Security Week 07: конфуз с зависимостями в софте

Security Week 07: конфуз с зависимостями в софте
На прошлой неделе стало известно сразу о двух громких инцидентах в области кибербезопасности. Представители компании CD Projekt Red, разработавшей игры «Ведьмак» и Cyberpunk 2077, сообщили об успешной атаке на собственную инфраструктуру (см. также обсуждение на Хабре здесь и здесь ). Злоумышленники скопировали и зашифровали данные на серверах компании. Второе проблемой для компании не является (есть бэкап), а вот первое может привести к разнообразным последствиям в плане репутации и дальнейшей эксплуатации уязвимостей в играх. Напомним, неделей ранее разработчики выпустили патч для Cyberpunk 2077, закрывающий возможность выполнения произвольного кода. Тем не менее разработчик решил не идти на поводу у киберпреступников и сообщил об атаке публично, выложив даже требование о выкупе.

48b7abc97dee513c2374ad5c36adae1c.png

После атаки компания сообщила, что данные сотрудников, скорее всего, не пострадали. Предположительно CD Projekt стала жертвой группировки HelloKitty, ранее задевшей поставщика электроэнергии в Бразилии ( здесь предыдущие атаки анализируются подробнее). Как сообщает BleepingComputer, утекшие данные уже выставили на аукцион со стартовой ценой в миллион долларов. Открытость разработчика игр по поводу инцидента можно только приветствовать. Нельзя не отметить некоторую иронию в том, как антураж Cyberpunk 2077 просочился в реальность.

Вторым громким событием стала атака на водоочистные сооружения в городе Олдсмар в штате Флорида, США. Шериф округа Пинеллас Боб Гуалтьери (Bob Gualtieri) сообщил о кибератаке на критическую инфраструктуру в ходе пресс-конференции 8 февраля. Злоумышленники воспользовались штатными средствами удаленного доступа и, что самое неприятное, пытались увеличить подачу гидроксида натрия в сто раз.

5d81dd4de55ae8893b30c59889458f95.png
Инцидент широко обсуждался в основном в контексте опасного использования средств удаленного доступа (в описанном случае — TeamViewer) для управления критической инфраструктурой. Вскрылись утечки паролей корпоративных адресов в городских коммунальных службах (см. твит выше). Даже без них прямое управление компьютерами на водоочистной станции без дополнительных средств защиты — плохая идея. Брайан Кребс приводит в своей статье свидетельства, что такая практика распространена в целом по стране. И еще аргумент: если уволить всех администраторов, хоть раз открывавших удаленный доступ к рабочему столу, скорее всего, промышленными системами будет некому управлять. Использование TeamViewer указывает на недофинансирование и сигнализирует о необходимости комплексного повышения безопасности критической инфраструктуры.

dc230f948cdc5185f7eafec7ae6daa4e.png
Из-за этих громких новостей в тени осталось интересное исследование Алекса Бирсана (Alex Birsan) о методе внедрения вредоносного кода при сборке ПО, использующего публичные репозитории, такие как npm, PyPi и RubyGems. Ранее эту проблему исследовали на предмет загрузки в хранилище кода с опечаткой в названии — при этом появляется возможность внедрить произвольные функции, если разработчик софта ошибется в названии подключаемой библиотеки. Но это не единственный способ. В статье приводится интересная схема возможных сценариев атаки:

e52e94b5c5b63172f1aabf9de530e685.png


Бирсан нашел еще один. Анализируя код для платежной системы PayPal, выложенный на GitHub, он обнаружил упоминания приватных библиотек, очевидно, доступных только для разработчиков компании. Далее он проверил, что будет, если выложить пакет с таким же именем в публичный репозиторий. Как выяснилось, публичное хранилище получает приоритет перед приватным. Затем исследователь провел полевое испытание: находил приватные библиотеки и выкладывал свой код в общее хранилище под тем же именем.

b4325207e778a85bfeb94d85b6178a03.png


Результаты впечатляют. Автору удалось «взломать» код (по сути, выполнить свою программу в локальной сети) компаний Shopify, Apple, PayPal, Netflix, Yelp и Uber. Некоторые из них выплатили Алексу значительное вознаграждение, соответствующее опасности такого взлома в реальных условиях. Специалисты из Microsoft Azure предлагают несколько решений для описанной проблемы.

Что еще произошло

Интересное исследование безопасности видеокамер, предназначенных для установки в яслях и детских садах. Доступ к устройствам выдается родителям через приложение для смартфона, но, как выяснилось, внутри все клиенты подключаются через общую пару логин-пароль, которая никогда не меняется. Кроме того, соединение осуществляется по протоколу HTTP.

Разработчики Microsoft закрывают баг, внесенный в февральском наборе патчей: он вызывает синий экран при попытке подключения к точке доступа с авторизацией по протоколу WPA3. В этом же наборе патчей закрыты три серьезные уязвимости в реализации протокола TCP/IP.

Отчет компании Google о фишинге дает интересную статистику по почтовому сервису компании: каждый день блокируются сто миллионов опасных сообщений. В прошлом году аналитики Gmail фиксировали в день до 18 миллионов фишинговых сообщений, эксплуатирующих тему COVID-19. Средний срок жизни вредоносной кампании — трое суток.

Компания Adobe закрывает критические уязвимости в Acrobat и Reader.
28a2403e62c4bf79b5501adacf55c0cd.png
Интересный факт из жизни администраторов Википедии приведен в треде выше. В одном из дата-центров до 20% запросов приходятся на фотографию цветка. Как выяснилось , изображение подгружается при запуске популярного в Индии мобильного приложения. Мало того, что это в принципе не идеальный подход к созданию ПО, так картинка еще и не демонстрируется пользователю, то есть загружается зря.
oldsmar projekt red python
Alt text
В пятом выпуске мы расскажем о кибератаках на Pfizer, SolarWinds, а также о масштабных хищениях с помощью изощренных взломов. Новый обзор в нашем Youtube канале!