Bezpečnostní přehled: Zranitelný klient OpenSSH

Pavel Houser , 18. leden 2016 14:00 0 komentářů
Bezpečnostní přehled: Zranitelný klient OpenSSH

S chybami a záplatami se v posledních dnech přímo roztrhl pytel: opravy jsou k dispozici pro síťové systémy, aktualizuje VMware a Apple, rizikem mohou být i chytré televize a přirozeně i CMS systémy. Uživatelé méně ochotně sdílejí s mobilními aplikacemi své soukromé informace. Lidé podceňují hesla do e-shopů.

Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Analýza SANS Institute zpochybňuje, že by malware přímo způsobil výpadky ukrajinských elektráren na konci loňského roku, nicméně souvislost s kybernetickými útoky zde byla (viz předcházející bezpečnostní přehled).

Chyba EZCast

Výzkumníci Check Pointu upozornili na zranitelnosti zařízení EZCast, které se zapojuje do portu HDMI a z obyčejných televizí bez připojení k internetu dělá smartTV. Útočníci mohou v důsledku zranitelnosti získat neoprávněný přístup k domácí síti uživatelů EZCast, dostat se k citlivým datům nebo ovládnout zařízení. V současné době využívá zařízení EZCast přibližně 5 miliónů domácností. Samotný útok se realizuje prostřednictvím Wi-Fi sítě systému EZCast. (Zdroj: tisková zpráva společnosti CheckPoint a další)

Ohrožen soukromý klíč uživatelů OpenSSH

Podvodné/kompromitované servery OpenSSH mohou krást soukromé šifrovací klíče uživatelů, kteří se k nim přihlašují. Jinak řečeno, kompromitace jednoho systému umožňuje útočníkům získávat tímto způsobem další oprávnění. Na problém upozornili výzkumníci firmy Qualys. Ačkoliv existuje už dlouho, není zatím známo, že by zranitelnost byla zneužívána, protože extrakce soukromého klíče závisí na mnoha okolnostech a nepodaří se vždy; Qualys ovšem možnost zneužívání připouští a uvádí, že mnohdy by bylo řešením si soukromý klíč pro jistotu vygenerovat znovu. Uživatelé mohou nasadit již vyvinutou opravu, nebo se rizika zbavit úpravou konfigurace. Zranitelné jsou klienty OpenSSH ve verzích 5.4 až 7.1. Z kauzy Heartbleed víme, že náprava potrvá nějakou dobu, v tomto „okně“ mají podvodníci čas.

Záplaty Fortinet a Cisco

Ve FortiOS, tedy systému pro firewally a další zařízení společnosti Fortinet, existoval backdoor. K zařízením šlo získat neautorizovaná vzdálený přístup s právy administrátora. Problém sice odstranila aktualizace již z roku 2014, nicméně o zranitelnosti jako důvodu pro nasazení opravy nebylo tehdy nic zveřejněno. Opravené verze mají čísla 4.3.17, 5.0.8, 5.2 a 5.4. U starších verzí nelze backdoor zablokovat na úrovni konfigurace. Viz také: Backdoor ve firewallech Juniper

Cisco vydalo opravy systému iOS i dalších svých produktů. Speciálně se upozorňuje na to, že aktualizovat třeba firmware pro řadiče LAN, administrační nástroj pro zařízení se systémem Cisco Identity Services Engine a Wi-Fi přístupové body Aironet. První dvě zranitelnosti (CVE-2015-6323 a CVE-2015-6314) jsou hodnoceny jako kritické, protože umožňují obejít autorizační mechanismus a zcela ovládnout příslušná zařízení. Chyba u Wi-Fi přístupových bodů je podobná – pevně nastavené statické heslo umožňuje útočníkovi ovládnout „defaultní“ účet, který ale ve výchozím nastavení nemá přiřazena práva administrátora.

...Vmware a Apple VMware opravuje své produkty ESXi, Fusion, Player a Workstation ve verzích pro Windows. Záplatovaná chyba umožňovala zvýšení oprávnění. Zranitelnost CVE-2015-6933 je konkrétně v nástroji pro sdílení složek a má povahu porušení paměti. VMware zdůrazňuje, že chyba ovšem útočníkovi neumožňuje překonat samotnou virtualizační vrstvu oddělující od sebe hostovaný a hostitelský systém. Problém lze kromě aktualizace řešit i zákazem funkce Share Folders.

Apple vydal aktualizace plug-inu QuickTime pro Windows 7 a Vista. Opravená verze má číslo 7.7.9. V aplikaci bylo zalátáno 9 zranitelností, které při načtení příslušného formátu (škodlivého multimediálního souboru) způsobovaly porušení paměti a útočníkům umožňovaly vzdálené spuštění kódu. Firma neuvedla, zda příslušné chyby jsou již aktivně zneužívány. Uživatelé s nástrojem Apple Software Update (pro Windows) by měli aktualizace získat automaticky.

SQL injection má mást vyhledávače

Podle společnosti Akamai se objevil nový sofistikovaný útok. Na kompromitované weby je pomocí SQL injection vkládán kód, který provozovatele ani uživatele nijak neohrožuje, nicméně je určen pro vyhledávače – manipuluje váhu přikládanou různým serverům tím, že na ně do kódu webu přidává odkazy, jde tedy de facto o SEO podvod. Akamai správcům webů i aplikací samozřejmě doporučuje předcházet i jinak rizikovým útokům SQL injection (kontrola zadávaných dat, nasazení webového aplikačního firewallu...), dále ale upozorňuje, že se vyplatí i zautomatizovat sledování HTML kódu; správci by tak automaticky dostali upozornění, kdyby skokově narostl počet linků.

Dropbox oznámil, že (konečně) pracuje na implementaci mechanismu https pro doručování aktualizací. Fernando Arnaboldi z bezpečnostní firmy IOActive nedávno upozornil na to, že v aktualizačním mechanismu Dropboxu existuje zranitelnost umožňující útok CSFR (cross-site request forgery) a útoky typu man-in-the-middle.

Dojde k přeplácení zero day exploitů?

Provozovatelé systému Tor spustili program platby odměn za bezpečnostní zranitelnosti. Účast je zde ovšem zatím pouze pro několik (15-20) pozvaných výzkumníků. Kolem oznámení se objevily kontroverze – proč vůbec takovou informaci zveřejňovat, když je program stejně jen pro zvané. Měl by být program veřejný? Nicméně mělo by to smysl, dokázali by provozovatelé přeplatit jiné firmy vykupující zero day zranitelnosti (když např. Zerodium si za exploit sandboxu pro Flash může dovolit nabízet až 100 000 dolarů)? Tor je každopádně v hledáčku řady institucí, zdaleka nejen tajných služeb, provozovateli slibovaná anonymita, respektive její míra, je sporná.

CSIRT varuje/oznamuje

Objeveno bylo a několik závažných zranitelností v CMS Drupal. Mohou vést až ke kompletní kompromitaci webu, který používá příslušný redakční systém.

Vývojáři CMS systému WordPress vydali novou aktualizaci, ve které je opravena vážná zranitelnost umožňující útočníkům cross-site scripting. V důsledku toho lze na web s příslušným zranitelným redakčním systémem např. vložit útočný kód. Opravená verze má číslo 4.4.1. (Zdroj: Národní centrum kybernetické bezpečnosti)

Ze světa firem

Se členy rodiny sdílí svá hesla 27 % českých respondentů. Více než třetina pak svá hesla nejen sdílí, ale také nechává na viditelných místech. 9 % uživatelů sdílí hesla s přáteli a 3 % s kolegy. Co se týče potřebnosti silných hesel, lidé si chrání své on-line bankovnictví a e-mail, které logicky považují za nejcennější služby, v menší míře to platí i pro sociální sítě. Potřebu silných hesel v e-shopech vnímá pouze 12 % uživatelů. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Třetina organizací poskytujících finanční služby nenabízí zákazníkům zabezpečený kanál pro všechny jejich on-line platby. Pouze 53 % respondentů zavedlo dvoufázové ověření a pouze polovina zavedla specializované řešení, které chrání před podvody v reálném čase. Téměř třetina (29 %) účastníků průzkumu uvedla, že je levnější zabývat se onl-ine finančními podvody, až když se objeví, než snažit se jim předejít. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Výsledky studie Global Consumer Trust Report o ekosystému mobilních aplikací: Co se týče soukromí, čím dál méně uživatelů ochotno sdílet své osobní údaje s poskytovateli mobilních aplikací a služeb. V roce 2013 21 % dotázaných uvedlo, že jim nikdy nevadilo tyto informace zanést do aplikace. O dva roky později, v roce 2015 toto číslo spadlo na pouhých 6 %. Přitom počet těch, kteří sdílejí své osobní údaje neradi a jen protože to aplikace vyžaduje, vzrostl na 41 % z loňských 33 %. Použití biometriky pro zabezpečení mobilních zařízení vzrostlo meziročně ze 7 na 11 %. Nicméně 21 % respondentů se nehodlá zabezpečením mobilních zařízení jakkoliv zabývat. (Zdroj: tisková zpráva společnosti AVG)

Dell představil nové modely podnikových notebooků a řady Latitude. Důraz na zabezpečení výrobce vyzdvihuje především u modelu Dell Latitude 11 5000 Series 2-in-1. (Zdroj: tisková zpráva společnosti Dell)

Psali jsme na ITBiz.cz

Na téma zabezpečení na ITBiz viz také:

Radiožurnál: Údajný australský hacker Wheeler má český pas

Wheeler z Perthu začal mít problémy se zákonem už před třemi lety, když jej australská a americká policie začaly vyšetřovat kvůli tomu, že byl údajně součástí skupiny podnikající útoky na systémy Microsoftu.

Lednové záplaty Microsoftu a konec podpory straších verzí Internet Exploreru

Kromě balíčku záplat od Microsoft byl aktualizován rovněž Adobe Acrobat/Reader.


Komentáře

RSS 

Komentujeme

Agilita a devops, přepracování a vyhoření

Pavel Houser , 12. červenec 2018 12:30
Pavel Houser

Michael Cote na The Register upozorňuje na častý problém: nové „agilní“ metody vývoje, všechny příst...

Více







RSS 

Zprávičky

Hackeři ukradli zdravotní záznamy 1,5 milionu Singapurců

ČTK , 20. červenec 2018 14:37

Cílem útoku bylo prý získat podrobné údaje o singapurském premiérovi a také o lécích, které užíval....

Více 0 komentářů

Ericsson je díky úsporám v mírném zisku

ČTK , 20. červenec 2018 11:36

Švédský podnik se v poslední době potýkal se slábnoucí poptávkou telekomunikačních operátorů....

Více 0 komentářů

Čip v občanském průkazu si zatím aktivovala třetina lidí

ČTK , 20. červenec 2018 08:00

Prostřednictvím Portálu občana lidé mají přístup např. k údajům o důchodu nebo si mohou pořídit výpi...

Více 0 komentářů

Kalendář

04. 08.

09. 08.
Black Hat USA 2018
09. 08.

12. 08.
DEF CON 26
06. 09.

07. 09.
Humusoft Technical Computing Camp 2018

Starší zprávičky

Red Hat Ansible Engine přináší další automatizaci cloudu

Pavel Houser , 19. červenec 2018 13:52

Nejnovější verze platformy Red Hat Ansible Engine 2.6 rozšiřuje automatizaci cloudů AWS, Google Clou...

Více 0 komentářů

Samsung chystá na příští rok telefon se sklopným displejem

ČTK , 19. červenec 2018 10:00

Displej půjde složit na polovinu jako peněženku. Ve složeném stavu je na přední straně přístroje men...

Více 0 komentářů

Internet Mall snížil ztrátu, tržby mu vzrostly na 7,2 miliardy Kč

ČTK , 18. červenec 2018 17:29

Internet Mall mj. investuje do distribučního centra v Jirnech u Prahy, které by mělo sloužit 7 střed...

Více 0 komentářů

Google dostal kvůli Androidu od EK rekordní pokutu 4,34 mld. eur (aktualizace)

ČTK , 18. červenec 2018 13:26

Google využil Android k upevnění dominantní pozice svého internetového vyhledávače, uvádí EK....

Více 0 komentářů