Problém s klávesou Enter v linuxových distribucích. Útok Poison Tab na zamčený počítač. Mobily posílají data do Číny. Nejrozšířenější zranitelnosti webových aplikací. Proběhl PwnFest. Botnet Mirai pod lupou. Bezpečnostní chyby, opravy a aktualizace.

Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

CMS systémy jsou kritickým místem

Podle statistik High-Tech Bridge je nejrozšířenější zranitelností webových serverů/aplikací XSS – jenže 37 % z webů, které jsou zranitelné takto, bývají zranitelné i vážnějším způsobem, například pomocí SQL injection nebo umožňují neautorizovaný přístup do sytému/eskalaci oprávnění. 77 % navštěvovanějších webů, na nichž byl při analýze objeven škodlivý kód, bylo pravděpodobně kompromitováno v důsledku známých zranitelností v CMS systémech a jejich plug-inech. Na více než 72 % instalací WordPressu se našly nějaké chyby v nastavení administrace a alespoň jeden účet, kde se heslo dalo získat hrubou silou – takže ani instalace záplat ještě k zajištění bezpečnosti nestačí. Pokračuje ústup protokolu SSLv3, který je zranitelný např. útokem Poodle (viz také: Bezpečnostní přehled: Poodle a ebola http://www.itbiz.cz/clanky/bezpecnostni-prehled-poodle-a-ebola). Na konci září podporovalo SSLv3 18 % serverů, o 23 % méně než před čtvrt rokem. Naopak TLS 1 stále podporuje 96 % webů; podle normy PCI DSS musí tato podpora skončit do poloviny roku 2018 všude tam, kde se zpracovávají údaje o platebních kartách.

Jak ovládnout zamčený počítač

Útok Poison Tab dokáže prakticky ovládnout PC zamčené heslem. Výzkumník Samy Kamkar uvádí, že k útoku stačí řadič Rasperry Pi Zero, zástrčka USB/Thunderbolt a open source software. Celá „sada“ se tak dá pořídit za 5 dolarů. A co útočník po připojení k zamčenému počítači dokáže? Může si přesměrovat veškerý internetový provoz, získat cookies, získat přístup k směrovači nebo nainstalovat do počítače backdoor (který bude fungovat nezávisle na připojení útočníkova nástroje). Útok funguje proti počítačům s Windows i MacOS. Existuje samozřejmě řada možností, jak se tomuto útoku bránit. PoisonTab emuluje rozhraní ethernet, jednou z možností je tedy i konfigurace, která brání automatickému rozpoznávání takových zařízení.

Demonstrační video

Opět (předcházející incident je z roku 2015) došlo ke kompromitaci uživatelských dat sítě Friend Finder Networks, kam patří např. Adultfriendfinder.com. Celkem má jít o 445 milionů uživatelů, útočníci získali e-mailové adresy, IP adresy, uživatelská jména a hesla; zde jde částečně o prosté texty, částečně o hash, ovšem v podobě, která lze vesměs prolomit hrubou silou. Ohrožení jsou zejména uživatelé, kteří stejná jména/hesla používali i jinde.

Ruská centrální banka potvrdila, že Sberbank, Alfabank a další ruské banky zasáhl rozsáhlý útok DDoS. Možná jde opět o akci kompromitovaných IoT zařízení v rámci botnetu Mirai, to se ovšem dosud nepotvrdilo.

Botnet Mirai pod lupou

Jaké je vlastně složení kompromitovaných zařízení, které tvoří botnet Mirai a podílejí se na obřích útocích DDoS? Analýza Imperva Incapsula v minulosti v minulosti vedla k závěru, že převažují CCTV kamery, mnohem méně mělo být ovládaných směrovačů a DVD rekordérů. Nový průzkum americké telekomunikační firmy Level 3 naopak tvrdí, že 4/5 „zombií“ jsou videorekordéry, následují směrovače, zbytek tvoří IP kamery a linuxové servery. Jiní analytici potvrzují, že botnet Mirai se aktivně snaží ovládat DVD rekordéry nejmenovaného výrobce a zná výchozí hesla. DVR zařízení prý mají proti IP kamerám více síťových funkcí a botnet z nich může být flexibilnější, uvádí v této souvislosti britská bezpečnostní konzultační firma Pen test Partners. Nepotvrdilo se, že by botnet ve větší míře využíval tiskárny Panasonic (i když útočníci zkoušejí stejná uživatelská jména/hesla jako jsou výchozí u těchto zařízení, ale to je spíš náhoda – jsou totožná s jinými výchozími oprávněními).

Příbuzného tématu se týká analýza DDoS útoků ve 3. čtvrtletí 2016, jak byla poskytnuta na základě dat společnosti Akamai. Největší zaznamenané útoky zabraly šířku pásma 623 Gb/s a 555 Gb/s. Celkem 19 útoků mělo nad 100 Gbs/. Meziročně stouplo množství útoků o 71 %.

PwnFest: kompromitovat se podařilo vše

Na soutěži PwnFest v Soulu byl hned na úvod úspěšně prolomen Microsoft Edge na Windows 10 Red Stone 1 a poté (dvakrát) i VMware Workstation 12.5.1 (vzdáleně bez interakce uživatele). V dalších dnech byly demonstrovány exploity pro Safari na MacOS Sierra, přehrávač Flash Player na Windows 10 RedStone 1 a Chrome na telefonu Google Pixel s Android 7 Nougat. Nejvíce finančních odměn pobrali výzkumníci z firem Qihoo 360 a Keen Team. Ceny za 1 úspěšnou demonstraci se přitom pohybovaly až kolem 150 000 dolarů. Vynikl i 22letý Jung Hoon Lee z Jižní Koreje (nezávislý, dříve pracoval pro Samsung), který získal téměř 300 000 dolarů za dvě kompromitace VMware Workstation.
Aktualizace: VMware již pro příslušnou zranitelnost (CVE-2016-7461,), která se kromě WorkStation týkala i produktu Fusion (Pro) 8.x, vydala opravu. Současně také začala distribuce aktualizací, které v produktech VMware látají chybu v jádře Linuxu Dirty COW umožňující eskalaci oprávnění.

Vědci z Binghamton University a University of California-Riverside získali od americké National Science Foundantion grant na vývoj dalších technologií, které by dokázaly zastavit malware na úrovni procesoru. Koncept je takový, že samotné rozhodnutí o tom, jakou povahu má spouštěný program, udělá řídicí software, nicméně přímo na hardwaru bude probíhat analýza (čili něco jako „hardwarově akcelerovaný antimalware?“).

Stamiliony rizikových smartphonů

Telefony se systémem Android, které obsahují firmware od Shanghai Adups Technology, mají předinstalovaný backdoor umožňující posílat data do Číny. Odhadem se jedná o asi 700 milionů zařízení, které takto mohou přeposílat kontakty, historii volání i SMS zprávy spolu s identifikací daného telefonu (telefonní číslo, IMEI…). Zdaleka tedy nemusí jít jen o sběr agregovaných dat pro marketingové apod. účely. Na problém upozornila analýza firmy Kryptowire, podle ní lze kvůli backdooru do systému instalovat další malware (i když, chtělo by se říci, to už snad ani není potřeba).

Zranitelnosti a opravy

Nová verze Firefox 50 přináší opravy řady bezpečnostních zranitelností včetně 3 kritických chyb (např. porušení paměti a přetečení haldy umožňovaly vzdálené spuštění kódu). Řada oprav se týká i stejně tak nově uvedeného Firefoxu ESR 45.5.

Opraven byl rovněž redakční systém Drupal; bezpečnostní chyby umožňovaly únik informací, otravu cache paměti spojenou s resetem hesel nebo přesměrování na jiné weby, nikoliv ale plné převzetí systému/vzdálené spuštění kódu. Aktualizované verze Drupalu mají čísla 7.52 a 8.2.3.

Program odměn za reportované bezpečnostní zranitelnosti zavádí také Qualcomm. Vztahuje se mj. na procesory Snapdragon, LTE modemy, smartphony a tablety. Maximálně může být za 1 reprodukovatelný proof-of-concept způsob zneužití vyplaceno 15 000 dolarů.

CSIRT.CZ upozorňuje/varuje

Klíče potřebné pro dešifrování souborů znepřístupněných ransomwarem CrySis byly publikovány na Internetu a přidány do nástroje Rakhni Decryptor.

Zranitelnost CVE-2016-4484 umožňuje získat příkazový řádek roota pouze podržením klávesy Enter po dobu 70 sekund. Problém se týká všech významných linuxových distribucí, jako jsou Debian, Ubuntu, Fedora, Red Hat Enterprise Linux (RHEL) a SUSE Linux Enterprise Server (SLES).

Poznámky: Chyba je důsledkem implementace standardu Linux Unified Key Setup pro šifrování disku; Znužití vyžaduje fyzický přístup ke klasickému systému (Red Hat proto chybu řadí do kategorie středně závažných), nicméně k virtualizovanému Linuxu v cloudu takto přistupovat lze. Navíc je takto zranitelná zřejmě i celá řada vestavěných zařízení, různých terminálů apod. Problém objevili Hector Marco z University of the West of Scotland a Ismael Ripoll z Polytechnic University of Valencia. I před vydáním vlastních oprav lze problém vyřešit úpravou souboru cryptroot (cesta /scripts/local-top/cryptroot).

Ze světa firem

Eset vydal bezplatný nástroj proti bankovnímu malwaru Refete, který byl použit pro cílený útok na zákazníky britské Tesco Bank (viz předcházející bezpečnostní přehled). Retefe se dostal do hledáčku bezpečnostních analytiků již dříve. Začátkem tohoto roku začal útočit na zákazníky bank ve Velké Británii a od té doby přidal mobilní komponenty a rozšířil seznam svých cílů. Mezi institucemi, na které se trojan Retefe zaměřuje, jsou také velké banky ve Švýcarsku a Rakousku i služby Facebook a PayPal. (Zdroj: tisková zpráva společnosti Eset)