V posledních dnech byla úroda nově objevených zranitelností opravdu bohatá. Podnikový software, kritická infrastruktura, operační systémy i populární aplikace, to vše bylo útočníkům vydáno málem na milost. Někteří výrobci zareagovali rychle a vydali opravy, i tak zde ale existovala „okna“, kdy příslušné chyby měly povahu zero day a proti zneužití prakticky neexistovala ochrana.
Směrovače, úložné systémy NAS či plug-iny pro WordPress se v přehledech zranitelností objevují pravidelně, nyní přibyla i řada dalších typů produktů.
Plug-iny pro CMS hrozí
Další plug-in pro WordPress je zranitelný a vystavuje útoku přes milion webů. Tentokrát se jedná o WP-Slimstat (analytika, obdoba Google Analytics), který útočníkům umožňuje ukrást celou databázi včetně uživatelských oprávnění. Vlastní problém je v šifrovacích klíčích a zneužití se pak realizuje přes SQL injection, i když provedení nemá být zrovna triviální. Záplata už byla vydána, ale mnoho správců systémů s WordPressem neaktualizuje, nebo aktualizuje pouze samotný redakční systém, nikoliv používané plug-iny.
O chybě v jiném plug-inu WordPressu, FancyBox, viz také: jeden z nedávných bezpečnostních přehledů
Bezpečnostní problém se objevil i u dalšího redakčního (CMS) systému Joomla, tentokrát nicméně neohrožuje přímo uživatele systému. I zde je na vině plug-in, konkrétně modul propojující Joomlu a Google Maps. Zranitelnost umožňuje, aby tento modul fungoval současně jako proxy. Útočníci tedy mohou provádět DDoS útoky se zamaskováním jejich skutečného původu, záplava žádostí vypadá, že pochází od systémů Joomla. Podvodníci nabízející provádění DDoS útoků jako služby již této možnosti údajně využívají, alespoň to tvrdí analýza firem RAID PhishLabs a Akamai/PLXsert.
Samba i SAP
Nově objevená zranitelnost v protokolu Samba (technologie pro sdílení souborů a tiskáren v heterogenních sítích Windows/Linux) umožňuje vzdálené spuštění kódu. Klient může na server zaslat požadavek, který se zde vykoná s právy roota, aniž se vyžaduje jakékoliv ověření. Kritická chyba CVE-2015-0240 se vyskytuje ve verzí Samby 3.5.0 až 4.2.0rc4. Opravené verze mají čísla 3.6.25, 4.0.25 a 4.1.17, aktualizace by měly být již obsaženy v nejnovějších verzích linuxových distribucí. Problém objevil Richard van Eeden z Microsoft Vulnerability Research, který rovněž vyvinul záplatu.
V SAP BusinessObjects jsou tři kritické bezpečnostní chyby, z nichž jedna umožňuje neautorizovaným uživatelům vzdáleně přepisovat podniková data, druhá je číst a třetí odstranit informace o těchto akcích, tj. smazat audity/logy. Hlavní problém má způsobovat výchozí konektor protokolu CORBA. Na rizika upozorňuje společnost Onapsis. Méně závažné zranitelnosti byly reportovány i pro platformu SAP Hana.
Riziko by v tomto případě mohlo zmírnit, že systémy SAP nebývají obvykle nastaveny pro vzdálený přístup z webového rozhraní na základě pouhé autorizace jménem/heslem, takto se dá přihlašovat jen z místní sítě/VPN. Na podobné téma: Vývoj bezpečnosti systémů SAP
Hypervisor Xen dělá vrásky provozovatelům cloudů
Velkým problémem pro provozovatele i těch největších služeb se může stát zranitelnost v hypervisoru Xen, který užívá např. Amazon – jak pro vlastní služby, tak i pro zákazníky výpočetního prostředí Compute Elastic Cloud. V rámci open source projektu Xen sice byla již vydána oprava, nicméně její nasazení můře být docela komplikované, systémy je třeba restartovat a během té doby zajistit kontinuitu služeb, před aktualizací otestovat opravu pro řadu hardwarových konfigurací atd.
Z dalších velkých zákazníků The Register zmiňuje, že Xen používají také cloudové služby IBM a Rackspace.
Zranitelné směrovače…
D-Link slíbil vydat aktualizace pro své domácí směrovače. Kanadský výzkumník Peter Adkins objevil zero day zranitelnosti umožňující neautorizovaný vzdálený přístup k několika modelům (podle všeho 626L; 636L; 808L; 810L; 820L; 826L; 830 a 836L). Pokud byl povolen vzdálený přístup (ve výchozím nastavení dle výrobce povolen pouze v rámci LAN, ne přes internet), útočník mohl spustit svůj kód a například nastavit DNS tak, aby pak mohl zachytávat přístupové údaje do internetového bankovnictví. Další méně zásadní zranitelnosti umožňovaly neoprávněné vsunutí příkazu (přes ping) nebo zjištění konfigurace zařízení.
Atkin uvádí, že základ firmwaru domácích směrovačů, jako je např. OpenWRT, představuje obvykle celkem spolehlivou platformu, jenže na ni výrobci nalepují služby s „přidanou hodnotou“, které ale z hlediska bezpečnosti staví všechno na hlavu. Popsaná zranitelnost se může týkat i jiných modelů D-Link, ba i dalších výrobců.
Viz také: Vzdálená správa směrovačů je rizikem
Další chyba byla objevena v softwaru Cisco pro hi-end směrovací systémy této společnosti. Jedná se o zařízení, která používají poskytovatelé internetu a telekomunikační operátoři. Zranitelnost umožňovala útok na dostupnost služeb pomocí paketů IPv6 se speciálně upravenou hlavičkou, podle všeho se však o zneužití nikdo nepokusil – jinak by následky mohly být celkem citelné a těžko přehlédnutelné, protože by se týkaly kritické infrastruktury. Cisco již pro své systémy (software iOS XR pro Cisco Network Convergence System 6000 a Cisco Carrier Routing System) vydalo příslušné záplaty.
…i úložiště NAS
NAS servery od společnosti Seagate jsou ohroženy zranitelností nultého dne. Chyba v zařízeních Seagate Business Storage 2-Bay NAS, která se používají v domácnostech i podnikovém sektoru, umožňuje vzdálené spuštění kódu – bez ověřování a s právy roota. Podstata problému má spočívat v tom, že jsou zde použity staré a zranitelné verze PHP 2.2.12 (a navíc taktéž neaktuální verze CodeIgniter 2.1.0 a Lighttpd 1.4.28), jako provizorní řešení se doporučuje zakázat vzdálený přístup z internetu; další tipy jsou dát server za firewall, povolit přístup k webovému rozhraní pro správu jen z IP adres na whitelistu apod. Jinak může být výsledkem třeba i extrakce šifrovacích klíčů, souborů cookies apod. Zranitelná zařízení přístupná přes internet může útočník pomocí různých nástrojů (Shodan apod.) poměrně snadno dohledat.
Bezpečnostní výzkumník O. J. Reeves zranitelnost objevil již loni v srpnu a upozornil na ni výrobce včetně principu zneužití proof-of-concept a samotného funkčního exploitu. Seagate problém přiznal a přislíbil opravu, když ale nebyla vydána do letošního 1. března, Reeves informace o chybě zveřejnil.
Viz také: Systémy NAS jsou podobně zranitelné jako směrovače
Freak, další problém s knihovnami SSL
Objevena byla nová zranitelnost v implementaci SSL, označovaná jako Freak. Zneužití je možné pomocí útoku typu man-in-the-middle, vyžaduje však současný problém na straně klienta i serveru. Zranitelných je nicméně asi 36 % webových serverů nabízejících SSL, z klientů pak výchozí prohlížeče v systémech iOS (Safari) a Android (prohlížeč AOSP u starších verzí OS Android, ne Chrome).
FREAK znamená zkratku pro Factoring RSA Export Keys, útočník může tedy dešifrovat klíče obsahující přihlašovací údaje a pak ukrást příslušnou relaci. Problém je v tom, že se užívá 512bitový klíč, který dnes lze již prolomit. Podobně jako u zranitelnosti HeartBleed se jedná o „kostlivce ve skříni“, protože zranitelnost v knihovnách SSL existovala nepovšimnuta asi 10 let.
Viz také: 56 % firem stále používá knihovny OpenSSL ohrožené chybou Heartbleed
Ačkoliv se ale o chybě hodně píše, David Řeháček ze společnosti Check Point uvádí, že rizika zneužití v tomto případě nejsou velká, protože problém „neovlivňuje Google Chrome ani nejnovější verze Internet Exploreru nebo Firefoxu a uživatelé mohou jednoduše začít používat prohlížeč, který není zranitelností ovlivněn, a minimalizovat tak rizika.“
CSIRT.CZ varuje: Útoky přes Blu-ray
Stephen Tomkinson předvedl, jak vytvořit blu-ray disk, který detekuje přehrávač, v němž byl spuštěn, a podle toho zvolí jeden ze dvou exploitů k instalaci malwaru. Jedna z chyb se týká přehrávače PowerDVD. Raději tedy nepoužívat blue-ray disky z neznámých zdrojů a vypnout jejich automatické přehrávání.
