Η Apple κυκλοφόρησε επείγουσες ενημερώσεις ασφαλείας για να επιδιορθώσει ένα νέο κενό ασφαλείας μηδενικής ημέρας που αξιοποιείται σε επιθέσεις με στόχο χρήστες iPhone και iPad.
Η ευπάθεια (CVE-2023-42824) προκαλείται από μια αδυναμία που ανακαλύφθηκε στον πυρήνα XNU, η οποία επιτρέπει σε τοπικούς επιτιθέμενους να κλιμακώσουν τα προνόμιά τους σε iPhone και iPad που δεν έχουν επιδιορθωθεί.
Ενώ η Apple δήλωσε ότι αντιμετώπισε το ζήτημα ασφαλείας στο iOS 17.0.3 και στο iPadOS 17.0.3 με βελτιωμένους ελέγχους, δεν έχει αποκαλύψει ακόμη ποιος βρήκε και ανέφερε το ελάττωμα.
Ο κατάλογος των επηρεαζόμενων συσκευών είναι αρκετά εκτενής και περιλαμβάνει:
iPhone XS και νεότερα μοντέλα
iPad Pro 12,9 ιντσών 2ης γενιάς και μεταγενέστερα, iPad Pro 10,5 ιντσών, iPad Pro 11 ιντσών 1ης γενιάς και μεταγενέστερα, iPad Air 3ης γενιάς και μεταγενέστερα, iPad 6ης γενιάς και μεταγενέστερα και iPad mini 5ης γενιάς και μεταγενέστερα.
Η Apple αντιμετώπισε επίσης μια μηδενική ημέρα που εντοπίζεται ως CVE-2023-5217 και προκαλείται από μια αδυναμία υπερχείλισης buffer σωρού στην κωδικοποίηση VP8 της βιβλιοθήκης κωδικοποίησης βίντεο ανοικτού κώδικα libvpx, η οποία θα μπορούσε να επιτρέψει την εκτέλεση αυθαίρετου κώδικα μετά από επιτυχή εκμετάλλευση.
Το σφάλμα libvpx είχε επιδιορθωθεί προηγουμένως από την Google στο πρόγραμμα περιήγησης ιστού Chrome και από τη Microsoft στα προϊόντα Edge, Teams και Skype.
Το CVE-2023-5217 ανακαλύφθηκε από τον ερευνητή ασφαλείας Clément Lecigne, ο οποίος ανήκει στην Ομάδα Ανάλυσης Απειλών (TAG) της Google, μια ομάδα εμπειρογνωμόνων ασφαλείας που είναι γνωστή για τη συχνή εύρεση zero-days που χρησιμοποιούνται καταχρηστικά σε κυβερνητικά υποστηριζόμενες στοχευμένες επιθέσεις κατασκοπευτικού λογισμικού που στοχεύουν άτομα υψηλού κινδύνου.
17 zero-days που αξιοποιήθηκαν σε επιθέσεις, διορθώθηκαν φέτος
Το CVE-2023-42824 είναι η 17η ευπάθεια μηδενικής ημέρας που αξιοποιείται σε επιθέσεις και την οποία η Apple έχει διορθώσει από την αρχή του έτους.
Η Apple επιδιόρθωσε επίσης πρόσφατα τρία άλλα σφάλματα μηδενικής ημέρας (CVE-2023-41991, CVE-2023-41992 και CVE-2023-41993) που αναφέρθηκαν από ερευνητές των Citizen Lab και Google TAG και αξιοποιήθηκαν σε επιθέσεις spyware για την εγκατάσταση του spyware Predator της Cytrox.
Η Citizen Lab αποκάλυψε δύο άλλα zero-day (CVE-2023-41061 και CVE-2023-41064) -που διορθώθηκαν από την Apple τον περασμένο μήνα- και χρησιμοποιήθηκαν ως μέρος μιας αλυσίδας εκμετάλλευσης μηδενικού κλικ (που ονομάστηκε BLASTPASS) για να μολύνουν πλήρως επιδιορθωμένα iPhones με το spyware Pegasus της NSO Group.
Από τον Ιανουάριο του 2023, η Apple έχει αντιμετωπίσει συνολικά 17 zero-days που αξιοποιήθηκαν για να στοχεύσουν iPhones και Mac, μεταξύ των οποίων:
δύο zero-days (CVE-2023-37450 και CVE-2023-38606) τον Ιούλιο
τρία zero-days (CVE-2023-32434, CVE-2023-32435 και CVE-2023-32439) τον Ιούνιο
τρία ακόμη zero-days (CVE-2023-32409, CVE-2023-28204 και CVE-2023-32373) τον Μάιο
δύο zero-days (CVE-2023-28206 και CVE-2023-28205) τον Απρίλιο
και μια άλλη μηδενική ημέρα του WebKit (CVE-2023-23529) τον Φεβρουάριο
Η σημερινή έκδοση iOS 17.0.3 αντιμετωπίζει επίσης ένα γνωστό πρόβλημα που προκαλεί υπερθέρμανση των iPhones με iOS 17.0.2 και νεότερες εκδόσεις.
Το Mixin Network, ένα δίκτυο συναλλαγών ανοιχτού κώδικα, peer-to-peer για ψηφιακά περιουσιακά στοιχεία, ανακοίνωσε σήμερα στο Twitter ότι οι καταθέσεις και οι αναλήψεις αναστέλλονται με άμεση ισχύ λόγω της παραβίασης της πλατφόρμας κατά 200 εκατομμύρια δολάρια που υπέστη το Σάββατο.
Το περιστατικό συνέβη στις 23 Σεπτεμβρίου νωρίς το πρωί, ώρα Χονγκ Κονγκ, και η επίθεση φέρεται να είχε στόχο τη βάση δεδομένων του παρόχου υπηρεσιών cloud του Mixin.
Λόγω του σημαντικού ποσού που χάθηκε στο hack, η κατάσταση έχει προβληματίσει σοβαρά τους χρήστες της πλατφόρμας.
Η Mixin δήλωσε ότι θα λάβει μέτρα για την αντιμετώπιση των προβλημάτων που προκλήθηκαν από την απώλεια των περιουσιακών στοιχείων, αλλά οι όποιες λύσεις θα ανακοινωθούν σε μεταγενέστερο χρόνο.
Ο ιδρυτής της Mixin, Feng Xiaodong, θα δώσει περισσότερες εξηγήσεις σχετικά με το περιστατικό μέσω μιας δημόσιας ομιλίας που έχει προγραμματιστεί για αργότερα σήμερα.
Οι blockchain trackers όπως οι PeckShield και Lookonchain έχουν εντοπίσει περίπου 141 εκατομμύρια δολάρια από τα κλεμμένα περιουσιακά στοιχεία, τα οποία αναλύονται ως 93,5 εκατ. δολάρια σε ETH, 23,5 εκατ. δολάρια σε DAI (που ανταλλάχθηκαν από USDT) και 23,3 εκατ. δολάρια σε BTC.
Το γεγονός αυτό καθιστά το περιστατικό Mixin μία από τις σημαντικότερες ληστείες κρυπτογράφησης φέτος και δημιουργεί άμεσες υποψίες ότι η ομάδα Lazarus είναι υπεύθυνη για την επίθεση.
Οι Βορειοκορεάτες χάκερ, οι οποίοι είναι ειδικοί στις ληστείες κρυπτογράφησης, έχουν κατηγορηθεί για την κλοπή κρυπτονομισμάτων συνολικής αξίας 240.000.000 δολαρίων φέτος, αφού παραβίασαν τις Atomic Wallet, Alphapo, Stake.com και CoinsPaid.
Μέχρι στιγμής, το hack του Mixin δεν έχει αποδοθεί στη Lazarus και κανένα στοιχείο μέχρι στιγμής δεν δείχνει ότι εμπλέκεται η βορειοκορεατική ομάδα.
Οδηγός Penetration Testing σε συσκευές Point Of Sale Device (POS)
POS ονομάζεται ένα σύστημα που διαχειρίζεται τις συναλλαγές πωλήσεων στις επιχειρήσεις. Αν και μπορεί να φαίνεται πολύπλοκο με την πρώτη ματιά, στην πραγματικότητα είναι αρκετά απλό.
Τώρα, ας εξηγήσουμε με περισσότερες λεπτομέρειες τι είναι το POS και πώς λειτουργεί. Το POS είναι μια συντομογραφία που προέρχεται από τα αρχικά της λέξης “Point of Sale” (σημείο πώλησης). Το σύστημα αυτό διευκολύνει και καταγράφει τις συναλλαγές πωλήσεων μεταξύ πελατών και πωλητών. Ένα σύστημα POS αποτελείται τόσο από στοιχεία υλικού όσο και από στοιχεία λογισμικού.
Στοιχεία υλικού: Ένα σύστημα POS περιλαμβάνει συνήθως στοιχεία υλικού, όπως έναν υπολογιστή ή ένα tablet, σαρωτή γραμμωτού κώδικα, συρτάρι μετρητών, εκτυπωτή και οθόνη.
Οι συσκευές αυτές χρησιμοποιούνται για τη διενέργεια συναλλαγών και την παροχή αποδείξεων ή τιμολογίων στους πελάτες.
Συστατικά λογισμικού: Το λογισμικό POS χρησιμοποιείται για τη διαχείριση των συναλλαγών, την παρακολούθηση των αποθεμάτων, την επεξεργασία των πληρωμών και τη δημιουργία αναφορών.
Αυτό το λογισμικό επιτρέπει στους πελάτες να δημιουργούν τα καλάθια αγορών τους, να πραγματοποιούν πληρωμές και να λαμβάνουν αποδείξεις.
Πώς λειτουργεί η συναλλαγή μέσω POS;
Βήμα Α : Ο πελάτης χρησιμοποιεί την κάρτα. Ξεκινά τη διαδικασία πληρωμής εισάγοντας την κάρτα του στη συσκευή POS και εισάγοντας τον εμπιστευτικό κωδικό PIN.
Βήμα Β : Η συσκευή POS εκκινεί τη συναλλαγή. Η συσκευή POS εκκινεί τη συναλλαγή μεταδίδοντας με ασφάλεια τα στοιχεία της κάρτας και τον κωδικό PIN, κρυπτογραφημένα, στον διακομιστή ATM Switch. Ο έλεγχος πρόσβασης στο δίκτυο (NAC) διασφαλίζει την ασφαλή πρόσβαση.
Βήμα Γ : Επαλήθευση κάρτας. Εάν η κάρτα ανήκει στην ίδια τράπεζα, το κλειδί ΑΤΜ επαληθεύει το PIN χρησιμοποιώντας τον διακομιστή Hardware Security Module (HSM). Μετά την επιτυχή επαλήθευση, το αίτημα συναλλαγής προωθείται στον διακομιστή CBS.
Βήμα Δ : Σενάριο διαφορετικής τράπεζας. Εάν η κάρτα ανήκει σε διαφορετική τράπεζα, η συναλλαγή δρομολογείται στο διακομιστή NFS. Ο διακομιστής NFS προωθεί τη συναλλαγή στον διακομιστή HSM της άλλης τράπεζας για επαλήθευση του PIN.
Μετά την επιτυχή επαλήθευση, η συναλλαγή αποστέλλεται στον διακομιστή CBS.
Βήμα Ε : Επαλήθευση λογαριασμού και μεταφορά χρημάτων. Ο διακομιστής CBS ελέγχει το υπόλοιπο του λογαριασμού του κατόχου της κάρτας και αφαιρεί το ποσό της αγοράς. Το αφαιρεθέν ποσό μεταφέρεται στο λογαριασμό του πωλητή.
Βήμα ΣΤ : Ολοκλήρωση της συναλλαγής. Όταν η συναλλαγή ολοκληρωθεί επιτυχώς, ο διακομιστής CBS παράγει μια απάντηση. Το κλειδί ΑΤΜ κρυπτογραφεί και αποστέλλει αυτή την απάντηση πίσω στη συσκευή POS. Η συναλλαγή ολοκληρώνεται.
Πώς μπορώ να διεξάγω μια pentest δοκιμή στο σημείο πώλησης (POS);
A. Επισκόπηση ασφαλών ρυθμίσεων του λειτουργικού συστήματος:
Αυτό το βήμα περιλαμβάνει τη διασφάλιση της σωστής διαμόρφωσης της συσκευής POS και των κατάλληλων ρυθμίσεων ασφαλείας.
Αυτό μπορεί να περιλαμβάνει τον έλεγχο αν η συσκευή χρησιμοποιεί ενημερωμένες εκδόσεις λογισμικού και hardware, την αλλαγή των προεπιλεγμένων κωδικών πρόσβασης, την απενεργοποίηση περιττών συνδέσεων δικτύου και την επανεξέταση των ρυθμίσεων τείχους προστασίας.
Οι συσκευές POS συνήθως διατίθενται με προεπιλεγμένες διαμορφώσεις και είναι απαραίτητο να αλλάξετε αυτές τις προεπιλεγμένες ρυθμίσεις πριν από την ανάπτυξή τους σε περιβάλλον παραγωγής.
Οι προεπιλεγμένες διαμορφώσεις μπορεί να περιλαμβάνουν τη διαχείριση πρόσβασης στη συσκευή, τις μεθόδους κρυπτογράφησης και τις προεπιλεγμένες ρυθμίσεις για υπηρεσίες όπως το FTP και το SSH.
Κατά τη διενέργεια επανεξέτασης της ασφάλειας των ρυθμίσεων μιας συσκευής POS, είναι ζωτικής σημασίας να εξετάσετε προσεκτικά όλες τις προεπιλεγμένες ρυθμίσεις διαμόρφωσης και άλλες βασικές παραμέτρους για να διασφαλίσετε ότι έχουν ρυθμιστεί σωστά.
Για παράδειγμα, το ακόλουθο παράδειγμα επισημαίνει τον προεπιλεγμένο κωδικό πρόσβασης διαχειριστή, ο οποίος μπορεί να διαφέρει ανάλογα με τη μάρκα και το μοντέλο της συσκευής:
“Ένα κρίσιμο βήμα για την ασφάλεια των συσκευών POS είναι η τροποποίηση των προεπιλεγμένων ρυθμίσεων. Αυτές οι προεπιλεγμένες ρυθμίσεις μπορεί να αποτελέσουν πιθανό κίνδυνο για την ασφάλεια της συσκευής.
Για παράδειγμα, κρίσιμες ρυθμίσεις όπως ο κωδικός πρόσβασης διαχειριστή μπορεί να διευκολύνουν τους κακόβουλους φορείς να αποκτήσουν πρόσβαση στη συσκευή.
Ως εκ τούτου, η επανεξέταση όλων των προεπιλεγμένων ρυθμίσεων και η χρήση ισχυρών κωδικών πρόσβασης είναι απαραίτητη για μια ασφαλή διαμόρφωση”.
a. Αξιολόγηση φυσικής ασφάλειας: Σε αυτή την ενότητα, διάφορα εξαρτήματα, όπως θύρες USB, θύρες LAN, αναγνώστες καρτών NFC και άλλα, βρίσκονται συχνά σε μια συσκευή POS.
Είναι σημαντικό να διασφαλιστεί η συσκευή POS με τέτοιο τρόπο ώστε να αποτρέπεται η μη εξουσιοδοτημένη πρόσβαση σε αυτές τις περιοχές. Εάν είναι δυνατή η μη εξουσιοδοτημένη πρόσβαση, κακόβουλοι φορείς μπορούν να προσαρτήσουν μονάδες flash, συμπεριλαμβανομένων εκείνων που μοιάζουν με BAD USB, οι οποίες μπορούν να επιτρέψουν την απομακρυσμένη πρόσβαση στο τερματικό της συσκευής POS.
Για τον μετριασμό τέτοιων επιθέσεων, πρέπει να διασφαλίζεται τόσο η φυσική ασφάλεια όσο και η ασφάλεια των θυρών USB για τις συσκευές POS.
b. POS Skimming: Μια άλλη μορφή φυσικής επίθεσης είναι το POS skimming, όπου μια συσκευή τοποθετείται κρυφά στον μηχανισμό σάρωσης καρτών για να κλέψει πληροφορίες καρτών από τις μαγνητικές λωρίδες.
Ως εκ τούτου, η τακτική επιθεώρηση του μηχανισμού σάρωσης καρτών της συσκευής POS είναι ζωτικής σημασίας. Σε αυτό το πλαίσιο, ένας ελεγκτής διείσδυσης μπορεί να χρησιμοποιήσει μια φορητή μέθοδο skimming για να τοποθετήσει μια συσκευή skimmer σε συσκευές POS εντός ενός οργανισμού, καταγράφοντας δυνητικά στοιχεία καρτών, αριθμούς PIN και διάφορα άλλα δεδομένα.
Αυτό χρησιμεύει ως μια σημαντική δοκιμή στο πλαίσιο της φυσικής ασφάλειας
c. Χειραγώγηση του πληκτρολογίου PIN: Οι επιτιθέμενοι μπορούν να χειραγωγήσουν το πληκτρολόγιο PIN για να καταλάβουν τους κωδικούς PIN της κάρτας πελάτη. Μπορούν να χρησιμοποιήσουν μια ψεύτικη επικάλυψη που μοιάζει με το πληκτρολόγιο μιας πραγματικής συσκευής POS για να πραγματοποιήσουν τέτοιες επιθέσεις.
Ως εκ τούτου, είναι σημαντικό να επανεξετάζεται περιοδικά το πληκτρολόγιο της συσκευής POS και να ελέγχεται η παρουσία συσκευών καταγραφής πλήκτρων. Αυτό είναι ζωτικής σημασίας για τη διασφάλιση της ασφάλειας των δεδομένων των καρτών των πελατών και την προστασία από δόλιες δραστηριότητες.
d. Σύνδεση δικτύου POS: Μια κρίσιμη πτυχή της αξιολόγησής μας περιλαμβάνει την εξέταση της σύνδεσης δικτύου της συσκευής POS. Το δίκτυο POS πρέπει να παραμείνει απομονωμένο, διασφαλίζοντας ότι κανένας άλλος χρήστης δεν μπορεί να συνδεθεί στο ίδιο δίκτυο Wi-Fi ή LAN.
Θα πραγματοποιήσουμε δοκιμή διείσδυσης σε τοπικό δίκτυο για να επαληθεύσουμε την ασφάλεια του δικτύου POS. Στόχος μας εδώ είναι να αξιολογήσουμε την ανθεκτικότητα του δικτύου σε μη εξουσιοδοτημένη πρόσβαση και πιθανές εισβολές.
Θα εντοπίσουμε τυχόν τρωτά σημεία που ενδέχεται να εκθέσουν το σύστημα POS σε εξωτερικές απειλές και θα παράσχουμε συστάσεις για την αποκατάστασή τους.
e. Προεπιλεγμένα διαπιστευτήρια στη συσκευή: Στο πλαίσιο της αξιολόγησής μας, θα διερευνήσουμε τη χρήση προεπιλεγμένων διαπιστευτηρίων στη συσκευή POS, ιδίως όσον αφορά τη διαχείριση υλικού.
Τα προεπιλεγμένα ονόματα χρήστη και οι κωδικοί πρόσβασης αποτελούν κοινούς στόχους για τους επιτιθέμενους. Θα εξετάσουμε εξονυχιστικά τη συσκευή για να εντοπίσουμε περιπτώσεις όπου χρησιμοποιούνται προεπιλεγμένα διαπιστευτήρια.
Στόχος μας είναι να διασφαλίσουμε ότι χρησιμοποιούνται οι κατάλληλοι μηχανισμοί ελέγχου ταυτότητας για τη διαχείριση της συσκευής και να εξαλείψουμε τους πιθανούς κινδύνους ασφάλειας που σχετίζονται με τα προεπιλεγμένα διαπιστευτήρια σύνδεσης.
f. Κρυπτογράφηση: Η μετάδοση δεδομένων μέσω καναλιών Wi-Fi ή LAN είναι μια κρίσιμη πτυχή της ασφάλειας των συσκευών POS. Για να επαληθεύσουμε την ασφάλεια των δεδομένων κατά τη μεταφορά, θα εξετάσουμε τις ρυθμίσεις κρυπτογράφησης στη συσκευή POS.
Είναι σημαντικό να διασφαλιστεί ότι η κρυπτογράφηση είναι τόσο ενεργή όσο και σωστά ρυθμισμένη για την προστασία των ευαίσθητων δεδομένων κατά τη μετάδοση.
Η αξιολόγησή μας θα επικεντρωθεί στην αξιολόγηση της ισχύος των χρησιμοποιούμενων πρωτοκόλλων κρυπτογράφησης και στον εντοπισμό τυχόν αδυναμιών που θα μπορούσαν ενδεχομένως να θέσουν σε κίνδυνο την ασφάλεια των δεδομένων.
g. Μη ασφαλής αποθήκευση δεδομένων: Η συσκευή μπορεί να αποθηκεύει δεδομένα στην κάρτα μνήμης ή στο εσωτερικό της. Ελέγχουμε αν τα αρχεία διαμόρφωσης είναι κρυπτογραφημένα για την ασφάλεια αυτών των δεδομένων. Εάν τα δεδομένα δεν είναι κρυπτογραφημένα, η ασφάλεια των ευαίσθητων πληροφοριών μπορεί να τεθεί σε κίνδυνο.
h. Υπηρεσίες καθαρού κειμένου: Ελέγχουμε αν είναι ενεργοποιημένες υπηρεσίες καθαρού κειμένου στη συσκευή, όπως το FTP, το οποίο κατεβάζει υλικολογισμικό της συσκευής από το διακομιστή για αναβαθμίσεις υλικολογισμικού. Η απενεργοποίηση των υπηρεσιών καθαρού κειμένου στη συσκευή είναι απαραίτητη.
i. Αρχεία καταγραφής: Εξετάζουμε τα αρχεία καταγραφής της συσκευής. Τα αρχεία καταγραφής είναι ζωτικής σημασίας για τον εντοπισμό και την παρακολούθηση πιθανών παραβιάσεων ασφαλείας.
j. Ελλιπείς patches: Οι ελλείπουσες ενημερώσεις αντιμετωπίζουν ευπάθειες που θα μπορούσαν να επιτρέψουν μη εξουσιοδοτημένη απομακρυσμένη εκτέλεση κώδικα, κλιμάκωση προνομίων, άρνηση παροχής υπηρεσιών και αποκάλυψη εμπιστευτικών πληροφοριών. Ελέγχουμε για τις πιο πρόσφατες ενημερώσεις.
k. Μη εξουσιοδοτημένη έκθεση ευαίσθητων δεδομένων χωρίς έλεγχο ταυτότητας: Η συσκευή POS μπορεί να εκτυπώνει αναφορές που περιέχουν ευαίσθητες πληροφορίες, όπως στοιχεία συσκευής και λεπτομέρειες συναλλαγών. Επιχειρήσαμε να αποκτήσουμε πρόσβαση σε αυτή τη λειτουργία χωρίς έλεγχο ταυτότητας.
l. Ρυθμίσεις ενημέρωσης της συσκευής: Ελέγχουμε τις ρυθμίσεις της συσκευής και επαληθεύουμε τις τελευταίες ενημερώσεις.
m. Πολιτική κωδικού πρόσβασης: Ελέγχουμε την πολιτική κωδικών πρόσβασης που εφαρμόζεται στη συσκευή και αξιολογούμε τη συμμόρφωσή της με τις βέλτιστες πρακτικές που προωθούν τη χρήση ισχυρών κωδικών πρόσβασης.
n. Θύρες συσκευής POS: Επιθεωρούμε όλες τις περιφερειακές θύρες (θύρες Ethernet, τηλεφώνου, RS-232 και USB) για να διασφαλίσουμε ότι οι αχρησιμοποίητες θύρες είναι απενεργοποιημένες.
B. Δοκιμές εφαρμογής
Η δοκιμή της εφαρμογής είναι ένα κρίσιμο στάδιο για την ασφάλεια των συσκευών POS, επειδή η εφαρμογή SoftPay εκτελεί βασικές λειτουργίες, όπως online και offline πωλήσεις, επιστροφές χρημάτων και άλλες συναλλαγές πληρωμών.
Κατά τη διάρκεια αυτού του σταδίου, είναι σημαντικό να εντοπιστούν και να αντιμετωπιστούν τα τρωτά σημεία ασφαλείας που ενδέχεται να υπάρχουν σε επίπεδο εφαρμογής και λογικού επιπέδου.
a. Ανάλυση κίνησης καθαρού κειμένου : Αρχικά, συνδέουμε τον φορητό υπολογιστή μας στο τμήμα δικτύου POS και διασφαλίζουμε ότι η διεύθυνση IP του φορητού υπολογιστή ταιριάζει με τη διεύθυνση πύλης της συσκευής POS.
Στη συνέχεια, επεξεργαζόμαστε τις ρυθμίσεις της διεύθυνσης πύλης της συσκευής POS, ξεκινάμε ένα αίτημα κίνησης καθαρού κειμένου και χρησιμοποιούμε εργαλεία όπως το Wireshark στο φορητό μας υπολογιστή για να καταγράψουμε την κίνηση.
b. Προσπάθεια επιστροφής : Δεύτερον, προσπαθούμε να επιστρέψουμε ένα ποσό μεγαλύτερο από το ποσό αγοράς. Αυτό μας βοηθά να ελέγξουμε αν η εφαρμογή χειρίζεται με ασφάλεια τις συναλλαγές επιστροφής χρημάτων.
c. Δοκιμή κλιμάκωσης προνομίων : Η εφαρμογή έχει διαφορετικά επίπεδα προνομίων, όπως υπάλληλος, διαχειριστής και υπερ-χρήστης. Προσομοιώνουμε μια επίθεση κλιμάκωσης προνομίων χρησιμοποιώντας έναν λογαριασμό Clerk για να προσπαθήσουμε να αποκτήσουμε πρόσβαση σε λειτουργίες ή δεδομένα επιπέδου Manager.
d. Έλεγχος επαλήθευσης PIN : Προσπαθούμε να χρησιμοποιήσουμε ένα άκυρο PIN κατά τη διάρκεια μιας αγοράς προϊόντος για να ελέγξουμε αν η επαλήθευση PIN επιβάλλεται σωστά κατά τη διάρκεια των συναλλαγών.
e. Προσπάθεια χειραγώγησης δεδομένων : Επιχειρούμε να χειραγωγήσουμε δεδομένα διακόπτοντας ή μεταβάλλοντας τη ροή της κυκλοφορίας. Αυτό μας βοηθά να παρατηρήσουμε πώς οι ευάλωτες εφαρμογές χειρίζονται τα δεδομένα.
f. Αξιολόγηση αποκάλυψης ευαίσθητων πληροφοριών : Η συσκευή POS παράγει αποδείξεις συναλλαγής όταν ένα προϊόν ή μια υπηρεσία πληρωθεί επιτυχώς.
Είναι επιτακτική ανάγκη να εξετάζονται αυτές οι παραγόμενες αποδείξεις συναλλαγών για την παρουσία ευαίσθητων δεδομένων, όπως αριθμοί λογαριασμών και στοιχεία καρτών.
Η κρίσιμη πτυχή είναι να διασφαλιστεί ότι τυχόν πληροφορίες κάρτας εντός της απόδειξης συναλλαγής καλύπτονται αποτελεσματικά για την προστασία των δεδομένων των πελατών.
g. Συναλλαγή POS χωρίς PIN : Στο πλαίσιο της αξιολόγησής μας, στοχεύουμε στη διεξαγωγή μιας δοκιμαστικής συναλλαγής εντός του συστήματος POS χωρίς την ανάγκη χρήσης κωδικού PIN.
Η διαδικασία αυτή μας επιτρέπει να εξετάσουμε τον τρόπο με τον οποίο η συσκευή POS χειρίζεται τις συναλλαγές χωρίς έλεγχο ταυτότητας PIN, ρίχνοντας φως σε πιθανά τρωτά σημεία ασφαλείας.
h. Προσπάθεια πώλησης εκτός σύνδεσης χωρίς κωδικό εξουσιοδότησης : Η στρατηγική δοκιμών μας περιλαμβάνει μια απόπειρα εκτέλεσης μιας συναλλαγής πώλησης εκτός σύνδεσης χωρίς την παρουσία κωδικού εξουσιοδότησης ή με τη χρήση λανθασμένου κωδικού.
Αυτό το συγκεκριμένο σενάριο δοκιμής μας επιτρέπει να αξιολογήσουμε την ανθεκτικότητα και τα μέτρα ασφαλείας του συστήματος POS όσον αφορά τις συναλλαγές εκτός σύνδεσης ελλείψει των απαραίτητων κωδικών εξουσιοδότησης.
C. Αξιολόγηση τρωτότητας και δοκιμή διείσδυσης
a. Ασφάλεια δικτύου συσκευών POS : Η σύνδεση των συσκευών PO με τον απομονωμένο backend server της τράπεζας είναι κρίσιμης σημασίας για την αξιολόγηση των τρωτών σημείων ασφαλείας σε επίπεδο δικτύου.
Οι δοκιμές αυτές διεξάγονται για την αξιολόγηση της ασφάλειας της σύνδεσης δικτύου της συσκευής POS και τον εντοπισμό πιθανών κινδύνων.
b. Έλεγχος σύνδεσης δικτύου : Αρχικά, λαμβάνουμε τα στοιχεία IP της συσκευής POS και συνδέουμε το φορητό μας υπολογιστή στο δίκτυο POS. Αυτό μας επιτρέπει να προσομοιώσουμε την πρόσβαση στο δίκτυο.
Στη συνέχεια, εξετάζουμε διεξοδικά τη σύνδεση δικτύου. Συμβουλή: Αυτή η διαδικασία μας δίνει την ευκαιρία να εξετάσουμε το λειτουργικό σύστημα της συσκευής POS.
c. Προσδιορισμός των ανοικτών θυρών : Χρησιμοποιώντας εργαλεία όπως το Nmap, είναι ζωτικής σημασίας η σάρωση για ανοικτές θύρες TCP και UDP στη συσκευή POS. Αυτό μας βοηθά να προσδιορίσουμε ποιες υπηρεσίες εκτελούνται και ποιες θύρες είναι εκτεθειμένες στον εξωτερικό κόσμο.
Αναζητούμε πιθανά τρωτά σημεία ασφαλείας σε αυτές τις υπηρεσίες.
Παράδειγμα διαμόρφωσης τερματικού POS TCP και εφαρμογής TCP
d. Σάρωση τρωτών σημείων : Για να εντοπίσουμε πιο ολοκληρωμένα τα τρωτά σημεία ασφαλείας στη συσκευή POS, χρησιμοποιούμε εργαλεία σάρωσης τρωτών σημείων ασφαλείας όπως το Nessus.
Αυτή η σάρωση καλύπτει ένα ευρύ φάσμα, ξεκινώντας από την έκδοση του λειτουργικού συστήματος και επεκτεινόμενη σε πιθανές ευπάθειες ασφαλείας σε υπηρεσίες όπως το FTP και το SNMP.
Αξίζει να σημειωθεί ότι οι αυτοματοποιημένες διαδικασίες ενδέχεται να παραβλέψουν ορισμένα τρωτά σημεία, επομένως η χειροκίνητη προσπάθεια είναι απαραίτητη για τον εντοπισμό και την εκμετάλλευση των τρωτών σημείων, ιδίως εκείνων που σχετίζονται με λογικά σφάλματα, ανασφαλείς σχεδιασμούς και άλλα μη αυτοματοποιημένα τρωτά σημεία.
e. Εξέταση των υπηρεσιών : Οι συσκευές POS συνήθως εκτελούν περιορισμένο αριθμό υπηρεσιών. Η εξέταση αυτών των υπηρεσιών περιλαμβάνει,
Operating System Version : Προσπαθούμε να εντοπίσουμε την έκδοση του λειτουργικού συστήματος και να την επιθεωρήσουμε για ευπάθειες ασφαλείας.
FTP Service : Η υπηρεσία FTP χρησιμοποιείται για τη λήψη ενημερώσεων και τη μεταφόρτωση αρχείων της συσκευής. Εξετάζουμε αυτή την υπηρεσία για τρωτά σημεία ασφαλείας.
SNMP Service : Η υπηρεσία SNMP χρησιμοποιείται για την κεντρική διαχείριση της συσκευής POS. Αξιολογούμε το SNMP για τρωτά σημεία ασφαλείας.
Management Portal : Επαληθεύουμε την πρόσβαση στην πύλη διαχείρισης. Επιπλέον, εγκαταστήσαμε το POS SDK API στο φορητό μας υπολογιστή, το οποίο χρησιμοποιείται για την προσαρμογή της εφαρμογής POS. Προσπαθούμε να αποκτήσουμε πρόσβαση στη συσκευή POS μέσω σύνδεσης USB.
POS Application : Ελέγχουμε την έκδοση της εφαρμογής POS και διερευνούμε τα τρωτά σημεία ασφαλείας που σχετίζονται με αυτή την έκδοση. Ο έλεγχος ασφάλειας για συσκευές PoS έχει κρίσιμη σημασία για τις επιχειρήσεις και τα χρηματοπιστωτικά ιδρύματα.
Οι δοκιμές αυτές είναι απαραίτητες για τη διασφάλιση των επιχειρησιακών δεδομένων και των δεδομένων των πελατών, τη διασφάλιση της ασφάλειας των χρηματοοικονομικών συναλλαγών και την πρόληψη πιθανών τρωτών σημείων ασφαλείας.
Οι δοκιμές ασφαλείας που πραγματοποιούνται αξιολογούν την ασφάλεια δικτύου, τη φυσική ασφάλεια, την ασφάλεια εφαρμογών και άλλες πτυχές των συσκευών PoS.
Οι δοκιμές αυτές βοηθούν στον εντοπισμό πιθανών απειλών και παρέχουν την ευκαιρία για έγκαιρη παρέμβαση. Επιπλέον, οι τακτικές δοκιμές ασφαλείας συμβάλλουν στην ενίσχυση των μέτρων ασφαλείας για την άμυνα έναντι των τρεχουσών απειλών και μεθόδων επίθεσης.
Θα ήμουν ευτυχής να σας βοηθήσω με δοκιμές διείσδυσης για να επιτύχετε τη συμμόρφωση με το PCI DSS και να ενισχύσετε την ασφάλεια της επιχείρησής σας.
Εντοπίζοντας αθέατες απειλές, μπορώ να σας βοηθήσω να προστατεύσετε καλύτερα ευαίσθητα δεδομένα, όπως πληροφορίες καρτών πληρωμής και στοιχεία πελατών.
Ενισχύοντας την ασφάλεια της επιχείρησής σας, μπορούμε να δημιουργήσουμε μια ισχυρότερη άμυνα απέναντι στις επιθέσεις στον κυβερνοχώρο. Μπορώ να σας βοηθήσω να κερδίσετε την εμπιστοσύνη των πελατών και να διασφαλίσετε τη συμμόρφωση με τους κανονισμούς.
Μη διστάσετε να επικοινωνήσετε μαζί μας σήμερα για να μάθετε περισσότερα και να ανακαλύψετε πώς μπορώ να σας βοηθήσω να μεγιστοποιήσετε την ασφάλεια της επιχείρησής σας. Θυμηθείτε, είμαι εδώ για να αποκαλύψω αυτό που μπορεί να μην είναι άμεσα ορατό.
Οι ερευνητές κυβερνοασφάλειας της εταιρείας ασφάλειας επιχειρήσεων Proofpoint ανακάλυψαν ένα τρομακτικό νέο κακόβουλο λογισμικό που διανέμεται ως πακέτο εγκατάστασης του δημοφιλούς διαχειριστή κωδικών πρόσβασης Bitwarden για να εξαπατήσει τους χρήστες και να κλέψει ευαίσθητα δεδομένα από τις συσκευές τους.
Αυτό το ψεύτικο πακέτο εγκατάστασης, με την ονομασία ZenRAT, παραδίδεται μέσω ενός ψεύτικου ιστότοπου Bitwarden, ο οποίος μοιάζει ακριβώς με τον αρχικό, αλλά δεν είναι νόμιμος. Αν ένας χρήστης δώσει προσοχή, είναι εύκολο να αντιληφθεί ότι οι χειριστές του κακόβουλου λογισμικού έχουν χρησιμοποιήσει την τεχνική typosquatting, επειδή ο ψεύτικος ιστότοπος έχει τίτλο bitwaridencom.
Οι κύριοι στόχοι του ZenRAT είναι ανυποψίαστοι χρήστες των Windows. Εάν ένας επισκέπτης κάνει κλικ στο σύνδεσμο λήψης που είναι σημειωμένος για άλλη πλατφόρμα (π.χ. Linux ή macOS), ανακατευθύνεται στον αρχικό ιστότοπο της Bitwarden (vault.bitwarden.com) στη σελίδα Λήψεις. Εάν ένας χρήστης των Windows κάνει κλικ σε αυτόν, η συσκευή του θα μολυνθεί με το ZenRAT και το κακόβουλο λογισμικό θα δημιουργήσει μια σύνδεση με τον διακομιστή C2 (185.186.7214).
Μόλις γίνει αυτό, το κακόβουλο λογισμικό θα συλλέξει τα επιθυμητά δεδομένα, συμπεριλαμβανομένων των λεπτομερειών του συστήματος και των αποθηκευμένων διαπιστευτηρίων. Το ZenRAT μπορεί να κλέψει πληροφορίες όπως τα ονόματα της CPU και της GPU, την έκδοση του λειτουργικού συστήματος, τη μνήμη RAM, τη διεύθυνση IP και την πύλη της συσκευής. Θα αποσπάσει επίσης πληροφορίες σχετικά με τις εγκατεστημένες λύσεις antivirus και άλλες εφαρμογές. Μπορεί επίσης να κλέψει δεδομένα και κωδικούς πρόσβασης του προγράμματος περιήγησης. Το ZenRAT διαβιβάζει τα αρχεία καταγραφής στον διακομιστή C2 σε απλό κείμενο.
Επαναπροσανατολίζει τους επισκέπτες του ιστότοπου σε έναν καλοήθη ιστότοπο. Ωστόσο, οι ερευνητές δεν διευκρίνισαν πώς ανακατευθύνονται οι επισκέπτες στον ιστότοπο. Προηγουμένως, το κακόβουλο λογισμικό διανεμόταν σε τέτοιες εκστρατείες μέσω phishing, SEO poisoning ή επιθέσεων malvertising. Το ωφέλιμο φορτίο φέρει τον τίτλο Bitwarden-installer-version-2023-7-1.exe και κατεβαίνει μέσω του crazygamescom. Αυτή η δούρειος ίππος έκδοση του νόμιμου εγκαταστάτη Bitwarden περιέχει ένα εκτελέσιμο αρχείο .NET με τίτλο (ApplicationRuntimeMonitor.exe).
Σύμφωνα με την ανάρτηση στο blog της Proofpoint, όταν οι ερευνητές εξέτασαν τα μεταδεδομένα του κακόβουλου πακέτου εγκατάστασης, παρατήρησαν ότι ο επιτιθέμενος το είχε μεταμφιέσει σε Speccy της Priform. Πρόκειται για ένα δωρεάν βοηθητικό πρόγραμμα των Windows που εμφανίζει πληροφορίες σχετικές με το υλικό/λογισμικό.
Επιπλέον, το εκτελέσιμο αρχείο έχει μια άκυρη υπογραφή που φαίνεται να υπογράφεται από τον διάσημο Γερμανό επιστήμονα πληροφορικής FileZilla Tim Kosse. Ωστόσο, αυτή η υπογραφή είναι επίσης ψεύτικη. Αυτό το σπονδυλωτό RAT εκτελεί επίσης ελέγχους anti-sandbox και anti-VM για να διαπιστώσει αν είναι ασφαλές να λειτουργεί στη συσκευή. Οι έλεγχοι περιλαμβάνουν επίσης geofencing για να διασφαλιστεί ότι δεν έχει εγκατασταθεί σε καμία ρωσόφωνη περιοχή.
Προσοχή κατά τη χρήση ενός διαχειριστή κωδικών πρόσβασης
Οι ερευνητές συμβουλεύουν τους χρήστες να είναι προσεκτικοί κατά τη λήψη λογισμικού και συνιστούν να προμηθεύονται εφαρμογές αποκλειστικά από επίσημες πηγές. Αξίζει να σημειωθεί ότι οι διαχειριστές κωδικών πρόσβασης έχουν γίνει συχνά στόχος κυβερνοεπιθέσεων και απάτης, με το LastPass να αποτελεί ένα αξιοσημείωτο παράδειγμα.
Ως ασφαλέστερη εναλλακτική λύση, τα τρία κορυφαία προγράμματα περιήγησης – Google Chrome, Mozilla Firefox και Safari – προσφέρουν δωρεάν λειτουργίες διαχείρισης κωδικών πρόσβασης. Αν δεν είστε σίγουροι για το ποια υπηρεσία να χρησιμοποιήσετε, οποιαδήποτε από αυτές τις τρεις επιλογές θα σας προσφέρει παρόμοια οφέλη και, σε ορισμένες περιπτώσεις, μπορεί να είναι πιο ασφαλής από άλλες.
Κυβερνοασφάλεια στην Κίνα: Προειδοποίηση για Κατασκοπευτικό Λογισμικό σε Στρατηγικούς Κλάδους
Η Κίνα ανακοίνωσε ότι εντόπισε λογισμικό γεωγραφικών πληροφοριών από άλλες χώρες που ενδέχεται να θέτει σε κίνδυνο εμπιστευτικά και ευαίσθητα δεδομένα σε κλάδους κλειδιά, συμπεριλαμβανομένου του στρατιωτικού, και προειδοποίησε τα τμήματα ασφαλείας να πραγματοποιήσουν εμπεριστατωμένους ελέγχους για να περιορίσουν περαιτέρω επιθέσεις.
Το Υπουργείο Κρατικής Ασφαλείας ανέφερε ότι μια εκτενής έρευνα ανέδειξε ότι ξένο λογισμικό συστημάτων γεωγραφικών πληροφοριών χρησιμοποιείται για τη συλλογή δεδομένων – κάποια από αυτά αφορούν κρατικά μυστικά – “αποτελεί σοβαρή απειλή για την εθνική ασφάλεια της Κίνας.”
Η κυβέρνηση αποκάλυψε τον κίνδυνο σε άρθρο στο δημόσιο λογαριασμό της στο WeChat τη Δευτέρα, αλλά δεν διακρίνει καμία πληροφορία για επιχειρήσεις που κατηγορούνται για πρόσβαση στα δεδομένα ή προσδιορίζει συγκεκριμένες κινεζικές εταιρείες που επηρεάστηκαν ή στοχεύτηκαν.
Η Κίνα ανέφερε ότι οι υπεύθυνοι χρησιμοποιούν λογισμικό για τη συλλογή δεδομένων χρηστών χωρίς περιορισμούς, τοποθετώντας εσκεμμένα προεγκατεστημένα “πίσω παράθυρα” στο λογισμικό για να επιτραπεί η κυβερνοεπίθεση και η κλοπή δεδομένων.
Η κυβέρνηση ανέφερε ότι με την κλοπή δεδομένων υψηλής ακρίβειας γεωγραφικών πληροφοριών, η τρισδιάστατη γεωμορφολογική απεικόνιση συγκεκριμένων περιοχών στους τομείς των μεταφορών, της ενέργειας, του στρατιωτικού και άλλων σημαντικών τομέων μπορεί να είναι εκτεθειμένη σε απειλές.
Η Κίνα έχει λάβει αυξανόμενα μέτρα για την προστασία της εθνικής της ασφάλειας και την πρόληψη διαρροών πληροφοριών που θα μπορούσαν να πληγώσουν τους κλάδους και να βλάψουν την οικονομία της.
Η κυβέρνηση ανέφερε ότι τα τμήματα πρέπει να πραγματοποιήσουν έρευνες για τους κινδύνους ασφάλειας δεδομένων γεωγραφικών πληροφοριών, “και να διορθώσουν και να εξαλείψουν άμεσα” οποιαδήποτε απειλή.
Διαρροή δεδομένων της Air Europa: Οι πελάτες της προειδοποιήθηκαν να ακυρώσουν τις πιστωτικές τους κάρτες
Η ισπανική αεροπορική εταιρεία Air Europa, η τρίτη μεγαλύτερη αεροπορική εταιρεία της χώρας και μέλος της συμμαχίας SkyTeam, προειδοποίησε τη Δευτέρα τους πελάτες της να ακυρώσουν τις πιστωτικές τους κάρτες, αφού οι επιτιθέμενοι απέκτησαν πρόσβαση στις πληροφορίες των καρτών τους σε πρόσφατη παραβίαση δεδομένων.
“Σας ενημερώνουμε ότι πρόσφατα εντοπίστηκε ένα περιστατικό κυβερνοασφάλειας σε ένα από τα συστήματά μας, το οποίο συνίσταται σε πιθανή μη εξουσιοδοτημένη πρόσβαση στα δεδομένα της τραπεζικής σας κάρτας”, ανέφερε η Air Europa σε μηνύματα ηλεκτρονικού ταχυδρομείου που εστάλησαν στα επηρεαζόμενα άτομα και τα οποία είδε το BleepingComputer.
“Έχουμε ασφαλίσει τα συστήματά μας, διασφαλίζοντας την ορθή λειτουργία της υπηρεσίας. Επιπλέον, έχουμε προβεί στις δέουσες κοινοποιήσεις προς τις αρμόδιες αρχές και τους απαραίτητους φορείς (AEPD, INCIBE, τράπεζες κ.λπ.)”.
Τα στοιχεία των πιστωτικών καρτών που εκτέθηκαν κατά την παραβίαση περιλαμβάνουν αριθμούς καρτών, ημερομηνίες λήξης και τον τριψήφιο κωδικό CVV (Card Verification Value) στο πίσω μέρος των καρτών πληρωμής.
Η Air Europa προειδοποίησε επίσης τους πληγέντες πελάτες να ζητήσουν από τις τράπεζές τους να ακυρώσουν τις κάρτες τους που χρησιμοποιούν στον ιστότοπο της αεροπορικής εταιρείας λόγω “του κινδύνου πλαστογράφησης της κάρτας και απάτης” και “για να αποτρέψουν πιθανή δόλια χρήση”.
Οι πελάτες συμβουλεύτηκαν επίσης να μην παρέχουν τα προσωπικά τους στοιχεία ή τους κωδικούς PIN της κάρτας τους σε οποιονδήποτε επικοινωνεί μαζί τους τηλεφωνικά ή μέσω ηλεκτρονικού ταχυδρομείου και να μην ανοίγουν συνδέσμους σε μηνύματα ηλεκτρονικού ταχυδρομείου ή μηνύματα που τους προειδοποιούν για απάτες με τις κάρτες τους.
Ο αριθμός των επηρεαζόμενων πελατών παραμένει άγνωστος
Η εταιρεία δεν έχει ακόμη αποκαλύψει πόσοι από τους πελάτες της επηρεάστηκαν από την παραβίαση των δεδομένων, την ημερομηνία παραβίασης των συστημάτων της και πότε εντοπίστηκε το περιστατικό.
Εκπρόσωπος της Air Europa δεν ήταν διαθέσιμος για σχόλια όταν επικοινώνησε με το BleepingComputer νωρίτερα σήμερα.
Πριν από δύο χρόνια, τον Μάρτιο του 2021, η Ισπανική Υπηρεσία Προστασίας Δεδομένων (DPA) επέβαλε επίσης πρόστιμο 600.000 ευρώ στην αεροπορική εταιρεία για παραβίαση του Γενικού Κανονισμού Προστασίας Δεδομένων της Ευρωπαϊκής Ένωσης (ΓΚΠΔ της ΕΕ) και για την ενημέρωση της υπηρεσίας προστασίας της ιδιωτικής ζωής για την παραβίαση των δεδομένων περισσότερο από 40 ημέρες αργότερα.
Η παραβίαση δεδομένων το 2021 επηρέασε περίπου 489.000 άτομα, με τους επιτιθέμενους να αποκτούν πρόσβαση στα στοιχεία επικοινωνίας και τραπεζικών λογαριασμών τους (αριθμούς καρτών, ημερομηνίες λήξης και κωδικούς CVV) που ήταν αποθηκευμένα σε 1.500.000 αρχεία δεδομένων.
Ενώ οι εγκληματίες χρησιμοποίησαν τα δεδομένα περίπου 4.000 τραπεζικών καρτών σε δόλιες δραστηριότητες, η Air Europa χαρακτήρισε την παραβίαση ως περιστατικό μέσου κινδύνου και επέλεξε να μην ενημερώσει τα πληγέντα άτομα.
Εκτιμάται ότι 12.000 τείχη προστασίας SRX και διακόπτες EX της Juniper είναι ευάλωτα σε ένα σφάλμα απομακρυσμένης εκτέλεσης κώδικα χωρίς αρχείο, το οποίο οι επιτιθέμενοι μπορούν να εκμεταλλευτούν χωρίς έλεγχο ταυτότητας.
Τον Αύγουστο, η Juniper αποκάλυψε πολυάριθμες ευπάθειες “PHP environment variant manipulation” (CVE-2023-36844/CVE-2023-36845) και “Missing Authentication for Critical Function” (CVE-2023-36846/CVE-2023-36847), οι οποίες από μόνες τους είχαν μόνο μια “μεσαία” βαθμολογία σοβαρότητας 5,3.
Ωστόσο, όταν αυτές οι ευπάθειες συνδυάστηκαν μεταξύ τους, έγιναν ένα κρίσιμο σφάλμα απομακρυσμένης εκτέλεσης κώδικα με βαθμολογία 9,8.
Σε μια μεταγενέστερη τεχνική έκθεση, η watchTowr Labs δημοσίευσε ένα PoC που συνδύαζε τις ατέλειες CVE-2023-36845 και CVE-2023-36846, επιτρέποντας στους ερευνητές να εκτελέσουν κώδικα εξ αποστάσεως ανεβάζοντας δύο αρχεία σε μια ευάλωτη συσκευή.
Σήμερα, ο Jacob Baines, ερευνητής ευπαθειών του VulnCheck, κυκλοφόρησε ένα άλλο PoC exploit που χρησιμοποιεί μόνο το CVE-2023-36845, παρακάμπτοντας την ανάγκη μεταφόρτωσης αρχείων, ενώ εξακολουθεί να επιτυγχάνει απομακρυσμένη εκτέλεση κώδικα.
Στο πλαίσιο της έκθεσης του Baines, ο ερευνητής μοιράστηκε έναν δωρεάν σαρωτή στο GitHub για να βοηθήσει στον εντοπισμό ευάλωτων αναπτύξεων, δείχνοντας χιλιάδες ευάλωτες συσκευές εκτεθειμένες στο διαδίκτυο.
Το νέο exploit
Ο Baines λέει ότι αγόρασε ένα παλιό τείχος προστασίας Juniper SRX210 για να δοκιμάσει την εκμετάλλευση, αλλά διαπίστωσε ότι η συσκευή του δεν διέθετε τη λειτουργικότητα do_fileUpload() που απαιτείται για τη μεταφόρτωση αρχείων στη συσκευή.
Αυτό ουσιαστικά έσπασε την αλυσίδα εκμετάλλευσης του watchTowr, αναγκάζοντας τον ερευνητή να δει αν υπήρχε άλλος τρόπος να επιτύχει απομακρυσμένη εκτέλεση κώδικα.
Ο Baines διαπίστωσε ότι θα μπορούσε να παρακάμψει την ανάγκη να φορτώσει δύο αρχεία στους διακομιστές-στόχους χειραγωγώντας τις μεταβλητές περιβάλλοντος.
Ο διακομιστής Appweb του τείχους προστασίας της Juniper επεξεργάζεται τα αιτήματα HTTP του χρήστη μέσω stdin κατά την εκτέλεση ενός σεναρίου CGI.
Εκμεταλλευόμενοι αυτό, οι επιτιθέμενοι μπορούν να ξεγελάσουν το σύστημα ώστε να αναγνωρίσει ένα ψευδο-“αρχείο”, /dev/fd/0, και προσαρμόζοντας τη μεταβλητή περιβάλλοντος PHPRC και την αίτηση HTTP, μπορούν να εμφανίσουν ευαίσθητα δεδομένα.
Στη συνέχεια, το VulnCheck αξιοποίησε τα χαρακτηριστικά ‘auto_prepend_file’ και ‘allow_url_include’ της PHP για να εκτελέσει αυθαίρετο κώδικα PHP μέσω του πρωτοκόλλου data:// χωρίς να φορτώσει κανένα αρχείο.
Τούτου λεχθέντος, η βαθμολογία σοβαρότητας του CVE-2023-36845, η οποία είναι 5,4, θα πρέπει τώρα να επανεκτιμηθεί σε μια πολύ υψηλότερη κρίσιμη βαθμολογία λόγω της ικανότητάς του να επιτύχει απομακρυσμένη εκτέλεση κώδικα χωρίς άλλα ελαττώματα.
Επιπτώσεις και κίνδυνοι
Η ευπάθεια CVE-2023-36845 επηρεάζει τις ακόλουθες εκδόσεις του Junos OS στις σειρές EX Series και SRX Series:
All versions before 20.4R3-S8
21.1 version 21.1R1 and later versions
21.2 versions before 21.2R3-S6
21.3 versions before 21.3R3-S5
21.4 versions before 21.4R3-S5
22.1 versions before 22.1R3-S3
22.2 versions before 22.2R3-S2
22.3 versions before 22.3R2-S2, 22.3R3
22.4 versions before 22.4R2-S1, 22.4R3
Ο προμηθευτής κυκλοφόρησε ενημερώσεις ασφαλείας που αντιμετώπισαν την ευπάθεια στις 17 Αυγούστου 2023. Ωστόσο, η χαμηλή βαθμολογία σοβαρότητας που έλαβε το ελάττωμα δεν σήμανε συναγερμό στους επηρεαζόμενους χρήστες, πολλοί από τους οποίους μπορεί να επέλεξαν να αναβάλουν την εφαρμογή του.
Οι σαρώσεις δικτύου του VulnCheck έδειξαν 14.951 Juniper με εκτεθειμένες στο διαδίκτυο διεπαφές ιστού. Από ένα δείγμα 3.000 συσκευών, ο Baines διαπίστωσε ότι το 79% ήταν ευάλωτο σε αυτό το σφάλμα RCE.
Αν αυτό το ποσοστό εφαρμοστεί σε όλες τις εκτεθειμένες συσκευές, τότε έχουμε 11.800 ευάλωτες συσκευές στο διαδίκτυο.
Τέλος, η έκθεση αναφέρει ότι οι Shadowserver και GreyNoise έχουν δει επιτιθέμενους να εξετάζουν τα τελικά σημεία του Junos OS, οπότε οι χάκερς διερευνούν ήδη την ευκαιρία να αξιοποιήσουν το CVE-2023-36845 σε επιθέσεις.
Ως εκ τούτου, οι διαχειριστές της Juniper πρέπει να εφαρμόσουν αυτές τις ενημερώσεις το συντομότερο δυνατό, καθώς θα μπορούσαν να χρησιμοποιηθούν για να αποκτήσουν αρχική πρόσβαση σε εταιρικά δίκτυα.
Προστατεύοντας την Επιχείρησή σας: Η Σημασία της Κυβερνοασφάλειας
Η κυβερνοασφάλεια είναι κάτι περισσότερο από μια απλή ανησυχία για την τεχνολογική ασφάλεια. Είναι η βασική αμυντική γραμμή της επιχείρησής σας, προστατεύοντας τα δεδομένα, τους πελάτες και τη φήμη σας. Σε αυτό το άρθρο, θα δούμε τη σημασία της κυβερνοασφάλειας στις επιχειρήσεις και πώς μπορείτε να την ενσωματώσετε στην καθημερινή λειτουργία σας.
Κυβερνοασφάλεια: Τι είναι και γιατί είναι σημαντική;
Η κυβερνοασφάλεια αναφέρεται στην προστασία των ψηφιακών συστημάτων, δεδομένων και δικτύων από κυβερνοαπειλές και επιθέσεις. Αυτές οι απειλές μπορούν να περιλαμβάνουν malware, phishing, επιθέσεις ransomware και πολλά άλλα. Γιατί όμως είναι τόσο σημαντική για κάθε επιχείρηση;
1. Προστασία των Δεδομένων: Οι επιχειρήσεις συχνά διαθέτουν ευαίσθητα δεδομένα πελατών, εργαζομένων και οικονομικά στοιχεία. Η διαρροή ή η κλοπή αυτών των δεδομένων μπορεί να οδηγήσει σε σοβαρές συνέπειες, συμπεριλαμβανομένης της απώλειας φήμης και των νομικών επιπτώσεων.
2. Προστασία της Φήμης: Η καλή φήμη είναι ανεκτίμητη. Ένας κακόβουλός «χάκερ» μπορεί να καταστρέψει τη φήμη μιας επιχείρησης, διαρρέοντας προσωπικά δεδομένα ή προκαλώντας αναστάτωση στις υπηρεσίες της.
3. Προστασία από Νομικές Επιπτώσεις: Η μη συμμόρφωση με τους νόμους περί προστασίας των δεδομένων και της κυβερνοασφάλειας μπορεί να οδηγήσει σε σοβαρές νομικές συνέπειες.
Πώς να Ενσωματώσετε την Κυβερνοασφάλεια:
Η κυβερνοασφάλεια δεν είναι μια μονοδιάστατη λύση. Πρέπει να ενσωματωθεί σε όλες τις πτυχές της επιχείρησης. Αναλυτικά:
1. Κατάρτιση και Ευαισθητοποίηση: Εκπαιδεύστε το προσωπικό σας για τις κυβερνοαπειλές και τις βέλτιστες πρακτικές ασφάλειας.
2. Τεχνολογικά Εργαλεία: Χρησιμοποιήστε ασφαλή λογισμικά και υλικά, όπως firewalls, antivirus, IDS/IPS, και SIEM συστήματα, για να προστατεύσετε τα συστήματά σας από επιθέσεις.
3. Ανάλυση και Εντοπισμός Κινδύνων: Εφαρμόστε μηχανισμούς ανίχνευσης και αντιμετώπισης κυβερνοαπειλών για να εντοπίσετε εγκαίρως ανωμαλίες στο δίκτυό σας.
4. Πολιτικές και Διαδικασίες: Τηρήστε πολιτικές και διαδικασίες κυβερνοασφάλειας που καθορίζουν πώς πρέπει να διαχειρίζεστε τα δεδομένα και τις πιθανές απειλές.
5. Συνεργασία με Εξωτερικούς Εμπειρογνώμονες: Εξετάστε τη συνεργασία με εξωτερικούς εμπειρογνώμονες για τον έλεγχο κυβερνοασφάλειας και τον εντοπισμό πιθανών ευπάθειών.
6. Ανάκτηση Δεδομένων και Επιχειρησιακή Συνέχεια: Αναπτύξτε σχέδια ανάκτησης δεδομένων και συνέχειας επιχειρησιακής δραστηριότητας, ώστε να αντιμετωπίσετε τις επιθέσεις.
7. Συμμόρφωση με τους Νόμους: Διασφαλίστε ότι η επιχείρησή σας συμμορφώνεται με τους νόμους περί προστασίας των δεδομένων και της κυβερνοασφάλειας.
Η κυβερνοασφάλεια δεν είναι πλέον πολυτέλεια, αλλά αναγκαίο μέτρο για κάθε επιχείρηση. Η προστασία των δεδομένων, της φήμης και της νομικής συμμόρφωσης πρέπει να βρίσκεται στην κορυφή της λίστας προτεραιοτήτων σας. Εφαρμόζοντας καλές πρακτικές κυβερνοασφάλειας, μπορείτε να προστατεύσετε την επιχείρησή σας και να διασφαλίσετε την ασφαλή της λειτουργία.