Zero day chyby na každém kroku

Pavel Houser , 06. březen 2015 07:00 1 komentářů
Zero day chyby na každém kroku

V posledních dnech byla úroda nově objevených zranitelností opravdu bohatá. Podnikový software, kritická infrastruktura, operační systémy i populární aplikace, to vše bylo útočníkům vydáno málem na milost. Někteří výrobci zareagovali rychle a vydali opravy, i tak zde ale existovala „okna“, kdy příslušné chyby měly povahu zero day a proti zneužití prakticky neexistovala ochrana.

Směrovače, úložné systémy NAS či plug-iny pro WordPress se v přehledech zranitelností objevují pravidelně, nyní přibyla i řada dalších typů produktů.

Plug-iny pro CMS hrozí

Další plug-in pro WordPress je zranitelný a vystavuje útoku přes milion webů. Tentokrát se jedná o WP-Slimstat (analytika, obdoba Google Analytics), který útočníkům umožňuje ukrást celou databázi včetně uživatelských oprávnění. Vlastní problém je v šifrovacích klíčích a zneužití se pak realizuje přes SQL injection, i když provedení nemá být zrovna triviální. Záplata už byla vydána, ale mnoho správců systémů s WordPressem neaktualizuje, nebo aktualizuje pouze samotný redakční systém, nikoliv používané plug-iny.

O chybě v jiném plug-inu WordPressu, FancyBox, viz také: jeden z nedávných bezpečnostních přehledů

Bezpečnostní problém se objevil i u dalšího redakčního (CMS) systému Joomla, tentokrát nicméně neohrožuje přímo uživatele systému. I zde je na vině plug-in, konkrétně modul propojující Joomlu a Google Maps. Zranitelnost umožňuje, aby tento modul fungoval současně jako proxy. Útočníci tedy mohou provádět DDoS útoky se zamaskováním jejich skutečného původu, záplava žádostí vypadá, že pochází od systémů Joomla. Podvodníci nabízející provádění DDoS útoků jako služby již této možnosti údajně využívají, alespoň to tvrdí analýza firem RAID PhishLabs a Akamai/PLXsert.

Samba i SAP

Nově objevená zranitelnost v protokolu Samba (technologie pro sdílení souborů a tiskáren v heterogenních sítích Windows/Linux) umožňuje vzdálené spuštění kódu. Klient může na server zaslat požadavek, který se zde vykoná s právy roota, aniž se vyžaduje jakékoliv ověření. Kritická chyba CVE-2015-0240 se vyskytuje ve verzí Samby 3.5.0 až 4.2.0rc4. Opravené verze mají čísla 3.6.25, 4.0.25 a 4.1.17, aktualizace by měly být již obsaženy v nejnovějších verzích linuxových distribucí. Problém objevil Richard van Eeden z Microsoft Vulnerability Research, který rovněž vyvinul záplatu.

V SAP BusinessObjects jsou tři kritické bezpečnostní chyby, z nichž jedna umožňuje neautorizovaným uživatelům vzdáleně přepisovat podniková data, druhá je číst a třetí odstranit informace o těchto akcích, tj. smazat audity/logy. Hlavní problém má způsobovat výchozí konektor protokolu CORBA. Na rizika upozorňuje společnost Onapsis. Méně závažné zranitelnosti byly reportovány i pro platformu SAP Hana.

Riziko by v tomto případě mohlo zmírnit, že systémy SAP nebývají obvykle nastaveny pro vzdálený přístup z webového rozhraní na základě pouhé autorizace jménem/heslem, takto se dá přihlašovat jen z místní sítě/VPN. Na podobné téma: Vývoj bezpečnosti systémů SAP

Hypervisor Xen dělá vrásky provozovatelům cloudů

Velkým problémem pro provozovatele i těch největších služeb se může stát zranitelnost v hypervisoru Xen, který užívá např. Amazon – jak pro vlastní služby, tak i pro zákazníky výpočetního prostředí Compute Elastic Cloud. V rámci open source projektu Xen sice byla již vydána oprava, nicméně její nasazení můře být docela komplikované, systémy je třeba restartovat a během té doby zajistit kontinuitu služeb, před aktualizací otestovat opravu pro řadu hardwarových konfigurací atd.

Z dalších velkých zákazníků The Register zmiňuje, že Xen používají také cloudové služby IBM a Rackspace.

Zranitelné směrovače...

D-Link slíbil vydat aktualizace pro své domácí směrovače. Kanadský výzkumník Peter Adkins objevil zero day zranitelnosti umožňující neautorizovaný vzdálený přístup k několika modelům (podle všeho 626L; 636L; 808L; 810L; 820L; 826L; 830 a 836L). Pokud byl povolen vzdálený přístup (ve výchozím nastavení dle výrobce povolen pouze v rámci LAN, ne přes internet), útočník mohl spustit svůj kód a například nastavit DNS tak, aby pak mohl zachytávat přístupové údaje do internetového bankovnictví. Další méně zásadní zranitelnosti umožňovaly neoprávněné vsunutí příkazu (přes ping) nebo zjištění konfigurace zařízení.

Atkin uvádí, že základ firmwaru domácích směrovačů, jako je např. OpenWRT, představuje obvykle celkem spolehlivou platformu, jenže na ni výrobci nalepují služby s „přidanou hodnotou“, které ale z hlediska bezpečnosti staví všechno na hlavu. Popsaná zranitelnost se může týkat i jiných modelů D-Link, ba i dalších výrobců. Viz také: Vzdálená správa směrovačů je rizikem

Další chyba byla objevena v softwaru Cisco pro hi-end směrovací systémy této společnosti. Jedná se o zařízení, která používají poskytovatelé internetu a telekomunikační operátoři. Zranitelnost umožňovala útok na dostupnost služeb pomocí paketů IPv6 se speciálně upravenou hlavičkou, podle všeho se však o zneužití nikdo nepokusil – jinak by následky mohly být celkem citelné a těžko přehlédnutelné, protože by se týkaly kritické infrastruktury. Cisco již pro své systémy (software iOS XR pro Cisco Network Convergence System 6000 a Cisco Carrier Routing System) vydalo příslušné záplaty.

...i úložiště NAS

NAS servery od společnosti Seagate jsou ohroženy zranitelností nultého dne. Chyba v zařízeních Seagate Business Storage 2-Bay NAS, která se používají v domácnostech i podnikovém sektoru, umožňuje vzdálené spuštění kódu – bez ověřování a s právy roota. Podstata problému má spočívat v tom, že jsou zde použity staré a zranitelné verze PHP 2.2.12 (a navíc taktéž neaktuální verze CodeIgniter 2.1.0 a Lighttpd 1.4.28), jako provizorní řešení se doporučuje zakázat vzdálený přístup z internetu; další tipy jsou dát server za firewall, povolit přístup k webovému rozhraní pro správu jen z IP adres na whitelistu apod. Jinak může být výsledkem třeba i extrakce šifrovacích klíčů, souborů cookies apod. Zranitelná zařízení přístupná přes internet může útočník pomocí různých nástrojů (Shodan apod.) poměrně snadno dohledat.

Bezpečnostní výzkumník O. J. Reeves zranitelnost objevil již loni v srpnu a upozornil na ni výrobce včetně principu zneužití proof-of-concept a samotného funkčního exploitu. Seagate problém přiznal a přislíbil opravu, když ale nebyla vydána do letošního 1. března, Reeves informace o chybě zveřejnil. Viz také: Systémy NAS jsou podobně zranitelné jako směrovače

Freak, další problém s knihovnami SSL

Objevena byla nová zranitelnost v implementaci SSL, označovaná jako Freak. Zneužití je možné pomocí útoku typu man-in-the-middle, vyžaduje však současný problém na straně klienta i serveru. Zranitelných je nicméně asi 36 % webových serverů nabízejících SSL, z klientů pak výchozí prohlížeče v systémech iOS (Safari) a Android (prohlížeč AOSP u starších verzí OS Android, ne Chrome).

FREAK znamená zkratku pro Factoring RSA Export Keys, útočník může tedy dešifrovat klíče obsahující přihlašovací údaje a pak ukrást příslušnou relaci. Problém je v tom, že se užívá 512bitový klíč, který dnes lze již prolomit. Podobně jako u zranitelnosti HeartBleed se jedná o „kostlivce ve skříni“, protože zranitelnost v knihovnách SSL existovala nepovšimnuta asi 10 let. Viz také: 56 % firem stále používá knihovny OpenSSL ohrožené chybou Heartbleed

Ačkoliv se ale o chybě hodně píše, David Řeháček ze společnosti Check Point uvádí, že rizika zneužití v tomto případě nejsou velká, protože problém „neovlivňuje Google Chrome ani nejnovější verze Internet Exploreru nebo Firefoxu a uživatelé mohou jednoduše začít používat prohlížeč, který není zranitelností ovlivněn, a minimalizovat tak rizika.“

CSIRT.CZ varuje: Útoky přes Blu-ray

Stephen Tomkinson předvedl, jak vytvořit blu-ray disk, který detekuje přehrávač, v němž byl spuštěn, a podle toho zvolí jeden ze dvou exploitů k instalaci malwaru. Jedna z chyb se týká přehrávače PowerDVD. Raději tedy nepoužívat blue-ray disky z neznámých zdrojů a vypnout jejich automatické přehrávání.


Komentáře

Guiliani #0
Guiliani 09. březen 2015 05:26

Byl jsem pomocí https://ironsocket.com za několik měsíců, a jsou tak v pohodě. Používám je k odblokování místech, jako jsou Netflix, Hulu, Amazon, atd ... Navštivte jejich web a zjistit, co je na. VPN, DNS proxy serveru, HTTP, P2P, a mnohem více. Jedna dobrá věc se mi líbí o nich je, že jsou tak jednoduché a snadno řešit. Ještě jedna věc je, že jejich technická podpora je vždy připraven, takže pokud máte nějaké dotazy, oni odpoví hned. Jsou to pre...

RSS 

Komentujeme

Agilita a devops, přepracování a vyhoření

Pavel Houser , 12. červenec 2018 12:30
Pavel Houser

Michael Cote na The Register upozorňuje na častý problém: nové „agilní“ metody vývoje, všechny příst...

Více







RSS 

Zprávičky

Red Hat Ansible Engine přináší další automatizaci cloudu

Pavel Houser , 19. červenec 2018 13:52

Nejnovější verze platformy Red Hat Ansible Engine 2.6 rozšiřuje automatizaci cloudů AWS, Google Clou...

Více 0 komentářů

Samsung chystá na příští rok telefon se sklopným displejem

ČTK , 19. červenec 2018 10:00

Displej půjde složit na polovinu jako peněženku. Ve složeném stavu je na přední straně přístroje men...

Více 0 komentářů

Internet Mall snížil ztrátu, tržby mu vzrostly na 7,2 miliardy Kč

ČTK , 18. červenec 2018 17:29

Internet Mall mj. investuje do distribučního centra v Jirnech u Prahy, které by mělo sloužit 7 střed...

Více 0 komentářů

Kalendář

04. 08.

09. 08.
Black Hat USA 2018
09. 08.

12. 08.
DEF CON 26
06. 09.

07. 09.
Humusoft Technical Computing Camp 2018

Starší zprávičky

Google dostal kvůli Androidu od EK rekordní pokutu 4,34 mld. eur (aktualizace)

ČTK , 18. červenec 2018 13:26

Google využil Android k upevnění dominantní pozice svého internetového vyhledávače, uvádí EK....

Více 0 komentářů

EK oznámí rozhodnutí o pokutě pro Google

ČTK , 18. červenec 2018 12:10

Google dostal od EK za zneužití dominantního postavení již koncem loňského června pokutu 2,42 miliar...

Více 0 komentářů

Americká Workday koupila českou firmu Stories

ČTK , 18. červenec 2018 09:00

Českou firmu Stories založili tři datoví odborníci, kteří si dali za cíl změnit řízení velkých firem...

Více 0 komentářů

Slovensko zablokovalo přístup k desítkám webů s hazardními hrami

ČTK , 18. červenec 2018 08:00

Na návrh slovenského Finančního ředitelství soudy nařídily telekomunikačním operátorům zamezit příst...

Více 0 komentářů