Wiercimy

Analiza FortiGuard: podatności w popularnych urządzeniach sieciowych

Analiza FortiGuard: podatności w popularnych urządzeniach sieciowych
Analiza FortiGuard: podatności w popularnych urządzeniach sieciowych Niebezpieczne luki w popularnych modemach i routerach, nowe trojany i oprogramowanie typu ransomware – analitycy z FortiGuard Labs

Analiza FortiGuard: podatności w popularnych urządzeniach sieciowych

Niebezpieczne luki w popularnych modemach i routerach, nowe trojany i oprogramowanie typu ransomware – analitycy z FortiGuard Labs firmy Fortinet prezentują najciekawsze odkrycia ostatnich dni.

Podatności w modemach i routerach
Analitycy bezpieczeństwa informują o luce w modemach kablowych wykorzystujących układy firmy Broadcom. Wada ta, nazwana Cable Haunt, może być obecna w ponad 200 milionach modemów w Europie. Zainstalowany w nich firmware jest podatny na ataki odbicia DNS. Po wejściu na złośliwą stronę phishingową za pomocą przeglądarki na podłączonym do takiego modemu komputerze, specjalnie spreparowany pakiet może wykorzystać lukę i umożliwić wykonanie dowolnych komend na modemie, przy jednoczesnym uzyskaniu pełnego dostępu do urządzenia. Badacze obawiają się, że stosujący te układy z niezabezpieczonym firmware’em producenci modemów kablowych automatycznie przenieśli tę podatność do swoich urządzeń. Tego typu słabe punkty należy jak najszybciej usunąć poprzez aktualizację firmware’u, a jeśli nie jest dostępna jego nowa wersja, zaprzestanie korzystania z takiego modemu.

Analitycy wykryli również próbę wykorzystania luki Authentication Bypass w routerach Linksys. Jej powstanie jest efektem braku weryfikowania danych przychodzących podczas obsługi spreparowanego przez cyberprzestępców żądania HTTP. Zdalny użytkownik może wykorzystać tę lukę do wykonania dowolnego kodu. Wśród produktów, w których jest ona obecna, są routery Wi-Fi Linksys oraz punkty dostępowe. Największa liczba podatnych urządzeń znajduje się w Korei, Australii, USA i na Tajwanie.

Ransomware przez protokół RDP
Phobos jest złośliwym programem typu ransomware i wykorzystuje popularny protokół RDP (Remote Desktop Protocol) jako wektor ataku. Na całym świecie miliony systemów wyposażonych w RDP są podatne na różne rodzaje ataków, głównie dlatego, że brakuje w nich aktualnych łatek bezpieczeństwa. Dzięki nim Phobos może uzyskiwać dostęp do sieci korporacyjnej w celu przeprowadzenia ataku. To narzędzie jest sprzedawane również w darkwebie jako usługa, w modelu Ransomware-as-a-Service (RaaS), co sprawia, że nawet mniej zaawansowanym technicznie przestępcom bardzo łatwo jest zaatakować firmy na całym świecie.
Trojany wciąż niebezpieczne
Badacze z FortiGuard odkryli niedawno narzędzie Trojan-Dropper.AndroidOS.Shopper, które jest używane przez cyberprzestępców do podwyższania oceny wybranych aplikacji mobilnych i w konsekwencji zwiększania liczby ich instalacji. Może być ono wykorzystane do promowania oprogramowania służącego do kryminalnych celów lub nieuczciwego zwiększania oceny aplikacji, świadczonego jako usługa na rzecz jej autorów.

A to już wiesz?  ZyXEL NWA3000-N: nowa linia wydajnych punktów dostępowych z hybrydowym trybem administracji centralnej

Na zainfekowanym urządzeniu trojan może również wyświetlać komunikaty reklamowe i tworzyć skróty do witryn reklamowych. Potrafi też napisać fałszywą recenzję użytkownika, instalować aplikacje poprzez sklep Google Play i inne platformy, a także rejestrować użytkowników z wykorzystaniem ich kont Google lub Facebook w fałszywych aplikacjach, udających oprogramowanie przeznaczone do zakupów w takich serwisach jak AliExpress, Lazada, Zalora i innych.

Tego typu aktywność trojana jest nadużyciem reguł korzystania z usług Google – nie ma on praw do instalacji aplikacji ze źródeł zewnętrznych, a także jest w stanie wyłączyć ochronę Google Play. Złośliwe oprogramowanie zwodzi potencjalną ofiarę, udając aplikację systemową. Na koniec zbiera informacje o urządzeniu ofiary, takie jak kraj pochodzenia, typ sieci, sprzedawca, model smartfona, adres e-mail, IMEI i IMSI, a następnie przekazuje je na serwer przestępców.

Ciekawym przypadkiem, wykrytym przez analityków Fortinet, jest również trojan o nazwie Lampion. To złośliwe oprogramowanie było rozprowadzane za pomocą wiadomości e-mail skierowanych do portugalskiego ministerstwa finansów. Z analizy wynika, że Lampion przypomina rodzinę Trojan Banker.Win32.ChePro, ale z pewnymi ulepszeniami, które są trudne do wykrycia i przeanalizowania.

W kampanii phishingowej wykorzystano szablon e-maila ze złośliwym załącznikiem o nazwie FacturaNovembro-4492154-2019-10_8.zip. W pierwszym etapie Lampion generuje losowe nazwy, które zostaną nadane złośliwemu plikowi tekstowemu utworzonemu na zainfekowanym urządzeniu, a następnie rozszyfrowuje adres URL do pobrania złośliwego oprogramowania. Następnie zbiera dane ze schowka, dysku oraz przeglądarek i wysyła je na serwer Command&Control (C&C, C2), jeśli otrzyma z niego takie żądanie.

Informacja o firmie Fortinet
Fortinet chroni największe przedsiębiorstwa, dostawców usług i podmioty administracji publicznej na całym świecie. Klienci Fortinet objęci są pełną i inteligentną ochroną w dobie zwiększającej się sfery zagrożeń i stale rosnących oczekiwań wobec wydajności rozszerzających się sieci. Architektura Fortinet Security Fabric zapewnia skuteczne zabezpieczenia, odpowiadające na kluczowe wyzwania bezpieczeństwa środowisk sieciowych, aplikacji, chmury oraz urządzeń mobilnych. Fortinet jest liderem pod względem liczby urządzeń zabezpieczających sprzedanych na całym świecie. Rozwiązania firmy chronią działalność już ponad 425 tys. klientów.

A to już wiesz?  Samsung przedstawia Gear S ? smartwach z kartą SIM

Więcej informacji na www.fortinet.com, Fortinet Blog oraz FortiGuardLabs.

Artykuly o tym samym temacie, podobne tematy