Velmi znepokojující: 2 roky si nikdo nevšiml kritické chyby počítačů Dell. Hackeři měli žně a stále pokračují

Bezpečnostní chyba v počítačích Dell zůstala bez povšimnutí téměř 2 roky. Útočníci ji mezitím aktivně zneužívali a získávali přístup do samotného systému.

Zdroj fotografie: Andri Koolme / Creative Commons / CC BY

Ve firemních IT systémech jsou nástroje, co mají chránit data a zajistit jejich obnovu v případě neštěstí. Jenže právě jeden takový obsahoval zásadní chybu v podobě pevně zakódovaných přihlašovacích údajů přímo ve zdrojovém kódu. Takže kdokoliv, kdo je znal, se mohl do systému dostat bez ověření, jak redakce Mobify zjistila. Slabina se týkala produktu RecoverPoint for Virtual Machines od společnosti Dell Technologies a byla zneužívána dlouhé měsíce.

Produkt pro počítače Dell obsahoval obrovskou slabinu

RecoverPoint for Virtual Machines (RP4VM) je nástroj pro ochranu dat a obnovu po havárii (disaster recovery) ve virtualizovaných prostředích, například ve VMware vSphere nebo Microsoft Hyper-V. Laicky řečeno pomáhá firmám obnovit provoz po výpadku nebo kyberútoku, vysvětluje Dell. Problém spočíval v přihlašovacích údajích, které zůstaly napevno zapsané do kódu aplikace.

Taková praxe je zkrátka velký šlápnutím vedle, jedná se o kritickou chybu. Pokud se totiž tyto údaje dostanou ven, útočník může získat neoprávněný přístup. A v tomto případě dokonce na úroveň root, tedy s nejvyššími systémovými oprávněními, vysvětluje WebGlobe.

Dlouhodobé zneužívání slabiny, aniž by o tom někdo věděl

Podle zjištění bezpečnostních týmů z Google a Mandiant byla chyba aktivně zneužívána od poloviny roku 2024 jako zero-day útok. To znamená, že útočníci ji využívali ještě předtím, než byla oficiálně opravena nebo byla nějak veřejně známá, uvádí Wikipedia. SámDell uvedl, že všechny verze před 6.0.3.1 HF1 tuto chybu obsahovaly.

Útočník se znalostí přístupových údajů tak mohl v klidu získat kontrolu nad základním operačním systémem a zajistit si klidně i trvalou přítomnost. Za kampaní má stát skupina označovaná jako UNC6201, která je spojována s čínsky orientovanými státem podporovanými aktivitami. Experti zaznamenali i nasazení nového backdooru Grimbolt napsaného v C# s moderními technikami kompilace, které ztěžují analýzu.

Zvláštní pozornost si zaslouží i způsob nenápadného pohybu v síti. Útočníci využívali dočasné virtuální síťové porty, označované jako „ghost NIC“, aby se přesunuli z kompromitovaných virtuálních strojů do dalších interních anebo cloudových prostředí. Tato technika je celkem inovativní. Útočníci se navíc zaměřovali na zařízení bez klasických EDR agentů (Endpoint Detection and Response), tedy bez pokročilé detekce hrozeb, popsal TechRadar.

Slabina je varováním pro všechny firmy

Podobné chyby nejsou zrovna drobnými neduhy. Pokud se bezpečnostní mezera nachází v nástroji určeném k ochraně dat, může mít její zneužití řetězový efekt. Firmy často předpokládají, že zálohovací a recovery systémy jsou prostě bezpečné, logicky. Jenže zrovna tento případ dokazuje opak. Znepokojivé je také to, že aktivní zneužívání probíhalo měsíce, necelé 2 roky.

Doporučení jod nás je proto jasné. Okamžitě ověřit používanou verzi RP4VM, aplikovat bezpečnostní aktualizace a provést audit přístupů. U kritických systémů by měl být samozřejmostí i nezávislý bezpečnostní test.