S chybami a záplatami se v posledních dnech přímo roztrhl pytel: opravy jsou k dispozici pro síťové systémy, aktualizuje VMware a Apple, rizikem mohou být i chytré televize a přirozeně i CMS systémy. Uživatelé méně ochotně sdílejí s mobilními aplikacemi své soukromé informace. Lidé podceňují hesla do e-shopů.
Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
Analýza SANS Institute zpochybňuje, že by malware přímo způsobil výpadky ukrajinských elektráren na konci loňského roku, nicméně souvislost s kybernetickými útoky zde byla (viz předcházející bezpečnostní přehled).
Chyba EZCast
Výzkumníci Check Pointu upozornili na zranitelnosti zařízení EZCast, které se zapojuje do portu HDMI a z obyčejných televizí bez připojení k internetu dělá smartTV. Útočníci mohou v důsledku zranitelnosti získat neoprávněný přístup k domácí síti uživatelů EZCast, dostat se k citlivým datům nebo ovládnout zařízení. V současné době využívá zařízení EZCast přibližně 5 miliónů domácností. Samotný útok se realizuje prostřednictvím Wi-Fi sítě systému EZCast. (Zdroj: tisková zpráva společnosti CheckPoint a další)
Ohrožen soukromý klíč uživatelů OpenSSH
Podvodné/kompromitované servery OpenSSH mohou krást soukromé šifrovací klíče uživatelů, kteří se k nim přihlašují. Jinak řečeno, kompromitace jednoho systému umožňuje útočníkům získávat tímto způsobem další oprávnění. Na problém upozornili výzkumníci firmy Qualys. Ačkoliv existuje už dlouho, není zatím známo, že by zranitelnost byla zneužívána, protože extrakce soukromého klíče závisí na mnoha okolnostech a nepodaří se vždy; Qualys ovšem možnost zneužívání připouští a uvádí, že mnohdy by bylo řešením si soukromý klíč pro jistotu vygenerovat znovu. Uživatelé mohou nasadit již vyvinutou opravu, nebo se rizika zbavit úpravou konfigurace. Zranitelné jsou klienty OpenSSH ve verzích 5.4 až 7.1. Z kauzy Heartbleed víme, že náprava potrvá nějakou dobu, v tomto „okně“ mají podvodníci čas.
Záplaty Fortinet a Cisco
Ve FortiOS, tedy systému pro firewally a další zařízení společnosti Fortinet, existoval backdoor. K zařízením šlo získat neautorizovaná vzdálený přístup s právy administrátora. Problém sice odstranila aktualizace již z roku 2014, nicméně o zranitelnosti jako důvodu pro nasazení opravy nebylo tehdy nic zveřejněno. Opravené verze mají čísla 4.3.17, 5.0.8, 5.2 a 5.4. U starších verzí nelze backdoor zablokovat na úrovni konfigurace. Viz také: Backdoor ve firewallech Juniper
Cisco vydalo opravy systému iOS i dalších svých produktů. Speciálně se upozorňuje na to, že aktualizovat třeba firmware pro řadiče LAN, administrační nástroj pro zařízení se systémem Cisco Identity Services Engine a Wi-Fi přístupové body Aironet. První dvě zranitelnosti (CVE-2015-6323 a CVE-2015-6314) jsou hodnoceny jako kritické, protože umožňují obejít autorizační mechanismus a zcela ovládnout příslušná zařízení. Chyba u Wi-Fi přístupových bodů je podobná – pevně nastavené statické heslo umožňuje útočníkovi ovládnout „defaultní“ účet, který ale ve výchozím nastavení nemá přiřazena práva administrátora.
…Vmware a Apple
VMware opravuje své produkty ESXi, Fusion, Player a Workstation ve verzích pro Windows. Záplatovaná chyba umožňovala zvýšení oprávnění. Zranitelnost CVE-2015-6933 je konkrétně v nástroji pro sdílení složek a má povahu porušení paměti. VMware zdůrazňuje, že chyba ovšem útočníkovi neumožňuje překonat samotnou virtualizační vrstvu oddělující od sebe hostovaný a hostitelský systém. Problém lze kromě aktualizace řešit i zákazem funkce Share Folders.
Apple vydal aktualizace plug-inu QuickTime pro Windows 7 a Vista. Opravená verze má číslo 7.7.9. V aplikaci bylo zalátáno 9 zranitelností, které při načtení příslušného formátu (škodlivého multimediálního souboru) způsobovaly porušení paměti a útočníkům umožňovaly vzdálené spuštění kódu. Firma neuvedla, zda příslušné chyby jsou již aktivně zneužívány. Uživatelé s nástrojem Apple Software Update (pro Windows) by měli aktualizace získat automaticky.
SQL injection má mást vyhledávače
Podle společnosti Akamai se objevil nový sofistikovaný útok. Na kompromitované weby je pomocí SQL injection vkládán kód, který provozovatele ani uživatele nijak neohrožuje, nicméně je určen pro vyhledávače – manipuluje váhu přikládanou různým serverům tím, že na ně do kódu webu přidává odkazy, jde tedy de facto o SEO podvod. Akamai správcům webů i aplikací samozřejmě doporučuje předcházet i jinak rizikovým útokům SQL injection (kontrola zadávaných dat, nasazení webového aplikačního firewallu…), dále ale upozorňuje, že se vyplatí i zautomatizovat sledování HTML kódu; správci by tak automaticky dostali upozornění, kdyby skokově narostl počet linků.
Dropbox oznámil, že (konečně) pracuje na implementaci mechanismu https pro doručování aktualizací. Fernando Arnaboldi z bezpečnostní firmy IOActive nedávno upozornil na to, že v aktualizačním mechanismu Dropboxu existuje zranitelnost umožňující útok CSFR (cross-site request forgery) a útoky typu man-in-the-middle.
Dojde k přeplácení zero day exploitů?
Provozovatelé systému Tor spustili program platby odměn za bezpečnostní zranitelnosti. Účast je zde ovšem zatím pouze pro několik (15-20) pozvaných výzkumníků. Kolem oznámení se objevily kontroverze – proč vůbec takovou informaci zveřejňovat, když je program stejně jen pro zvané. Měl by být program veřejný? Nicméně mělo by to smysl, dokázali by provozovatelé přeplatit jiné firmy vykupující zero day zranitelnosti (když např. Zerodium si za exploit sandboxu pro Flash může dovolit nabízet až 100 000 dolarů)? Tor je každopádně v hledáčku řady institucí, zdaleka nejen tajných služeb, provozovateli slibovaná anonymita, respektive její míra, je sporná.
CSIRT varuje/oznamuje
Objeveno bylo a několik závažných zranitelností v CMS Drupal. Mohou vést až ke kompletní kompromitaci webu, který používá příslušný redakční systém.
Vývojáři CMS systému WordPress vydali novou aktualizaci, ve které je opravena vážná zranitelnost umožňující útočníkům cross-site scripting. V důsledku toho lze na web s příslušným zranitelným redakčním systémem např. vložit útočný kód. Opravená verze má číslo 4.4.1. (Zdroj: Národní centrum kybernetické bezpečnosti)
Ze světa firem
Se členy rodiny sdílí svá hesla 27 % českých respondentů. Více než třetina pak svá hesla nejen sdílí, ale také nechává na viditelných místech. 9 % uživatelů sdílí hesla s přáteli a 3 % s kolegy. Co se týče potřebnosti silných hesel, lidé si chrání své on-line bankovnictví a e-mail, které logicky považují za nejcennější služby, v menší míře to platí i pro sociální sítě. Potřebu silných hesel v e-shopech vnímá pouze 12 % uživatelů. (Zdroj: tisková zpráva společnosti Kaspersky Lab)
Třetina organizací poskytujících finanční služby nenabízí zákazníkům zabezpečený kanál pro všechny jejich on-line platby. Pouze 53 % respondentů zavedlo dvoufázové ověření a pouze polovina zavedla specializované řešení, které chrání před podvody v reálném čase. Téměř třetina (29 %) účastníků průzkumu uvedla, že je levnější zabývat se onl-ine finančními podvody, až když se objeví, než snažit se jim předejít. (Zdroj: tisková zpráva společnosti Kaspersky Lab)
Výsledky studie Global Consumer Trust Report o ekosystému mobilních aplikací: Co se týče soukromí, čím dál méně uživatelů ochotno sdílet své osobní údaje s poskytovateli mobilních aplikací a služeb. V roce 2013 21 % dotázaných uvedlo, že jim nikdy nevadilo tyto informace zanést do aplikace. O dva roky později, v roce 2015 toto číslo spadlo na pouhých 6 %. Přitom počet těch, kteří sdílejí své osobní údaje neradi a jen protože to aplikace vyžaduje, vzrostl na 41 % z loňských 33 %. Použití biometriky pro zabezpečení mobilních zařízení vzrostlo meziročně ze 7 na 11 %. Nicméně 21 % respondentů se nehodlá zabezpečením mobilních zařízení jakkoliv zabývat. (Zdroj: tisková zpráva společnosti AVG)
Dell představil nové modely podnikových notebooků a řady Latitude. Důraz na zabezpečení výrobce vyzdvihuje především u modelu Dell Latitude 11 5000 Series 2-in-1. (Zdroj: tisková zpráva společnosti Dell)
Psali jsme na ITBiz.cz
Na téma zabezpečení na ITBiz viz také:
Radiožurnál: Údajný australský hacker Wheeler má český pas
Wheeler z Perthu začal mít problémy se zákonem už před třemi lety, když jej australská a americká policie začaly vyšetřovat kvůli tomu, že byl údajně součástí skupiny podnikající útoky na systémy Microsoftu.
Lednové záplaty Microsoftu a konec podpory straších verzí Internet Exploreru
Kromě balíčku záplat od Microsoft byl aktualizován rovněž Adobe Acrobat/Reader.