Nowy rok, nowe zagrożenia – przegląd świeżych podatności

Początek roku wszyscy kojarzyć będą zapewne z zagrożeniem w postaci koronawirusa. Temat ten zdominował doniesienia medialne z ostatnich tygodni. Jest też doskonałym przykładem na to, iż w biznesie zawsze mogą się pojawić nowe zagrożenia, nieuwzględniane dotychczas w analizie ryzyka.

W świecie cyberzagrożeń dzieje się jednak równie dużo. W dniu 14 stycznia nastąpiło bowiem zapowiadane od dawna przez Microsoft zakończenie wsparcia dla systemów operacyjnych z rodziny Windows 7 i Windows Server 2008. Oznacza to, że dla jednego z popularniejszych systemów używanych wciąż niestety również na komputerach firmowych nie będą już dostarczane poprawki bezpieczeństwa związane z nowowykrywanymi podatnościami.
Dowodem na to, że problemu tego nie można bagatelizować jest znaleziona również na początku roku luka w usłudze Remote Desktop Gateway. Co prawda nie dotyczy ona nieobjętych już wsparciem systemów Windows 7 i Windows Server 2008, a nieco nowszych edycji Windows Serwer 2012-2019, ale uświadamia nam, że nawet w dojrzałych systemach operacyjnych poważne podatności nadal będą znajdowane. Luka ta, oznaczona identyfikatorem CVE-2020-0609 jest, co istotne, podatnością o krytycznym charakterze, gdyż pozwala na zdalne wykonanie kodu (RCE).

Dokładnie taki sam charakter ma zidentyfikowana w lutym podatność w usłudze Microsoft SQL Server Reporting Services (CVE-2020-0618). I to niestety nie wszystko w przypadku Microsoftu. Kolejne zdalne wykonanie kodu możliwe jest w serwerze Exachange, a dokładniej w komponencie Exchange Control Panel. I to również jest podatność z początku tego roku (CVE-2020-0688).

Jak widać użytkownicy systemów Microsoftu w kwestiach bezpieczeństwa muszą cały czas zachowywać czujność. Ale czy tylko oni?

Kolejną z wartych odnotowania podatności znalezionych z początkiem tego roku jest oznaczona identyfikatorem CVE-2020-0022 luka pozwalająca na zdalne wykonanie kodu za pośrednictwem protokołu bluetooth w systemie Android. Dotyczy ona urządzeń z systemem Android 8 i 9 oraz częściowo 10 (w tym wypadku możliwe jest tylko zatrzymanie usługi).
Pamiętajmy, że dzisiaj różne wersje systemu Android, lub jego alternatywy spotkać możemy na urządzeniach typu telewizory, smartwatche, aparaty fotograficzne, telefony voip, sprzęt AGD, kamery internetowe, zabawki i wiele, wiele innych. Ich producenci w zakresie bezpieczeństwa użytkowników robią przeważnie niewiele. Trudno zatem się spodziewać aktualizacji łatających powyższą podatność we wszystkich dostępnych systemach.

Jeżeli już mowa o Androidzie, to warto też wspomnieć o innym produkcie od Google – przeglądarce Chrome. W wersji 80.0.3987.122 załatane zostały aż trzy podatności o krytycznym znaczeniu dla bezpieczeństwa. I jak łatwo wywnioskować z identyfikatora CVE, one również zostały zidentyfikowane z początkiem tego roku (CVE-2020-6418).

Mamy zatem błędy w systemach Microsoftu, błędy w urządzeniach mobilnych z Androidem i błędy w popularnej przeglądarce. Jeżeli ktoś nie znalazł się w zasięgu żadnej z tych podatności to mógł jeszcze paść ofiarą luki w urządzeniach typu NAS, Firewall bądź UTM, których producentem jest Zyxell. Zidentyfikowano w nich bowiem podatność typu command injection umożliwiającą uruchamianie poleceń systemowych z prawami roota z poziomu formularza logowania.

Jak widać, początek roku to cała seria poważnych zagrożeń, które, co istotne, bardzo aktywnie wykorzystywane są przez intruzów. Dostępne są już exploity na większość z opisanych powyżej luk. Podatność w urządzeniach Zyxell była natomiast dostępna w formie 0-daya jeszcze przed jej oficjalnym ogłoszeniem i opublikowaniem aktualizacji.