Security News 04/2024


Na začiatku mesiaca bol zamestnancom Microsoftu odhalený backdoor v populárnej kompresnej knižnici xz utils, ktorá je integrovaná vo všetkých známych distribúciách Linuxu. Tento backdoor tam bol pridaný priamo správcom danej knižnice, ktorý vystupoval pod nickname Jia Tan. Za týmto účtom pravdepodobne stála štátom sponzorovaná skupina, pretože v priebehu rokov 2021 – 2024 pridal viac ako 6 tisíc commitov do celkovo 7 open-source projektov. Celé toto malo pravdepodobne zvýšiť kredibilitu účtu, až kým nedošlo k prepisu správcu projektu xz utils práve na tento účet. Následne vo februári 2024 bol do utility pridaný malý backdoor, ktorý umožňoval konkrétnemu súkromnému kľúču autentizovať sa do akejkoľvek SSH inštancie. Našťastie sa podarilo náhodou backdoor odhaliť ešte pred tým, ako sa táto verzia dostala do stable Linux distribúcií. V prípade, že by ďalších pár mesiacov nebol backdoor odhalený, jednalo by sa pravdepodobne o najsofistikovanejší supply-chain útok v histórií.
Zdroj: https://www.wired.com/story/jia-tan-xz-backdoor/


OWASP Foundation sa informovala o nesprávnej konfigurácii ich starého webového servera, čo viedlo k úniku údajov týkajúcich sa životopisov členov OWASP starých desať rokov. OWASP Foundation sa prehodnocuje svoje zásady uchovávania údajov a zavádza dodatočné bezpečnostné opatrenia, aby zabránila budúcim únikom. Podľa najnovších informácií by sa jednalo o únik dát, ktorý bol spôsobený nesprávnou konfiguráciou.
Zdroj: https://owasp.org/blog/2024/03/29/OWASP-data-breach-notification.html


Google v roku 2023 zabránil zverejneniu 2,28 milióna aplikácií porušujúcich zásady v obchode Google Play aj vďaka investíciám do nových a vylepšených bezpečnostných funkcií, aktualizácií zásad a pokročilých procesov strojového učenia a kontroly aplikácií. Na základe nastavených procesov bolo taktiež identifikovaných a zakázaných 333 tisíc škodlivých účtov kvôli potvrdenému malwaru alebo opakovanému porušovaniu zásad.
Zdroj: https://security.googleblog.com/2024/04/how-we-fought-bad-apps-and-bad-actors-in-2023.html

Dropbox zaznamenal neoprávnený pripojenie do produkčného prostredia Dropbox Sign (pôvodne HelloSign). Útočník získal prístup k údajom týkajúcim sa všetkých užívateľov Dropbox Sign, ako sú napríklad e-maily a užívateľské mená. V prípade podskupín používateľov mal útočník prístup aj k telefónnym číslam, hashovaným heslám a určitým autentifikačným informáciám, ako sú kľúče API, tokeny OAuth a viacfaktorová autentizácia. Neexistujú dôkazy o tom, že by útočník pristupoval k obsahu účtov používateľov, ako sú ich zmluvy alebo šablóny, alebo k ich platobným údajom.
Zdroj: https://www.sec.gov/Archives/edgar/data/1467623/000146762324000024/dbx-20240429.htm


Chrome a MS Edge v najnovšej verzií zapli funkcie, ktoré implementujú kvantovo odolné mechanizmy pre výmeny kľúčov v rámci spojenia TLS 1.3. Od zapnutia tejto funkcie sa užívatelia sťažujú na problémy s pripojením na niektoré webové servery. Problém nie je
2/2
priamo v prehliadači, ale v implementácií protokolu TLS 1.3 týmito servermi, ktoré nezvládajú väčšiu veľkosť Client Hello správ, ktorá je pre kvantovo odolné mechanizmy nutná.
Zdroj: https://www.root.cz/zpravicky/postkvantova-kryptografie-v-chrome-rozbiji-spatne-implementace-tls-v-serverech

Co potřebujete vyřešit? Ozveme se Vám nazpět

Než začneme poskytovat službu outsourcing IT, zpracujeme nejdříve vstupní audit informačních technologií. Tento audit slouží k zjištění aktuálního stavu výpočetní techniky a softwarového vybavení a zároveň k vytvoření návrhu pro případné změny a optimalizace. Na základě výsledků auditu navrhneme specifikaci parametrů smlouvy a cenové nabídky.

Kontakt

+420 596 620 071
+420 596 620 070
obchod@brain.cz