Corpus Solutions

Trend Micro OfficeScan Arbitrary File Upload with Directory Traversal Vulnerability Označení: CVE-2019-18187 (závažnost podle CVSS 7.5) Popis: Zranitelné verze produktu Trend Micro OfficeScan by mohl být zneužit útočníkem využívajícím zranitelnost při procházení adresářů k extrahování souborů z libovolného souboru ZIP do konkrétní složky na serveru OfficeScan, což by potenciálně mohlo vést ke vzdálenému spuštění kódu (RCE). Vzdálené spuštění procesu j vázáno na účet webové služby, který může mít v závislosti na použité webové platformě omezená oprávnění.

BIG-IP TMUI XSS vulnerability Označení: CVE-2019-6657 (závažnost podle CVSS 6.1) Popis: Na BIG-IP 13.1.0-13.1.3.1, 12.1.0-12.1.5 a 11.5.2-11.6.5.1 existuje zranitelnost v “cross-site” skriptování mezi servery (XSS) na nezveřejněné stránce provozu BIG-IP Správa uživatelského rozhraní (TMUI), známá také jako obslužný program BIG-IP Configuration. Zranitelné produkty: BIG-IP 13.1.0-13.1.3.1 BIG-IP 12.1.0-12.1.5 BIG-IP 11.5.2-11.6.5.1 Řešení: Aktualizace na verzi dle doporučení výrobce. Reference: F5 article K22441651 BIG-IP AFM SQL injection vulnerability Označení: CVE-2019-6658 (závažnost podle CVSS 4.

Inženýrský software Mitsubishi Electric FR Configurator2 obsahuje několik zranitelností, které lze využít k odhalení informací, spuštění libovolného kódu, eskalaci oprávnění a útokům typu DoS (Denial-of-Service). Doporučení popisující zranitelnosti byla zveřejněna poslední srpnový týden několika agenturami včetně Applied Risk, průmyslovou kybernetickou společností, která objevila zranitelnosti, americkou agenturou pro kybernetickou bezpečnost a infrastrukturu (CISA) a Mitsubishi Electric. FR Configurator2 je nástroj, který umožňuje uživatelům, programovat, konfigurovat a sledovat měniče s proměnnou frekvencí (Variable frequency driver).

CVE-2019-8461 Verze: 1.0 Popis: Část softwaru Check Point Endpoint Security běží ve Windows s právy NT AUTHORITY\SYSTEM, což mu dává obrovská oprávnění. Útočník s přístupem do systému může donutit Check Point Endpoint Security Initial Cilent aby spustil DLL dle útočníkova výběru. Dopad: Provedení libovolného kódu na zranitelném systému. To může vést k vytvoření backdooru, eskalaci práv, či úplnému převzetí systému útočníkem. Závažnost: CVSS v3.0 Base Score: 7.8 CVSS v2.0 Base Score: 6.

Verze: 1.0 Závažnost: Medium Shrnutí: V produktech Symantec ASG a ProxySG v komponentě FTP proxy (při režimu WebFTP) byla nalezena zranitelnost typu XSS a zranitelnost umožňující získání citlivých dat. Popis: Implementace FTP proxy v produktech ASG a ProxySG při použití WebFTP režimu, umožňuje provést aplikační kontrolu FTP komunikace, kdy je uživatelský přístup na FTP server realizován pomocí URL ve formátu ftp:// přímo z webového prohlížeče. Útočník za použití škodlivého kódu v JavaScriptu tak může získat přístup k autentizačním údajům použitých pro FTP server.

FortiOS reveals platform information without authentication Označení: CVE-2018-13367 (závažnost podle CVSS 5.3) Popis: Chyba zabezpečení vystavením informací ve FortiOS 6.2.0 a níže může umožnit neověřenému útočníkovi získat informace o platformě, jako je verze, modely, prostřednictvím analýzy souboru JavaScriptu a prostřednictvím administrátorského webUI. Zranitelné produkty: FortiOS 6.2.0 Řešení: Upgrade na verzi FortiOS 6.2.1 nebo vyšší. Reference: https://fortiguard.com/psirt/FG-IR-18-173 FortiOS SSL Deep Inspection TLS Padding Oracle Vulnerabilities Označení: CVE-2019-5592 (závažnost podle CVSS 5.9)

Kyberbezpečnostní specialisté objevili probíhající sofistikovanou botnet kampaň, která v současné době ohrožuje více než 1,5 milionu veřejně přístupných serverů Windows RDP (Remote Desktop Protocol) na internetu. Botnet nazvaný GoldBrute byl navržen tak, aby postupně rostl přidáním každého nového prolomeného systému do jeho sítě a využil jej pro hledání a prolomení dalších dostupných RDP serverů. Útočníci, které se zatím nepodařilo identifikovat, přikazují každému napadenému počítači, aby útočil na řadu dalších serverů s jedinečnou kombinací uživatelského jména a hesla tak, aby cílový server byl pod Brute-Force útokem z různých IP adres.

CVE-2019-4211, CVE-2019-4054, CVE-2018-2022, CVE-2018-2021 Verze: 1.0 Popis: Tyto zranitelnosti, zneužitelné především pomocí cross-site scripting útoků, mají společné to, že se neautorizovaný uživatel může dostat k citlivým datům. Dopad: Možnost neautorizovaného útočníka zobrazit citlivá data. Jedna ze zranitelností může vést také ke krádeži přihlašovacích údajů. Zranitelné produkty: IBM QRadar 7.3 až 7.3.2 Patch 1 IBM QRadar 7.2 až 7.2.8 Patch 15 Řešení: Jednoznačným řešením je update na novější verze produktů, ve kterých jsou chyby již odstraněny.

Xenotime skupina, která stojí za dosud nejděsivější kyberbezpečnostní událostí průmyslových řídicích systému nazvanou Trisis, rozšířila své zaměření mimo ropný a plynárenský průmysl. Původní útok Trisis nebo Triton z roku 2017, jehož název je odvozen od bezpečnostních komponent Triconex, způsobil odpojení nejvyšších bezpečnostních mechanismů, které mají za úkol automatickou ochranu před fyzickým poškozením, extrémním nárůstem teploty, tlaku, napětí atd.. Při správné funkci zabrání tyto komponenty výbuchům a ztrátám na majetku i životech.

Červnový magazín ICT Revue byl, mimo jiné, zaměřen na řešení SIEM a náročnou cestu k pokročilému zajištění kybernetické bezpečnosti. Řízení bezpečnostních informací a událostí se pro organizace stalo nezbytným z celé řady důvodů. I proto bylo k tomuto tématu povoláno několik odborníků, aby se k této problematice v rámci ankety vyjádřili. A to na konkrétní otázku „Využívají tuzemské podniky plně možností, jež jim nabízejí řešení SIEM?“. Za Corpus Solutions odpovídal náš kolega Dušan Krása (CSIRT & Security Operation Center Manager).

Září 2019 klepe na dveře a s ním i nová verze Check Point firewallu R80.10. V souvislosti s tímto přechodem jsme pro vás připravili jednodenní školení, které se bude věnovat změnám vůči starším verzím. Jedná se tak o skvělou příležitost pro technické pracovníky, kteří pracují s firewallem Check Point. Termín školení: 28. srpna 2019 Registrace probíhá do 21. srpna 2019 na emailu pavla.machacova@corpus.cz Bližší informace naleznete v přiložené pozvánce:

ASCO, jeden z největších světových dodavatelů letadlových dílů, přestal v červnu 2019 vyrábět. Pozastavení výroby se týkalo továren ve čtyřech zemích kvůli nákaze ransomware, která byla původně hlášená ve svém závodě v Zaventemu v Belgii. V důsledku toho, že systémy byly ochromeny infekcí ransomware, společnost poslala domů přibližně 1 000 ze svých 1 400 pracovníků. ASCO plánovala odstávku od pondělí do středy, ale belgická média uvedla, že dovolená byla prodloužena na celý týden včetně nadcházejícího víkendu.