Souhrn
Týdenní newsletter Security Affairs kolo 553 shrnuje řadu kritických kybernetických incidentů, včetně exploitů zero-day zranitelností, datových úniků ovlivňujících miliony uživatelů a varování před státně sponzorovanými útoky. Mezi hlavní témata patří masivní DDoS útok o síle 29,7 Tbps, backdoor BRICKSTORM spojený s Čínou a exploity v systémech jako Apache Tika nebo Android Framework. Tyto události podtrhují rostoucí rizika pro kritickou infrastrukturu a koncové uživatele.
Klíčové body
- CISA přidala do katalogu Known Exploited Vulnerabilities (KEV) zranitelnosti v OpenPLC ScadaBR, Android Framework a dalších systémech, což signalizuje aktivní využívání.
- Datové úniky: Marquis (780 000 lidí), Coupang (34 milionů zákazníků), ASUS (prolékání dat od dodavatelů ArcSoft a Qualcomm).
- Masivní DDoS útok na Cloudflare o rekordní síle 29,7 Tbps provedený botnetem AISURU.
- Státní aktéři: Čínský backdoor BRICKSTORM, severokorejská skupina Lazarus a íránská MuddyWater útočí na Izrael pomocí malware MuddyViper.
- Další: Exploit v Apache Tika (maximální závažnost XXE), kampaň proti GlobalProtect a SonicWall API.
Podrobnosti
Newsletter zdůrazňuje duální kampaň útočníků zaměřenou na portály GlobalProtect (VPN řešení od Palo Alto Networks sloužící k bezpečnému přístupu k firemním sítím) a API SonicWall (firewallové zařízení pro ochranu sítí před intruzemi). Tyto útoky umožňují neoprávněný přístup a exfiltraci dat. Kritická zranitelnost XXE v Apache Tika, nástroji pro extrakci metadat z dokumentů používaném v mnoha aplikacích, umožňuje útočníkům čtení souborů na serveru a potenciálně vzdálené spuštění kódu.
JPCERT/CC hlásí široké využívání zranitelnosti v Array Networks AG Gateway, zařízení pro load balancing a bezpečnostní přístup. CISA varuje před backdoorem BRICKSTORM, který čínští aktéři implantují do zařízení pro dlouhodobý přístup. Do KEV katalogu, který eviduje aktivně využívané exploity, byly přidány chyby v OpenPLC ScadaBR (otevřený systém pro řízení průmyslových procesů), Android Framework (základní vrstva pro vývoj aplikací na Androidu) a další.
Datové úniky postihly firmu Marquis (zpracování zdravotních dat, 780 000 postižených), juhokorejský e-commerce Coupang (34 milionů zákazníků) a ASUS, kde gang Everest zveřejnil data od dodavatelů ArcSoft (software pro zpracování obrazu) a Qualcomm (čipy pro mobilní zařízení). Cloudflare úspěšně zmírnil DDoS útok botnetu AISURU o síle 29,7 Tbps, což překonalo předchozí rekordy a ukazuje na rostoucí kapacity botnetů založených na IoT zařízeních.
Další incidenty zahrnují zranitelnost v King Addons pro WordPress (umožňuje získání admin práv), aktivity Lazarusovy skupiny (severokorejští hackeři využívající IT pracovníky na dálku), MuddyWater útok na Izrael s malware MuddyViper (modulární nástroj pro špionáž) a nový Android malware Albiriox pro podvody na zařízení. Indická vláda zavádí povinné vazbu SIM k messengrovým aplikacím proti podvodům, zatímco Google opravil dvě aktivně využívané zranitelnosti v Androidu. Policie uzavřela cryptomixer pro praní kryptoměn a australský soud odsoudil muže za útoky na letištní Wi-Fi.
Proč je to důležité
Tyto události odhalují systematické rizika v dodavatelském řetězci (supply chain attacks jako u ASUS), kritické infrastruktuře (Scada systémy) a mobilních platformách (Android). Státní aktéři jako Čína, Severní Korea a Írán eskalují operace, což ohrožuje globální bezpečnost. Pro firmy znamená nutnost okamžitých patchů a monitoringu KEV katalogu; pro uživatele riziko identity theft z úniků. Rekordní DDoS ukazuje limity současné obrany, což nutí investice do AI-detekce a resilientních sítí. V širším kontextu kybernetické bezpečnosti to podtrhuje potřebu regulací a mezinárodní spolupráce, protože exploity se šíří rychleji než patche.
Zdroj: 📰 Securityaffairs.com
