S3 Ep140: Νομίζετε λοιπόν ότι γνωρίζετε ransomware;

Δεν υπάρχει πρόγραμμα αναπαραγωγής ήχου παρακάτω; Ακούω κατευθείαν στο Soundcloud.

ΖΥΜΗ.  Δυστυχήματα δρομολογητή, Megaupload σε megatrouble, και περισσότερα MOVEit χάος.

Όλα αυτά και πολλά άλλα στο podcast του Naked Security.

[ΜΟΥΣΙΚΟ ΜΟΝΤΕΜ]

Καλώς ήρθατε στο podcast, όλοι.

Είμαι ο Doug Aamoth. είναι ο Paul Ducklin.

Παύλο, πώς τα πας;

---

ΠΑΠΙΑ.  Απλώς μια αποσαφήνιση για τους Βρετανούς και τους Άγγλους ακροατές μας της Κοινοπολιτείας, Doug…

---

ΖΥΜΗ.  "Δρομολογητής." [ΠΡΟΦΕΡΕΤΑΙ ΣΤΥΛ Η.Β. ΩΣ «ROOTER», ΟΧΙ ΑΜΕΡΙΚΑΝΙΚΟΣ ΣΤΥΛ ΣΑΝ «ROWTER»]

---

ΠΑΠΙΑ.  Δεν εννοείς τα εργαλεία επεξεργασίας ξύλου, φαντάζομαι;

---

ΖΥΜΗ.  Οχι! [ΓΕΛΙΑ]

---

ΠΑΠΙΑ.  Εννοείτε τα πράγματα που αφήνουν τους απατεώνες να εισβάλουν στο δίκτυό σας εάν δεν διορθωθούν εγκαίρως;

---

ΖΥΜΗ.  Ναι!

---

ΠΑΠΙΑ.  Πού η συμπεριφορά αυτού που θα ονομάζαμε "ROOTER" κάνει στο δίκτυό σας περισσότερο σαν αυτό που θα έκανε ένας "ROWTER" στην άκρη του τραπεζιού σας; [ΓΕΛΙΑ]

---

ΖΥΜΗ.  Ακριβώς! [ΓΕΛΙΑ]

Σε αυτό θα φτάσουμε σύντομα.

Αλλά πρώτα, το δικό μας Αυτή η εβδομάδα στην ιστορία της τεχνολογίας τμήμα.

Paul, αυτή την εβδομάδα, στις 18 Ιουνίου, πολύ πίσω στο 1979: ένα μεγάλο βήμα προς τα εμπρός για τους υπολογιστές 16-bit καθώς η Microsoft παρουσίασε μια έκδοση της γλώσσας προγραμματισμού BASIC για επεξεργαστές 8086.

Αυτή η έκδοση ήταν συμβατή προς τα πίσω με επεξεργαστές 8-bit, καθιστώντας το BASIC, το οποίο ήταν διαθέσιμο για τους επεξεργαστές Z80 και 8080, και βρέθηκε ήδη σε περίπου 200,000 υπολογιστές, ένα βέλος στην φαρέτρα των περισσότερων προγραμματιστών, Paul.

---

ΠΑΠΙΑ.  Τι έμελλε να γίνει GW-BASIC!

Δεν ξέρω αν αυτό είναι αλήθεια, αλλά συνεχίζω να διαβάζω ότι το GW-BASIC σημαίνει "GEE WHIZZ!" [ΓΕΛΙΑ]

---

ΖΥΜΗ.  Χα! [ΓΕΛΙΟ]

---

ΠΑΠΙΑ.  Δεν ξέρω αν είναι αλήθεια, αλλά μου αρέσει να πιστεύω ότι είναι.

---

ΖΥΜΗ.  Εντάξει, ας μπούμε στις ιστορίες μας.

Πριν φτάσουμε σε πράγματα που είναι στις ειδήσεις, είμαστε στην ευχάριστη θέση, όχι ενθουσιασμένοι, να ανακοινώσουμε το πρώτο από τα τρία επεισόδια του Νομίζετε ότι γνωρίζετε Ransomware;

Πρόκειται για μια σειρά ντοκιμαντέρ 48 λεπτών από τους φίλους σας στο Sophos.

“The Ransomware Documentary” – ολοκαίνουργια σειρά βίντεο από τη Sophos που ξεκινά τώρα!

Το πρώτο επεισόδιο, που ονομάζεται Προέλευση του Ηλεκτρονικού Εγκλήματος, είναι πλέον διαθέσιμο για προβολή στο https://sophos.com/ransomware.

Επεισόδιο 2, που ονομάζεται Κυνηγοί και Κυνηγοί, θα είναι διαθέσιμο στις 28 Ιουνίου 2023.

Επεισόδιο 3, Όπλα και πολεμιστές, θα πέσει στις 5 Ιουλίου 2023.

Ελέγξτε το https://sophos.com/ransomware.

Έχω δει το πρώτο επεισόδιο και είναι υπέροχο.

Απαντά σε όλες τις ερωτήσεις που μπορεί να έχετε σχετικά με την προέλευση αυτής της μάστιγας που συνεχίζουμε να πολεμάμε χρόνο με το χρόνο, Paul.

---

ΠΑΠΙΑ.  Και τροφοδοτεί πολύ όμορφα αυτό που θα ξέρουν οι τακτικοί ακροατές ότι είναι το αγαπημένο μου ρητό (ελπίζω να μην το έχω μετατρέψει σε κλισέ μέχρι τώρα), δηλαδή: Όσοι δεν θυμούνται την ιστορία είναι καταδικασμένοι να την επαναλάβουν.

Μην είσαι αυτό το άτομο! [ΓΕΛΙΑ]

---

ΖΥΜΗ.  Εντάξει, ας μείνουμε στο θέμα του εγκλήματος.

Χρόνος φυλάκισης για δύο από τους τέσσερις ιδρυτές του Megaupload.

Επίμαχη παραβίαση πνευματικών δικαιωμάτων εδώ, Paul, και περίπου μια δεκαετία στα σκαριά;

Το δίδυμο του Megaupload θα πάει επιτέλους φυλακή, αλλά η Kim Dotcom παλεύει για…

---

ΠΑΠΙΑ.  Ναί.

Θυμάστε την περασμένη εβδομάδα όταν παρέφρασα αυτό το αστείο: «Α, ξέρεις πώς είναι τα λεωφορεία; Κανένας δεν έρχεται για πολλά χρόνια και μετά φτάνουν τρεις ταυτόχρονα;» [ΓΕΛΙΟ]

Αλλά έπρεπε να το αναλύσω σε «δύο φτάνουν ταυτόχρονα»…

…και μόλις το είπα, έφτασε το τρίτο. [ΓΕΛΙΟ]

Και αυτό είναι εκτός Νέας Ζηλανδίας, ή Aotearoa, όπως είναι εναλλακτικά γνωστό.

Το Megaupload ήταν μια περιβόητη πρώιμη υπηρεσία, η λεγόμενη υπηρεσία «θυρίδας αρχείων».

Αυτό δεν είναι "ντουλάπι αρχείων" όπως στο ransomware που κλειδώνει τα αρχεία σας.

Είναι "ντουλάπι αρχείων" όπως ένα ντουλάπι γυμναστηρίου… το μέρος cloud όπου ανεβάζετε αρχεία για να μπορείτε να τα αποκτήσετε αργότερα.

Αυτή η υπηρεσία καταργήθηκε, κυρίως επειδή το FBI στις ΗΠΑ έλαβε εντολή κατάργησης και ισχυρίστηκε ότι ο πρωταρχικός σκοπός της δεν ήταν τόσο πολύ να είναι μια υπηρεσία mega *upload* όσο να είναι μια mega *λήψη* υπηρεσία, το επιχειρηματικό μοντέλο η οποία βασίστηκε στην ενθάρρυνση και την παροχή κινήτρων για παραβίαση πνευματικών δικαιωμάτων.

Ο κύριος ιδρυτής αυτής της επιχείρησης είναι ένα πολύ γνωστό όνομα: Kim Dotcom.

Και αυτό είναι πραγματικά το επίθετό του.

Άλλαξε το όνομά του (νομίζω ότι αρχικά ήταν ο Kim Schmitz) σε Kim Dotcom, δημιούργησε αυτήν την υπηρεσία και απλώς αγωνίζεται για την έκδοση στις ΗΠΑ και συνεχίζει να το κάνει, παρόλο που τα δικαστήρια της Aotearoa έχουν αποφανθεί ότι δεν υπάρχει λόγος να μπορεί να να μην εκδοθεί.

Ένας από τους άλλους τέσσερις, ένας μαθητής με το όνομα Finn Batato, πέθανε δυστυχώς από καρκίνο πέρυσι.

Αλλά δύο από τα άλλα άτομα που ήταν οι κύριοι κινητήρες της υπηρεσίας Megaupload, ο Mathias Ortmann και ο Bram van der Kolk…

…πολέμησαν την έκδοση (μπορείτε να καταλάβετε γιατί) στις ΗΠΑ, όπου ενδεχομένως αντιμετώπισαν μεγάλες ποινές φυλάκισης.

Αλλά τελικά φάνηκε να έχουν κάνει μια συμφωνία με τα δικαστήρια της Νέας Ζηλανδίας [Νέα Ζηλανδία/Αοτεαρόα] και με το FBI και το Υπουργείο Δικαιοσύνης των ΗΠΑ.

Αντ' αυτού, συμφώνησαν να διωχθούν στη Νέα Ζηλανδία, να παραδεχθούν την ενοχή τους και να βοηθήσουν τις αρχές των ΗΠΑ στη συνεχιζόμενη έρευνά τους.

Και κατέληξαν σε ποινές φυλάκισης 2 ετών 7 μηνών και 2 ετών 6 μηνών αντίστοιχα.

---

ΖΥΜΗ.  Ο δικαστής σε εκείνη την υπόθεση είχε κάποιες ενδιαφέρουσες παρατηρήσεις, ένιωσα.

---

ΠΑΠΙΑ.  Νομίζω ότι είσαι εκεί, Νταγκ.

Σημειωτέον, ότι δεν επρόκειτο να πει το δικαστήριο: «Αποδεχόμαστε το γεγονός ότι αυτές οι τεράστιες μεγάλες εταιρείες σε όλο τον κόσμο έχασαν δισεκατομμύρια και δισεκατομμύρια δολάρια».

Στην πραγματικότητα, ο δικαστής είπε ότι πρέπει να αντιμετωπίσετε αυτούς τους ισχυρισμούς με λίγο αλάτι και παρέθεσε στοιχεία που υποδηλώνουν ότι δεν μπορείτε απλώς να πείτε ότι όλοι όσοι κατέβασαν ένα πειρατικό βίντεο θα είχαν αγοράσει διαφορετικά το πρωτότυπο.

Επομένως, δεν μπορείτε να αθροίσετε τις χρηματικές απώλειες με τον τρόπο που αρέσει σε ορισμένα από τα megacorps να το κάνουν.

Ωστόσο, είπε, αυτό δεν το κάνει σωστό.

Και ακόμα πιο σημαντικό, είπε, «Πραγματικά πλήγωσες και τα μικρά παιδιά, και αυτό έχει εξίσου μεγάλη σημασία».

Και παρέθεσε την περίπτωση ενός ανεξάρτητου προγραμματιστή λογισμικού από το Νότιο Νησί στη Νέα Ζηλανδία, ο οποίος είχε γράψει στο δικαστήριο για να πει: «Παρατήρησα ότι η πειρατεία έκανε μεγάλο πλήγμα στο εισόδημά μου. Διαπίστωσα ότι 10 ή 20 φορές χρειάστηκε να κάνω έκκληση στο Megaupload για να αφαιρεθεί το περιεχόμενο παραβίασης. Μου πήρε πολύ χρόνο για να το κάνω αυτό και ποτέ δεν έκανε την παραμικρή διαφορά. Και έτσι δεν λέω ότι είναι εξ ολοκλήρου υπεύθυνοι για το γεγονός ότι δεν μπορούσα πλέον να βιοποριστώ από την επιχείρησή μου, αλλά λέω ότι κατέβαλα όλη αυτή την προσπάθεια για να τους κάνω να κατεβάσουν τα πράγματα που έλεγαν. θα έκανε, αλλά δεν λειτούργησε ποτέ».

Στην πραγματικότητα, αυτό βγήκε αλλού στην κρίση… που είναι 38 σελίδες, επομένως διαβάζεται αρκετά, αλλά είναι πολύ ευανάγνωστο και νομίζω ότι αξίζει να διαβαστεί.

Συγκεκριμένα, ο δικαστής είπε στους κατηγορούμενους ότι έπρεπε να φέρουν την ευθύνη για το γεγονός ότι παραδέχτηκαν ότι δεν ήθελαν να γίνουν πολύ σκληροί με τους παραβάτες πνευματικών δικαιωμάτων επειδή «Η ανάπτυξη βασίζεται κυρίως στην παραβίαση».

Και σημείωσε επίσης ότι επινόησαν ένα σύστημα κατάργησης που βασικά, αν υπήρχαν πολλές διευθύνσεις URL για λήψη του ίδιου αρχείου…

…διατήρησαν ένα αντίγραφο του αρχείου και αν παραπονεθήκατε για τη διεύθυνση URL, θα αφαιρούσαν *αυτή τη διεύθυνση URL*.

---

ΖΥΜΗ.  Αχ χα!

---

ΠΑΠΙΑ.  Έτσι θα νομίζατε ότι είχαν αφαιρέσει το αρχείο, αλλά θα άφηναν το αρχείο εκεί.

Και το περιέγραψε ως εξής: «Γνωρίζατε, και είχατε σκοπό, ότι οι καταργήσεις δεν θα είχαν κανένα ουσιαστικό αποτέλεσμα».

Αυτό ακριβώς που είχε ισχυριστεί αυτός ο κατασκευαστής λογισμικού indie Kiwi στη δήλωσή του στο δικαστήριο.

Και σίγουρα πρέπει να έχουν βγάλει πολλά χρήματα από αυτό.

Αν κοιτάξετε τις φωτογραφίες από την αμφιλεγόμενη επιδρομή στην Kim Dotcom το 2012…

…είχε αυτή την τεράστια ιδιοκτησία και όλα αυτά τα αυτοκίνητα flash με περίεργες πινακίδες [ετικέτες οχήματος] όπως GOD και GUILTY, σαν να περίμενε κάτι. [ΓΕΛΙΑ]

Η κατάργηση του Megaupload γίνεται πρωτοσέλιδο και κυματίζει καθώς ο κ. Dotcom κάνει αίτηση για εγγύηση

Έτσι, ο Kim Dotcom εξακολουθεί να παλεύει για την έκδοσή του, αλλά αυτοί οι άλλοι δύο αποφάσισαν ότι θέλουν να τα τελειώσουν.

Οπότε παραδέχθηκαν την ενοχή τους και όπως τόνισαν ορισμένοι από τους σχολιαστές μας στο Naked Security, «Γκόλι, για αυτό που φαίνεται ότι έκαναν όταν διάβασες λεπτομερώς την απόφαση, ακούγεται ότι η ποινή τους ήταν ελαφριά».

Αλλά ο τρόπος με τον οποίο υπολογίστηκε είναι ότι ο δικαστής υπολόγισε ότι θεώρησε ότι οι μέγιστες ποινές που θα έπρεπε να επιβληθούν βάσει του νόμου Aotearoa θα πρέπει να είναι περίπου 10 χρόνια.

Και μετά σκέφτηκε, με βάση το γεγονός ότι παραδέχονταν την ενοχή τους, ότι επρόκειτο να συνεργαστούν, ότι θα επιστρέψουν 10 εκατομμύρια δολάρια και ούτω καθεξής και ούτω καθεξής, ότι θα έπρεπε να έχουν έκπτωση 75%.

Και καταλαβαίνω ότι σημαίνει ότι θα βάλουν στο κρεβάτι αυτόν τον φόβο ότι θα εκδοθούν στις ΗΠΑ, επειδή καταλαβαίνω ότι το Υπουργείο Δικαιοσύνης είπε, «Εντάξει, θα αφήσουμε την καταδίκη και την καταδίκη να συμβεί σε άλλη χώρα .»

Πάνω από δέκα χρόνια μετά, και ακόμα δεν έχουν τελειώσει!

Καλύτερα να το πεις, Νταγκ…

---

ΖΥΜΗ.  Yesss!

Θα παρακολουθούμε αυτό.

Ευχαριστώ; ας προχωρήσουμε.

Εάν έχετε έναν δρομολογητή ASUS, μπορεί να έχετε να κάνετε κάποιες επιδιορθώσεις, αν και εδώ είναι ένα θολό χρονοδιάγραμμα για μερικά αρκετά επικίνδυνα τρωτά σημεία, Paul.

Η ASUS προειδοποιεί τους πελάτες δρομολογητών: Επιδιορθώστε τώρα ή αποκλείστε όλα τα εισερχόμενα αιτήματα

---

ΠΑΠΙΑ.  Ναι, δεν είναι απίστευτα ξεκάθαρο πότε κυκλοφόρησαν αυτές οι ενημερώσεις κώδικα για τα διάφορα πολλά μοντέλα δρομολογητή που αναφέρονται στη συμβουλευτική.

Μερικοί από τους αναγνώστες μας λένε, «Λοιπόν, πήγα και κοίταξα. Έχω έναν από αυτούς τους δρομολογητές και είναι στη λίστα, αλλά δεν υπάρχουν ενημερώσεις κώδικα *τώρα*. Αλλά όντως έλαβα μερικές ενημερώσεις κώδικα πριν από λίγο καιρό που φαινόταν να διορθώνουν αυτά τα προβλήματα… οπότε γιατί το συμβουλευτικό *τώρα*;"

Και η απάντηση είναι, «Δεν ξέρουμε».

Εκτός, ίσως, από το ότι η ASUS ανακάλυψε ότι οι απατεώνες ασχολούνται με αυτά;

Αλλά δεν είναι μόνο «Γεια σου, σου προτείνουμε να κάνεις patch».

Λένε ότι πρέπει να επιδιορθώσετε, και αν δεν θέλετε ή δεν μπορείτε να το κάνετε, τότε εμείς «Συνιστούμε ανεπιφύλακτα (που βασικά σημαίνει «είχες καλύτερα») να απενεργοποιήσεις τις υπηρεσίες που είναι προσβάσιμες από την πλευρά WAN του δρομολογητή σου για να αποφύγεις πιθανές ανεπιθύμητες εισβολές».

Και αυτή δεν είναι μόνο η τυπική προειδοποίησή σας, "Ω, βεβαιωθείτε ότι η διεπαφή διαχειριστή σας δεν είναι ορατή στο διαδίκτυο."

Σημειώνουν ότι αυτό που εννοούν με τον αποκλεισμό των εισερχόμενων αιτημάτων είναι ότι πρέπει να απενεργοποιήσετε βασικά *όλα* που συνεπάγεται ότι ο δρομολογητής αποδέχεται το εξωτερικό να εκκινεί κάποια σύνδεση δικτύου…

…συμπεριλαμβανομένης της απομακρυσμένης διαχείρισης, της προώθησης θυρών (κακή τύχη αν το χρησιμοποιήσετε για παιχνίδια), του δυναμικού DNS, οποιωνδήποτε διακομιστών VPN και αυτό που ονομάζουν ενεργοποίηση θύρας, που υποθέτω ότι είναι το port knocking, όπου περιμένετε μια συγκεκριμένη σύνδεση και μόνο όταν δείτε αυτή τη σύνδεση, ενεργοποιείτε μια υπηρεσία τοπικά.

Επομένως, δεν είναι μόνο τα αιτήματα ιστού που είναι επικίνδυνα εδώ ή ότι μπορεί να υπάρχει κάποιο σφάλμα που επιτρέπει σε κάποιον να συνδεθεί με ένα μυστικό όνομα χρήστη.

Είναι μια ολόκληρη σειρά διαφορετικών τύπων κίνησης δικτύου που, αν μπορεί να φτάσει στο δρομολογητή σας από το εξωτερικό, θα μπορούσε να καταστρέψει τον δρομολογητή σας, φαίνεται.

Οπότε ακούγεται τρομερά επείγον!

---

ΖΥΜΗ.  Τα δύο βασικά τρωτά σημεία εδώ…

…υπάρχει μια Εθνική βάση δεδομένων ευπάθειας, η NVD, η οποία βαθμολογεί τις ευπάθειες σε μια κλίμακα από το ένα έως το δέκα, και τα δύο είναι 9.8/10.

Και μετά υπάρχει ένα σωρό άλλα που είναι 7.5, 8.1, 8.8… ένα σωρό πράγματα που είναι αρκετά επικίνδυνα εδώ. Παύλος.

---

ΠΑΠΙΑ.  Ναί.

Το "9.8 ΚΡΙΣΙΜΟ", όλα με κεφαλαία γράμματα, είναι το είδος του πράγματος που σημαίνει [ΨΙΘΙΡΙΖΟΝΤΑΣ], "Αν οι απατεώνες το καταλάβουν αυτό, θα είναι παντού σαν εξάνθημα."

Και αυτό που είναι ίσως το πιο περίεργο σε αυτά τα δύο vulns 9.8/10 κακής βαθμολογίας είναι ότι ένα από αυτά είναι το CVE-2022-26376, και αυτό είναι ένα σφάλμα στο HTTP unescaping, το οποίο είναι βασικά όταν έχετε μια διεύθυνση URL με αστείους χαρακτήρες, όπως: χώρους…

…δεν μπορείτε νόμιμα να έχετε κενό στη διεύθυνση URL. πρέπει να βάλεις %20 Αντίθετα, ο δεκαεξαδικός κώδικας του.

Αυτό είναι πολύ βασικό για την επεξεργασία οποιουδήποτε είδους URL στο δρομολογητή.

Και αυτό ήταν ένα σφάλμα που αποκαλύφθηκε, όπως μπορείτε να δείτε από τον αριθμό, το 2022!

Και υπάρχει ένα άλλο στο λεγόμενο πρωτόκολλο Netatalk (που παρέχει υποστήριξη για υπολογιστές Apple) που ήταν η ευπάθεια, Doug, CVE-2018-1160.

---

ΖΥΜΗ.  Αυτό ήταν πολύ παλιά!

---

ΠΑΠΙΑ.  Ήταν!

Στην πραγματικότητα διορθώθηκε σε μια έκδοση του Netatalk που νομίζω ότι ήταν η έκδοση 3.1.12, η ​​οποία κυκλοφόρησε στις 20 Δεκεμβρίου *2018*.

Και προειδοποιούν μόνο για το "πρέπει να αποκτήσετε τη νέα έκδοση του Netatalk" αυτή τη στιγμή, γιατί και αυτό, όπως φαίνεται, μπορεί να αξιοποιηθεί μέσω ενός αδίστακτου πακέτου.

Έτσι δεν χρειάζεστε Mac. δεν χρειάζεστε λογισμικό Apple.

Χρειάζεστε απλώς κάτι που να μιλάει για το Netatalk με δυσάρεστο τρόπο και μπορεί να σας δώσει αυθαίρετη πρόσβαση εγγραφής στη μνήμη.

Και με βαθμολογία σφαλμάτων 9.8/10, πρέπει να υποθέσετε ότι αυτό σημαίνει ότι "ο απομακρυσμένος ξένος ποντάρει σε ένα ή δύο πακέτα δικτύου, καταλαμβάνει πλήρως τον δρομολογητή σας με πρόσβαση σε επίπεδο root, φρίκη απομακρυσμένης εκτέλεσης κώδικα!"

Οπότε γιατί τους πήρε τόσο καιρό να προειδοποιήσουν τους ανθρώπους ότι έπρεπε να λάβουν τη διόρθωση για αυτό το πεντάχρονο σφάλμα…

…και γιατί στην πραγματικότητα δεν είχαν την επιδιόρθωση για το πεντάχρονο σφάλμα πριν από πέντε χρόνια δεν εξηγείται.

---

ΖΥΜΗ.  Εντάξει, υπάρχει μια λίστα με δρομολογητές που πρέπει να ελέγξετε, και αν δεν μπορείτε να επιδιορθώσετε, υποτίθεται ότι πρέπει να κάνετε όλα αυτά τα "αποκλείστε όλα τα εισερχόμενα πράγματα".

Αλλά νομίζω ότι η συμβουλή μας θα ήταν patch.

Και η αγαπημένη μου συμβουλή: Εάν είστε προγραμματιστής, απολυμάνετε τις εισόδους σας, παρακαλώ!

---

ΠΑΠΙΑ.  Ναι, το Little Bobby Tables εμφανίστηκε ξανά, Νταγκ.

Επειδή ένα από τα άλλα σφάλματα που δεν ήταν στο επίπεδο 9.8 (αυτό ήταν στο επίπεδο 7/10 ή 8/10) ήταν το CVE-2023-28702.

Βασικά είναι το σφάλμα τύπου MOVEit ξανά: Οι μη φιλτραρισμένοι ειδικοί χαρακτήρες στην εισαγωγή URL ιστού θα μπορούσαν να προκαλέσουν ένεση εντολής.

Έτσι ακούγεται σαν ένα αρκετά ευρύ πινέλο για να ζωγραφίσουν οι εγκληματίες του κυβερνοχώρου.

Και υπήρχε το CVE-2023-31195 που τράβηξε την προσοχή μου, υπό το πρόσχημα ενός Υπερπειρατεία συνεδρίας.

Οι προγραμματιστές έβαζαν αυτά που είναι ουσιαστικά τα cookie διακριτικού ελέγχου ταυτότητας… αυτές οι μαγικές συμβολοσειρές που, εάν το πρόγραμμα περιήγησης μπορεί να τις ανατροφοδοτήσει σε μελλοντικά αιτήματα, αποδεικνύουν στον διακομιστή ότι νωρίτερα στη συνεδρία ο χρήστης είχε συνδεθεί, είχε το σωστό όνομα χρήστη, τον σωστό κωδικό πρόσβασης , ο σωστός κωδικός 2FA, οτιδήποτε.

Και τώρα φέρνουν αυτή τη μαγική «κάρτα πρόσβασης».

Επομένως, υποτίθεται ότι πρέπει να προσθέτετε ετικέτα σε αυτά τα cookies, όταν τα ορίζετε, έτσι ώστε να μην μεταδίδονται ποτέ σε μη κρυπτογραφημένα αιτήματα HTTP.

Με αυτόν τον τρόπο καθιστά πολύ πιο δύσκολο για έναν απατεώνα να τους κλέψει… και ξέχασαν να το κάνουν!

Αυτό είναι ένα άλλο πράγμα για τους προγραμματιστές: Πηγαίνετε και ελέγξτε πώς ορίζετε πραγματικά σημαντικά cookie, αυτά που είτε έχουν ιδιωτικές πληροφορίες είτε έχουν πληροφορίες ελέγχου ταυτότητας και βεβαιωθείτε ότι δεν τα αφήνετε ανοιχτά σε ακούσια και εύκολη έκθεση.

---

ΖΥΜΗ.  Το σημειώνω αυτό (κατά την καλύτερη κρίση μου, αλλά αυτή είναι η δεύτερη από τις δύο ιστορίες μέχρι στιγμής) ως μια που θα παρακολουθούμε.

---

ΠΑΠΙΑ.  Νομίζω ότι έχεις δίκιο, Doug, γιατί δεν ξέρω πραγματικά γιατί, δεδομένου ότι για ορισμένους από τους δρομολογητές αυτές οι ενημερώσεις κώδικα είχαν ήδη εμφανιστεί (αν και αργότερα από ό,τι θα ήθελες)… γιατί *τώρα*;

Και υποθέτω ότι αυτό το μέρος της ιστορίας μπορεί να πρέπει ακόμα να αναδυθεί.

---

ΖΥΜΗ.  Αποδεικνύεται ότι δεν μπορούμε να *δεν* παρακολουθούμε αυτήν την ιστορία του MOVEit.

Λοιπόν, τι έχουμε αυτή την εβδομάδα, Παύλο;

MOVEit mayhem 3: "Απενεργοποιήστε αμέσως την κυκλοφορία HTTP και HTTPS"

---

ΠΑΠΙΑ.  Λοιπόν, δυστυχώς για το Progress Software, το τρίτο λεωφορείο ήρθε αμέσως, σαν να λέγαμε. [ΓΕΛΙΟ]

Έτσι, για να ανακεφαλαιώσουμε, το πρώτο ήταν το CVE-2023-34362, όταν το Progress Software είπε: «Ωχ, όχι! Υπάρχει μια ημέρα μηδέν - ειλικρινά δεν γνωρίζαμε για αυτό. Είναι μια ένεση SQL, ένα πρόβλημα ένεσης εντολών. Εδώ είναι το έμπλαστρο. Αλλά ήταν μια ημέρα μηδέν, και το μάθαμε γιατί απατεώνες ransomware, απατεώνες εκβιασμού, το εκμεταλλεύονταν ενεργά. Ακολουθούν ορισμένοι δείκτες συμβιβασμού [IoC]."

Έκαναν λοιπόν όλα τα σωστά πράγματα, όσο πιο γρήγορα μπορούσαν, αφού κατάλαβαν ότι υπήρχε πρόβλημα.

Στη συνέχεια πήγαν και εξέτασαν τον δικό τους κώδικα, υπολογίζοντας: «Ξέρετε τι, αν οι προγραμματιστές έκαναν αυτό το λάθος σε ένα μέρος, ίσως έκαναν παρόμοια λάθη σε άλλα μέρη του κώδικα».

Και αυτό οδήγησε στο CVE-2023-35036, όπου μπόλιασαν προληπτικά τρύπες που ήταν σαν την αρχική, αλλά από όσο γνώριζαν, τις βρήκαν πρώτα.

Και, ιδού, υπήρχε τότε μια τρίτη ευπάθεια.

Αυτό είναι το CVE-2023-35708, όπου φαίνεται ότι το άτομο που το βρήκε, γνωρίζοντας σίγουρα πολύ καλά ότι το Progress Software ήταν απολύτως ανοιχτό σε υπεύθυνη αποκάλυψη και άμεση αντίδραση…

…αποφάσισε να βγει δημόσια ούτως ή άλλως.

Οπότε δεν ξέρω αν το αποκαλείτε "πλήρη αποκάλυψη" (νομίζω ότι αυτό είναι το επίσημο όνομα), "ανεύθυνη αποκάλυψη" (έχω ακούσει να αναφέρεται έτσι από άλλα άτομα στη Sophos) ή "ρίψη 0-day for fun”, έτσι το σκέφτομαι.

Οπότε ήταν λίγο κρίμα.

Και έτσι το Progress Software είπε, «Κοίτα, κάποιος άφησε αυτή τη 0-ημέρα. δεν το ξέραμε. εργαζόμαστε για το patch. Σε αυτή τη μικρή ενδιάμεση περίοδο, απλώς απενεργοποιήστε τη διεπαφή ιστού σας (ξέρουμε ότι είναι μια ταλαιπωρία) και αφήστε μας να ολοκληρώσουμε τη δοκιμή της ενημέρωσης κώδικα.»

Και μέσα σε μια μέρα περίπου είπαν: «Σωστά, εδώ είναι το έμπλαστρο, εφαρμόστε το τώρα. Στη συνέχεια, αν θέλετε, μπορείτε να ενεργοποιήσετε ξανά τη διεπαφή ιστού σας."

Νομίζω, λοιπόν, συνολικά, αν και είναι κακή εμφάνιση για το Progress Software για την ύπαρξη των σφαλμάτων στην πρώτη θέση…

…αν αυτό συμβεί ποτέ σε εσάς, τότε το να ακολουθήσετε το είδος της απάντησής τους είναι, κατά τη γνώμη μου, ένας πολύ ευχάριστος αξιοπρεπής τρόπος για να το κάνετε!

---

ΖΥΜΗ.  Ναι, έχουμε επαίνους για το Progress Software, συμπεριλαμβανομένου του σχολίου μας για αυτήν την εβδομάδα για αυτήν την ιστορία.

Ο Αδάμ σχολιάζει:

Μοιάζει να είναι σκληρός για το MOVEit τελευταία, αλλά τους επικροτώ για τη γρήγορη, προληπτική και φαινομενικά ειλικρινή δουλειά τους.

Θα μπορούσαν θεωρητικά να είχαν προσπαθήσει να το κρατήσουν ήσυχο, αλλά αντίθετα ήταν αρκετά ενημερωμένοι σχετικά με το πρόβλημα και τι πρέπει να γίνει για αυτό.

Τουλάχιστον τους κάνει να φαίνονται πιο αξιόπιστοι στα μάτια μου…

…και νομίζω ότι αυτό είναι ένα συναίσθημα που μοιράζεται και με άλλους, Paul.

---

ΠΑΠΙΑ.  Είναι πράγματι.

Το ίδιο έχουμε ακούσει και στα κανάλια μας στα μέσα κοινωνικής δικτύωσης: ότι αν και είναι λυπηρό που είχαν το σφάλμα και όλοι θα ήθελαν να μην το είχαν, εξακολουθούν να έχουν την τάση να εμπιστεύονται την εταιρεία.

Μάλιστα, μπορεί να έχουν την τάση να εμπιστεύονται την εταιρεία περισσότερο από ό,τι πριν, γιατί πιστεύουν ότι διατηρούν ψύχραιμα σε μια κρίση.

---

ΖΥΜΗ.  Πολύ καλό.

Εντάξει, σε ευχαριστώ, Άνταμ, που το έστειλες.

Εάν έχετε μια ενδιαφέρουσα ιστορία, σχόλιο ή ερώτηση που θέλετε να υποβάλετε, θα θέλαμε να τη διαβάσουμε στο podcast.

Μπορείτε να στείλετε email στο tips@sophos.com, να σχολιάσετε οποιοδήποτε από τα άρθρα μας ή να μας ενημερώσετε στα social: @nakedsecurity.

Αυτή είναι η εκπομπή μας για σήμερα. ευχαριστώ πολύ για την ακρόαση.

Για τον Paul Ducklin, είμαι ο Doug Aamoth, σας υπενθυμίζω μέχρι την επόμενη φορά να…

---

ΚΑΙ ΤΑ ΔΥΟ.  Μείνετε ασφαλείς!

[ΜΟΥΣΙΚΟ ΜΟΝΤΕΜ]