Kybernetická bezpečnost se týká každého z nás, studujte s námi zdarma a on-line na osveta.nukib.cz


Rádi byste u nás pracovali? Aktuální seznam volných míst najdete na kariera.nukib.cz

 

Vybrané aktuality, hrozby a doporučení

NÚKIB vydává první dvě cloudové vyhlášky

V souvislosti s účinností zákona o změně zákonů související s další elektronizací postupů orgánů veřejné moci (tzv. DEPO) k 1. 9. 2021, který novelizuje mimo jiné i zákon o kybernetické bezpečnosti a zákon o informačních systémech veřejné správy, vydal NÚKIB ke stejnému datu vyhlášku o některých požadavcích pro zápis do katalogu cloud computingu a vyhlášku o bezpečnostních úrovních pro využívání cloud computingu orgány veřejné moci.

Vyhláška č. 316/2021 Sb., o některých požadavcích pro zápis do katalogu cloud computingu provádí zákon č. 365/2000 Sb., o informačních systémech veřejné správy a přináší soubor bezpečnostních požadavků rozdělených do bezpečnostních úrovní, které musí poskytovatelé cloud computingu naplnit, aby mohli být spolu se svými nabízenými službami zapsáni v katalogu cloud computingu.

Vyhláška č. 315/2021 Sb., o bezpečnostních úrovních pro využívání cloud computingu orgány veřejné moci je vydávána na základě zmocnění obsaženém v zákoně č. 181/2014 Sb., o kybernetické bezpečnosti a stanoví kritéria pro ohodnocení významnosti informačního nebo komunikačního systému orgánu veřejné moci a jeho zařazení do jedné ze čtyř bezpečnostních úrovní, tak aby orgán veřejné moci mohl pořizovat služby cloud computingu, které naplňují požadavky příslušné bezpečnostní úrovně.

Více informací, včetně znění jednotlivých vyhlášek a nejčastějších dotazů naleznete na těchto webových stránkách v sekci Kybernetická bezpečnost -> Regulace a kontrola.

Upozornění na aktivní zneužívání zranitelnosti Microsoft Exchange Server - ProxyShell

Upozorňujeme na sérii závažných zranilteností postihující Microsoft Exchange Server 2013, 2016 a 2019.

Identifikátor: CVE-2021-34473, CVE-2021-34523, CVE-2021-31207 CVSS:3.0: 9.1, 9.0, 6.6

Zranitelné systémy:

Systém/program: Exchange Server 2013, 2016, 2019 Zranitelná verze: 2013 CU 23 a nižší, 2016 CU 20 a nižší, 2019 CU 9 a nižší Opravená verze: Security update KB5003435 a vyšší

Vektor zneužítí: Síť Složtost útoku: Nízká Vyžadovaná oprávnění: Žádná Vyžadovaná interakce uživatele: Ne

Popis

Upozorňujeme na sérii závažných zranilteností postihující Microsoft Exchange Server 2013, 2016 a 2019. Zranitelné jsou všechny tyto servery, které nebyly aktualizované od dubna 2021 a jsou přístupné na portu 443.

CVE-2021-34473 - Vzdálené spuštění kódu skrze chybu ve zpracování požadavku CVE-2021-34523 - Eskalace oprávnění skrze chybu v Exchange PowerShell Remoting CVE-2021-31207 - Umožnění zápisu souboru na server a vzdálené spuštění kódu

Jednotlivé zranitelnosti již byly opraveny bezpečnostními aktualizacemi vydanými v dubnu (KB5001779 pro CVE-2021-34473 a CVE-2021-34523 ) a květnu (KB5003435 pro CVE-2021-31207). Zranitelnosti lze ovšem nově zneužít v jejich kombinaci k útoku zvaný ProxyShell, který byl v srpnu prezentován na konferenci BlackHat USA. Obdobně jako u série zranitelností ProxyLogon z března 2021 umožňuje tento útok nahrát na server webshell, přes který může útočník vzdáleně spouštět kód s nejvyšším oprávněním a zcela tak kompromitovat daný server.

Aktuálně již bylo zveřejněno několik dílčích kodů replikujících prezentovaný útok, a lze očekávat, že se následujících dnech objeví veřejně dostupné kompletní a sofistikovanější verze. Zranitelné systémy jsou aktuálně aktivně skenované a je zaznaměnána řada případů úspěšného zneužítí.

Dle vyhledávače Shodan se k 13.8.2021 zranitelnosti týkají 865 serverů v ČR.

Doporučení

Všem správcům dotčených systému doporučujeme bezodkladně nainstalovat poslední dostupné bezpečnostní aktualizace pro Exchange Server dle dokumentace Microsoft

Dále také doporučujeme prověřit indikátory potenciálního zneužítí:

POST requesty obsahující "/PowerShell/", "/autodiscover/autodiscover.json", "/mapi/nspi/ v IIS logu přítomnost nelegitimních .ASPX souborů ve složce "C:\inetpub\wwwroot\aspnet_client" (dle informací často o velikost 265KB)

Vzor URL požíváné útočníky ke zneužití CVE-2021-34473. Uvedená e-mailová adresa v URL nemusí být platná a může se měnit:

hXXps://Exchange-server/autodiscover/autodiscover.json?@foo.com/mapi/nspi/?&Email=autodiscover/autodiscover.json%3F@foo.com

Odkazy

Oficiální informace od Microsoft

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31207 https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-34523 https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-34473 https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-may-11-2021-kb5003435-028bd051-b2f1-4310-8f35-c41c9ce5a2f1

Další reference

https://docs.microsoft.com/en-us/exchange/exchange-server https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-servers-scanned-for-proxyshell-vulnerability-patch-now/ https://peterjson.medium.com/reproducing-the-proxyshell-pwn2own-exploit-49743a4ea9a1 https://searchsecurity.techtarget.com/news/252505085/ProxyLogon-Exchange-bug-resurfaces-after-presentation https://www.blackhat.com/us-21/briefings/schedule/index.html#proxylogon-is-just-the-tip-of-the-iceberg-a-new-attack-surface-on-microsoft-exchange-server-23442

Kybernetické incidenty pohledem NÚKIB - červenec 2021

Zajímá vás, co se dělo v kybernetické bezpečnosti v uplynulém měsíci? Zda došlo k závažným incidentům a jaké druhy incidentů byly nejčastější? Pokud ano, tak pro vás máme první číslo našeho nového produktu s názvem Kybernetické incidenty pohledem NÚKIB. Tento přehled budeme zveřejňovat každý měsíc a budeme rádi, když jej budete pravidelně sledovat.

Shrnutí měsíce

Počet kybernetických incidentů nahlášených NÚKIB byl v červenci mírně pod průměrem posledního roku. Z dlouhodobého hlediska se jedná o předvídatelný stav, jelikož NÚKIB o letních prázdninách eviduje nižší počet incidentů pravidelně. V porovnání s červencem minulého roku je počet incidentů přesto dvojnásobný.

V červenci se do popředí kybernetických incidentů nahlášených NÚKIB dostaly ransomwarové útoky. Představovaly polovinu všech nahlášených incidentů. Některé z obětí po útoku nedokázaly obnovit svá data ze zálohy a zcela je ztratily. Další oběti útočníci data exfiltrovali.

Ve dvou případech stojí za útoky ransomware REvil, což je vyděračský software poskytovaný jako služba. Jeho autoři ho pronajímaný jiným útočníkům a následně si berou podíl ze zisku. REvil byl použit i při masivním červencovém útoku na americkou softwarovou společnost Kaseya. Podle informací dostupných NÚKIB ale tyto incidenty s útokem na software Kaseya nesouvisí.

Více na tomto odkazu.

Setkání NÚKIB a EUSPA

V minulých dnech proběhlo jednání mezi zástupci NÚKIB v čele s jeho ředitelem Karlem Řehkou a ředitelem Agentury Evropské unie pro Kosmický program (EUSPA) Rodrigo da Costou. Cílem jednání byla diskuse o dosavadní i budoucí spolupráci a výměně zkušeností v oblastech certifikace informačních a komunikačních systému a TEMPEST, ve kterých NÚKIB může nabídnout svou expertízu a podporu. V oblasti kybernetické bezpečnosti se pak ze strany NÚKIB jedná zejména o sdílení informací o kybernetických hrozbách, poskytování školení, podporu při penetračním testování či společnou účast na kybernetických cvičeních. Důležitým bodem jednání byla spolupráce v oblasti Galileo PRS, tedy jedné ze služeb službu evropského navigačního družicového systému Galileo, za jehož provoz a propagaci je EUSPA zodpovědna.

Výkon funkce tzv. příslušného orgánu PRS Galileo patří mezi hlavní činnosti NÚKIB a je strategicky důležitý pro bezpečnost ČR. Služba PRS neboli veřejně regulovaná služba bude po svém dobudování a dosažení plných operačních kapacit sloužit vládou určeným uživatelům. Oproti běžně dostupné otevřené službě Galileo se PRS vyznačuje vyšší úrovni zabezpečení, kontrolou přístupu a vyšší odolností proti rušení. Tyto vlastnosti jsou klíčové pro služby, kde musí být zajištěna vysoká úroveň odolnosti, spolehlivosti a kontinuity služby, a to i v krizových situacích.