVE-2024-21410 néven nyomon követett, kritikus súlyosságú jogosultságnövelési hiba, amelyet a hackerek aktívan kihasználnak, lehetővé teszi, hogy hitelesítés nélküli támadók NTLM relay támadásokat hajtsanak végre a sebezhető Microsoft Exchange szervereken, és növeljék jogosultságaikat a rendszerben.”

A kibertér sötét oldalának szereplői körében régi nagy kedvence az Exchange. Értékes adatokat rejt, egyre inkább nélkülözhetetlen folyamatos működésének fenntartása azon szervezetek esetében, amelyek ezen keresztül bonyolítják – vagy egyszerűsítik – üzleti folyamataikat, ezáltal minden leállást pontosan és jól kell ütemezni, mert nem szereti az üzlet az IT-s szüneteket – még az előre bejelentetteket sem. A CISA is szűk határidőt szabott a javításra: „A CISA is felvette a CVE-2024-21410-et a KEV katalógusába, és 2024. március 7-ig ad időt a szövetségi ügynökségeknek, hogy alkalmazzák a rendelkezésre álló frissítéseket, vagy leállítsák a termék használatát.”

Érdemes az utolsó mondatot ízlelgetni egy kicsit: „…alkalmazzák a rendelkezésre álló frissítéseket, vagy leállítsák a termék használatát”. Kíváncsi vagyok, a honi felügyelet mikor fog hasonló határidőt is előíró és konkrét szankciót kilátásba helyező riasztásokat kiadni. Talán a NIS2-höz kapcsolódó hazai jogszabályok ebben is hoznak változást… Részletek: https://nki.gov.hu/it-biztonsag/hirek/akar-97000-microsoft-exchange-kiszolgalo-is-sebezheto-lehet/.

És hogy most se maradjunk IT biztonsági tanács nélkül, tekintsünk ki a világba egy az NKI-tól független válogatásból: https://hirlevel.egov.hu/2024/02/25/kozszolgalati-kibervedelmi-kepessegek-kepzesenek-lehetosege/.

A doktorijára készülő kollégát – Deák Veronikát – több publikációjából is ismerhetjük, nekem a Kiberbiztonság angyalai PodCast csatorna a személyes kedvencem. Az adások az NKE ProBono rendszeréből elérhetőek – még a Hétpecsét bemutatására is sor került pár hónapja.

2024. évi 7. heti szemle

Forrás: https://nki.gov.hu/it-biztonsag/kiadvanyok/sajtoszemle/sajtoszemle-2024-7-het/

„RANSOMWARE TÁMADÁS MIATT 21 ROMÁNIAI KÓRHÁZ OFFLINE ÜZEMMÓDBA KÉNYSZERÜLT – Legalább 21 romániai kórház került offline állapotba, miután egy zsarolóvírus támadás leállította az egészségügyi irányítási rendszerüket.”

Ez a cikk az egészségügyi ágazat számára készített kiberválogatásban is vezető hír volt: nem véletlenül.

„A román Nemzeti Kiberbiztonsági Igazgatóság (DNSC) közleménye szerint a támadók a Backmydata zsarolóprogramot használták a kórházak adatainak titkosítására, amely a Phobos családba tartozó zsarolóprogram egy változata. Összesen 21 kórházat érintett a támadás, míg 79 másik, HIS-t használó kórház elővigyázatosságból offline állapotba helyezte rendszerét, amíg az incidens kivizsgálása folyamatban van.”

Az eset kommunikációja is tanulságos, érdemes a teljes cikket végigolvasni: https://nki.gov.hu/it-biztonsag/hirek/ransomware-tamadas-miatt-21-romaniai-korhaz-offline-uzemmodba-kenyszerult/.

„A ROUNDCUBE SEBEZHETŐSÉG AKTÍV KIHASZNÁLÁSÁT JELENTETTE A CISA – A CISA arra figyelmeztet, hogy a Roundcube e-mail szerver szeptemberben már javított sebezhetőségét most aktívan kihasználják cross-site scripting (XSS) támadásokban.”

Büszke vagyok, hogy a szeptemberi frissítést nemcsak közreadtam a szolgáltatásainkat igénybe vevő partnereknek, de adománnyal is hozzájárultam a fejlesztési csapat eredményesebb munkájához. A felhasználói oldal viszont úgy tűnik, nem siet befoltozni a réseket. Aki nem szeretne visszalapozni a korábbi levélhez – ellenőrizendő, milyen frissítések kerültek publikálásra akkor –, annak emlékeztetőül az aktuális hírben is felsorolják azokat: https://nki.gov.hu/it-biztonsag/hirek/a-roundcube-sebezhetoseg-aktiv-kihasznalasat-jelentette-a-cisa/.

„200 EZER SORNYI FACEBOOK MARKETPLACE FELHASZNÁLÓI ADAT SZIVÁRGOTT KI EGY FÓRUMRA – Egy kiberbűnöző 200 ezer rekordnyi adatot publikált egy hacker fórumon.”

Vajon mi motiválta hacker barátunkat, hogy ilyen adatokat osszon meg ezen a platformon? Kevesellte a FB – elnézést: Meta – által e célra elkülönített díjat, amelyet a biztonsági hibák felfedése esetén kínál a felhasználóknak? Talán sosem tudjuk meg…

„A feltöltő IntelBroker néven tevékenykedik és leírása szerint 2023 októberében egy „algoatson” nevű hacker betört a Facebook felhőszolgáltatásait kezelő vállalkozóhoz a Discordon keresztül, így ellopva annak 200 ezer bejegyzéséből álló felhasználói adatbázisát.”

A cikkben azt is megjegyzik, hogy nem ez volt az első hasonló eset:

„A Facebook Marketplace pályafutása alatt nem ez volt az első adatszivárgás. 2021 áprilisában több mint 533 millió Facebook-fiókokhoz kapcsolódó adat (telefonszám, azonosító, név, nem, tartózkodási helyek, kapcsolati státuszok, foglalkozások, születési dátumok, e-mail címek) szivárgott ki egy fórumra.”

„A RUSTDOOR MACOS MALWARE VISUAL STUDIO FRISSÍTÉSKÉNT TERJED – A Bitdefender kutatói egy új, MacOS felhasználókat célzó backdoort fedeztek fel. Ez a korábban nem dokumentált malware Rust nyelven íródott, és számos érdekes funkciót tartalmaz. A kutatók RustDoor néven követik nyomon.”

Akinek az Apple termékei nem csak a zsebükben találtak maguknak helyet, érdemes továbbolvasniuk a cikket: https://nki.gov.hu/it-biztonsag/hirek/a-rustdoor-macos-malware-visual-studio-frissiteskent-terjed/.

„A MICROSOFT ÉS AZ OPENAI EGYÜTT LÉP FEL AZ APT-CSOPORTOK ELLEN – A Microsoft fenyegetések felderítésével foglalkozó csapata bizonyítékot talált arra, hogy külföldi kormányok által támogatott hackercsapatok együttműködnek az OpenAI ChatGPT-vel, hogy automatizálni tudják a rosszindulatú sebezhetőségek kutatását, a célpontok felderítését és a rosszindulatú programok létrehozását.”

Vajon ki csodálkozik ezen a híren!? Akik régebb óta olvasnak ilyen típusú cikkeket, biztosak voltak abban, hogy az MI által kínált eszközkészlet nem csak az emberiség jobbá tételére lesz alkalmas – az etikát egyelőre a humán felhasználók biztosítják. Talán ennek az ellentmondásnak a feloldására is talál majd valaki egy jó kis promptot.