W ostatnich latach temat cyberbezpieczeństwa zyskuje coraz większą popularność. Przy okazji pojawiają się różne rekomendacje związane z tym zagadnieniem. W tym artykule skupimy się na wytłumaczeniu dlaczego „kliknięcie w link" nie musi być niebezpieczne oraz przedstawimy argumenty za tym dlaczego porada przestrzegająca przed „podejrzanymi" linkami nie jest klarowna i wymaga więcej wyjaśnienia.

Microsoft opublikował informację o krytycznej podatności CVE-2023-23397 w aplikacji Outlook na systemie Windows. Może ona prowadzić do zdalnego przejęcia hasła domenowego, bez interakcji użytkownika. Podatność była aktywnie używana w atakach przez jedną z rosyjskich grup APT od kwietnia 2022 roku, w tym w Polsce. Rekomendujemy podjęcie natychmiastowych działań we wszystkich organizacjach, których użytkownicy korzystają z poczty poprzez klienta Microsoft Outlook.

Spear phishing jest oszustwem o charakterze socjotechnicznym, wykorzystującym presję autorytetu i czasu, aby skłonić atakowanego do podjęcia niekorzystnego dla niego działania. Fakt, że zazwyczaj informacje potrzebne do przeprowadzenia ataku są publicznie dostępne lub łatwe do uzyskania, czyni to oszustwo popularnym wśród cyberprzestępców.

Jednym z najczęstszych zagrożeń dla internautów, obserwowanych przez nasz zespół, pozostaje phishing. Pozornie nieszkodliwe maile, często wzywające do pilnego działania, mogą prowadzić do fałszywych witryn wyłudzających dane.

Zespół CERT Polska oraz Służba Kontrwywiadu Wojskowego zaobserwowały kampanię szpiegowską łączoną z działaniami rosyjskich służb specjalnych. Celem kampanii było nielegalne pozyskiwanie informacji z ministerstw spraw zagranicznych oraz placówek dyplomatycznych, w większości znajdujących się w państwach należących do NATO i Unii Europejskiej.

Ubiegły rok w polskiej cyberprzestrzeni możemy podsumować hasłami: znane techniki, nowe okoliczności i wzrost świadomości. Dodatkowo, nie da się ukryć, że na cyberbezpieczeństwo wpływ miała także wojna w Ukrainie. Jak duży był to wpływ? Czego możemy spodziewać się w kolejnych miesiącach w polskiej cyberprzestrzeni i jakie wnioski należy wyciągnąć z ostatnich 12 miesięcy? Odpowiedzi znajdziecie w raporcie rocznym z działalności naszego zespołu.

Od początku sierpnia CERT Polska jako jedyna instytucja w kraju i jeden z 7 CERT-ów w Europie może nadawać numery CVE, które służą identyfikacji i katalogowaniu publicznie ujawnionych podatności.

W module WebInteraface oprogramowania Telwin SCADA CERT Polska wykrył podatność typu Path Traversal (CVE-2023-0956).

CERT Polska otrzymał zgłoszenie o podatności w bibliotece lua-http i nadał jej numer CVE-2023-4540.

W CERT Polska stale pracujemy nad narzędziami które poprawiają bezpieczeństwo użytkowników internetu w Polsce. Właśnie dlatego stworzyliśmy serwis bezpiecznapoczta.cert.pl, którego celem jest ochrona użytkowników poczty elektronicznej i ułatwienie instytucjom sprawdzenia poprawności konfiguracji mechanizmów podnoszących jej bezpieczeństwo.

W oprogramowaniu UptimeDC firmy ProIntegra S.A wykryto podatność pozwalającą na eskalację uprawnień (CVE-2023-4997).

W oprogramowaniu SmodBIP wykryto podatność CSRF (CVE-2023-4837).

Firma Cisco opublikowała informację o krytycznej podatności CVE-2023-20198 w funkcjonalności Web User Interface oprogramowania Cisco IOS XE. Luka umożliwia nieautoryzowanemu złośliwemu użytkownikowi utworzenie konta administratora z poziomu interfejsu użytkownika i przejęcie kontroli nad urządzeniem docelowym.

W oprogramowaniu Apereo Central Authentication Service wykryto podatność pozwalającą na ominięcie wieloskładnikowego uwierzytelnienia (CVE-2023-4612).

W oprogramowaniu SAS 9.4 wykryto podatność typu Reflected XSS (CVE-2023-4932).

Zespół CERT Polska oraz Służba Kontrwywiadu Wojskowego wraz z zagranicznymi partnerami wykryły, że Rosyjska Służba Wywiadu Zagranicznego (SVR) wykorzystuje podatność CVE-2023-42793 (w JetBrains TeamCity) do szeroko zakrojonych działań, skierowanych przeciwko podmiotom wytwarzającym oprogramowanie.

W oprogramowaniu MegaBIP oraz SmodBIP wykryto podatność Stored XSS (CVE-2023-5378).

W aplikacji eWeLink firmy CoolKit Technology wykryto podatność pozwalającą na ominięcie ekranu blokady (CVE-2023-6998).

W otwartoźródłowej bibliotece class.upload.php wykryto podatność typu Stored XSS (CVE-2023-6551).

Okres świąteczny powoli dobiega końca, zatem najwyższy czas ostatecznie rozprawić się z cyberbombkami. W grudniu przygotowaliśmy dla Was cykl „Rozbrajamy cyberbombki”, w którym obalaliśmy najpopularniejsze mity dotyczące cyberbezpieczeństwa.

W oprogramowaniu PrestaShop Google Integrator firmy PrestaShow wykryto podatność typu SQL injection (CVE-2023-6921).

W otwartoźródłowym oprogramowaniu TasmoAdmin wykryto podatność open redirect (CVE-2023-6552).

W otwartoźródłowym oprogramowaniu TCExam wykryto podatność (CVE-2023-6554).

W oprogramowaniu Kofax Capture wykryto podatność typu Stored XSS (CVE-2023-5118).

W oprogramowaniu routera Hongdian H8951-4G-ESP wykryto 10 podatności różnego typu (od CVE-2023-49253 do CVE-2023-49262).

W oprogramowaniu różnych modeli terminali płatniczych firmy PAX wykryto łącznie 5 podatności (CVE-2023-4818, CVE-2023-42134, CVE-2023-42135, CVE-2023-42136, CVE-2023-42137).

Jednym z kluczowych wyzwań związanych z europejskim cyberbezpieczeństwem jest zależność od danych pochodzących z krajów spoza UE. Projekt FETTA (Federated European Team for Threat Analysis, pol. Europejski Zespół Analizy Zagrożeń) ma na celu rozwiązanie tego problemu poprzez utworzenie międzynarodowego zespołu opracowującego produkty i narzędzia z zakresu Cyber Threat Intelligence (CTI).

W ostatnich tygodniach zespół CERT Polska obserwuje wzmożoną kampanię ataków z użyciem szkodliwego oprogramowania Balada Injector, które infekuje strony oparte na WordPressie korzystając z podatności w niektórych popularnych wtyczkach.

W aplikacji iZZi connect firmy INPRAX wykryto podatność polegającą na możliwości odczytania zaszytych na stałe w kodzie aplikacji danych dostępowych (CVE-2024-0390).

W oprogramowaniu Comarch ERP XL wykryto trzy podatności (CVE-2023-4537, CVE-2023-4538, CVE-2023-4539).

W otwartoźródłowym oprogramowaniu Laragon wykryto podatność RCE (CVE-2024-0864).

W oprogramowaniu BMC Control-M wykryto 3 podatności różnego typu (od CVE-2024-1604 do CVE-2024-1606).

W oprogramowaniu CDeX wykryto 3 podatności różnego typu (od CVE-2024-2463 do CVE-2024-2465).

We wtyczce Apaczka do platformy PrestaShop wykryto podatność typu Files or Directories Accessible to External Parties (CVE-2024-2759).

Nowoczesne technologie w obszarze cyberbezpieczeństwa są dla nas tylko narzędziem wspierającym nasze codzienne działania. To ludzie, którzy ich używają naprawdę dokonują zmian. W CERT Polska mamy takich ludzi, a 2023 rok przyniósł nam wiele istotnych zmian, o których opowiadamy w tej publikacji.

W oprogramowaniu CraftBeerPi 4 wykryto podatność typu Improper Input Validation (CVE-2024-3955).

CERT Polska obserwuje złośliwą kampanię e-mail prowadzoną przez grupę APT28 przeciwko polskim instytucjom rządowym.

W oprogramowaniu Kioware for Windows wykryto 3 podatności różnego typu (CVE-2024-3459, CVE-2024-3460 oraz CVE-2024-3461).

W oprogramowaniu CemiPark wykryto 3 podatności różnego typu (od CVE-2024-4423 do CVE-2024-4425).

W oprogramowaniu Ant Media Server (Community Edition) wykryto podatność typu Incorrect Authorization (CVE-2024-3462).

W oprogramowaniu Online Shopping System Advanced wykryto podatność typu Reflected XSS (CVE-2024-3579).

DNS4EU to element strategii cyberbezpieczeństwa opublikowanej przez Komisję Europejską. Celem projektu jest wprowadzenie prywatnego i bezpiecznego publicznego resolvera DNS w ramach Unii Europejskiej, co przyczyni się do budowania niezależności w obszarze usług cyfrowych.

W oprogramowaniach Eurosoft Przychodnia, drEryk Gabinet i SimpleCare wykryto podatności polegające na stosowaniu tego samego, zakodowanego na stałe, hasła do bazy danych. Podatnościom przypisano identyfikatory CVE-2024-1228, CVE-2024-3699 i CVE-2024-3700.

W oprogramowaniu MegaBIP wykryto 3 krytyczne podatności różnego typu i nadano im identyfikatory CVE-2024-1576, CVE-2024-1577 oraz CVE-2024-1659.

W oprogramowaniu 2ClickPortal wykryto podatność typu Reflected XSS i nadano jej identyfikator CVE-2024-5961.

Czy wakacje to dobry czas dla cyberprzestepców? A może skoro w biurach panują pustki i ludzie zamiast przed ekranem spędzają czas na plaży, to oszuści również robią sobie wolne? Niestety nie. Wakacyjne miesiące to dla cybeprzestępców czas jak każdy inny.

W oprogramowaniu MegaBIP wykryto kolejną podatność typu SQL Injection i nadano jej identyfikator CVE-2024-6160.

W oprogramowaniu CRUDDIY wykryto podatność typu OS Command Injection (CVE-2024-4748).

We wtyczce AdmirorFrames do platformy Joomla! wykryto 3 podatności różnego typu i nadano im identyfikatory CVE-2024-5735, CVE-2024-5736 i CVE-2024-5737.

W oprogramowaniu Concept Intermedia S@M CMS wykryto 3 podatności różnego typu (CVE-2024-3800, CVE-2024-3801 oraz CVE-2024-3816).