Zero day chyby na každém kroku

Pavel Houser , 06. březen 2015 07:00 1 komentářů
Zero day chyby na každém kroku

V posledních dnech byla úroda nově objevených zranitelností opravdu bohatá. Podnikový software, kritická infrastruktura, operační systémy i populární aplikace, to vše bylo útočníkům vydáno málem na milost. Někteří výrobci zareagovali rychle a vydali opravy, i tak zde ale existovala „okna“, kdy příslušné chyby měly povahu zero day a proti zneužití prakticky neexistovala ochrana.

Směrovače, úložné systémy NAS či plug-iny pro WordPress se v přehledech zranitelností objevují pravidelně, nyní přibyla i řada dalších typů produktů.

Plug-iny pro CMS hrozí

Další plug-in pro WordPress je zranitelný a vystavuje útoku přes milion webů. Tentokrát se jedná o WP-Slimstat (analytika, obdoba Google Analytics), který útočníkům umožňuje ukrást celou databázi včetně uživatelských oprávnění. Vlastní problém je v šifrovacích klíčích a zneužití se pak realizuje přes SQL injection, i když provedení nemá být zrovna triviální. Záplata už byla vydána, ale mnoho správců systémů s WordPressem neaktualizuje, nebo aktualizuje pouze samotný redakční systém, nikoliv používané plug-iny.

O chybě v jiném plug-inu WordPressu, FancyBox, viz také: jeden z nedávných bezpečnostních přehledů

Bezpečnostní problém se objevil i u dalšího redakčního (CMS) systému Joomla, tentokrát nicméně neohrožuje přímo uživatele systému. I zde je na vině plug-in, konkrétně modul propojující Joomlu a Google Maps. Zranitelnost umožňuje, aby tento modul fungoval současně jako proxy. Útočníci tedy mohou provádět DDoS útoky se zamaskováním jejich skutečného původu, záplava žádostí vypadá, že pochází od systémů Joomla. Podvodníci nabízející provádění DDoS útoků jako služby již této možnosti údajně využívají, alespoň to tvrdí analýza firem RAID PhishLabs a Akamai/PLXsert.

Samba i SAP

Nově objevená zranitelnost v protokolu Samba (technologie pro sdílení souborů a tiskáren v heterogenních sítích Windows/Linux) umožňuje vzdálené spuštění kódu. Klient může na server zaslat požadavek, který se zde vykoná s právy roota, aniž se vyžaduje jakékoliv ověření. Kritická chyba CVE-2015-0240 se vyskytuje ve verzí Samby 3.5.0 až 4.2.0rc4. Opravené verze mají čísla 3.6.25, 4.0.25 a 4.1.17, aktualizace by měly být již obsaženy v nejnovějších verzích linuxových distribucí. Problém objevil Richard van Eeden z Microsoft Vulnerability Research, který rovněž vyvinul záplatu.

V SAP BusinessObjects jsou tři kritické bezpečnostní chyby, z nichž jedna umožňuje neautorizovaným uživatelům vzdáleně přepisovat podniková data, druhá je číst a třetí odstranit informace o těchto akcích, tj. smazat audity/logy. Hlavní problém má způsobovat výchozí konektor protokolu CORBA. Na rizika upozorňuje společnost Onapsis. Méně závažné zranitelnosti byly reportovány i pro platformu SAP Hana.

Riziko by v tomto případě mohlo zmírnit, že systémy SAP nebývají obvykle nastaveny pro vzdálený přístup z webového rozhraní na základě pouhé autorizace jménem/heslem, takto se dá přihlašovat jen z místní sítě/VPN. Na podobné téma: Vývoj bezpečnosti systémů SAP

Hypervisor Xen dělá vrásky provozovatelům cloudů

Velkým problémem pro provozovatele i těch největších služeb se může stát zranitelnost v hypervisoru Xen, který užívá např. Amazon – jak pro vlastní služby, tak i pro zákazníky výpočetního prostředí Compute Elastic Cloud. V rámci open source projektu Xen sice byla již vydána oprava, nicméně její nasazení můře být docela komplikované, systémy je třeba restartovat a během té doby zajistit kontinuitu služeb, před aktualizací otestovat opravu pro řadu hardwarových konfigurací atd.

Z dalších velkých zákazníků The Register zmiňuje, že Xen používají také cloudové služby IBM a Rackspace.

Zranitelné směrovače...

D-Link slíbil vydat aktualizace pro své domácí směrovače. Kanadský výzkumník Peter Adkins objevil zero day zranitelnosti umožňující neautorizovaný vzdálený přístup k několika modelům (podle všeho 626L; 636L; 808L; 810L; 820L; 826L; 830 a 836L). Pokud byl povolen vzdálený přístup (ve výchozím nastavení dle výrobce povolen pouze v rámci LAN, ne přes internet), útočník mohl spustit svůj kód a například nastavit DNS tak, aby pak mohl zachytávat přístupové údaje do internetového bankovnictví. Další méně zásadní zranitelnosti umožňovaly neoprávněné vsunutí příkazu (přes ping) nebo zjištění konfigurace zařízení.

Atkin uvádí, že základ firmwaru domácích směrovačů, jako je např. OpenWRT, představuje obvykle celkem spolehlivou platformu, jenže na ni výrobci nalepují služby s „přidanou hodnotou“, které ale z hlediska bezpečnosti staví všechno na hlavu. Popsaná zranitelnost se může týkat i jiných modelů D-Link, ba i dalších výrobců. Viz také: Vzdálená správa směrovačů je rizikem

Další chyba byla objevena v softwaru Cisco pro hi-end směrovací systémy této společnosti. Jedná se o zařízení, která používají poskytovatelé internetu a telekomunikační operátoři. Zranitelnost umožňovala útok na dostupnost služeb pomocí paketů IPv6 se speciálně upravenou hlavičkou, podle všeho se však o zneužití nikdo nepokusil – jinak by následky mohly být celkem citelné a těžko přehlédnutelné, protože by se týkaly kritické infrastruktury. Cisco již pro své systémy (software iOS XR pro Cisco Network Convergence System 6000 a Cisco Carrier Routing System) vydalo příslušné záplaty.

...i úložiště NAS

NAS servery od společnosti Seagate jsou ohroženy zranitelností nultého dne. Chyba v zařízeních Seagate Business Storage 2-Bay NAS, která se používají v domácnostech i podnikovém sektoru, umožňuje vzdálené spuštění kódu – bez ověřování a s právy roota. Podstata problému má spočívat v tom, že jsou zde použity staré a zranitelné verze PHP 2.2.12 (a navíc taktéž neaktuální verze CodeIgniter 2.1.0 a Lighttpd 1.4.28), jako provizorní řešení se doporučuje zakázat vzdálený přístup z internetu; další tipy jsou dát server za firewall, povolit přístup k webovému rozhraní pro správu jen z IP adres na whitelistu apod. Jinak může být výsledkem třeba i extrakce šifrovacích klíčů, souborů cookies apod. Zranitelná zařízení přístupná přes internet může útočník pomocí různých nástrojů (Shodan apod.) poměrně snadno dohledat.

Bezpečnostní výzkumník O. J. Reeves zranitelnost objevil již loni v srpnu a upozornil na ni výrobce včetně principu zneužití proof-of-concept a samotného funkčního exploitu. Seagate problém přiznal a přislíbil opravu, když ale nebyla vydána do letošního 1. března, Reeves informace o chybě zveřejnil. Viz také: Systémy NAS jsou podobně zranitelné jako směrovače

Freak, další problém s knihovnami SSL

Objevena byla nová zranitelnost v implementaci SSL, označovaná jako Freak. Zneužití je možné pomocí útoku typu man-in-the-middle, vyžaduje však současný problém na straně klienta i serveru. Zranitelných je nicméně asi 36 % webových serverů nabízejících SSL, z klientů pak výchozí prohlížeče v systémech iOS (Safari) a Android (prohlížeč AOSP u starších verzí OS Android, ne Chrome).

FREAK znamená zkratku pro Factoring RSA Export Keys, útočník může tedy dešifrovat klíče obsahující přihlašovací údaje a pak ukrást příslušnou relaci. Problém je v tom, že se užívá 512bitový klíč, který dnes lze již prolomit. Podobně jako u zranitelnosti HeartBleed se jedná o „kostlivce ve skříni“, protože zranitelnost v knihovnách SSL existovala nepovšimnuta asi 10 let. Viz také: 56 % firem stále používá knihovny OpenSSL ohrožené chybou Heartbleed

Ačkoliv se ale o chybě hodně píše, David Řeháček ze společnosti Check Point uvádí, že rizika zneužití v tomto případě nejsou velká, protože problém „neovlivňuje Google Chrome ani nejnovější verze Internet Exploreru nebo Firefoxu a uživatelé mohou jednoduše začít používat prohlížeč, který není zranitelností ovlivněn, a minimalizovat tak rizika.“

CSIRT.CZ varuje: Útoky přes Blu-ray

Stephen Tomkinson předvedl, jak vytvořit blu-ray disk, který detekuje přehrávač, v němž byl spuštěn, a podle toho zvolí jeden ze dvou exploitů k instalaci malwaru. Jedna z chyb se týká přehrávače PowerDVD. Raději tedy nepoužívat blue-ray disky z neznámých zdrojů a vypnout jejich automatické přehrávání.


Komentáře

Guiliani #0
Guiliani 09. březen 2015 05:26

Byl jsem pomocí https://ironsocket.com za několik měsíců, a jsou tak v pohodě. Používám je k odblokování místech, jako jsou Netflix, Hulu, Amazon, atd ... Navštivte jejich web a zjistit, co je na. VPN, DNS proxy serveru, HTTP, P2P, a mnohem více. Jedna dobrá věc se mi líbí o nich je, že jsou tak jednoduché a snadno řešit. Ještě jedna věc je, že jejich technická podpora je vždy připraven, takže pokud máte nějaké dotazy, oni odpoví hned. Jsou to pre...

RSS 

Komentujeme

Bezpečnost IT a tygří logika

Pavel Houser , 14. únor 2017 11:00
Pavel Houser

Jak praví známý vtip, běží-li za vámi tygr, netřeba se pohybovat rychleji než šelma – stačí předběhn...

Více






Kalendář

20. 03.

24. 03.
CeBIT 2017
25. 03. INSPO 2017
28. 04. Oracle Code 2017
RSS 

Zprávičky

110 grafických karet vytvořilo kolizi pro SHA-1 - za rok

ITBiz.cz , 25. únor 2017 19:50

Za projektem stojí Google a získal už velký mediální ohlas, i když technické podrobnosti zatím zveře...

Více 0 komentářů

Prodej chytrých telefonů v Německu loni poprvé klesl

ČTK , 25. únor 2017 14:35

Tržby poklesly i přes rostoucí průměrnou cenu smartphonu....

Více 0 komentářů

Japonská Softbank zakládá s Foxconnem společný investiční podnik

ČTK , 24. únor 2017 18:03

Japonská skupina Softbank, která investuje převážně v sektoru vyspělých technologií, a tchajwanský s...

Více 0 komentářů

Starší zprávičky

3D tisk ocelových konstrukcí

Pavel Houser , 24. únor 2017 17:37

Podařilo se "vytisknout" jeřábový hák....

Více 1 komentářů

Třetina operátora mobilní sítě Sigfox je na prodej

Pavel Houser , 24. únor 2017 17:17

Zájemci o investici v oblasti internetu věcí mohou získat až 34% podíl společnosti SimpleCell Networ...

Více 1 komentářů

Hodnota kybernetické měny bitcoin vystoupila na nový rekord

ČTK , 24. únor 2017 15:30

Hodnota kybernetické měny bitcoin se dnes zvýšila o 4,7 procenta a vystoupila na nový rekord 1218,85...

Více 0 komentářů

Apple v dubnu otevře v Kalifornii novou centrálu

ČTK , 24. únor 2017 11:30

Americká společnost Apple v dubnu otevře v kalifornském Cupertinu svou novou centrálu. Stěhování 12....

Více 0 komentářů