Kiberlaikapstākļi (SEPTEMBRIS)

2021-10-08

Pieejami kiberlaikapstākļi par 2021. gada septembri. Kiberlaikapstākļi ir CERT.LV speciālistu apkopots pārskats īsā un pārskatāmā formā par Latvijas kibertelpā svarīgākajiem notikumiem pagājušajā mēnesī. Kiberlaikapstākļi tiek noteikti piecās dažādās kategorijās.

Kiberlaikapstākļos minētās krāpnieciskās saites, ko iesūtījuši iedzīvotāji un identificējusi CERT.LV, operatīvi tiek ievietotas DNS ugunsmūrī https://dnsmuris.lv, tādējādi pasargājot no uzbrukuma DNS ugunsmūra lietotājus. DNS ugunsmūris bez maksas ir pieejams ikvienam Latvijas iedzīvotājam un uzņēmumam.

Ielaušanās un datu noplūde

**Nepilnības Microsoft Exchange Autodiscover funkcionalitātē izraisa lietotāju datu noplūdi**

Nepilnība MS Exchange Autodiscover funkcionalitātē izraisīja 100 000 Windows lietotāju datu noplūdi. Uz septembra beigām nepilnībai vēl nebija pieejami labojumi. Nepilnību ietekmes mazināšanai tika ieteikts bloķēt Autodiscover.[TLD] domēnus un atslēgt Basic Authentication funkcionalitāti..

Vairāk: https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-autodiscover-bugs-leak-100k-windows-credentials/

**Nopludinātas Fortinet VPN lietotāju paroles**

Nopludinātas simtiem tūkstošu Fortinet VPN kontu paroles. Uzbrucējs Fortinet VPN kontu piekļuves datus bija ieguvis no ievainojamām iekārtām (visticamāk, izmantojot jau pirms diviem gadiem atklāto ievainojamību CVE-2018-13379 – daļa lietotāju ievainojamību novērsa, bet piekļuves datus nenomainīja). Incidents uzskatāms par nopietnu, jo VPN piekļuves dati sniedz uzbrucējiem iespēju iekļūt iekšējā tīklā, ievākt datus, uzstādīt ļaundabīgu programmatūru un izpildīt izspiedējvīrusa uzbrukumus, padarot datus neizmantojamus un pieprasot izpirkumu par bojāto datu atjaunošanu, kā arī par ievāktās informācijas nenopludināšanu. CERT.LV aicināja visus, kuru pārvaldībā ir Fortinet VPN serveri, nomainīt visu lietotāju paroles un pārbaudīt žurnalēšanas pierakstus, lai pārliecinātos, ka nav notikusi ielaušanās.

Vairāk: https://www.bleepingcomputer.com/news/security/hackers-leak-passwords-for-500-000-fortinet-vpn-accounts/

**Ievainojamība MS Exchange serveros pakļauj sarakstes noplūdes riskam**

Microsoft Exchange serveru (2013-2019) ievainojamība ProxyToken sniedza uzbrucējam iespēju bez autentifikācijas piekļūt e-pasta kastīšu saturam, kā arī veikt citas darbības, piemēram, izveidot e-pasta kastītei papildu nosacījumu, kas pārsūta visu ienākošo e-pastu kopijas arī uz uzbrucēja norādītu e-pasta adresi. Tas, savukārt, var ļaut izpildīt tādus uzbrukumus, kā iejaukšanos biznesa sarakstē, kad kādai no darījuma pusēm atbilstošajā brīdī tiek nosūtīts rēķins ar uzbrucēja bankas kontu.

Vairāk: https://threatpost.com/microsoft-exchange-proxytoken-email/169030/

Bezvadu tīkli augstākajās mācību iestādēs pakļauj lietotāju datus noplūdei

Konfigurācijas kļūdas starptautiskajā akadēmiskajā bezvadu (WiFi) interneta tīklā Eduroam un, iespējams, arī daudzos citos universitāšu WiFi tīklos apdraudēja Android un Windows iekārtu lietotājus, sniedzot trešajām pusēm piekļuvi lietotājvārdiem un parolēm.

Vairāk: https://threatpost.com/misconfiguration-university-wifi-login-credentials/175157/

Ļaunatūra un ievainojamības

**Atklāta kritiska Microsoft ievainojamība MSHTML (CVE-2021-40444)**

Microsoft savā ikmēneša Ielāpu otrdienā publicēja vairāk nekā 60 drošības atjauninājumus, kas novērsa vairākas kritiskas un svarīgas ievainojamības, to vidū arī nulles dienas MSHTML ievainojamību (CVE-2021-40444), kas ļāva veikt attālinātu koda izpildi (RCE) uz Mircosoft Windows iekārtām.
Lai šo ievainojamību izmantotu, ļaundarim bija nepieciešams speciāli sagatavots vai nu Microsoft Office dokuments, vai arī .rtf dokuments, uz kuru neattiektos, piemēram, Protected View, jo RTF nav MS Offices sastāvdaļa, bet ir iebūvēts pašā Windows.

Vairāk: https://cert.lv/lv/2021/09/atklata-kritiska-microsoft-ievainojamiba-mshtml-cve-2021-40444

**Ievainojamība Zoho serveros**

Tika atklāta kritiska ievainojamība uzņēmumu IT pārvaldības risinājumā Zoho. Ievainojamība sniedza uzbrucējiem iespēju attālināti pārņemt kontroli pār ievainojamo sistēmu. Zoho ManageEngine serveru īpašnieki tika aicināti uzstādīt atjauninājumus, lai novērstu ievainojamības izmantošanu uzbrukumos.

Vairāk: https://therecord.media/cisa-warns-of-zoho-server-zero-day-exploited-in-the-wild/

Cīņā ar šifrējošajiem izspiedējvīrusiem

Septembra vidū publiski pieejama kļuva REvil šifrējošā izspiedējvīrusa atslēga. Ar šo atslēgu bojātos – sašifrētos failus varēja atgūt REvil upuri, kuru dati tika nošifrēti laika periodā līdz 13. jūlijam. Zināmākie REvil incidenti ir uzbrukumi gaļas pārstrādes kompānijai JBS un IT risinājumu uzņēmumam Kaseya. Cīņai ar izspiedējvīrusu grupējumiem pievērsusies ASV valdība, paziņojot, ka pret kriptovalūtu biržām un to lietotājiem, kuras sniedz atbalstu kriminālajiem grupējumiem, ļaujot saņemt izpirkuma maksājumus no upuriem, tiks vērstas sankcijas. Kriptovalūtu izmantošana ir būtiski veicinājusi šifrējošo izspiedējvīrusu grupējumu aktivitāti, jo ļauj saņemt grūti izsekojamus maksājumus.

Vairāk:
https://www.bleepingcomputer.com/news/security/free-revil-ransomware-master-decrypter-released-for-past-victims/
https://www.reuters.com/business/finance/biden-sanctions-cryptocurrency-exchange-over-ransomware-attacks-2021-09-21/

Krāpšana

Personalizēti krāpnieciski e-pasti uzņēmumu un iestāžu darbiniekiem

Septembra sākumā CERT.LV speciālistu rīcībā nonāca krāpnieciskas saziņas paraugs, kurā uzbrucējs uzdodas par uzņēmuma vai iestādes vadītāju un aicina darbinieku - e-pasta saņēmēju - norādīt savu telefona numuru, lai, pretēji ierastajam paņēmienam - sarakstei e-pastā, tālāk turpinātu saziņu WhatsApp. CERT.LV savu sociālo tīklu kontos aicināja iedzīvotājus atsaukties, ja saņemti šādi e-pasti, un iesūtīt e-pastu paraugus, lai iegūtu plašāku tehnisko informāciju par šiem krāpniecību mēģinājumiem un pārliecinātos, ka šādi netiek izplatīta ļaunatūra. Tika noskaidrots, ka uzbrukuma mērķis bija panākt dāvanu kartes iegādi, un ļaunatūras izplatīšanas mēģinājumi netika konstatēti.

Vairāk: https://skaties.lv/zinas/zinatne-un-tehnologijas/tehnologijas/cert-lv-bridina-par-krapnieku-sutitiem-personalizetiem-e-pastiem-skietami-kolegu-vai-prieksnieka-varda/

Krāpnieciski e-pasti arī apdrošinātāju vārdā

Apdrošināšanas pakalpojumu sniedzēja BTA vārdā tika izsūtīti krāpnieciska rakstura e-pasti par atlīdzību saņemšanu ar mērķi izkrāpt internetbankas piekļuves datus. BTA informēja klientus un sadarbības partnerus un aicināja neatvērt e-pastā iekļauto saiti.

Vairāk:
https://www.bta.lv/lv/par-bta/jaunumi/bta-varda-tiek-izplatiti-krapnieciski-e-pasti
https://twitter.com/certlv/status/1440990262952595460

Lietu internets

**Atklāta kritiska ievainojamība Hikvision videonovērošanas kamerās**

Hikvision videonovērošanas kamerās tika atklāta kritiska ievainojamība CVE-2021-36260, kas sniedza uzbrucējam pilnīgu kontroli pār kameru un iespēju iekļūt un veikt uzbrukumus arī iekšējā tīklā. Lietotāji tika aicināti nekavējoties uzstādīt Hikvision publicētos atjauninājumus.

Vairāk:
https://watchfulip.github.io/2021/09/18/Hikvision-IP-Camera-Unauthenticated-RCE.html#remediation
https://www.hikvision.com/en/support/cybersecurity/security-advisory/security-notification-command-injection-vulnerability-in-some-hikvision-products/

Mēris inficē maršrutētājus

Septembra sākumā publiskajā telpā izskanēja informācija, ka virkne MikroTik maršrutētāju ir inficēti ar ļaunatūru Mēris un iekļauti robotizētu iekārtu tīklā (botnet). Šis tīkls vēlāk tika izmantots apjomīgos piekļuves atteices uzbrukumos pret interneta drošības kompāniju Cloudflare un Krievijas interneta milzi Yandex, sasniedzot rekordlielus apjomus – 17.2 un 21.8 miljonus pieprasījumu sekundē (rps). Uzbrucēji iekārtu kompromitēšanai izmantoja 2018. gadā atklātu ievainojamību, kurai jau vairākus gadus ir pieejams drošības ielāps, taču daļa lietotāju nav atjauninājuši savas iekārtas.

Vairāk: https://www.bleepingcomputer.com/news/security/mikrotik-shares-info-on-securing-routers-hit-by-massive-m-ris-botnet/

Pakalpojuma pieejamība

Būtiski incidenti netika reģistrēti.