Ucraina: Adrese IP reale, publicate pe darkweb

Specialiștii Centrului pentru Securitate Cibernetică din cadrul Consiliului de Securitate și Apărare Națională al Ucrainei au descoperit o scurgere de date de la compania CloudFlare care ar putea constitui o amenințare pentru securitatea resurselor publice și private ucrainene, potrivit Biroului de presă al instituției.

A data leak from the Cloudflare service has been identified, which ...

Astfel, experții au identificat pe darkweb o listă cu aproape 3 milioane de site-uri ucrainene care folosesc servicii CloudFlare pentru a se proteja împotriva atacurilor DDoS.

Lista conține adresele IP reale ale site-urilor. Printre acestea se numără 45 de site-uri cu domeniul “gov.ua” și peste 6.500 cu domeniul “ua”, majoritatea aparținând infrastructurilor critice ucrainene.

Surse din cadrul Consiliului de Securitate și Apărare Națională al Ucrainei au declarat că “informațiile sunt în mare parte învechite”. Totuși, au fost notificați proprietarii tuturor resurselor ale căror adrese IP au fost compromise ca urmare a acestei scurgeri.

Proprietarii resurselor compromise au fost sfătuiți să schimbe imediat adresele IP și să-și consolideze apărarea împotriva unor eventuale atacuri cibernetice.

Rețea de servere Cloudflare

Compania CloudFlare este recunoscută pentru serviciile sale de securitate și performanță web. CloudFlare deține și operează o rețea masivă de servere pe care le folosește pentru a accelera site-urile web și pentru a le proteja împotriva atacurilor malițioase, cum ar fi DDoS. Site-urile web care utilizează servicii precum Cloudflare sunt mai sigure și oferă utilizatorilor o experiență de navigare mai bună, se arată pe site-ul companiei.

Vulnerabilitate IP-in-IP, detectată în produse Cisco

Cisco Security - Home | Facebook
Cercetătorul Yannay Livneh din cadrul companiei Enigmatos a descoperit o vulnerabilitate (CVE-2020-10136) legată de protocolul de tunelare IP-in-IP atât în produse ale Cisco Systems, cât și în cele dezvoltate de alte companii. Exploatarea acestei vulnerabilități permite potențialilor atacatori să efectueze atacuri DoS și să eludeze măsurile de securitate specifice. Astfel, un răufăcător neautorizat ar putea să ruteze traficul de rețea către dispozitivele vulnerabile și să efectueze un atac DDoS, provocând scurgeri de informații și ocolind totodată instrumentele de control asupra accesului la rețea. Gradul de periculozitate al acestei probleme este de 8.6  puncte pe scara CVSS. Dispozitivul vulnerabil decapsulează și prelucrează IP-ul în pachete IP destinate unei adrese IP configurate local.
Atacul ar putea exploata vulnerabilitatea CVE-2020-10136, trimițând pe dispozitivul vulnerabil o adresă IP special concepută într-un pachet IP. Atacatorul ar putea forța dispozitivul vulnerabil să decapsuleze pachetul IP-in-IP și apoi să trimită pachetul IP intern, determinând pachetele IP să ocolească listele de control acces (ACL) sau alte măsuri de securitate din rețea.
Vulnerabilitatea afectează următoarele comutatoare Nexus: 1000 Virtual Edge pentru VMware vSphere, 1000V pentru Microsoft Hyper-V și VMware vSphere (CSCvt67738), Seria 3000, Seria 9000 Comutatoare Standalone NX-OS Mode, 5500, 5600, 6000 și 7000, precum și UCS 6200 și UCS 6300. Produsele companiilor Digi International, Hewlett Packard Enterprise și Treck conțin și ele această vulnerabilitate. Digi International a rezolvat problema prin lansarea versiunii SAROS 8.1.0.1 (Bootloader 7.67), iar compania Treck, prin lansarea versiunii sale de soft 6.0.1.49. Codul PoC pentru exploatarea vulnerabilității a fost publicat pe GitHub. Sursa: https://www.securitylab.ru/news/508861.php