W Stanach Zjednoczonych Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) oficjalnie dodała dwie nowe podatności do swojego katalogu znanych wykorzystywanych luk bezpieczeństwa (Known Exploited Vulnerabilities, KEV). Ruch ten wynika z aktualnych dowodów na ich aktywne wykorzystanie w rzeczywistych atakach. Zaprezentowano szczegóły dwóch zagrożeń, które wymagają natychmiastowej uwagi zarówno ekspertów ds. cyberbezpieczeństwa, jak i użytkowników korzystających z zagrożonych systemów.
Pierwsza zidentyfikowana luka (CVE-2024-20767) dotyczy oprogramowania Adobe ColdFusion. Opisano ją jako podatność wynikającą z niewłaściwego zarządzania dostępem, co pozwala napastnikowi na modyfikację lub dostęp do chronionych plików poprzez administrowany przez internet panel kontrolny. Podatność ta została oceniona jako poważna, osiągając wynik 7.4 w skali CVSS. Adobe zareagowało stosunkowo szybko, udostępniając łatkę bezpieczeństwa w marcu 2024 roku.
Druga podatność (CVE-2024-35250) skupia się na systemie Microsoft Windows. Luka znajduje się w sterowniku Kernel-Mode Driver i polega na niewłaściwym zarządzaniu wskaźnikami, co umożliwia lokalnym atakującym eskalację uprawnień w systemie. Microsoft zapobiegł eskalacji tego zagrożenia, wydając łatkę w czerwcu 2024 roku. Firma DEVCORE, która odkryła podatność, w sierpniu udostępniła techniczne szczegóły, wskazując, że problem leży w usłudze Kernel Streaming Service (MSKSSRV). Jednakże, wciąż brakuje dokładnych informacji, w jaki sposób te podatności są aktywnie wykorzystywane podczas operacji hakerskich, pomimo publicznie dostępnych dowodów na ich istnienie.
W związku z powyższymi zagrożeniami, agencjom federalnym w Stanach Zjednoczonych zalecono wdrożenie odpowiednich poprawek do 6 stycznia 2025 roku, by zapobiec ewentualnym atakom. Dodatkowa presja na wprowadzenie ochrony wynika z alarmujących sygnałów wskazujących na wzmożoną aktywność cyberprzestępców.
Trwające zagrożenie ze strony HiatusRAT
Na tym tle Federalne Biuro Śledcze (FBI) ostrzega przed rozszerzającą się kampanią z wykorzystaniem malware’u HiatusRAT. Dotychczas złośliwe oprogramowanie atakowało głównie urządzenia sieciowe, takie jak routery, jednak według rapportu z 2024 roku, jego autorzy rozpoczęli skanowanie także urządzeń Internetu Rzeczy (IoT), w tym kamer internetowych i rejestratorów wideo (DVR). Grupami szczególnie zagrożonymi są użytkownicy urządzeń Hikvision, D-Link oraz Dahua na terenie Stanów Zjednoczonych, Australii, Kanady, Nowej Zelandii i Wielkiej Brytanii.
Atakujący wykorzystują luki w zabezpieczeniach urządzeń, m.in. CVE-2017-7921 oraz CVE-2018-9995, a także stosują rozwiązania open source, takie jak Ingram czy Medusa, do skanowania podatności i łamania haseł administracyjnych. W wielu przypadkach wykorzystywano jeszcze niezabezpieczone luki pozostawione przez producentów lub standardowe hasła dostarczane przez dostawców.
Eksploatacja DrayTek Routerów
Kolejne groźne przypadki incydentów związanych z urządzeniami sieciowymi dotyczą routerów DrayTek. Forescout Vedere Labs we współpracy z PRODAFT poinformowało, że cyberprzestępcy wykorzystali luki w zabezpieczeniach ponad 20 tysięcy routerów DrayTek Vigor w ramach skoordynowanej kampanii ransomware prowadzonej w okresie od sierpnia do września 2023 roku.
Atak ten bazował na prawdopodobnej luce typu zero-day, pozwalającej na infiltrację sieci, kradzież danych uwierzytelniających i wdrożenie ransomware. Trójka zaangażowanych grup przestępczych – Monstrous Mantis, Ruthless Mantis oraz LARVA-15 – działała według ściśle zorganizowanego schematu. Monstrous Mantis, jako inicjator, zidentyfikowała exploity i zdobyła dane uwierzytelnienia, które później były sprzedawane partnerskim grupom. Ta efektywna współpraca umożliwiła późniejsze ruchy lateralne, eskalację uprawnień i wdrożenie różnych wariantów ransomware, takich jak Ragnar Locker czy Nokoyawa.
Wróżenie z kodu
Analiza wskazuje, że podatności w kodzie DrayTek mogą wynikać z niedostatecznych działań naprawczych producenta po każdej identyfikacji luk. Podkreślono potrzebę dogłębnej analizy przyczyn, przeglądów kodu oraz identyfikacji wzorców podatności w przypadku takich sytuacji.
Co dalej?
Obecne trendy w cyberprzestępczości wskazują na coraz większe ryzyko związane z wykorzystywaniem urządzeń IoT i infrastruktury sieciowej. Kluczowym krokiem dla użytkowników i organizacji jest systematyczne aktualizowanie oprogramowania oraz stosowanie silnych środków ochrony, takich jak zmiana domyślnych haseł dostępu. Przygotowanie na różne scenariusze może okazać się niezbędne w walce z eskalującymi zagrożeniami.