BLOG

17 marca 2020

CVE-2019-14326 - eskalacja uprawnień w Andy

Andy to emulator Android dla Windows i Mac. Podczas testów, odkryliśmy otwarte lokalne porty TCP pozwalające na eskalację uprawnień od nieuprzywilejowanego użytkownika do użytkownika root. CVEID: CVE-2019-14326 Podatny produkt i jego wersja: Andy (wszystkie wersje do 46.11.113 włącznie) Typ podatności: CWE-284: Niewłaściwa kontrola dostępu Podsumowanie podatności emulatora Andy Wszystkie wersje emulatora Andy (do wersji 46.11.113 włącznie, prawdopodobnie także w nowszych wersjach) umożliwiają dostęp do niezabezpieczonej hasłem konsoli roota przy użyciu protokołów telnet i ssh.

Read more
Ataki na systemy przemysłowe przez luki bezpieczeństwa zdalnego dostępu
Ataki na systemy przemysłowe przez luki bezpieczeństwa zdalnego dostępu

12.03.2020

Co kryje się w urządzeniach umożliwiających zdalny dostęp do ICS? W 2017 odkryto login i hash hasła ukrytego użytkownika oraz klucze prywatne w firmware urządzeń Westermo zapewniających zdalny dostęp do sieci ICS. Jedna z podatności została oceniona na 10 w skali CVSS v3. Przykład ataku na infrastrukturę OT z wykorzystaniem zdalnego dostępu oraz słabych haseł został upubliczniony w 2014 przez Departament of Homeland Security. Zdalny dostęp do sieci OT Zdalny dostęp do sieci OT odgrywa ważną rolę w monitorowaniu systemów ICS ze strony zewnętrznych serwisantów.

Więcej
Ataki na dostępność typu (D)DoS. Jak zabezpieczyć infrastrukturę przemysłową?
Ataki na dostępność typu (D)DoS. Jak zabezpieczyć infrastrukturę przemysłową?

27.02.2020

4 wrzesień 2019, Północnoamerykańska Korporacja Niezawodności Energii Elektrycznej (NERC) publikuje raport o zdarzeniu cybernetycznym dotyczącym infrastruktury elektroenergetycznej, które wydarzyło się 5 marca 2019. Wykorzystanie podatności w interfejsie webowym producenta firewalli, pozwoliło atakującym na zresetowanie urządzenia bez uwierzytelnienia. Efektem było zakłócenie dostępności usługi (DoS) w centrum sterowania o niskim wpływie i wielu zdalnych lokalizacjach o niskim wpływie. Nieoczekiwane ponowne uruchomienie sprzętu powodowało cykliczne, krótsze niż pięciominutowe przerwy w komunikacji między urządzeniami polowymi na podstacjach oraz między tymi lokalizacjami a centrum kontroli.

Więcej
Ataki na dostępność typu (D)DoS. Jak zabezpieczyć infrastrukturę przemysłową?
Ataki na dostępność typu (D)DoS. Jak zabezpieczyć infrastrukturę przemysłową?

27.02.2020

4 wrzesień 2019, Północnoamerykańska Korporacja Niezawodności Energii Elektrycznej (NERC) publikuje raport o zdarzeniu cybernetycznym dotyczącym infrastruktury elektroenergetycznej, które wydarzyło się 5 marca 2019. Wykorzystanie podatności w interfejsie webowym producenta firewalli, pozwoliło atakującym na zresetowanie urządzenia bez uwierzytelnienia. Efektem było zakłócenie dostępności usługi (DoS) w centrum sterowania o niskim wpływie i wielu zdalnych lokalizacjach o niskim wpływie. Nieoczekiwane ponowne uruchomienie sprzętu powodowało cykliczne, krótsze niż pięciominutowe przerwy w komunikacji między urządzeniami polowymi na podstacjach oraz między tymi lokalizacjami a centrum kontroli.

Więcej
Wiele podatności w Gurux GXDLMS Director - zdalne wykonanie kodu
Wiele podatności w Gurux GXDLMS Director - zdalne wykonanie kodu

24.02.2020

Gurux GXDLMS Director to otwarte narzędzie do obsługi liczników energii przy użyciu protokołu DLMS/COSEM. Program posiada mechanizm aktualizacji bibliotek z rozszerzeniami oraz plików zawierających kody OBIS (definicje specyficzne dla konkretnych urządzeń potrzebne do komunikacji z licznikiem). CVEID: CVE-2020-8809 Podatny produkt i jego wersja: Gurux GXDLMS Director (wszystkie wersje poniżej 8.5.1905.1301) Typ podatności: CWE-494: Pobieranie kodu bez weryfikacji kryptograficznej CVEID: CVE-2020-8810 Podatny produkt i jego wersja: Gurux GXDLMS Director (wszystkie wersje)

Więcej
Inżynieria społeczna i phishing zagrożeniami dla pracowników OT oraz zewnętrznych partnerów
Inżynieria społeczna i phishing zagrożeniami dla pracowników OT oraz zewnętrznych partnerów

12.02.2020

Grudzień 2014, pracownik elektrowni jądrowej należącej do firmy Korea Hydro and Nuclear Power Co (KHNP) otrzymuje maila z załącznikiem w formacie .HWP (procesor słów w języku koreańskim). Rozszerzenie nie wzbudza podejrzeń, gdyż jest ono powszechnie wykorzystywane w Korei Południowej. Załącznik o nazwie „program sterowania" po otwarciu powoduje lawinowy łańcuch zdarzeń prowadzący do wycieku informacji o danych z elektrowni oraz destrukcję dysków przez malware usuwający główny rekord rozruchowy (MBR). Inżynieria społeczna Inżynieria społeczna jest metodą uzyskiwania nieautoryzowanego dostępu do informacji lub systemów informatycznych zwykle za pomocą środków nietechnicznych.

Więcej
Sabotaż i błąd ludzki w czołówce zagrożeń cybernetycznych OT
Sabotaż i błąd ludzki w czołówce zagrożeń cybernetycznych OT

05.02.2020

Przedmiotem analizy poziomu bezpieczeństwa maszyn i urządzeń jest stopień spełnienia wymagań dotyczących bezpieczeństwa fizycznego (Safety). Wraz z rozwojem elektronicznych układów, w tym programowalnych, czynnikiem wpływającym na niezawodne działanie systemów realizujących funkcje bezpieczeństwa stał się aspekt cyberbezpieczeństwa. Coraz częściej modyfikacje programów nie wymagają fizycznej obecności programisty i mogą być przeprowadzane zdalnie (np. z wykorzystaniem zdalnego dostępu np. VPN). W ten sam sposób ataki mogą być przeprowadzane przez hakerów. Płaszczyzna ataku zwiększa się, gdyż przy modernizacji oraz budowie nowych instalacji często uczestniczą także partnerzy zewnętrzni (np.

Więcej
CVE-2019-14514 - zdalne wykonanie kodu w MEmu
CVE-2019-14514 - zdalne wykonanie kodu w MEmu

04.02.2020

MEmu to emulator Androida dla system Windows. Podczas testów, znaleźliśmy otwarty port TCP który można było wykorzystać do uzyskania zdalnego wykonania kodu z uprawnieniami użytkownika root. CVEID: CVE-2019-14514 Podatny produkt i jego wersja: Microvirt MEmu (wszystkie wersje poniżej 7.0.2) Typ podatności: CWE-78: Wstrzyknięcie poleceń systemu operacyjnego Podsumowanie Wszystkie wersje MEmu poniżej 7.0.2 posiadają podatny program słuchający na porcie 21509. Atakujący jest w stanie uzyskać wykonanie kodu w emulowanym systemie Android wysyłając spreparowane polecenia zawierające znaki specjalny oddzielające komendy w powłokach uniksowych.

Więcej
Aplikacje chmurowe jednym z zagrożeń dla sieci OT
Aplikacje chmurowe jednym z zagrożeń dla sieci OT

22.01.2020

Aplikacje chmurowe jednym z zagrożeń dla sieci OT Zjawisko outsourcingu zasobów znane z IT zyskuje swoich zwolenników także w środowisku OT, czyli tam, gdzie występują systemy automatyki. Wykorzystanie usług chmurowych w systemach OT Zdalny monitoring procesów oraz zużycia mediów Usługi chmurowe są proponowane np. do prezentacji zużycia mediów oraz możliwości optymalizacyjnych, analizy pętli regulacji i dostrajania nastaw regulatorów. Realizacja bezpośrednich zadań sterowania dla procesów szybkozmiennych pozostaje jeszcze nieosiągalna (ze względu na występowanie opóźnień przy transmisji danych).

Więcej
Jak zainfekować sieć OT przez Internet?
Jak zainfekować sieć OT przez Internet?

16.01.2020

W raporcie Globalnych Ryzyk 2020 Światowego Forum Ekonomicznego cyberataki oraz przełamanie kluczowych zabezpieczeń infrastruktury oraz sieci zostały zaklasyfikowane w TOP 10 globalnych ryzyk. Świadomość zagrożeń użytkowników końcowych ciągle rośnie, a co za tym idzie atakujący poszukują nowych metod instalacji malware’u. W artykule przedstawimy atak z przełomu 2013 i 2014 roku, który spowodował nieświadome udostępnianie przez użytkowników informacji o infrastrukturze ICS, możliwe scenariusze ataku oraz metody zabezpieczeń sieci przemysłowych. Malware pochodzący z Internetu infekuje sieć korporacyjną Jest przełom 2013 i 2014 roku.

Więcej