Postřehy z bezpečnosti: Facebooku zavařil software pro bezpečné sdílení souborů

Pavel Bašta 25. 4. 2016

Dnes se podíváme na děravý software pro sdílení souborů, který umožnil únik hesel zaměstnanců Facebooku, na zveřejněný popis útoku na Hacking Team, problémy WordPressu a šmírovací nástroje CIA.

Ten pocit, když se nabouráte Facebooku do serveru a zjistíte, že už tam někdo byl před vámi a nechal tam i svůj webshell. Přesně to se stalo analytikovi společnosti DevCore, když při zkoumání infrastruktury Facebooku našel server pojmenovaný files.fb.com. Na něm běžela instance programu Accellion File Transfer, umožňující zaměstnancům Facebooku „bezpečnou“ výměnu souborů. Vzhledem k dalšímu vývoji situace lze říci, že, naštěstí pro Facebook, nalezl tento analytik v produktu Accellion několik nových, do té doby neznámých chyb, jako XSS, lokální eskalace oprávnění, nebo chyby umožňující vzdálené spuštění kódu.

Jednu z nich, konkrétně Pre-Auth SQL Injection, pak využil k nahrání vlastního webshellu na server. Jakmile převzal kontrolu nad serverem, začal shromažďovat údaje potřebné pro bug bounty program Facebooku. V té chvíli ovšem zjistil, že není prvním, kdo se na server dostal. Na serveru našel další webshell. Tento první útočník využíval ovládnutý server ke sbírání přihlašovacích údajů zaměstnanců Facebooku. Za nahlášení zranitelností dostal Orange Tsai zaslouženou odměnu 10 000 dolarů.

Společnost Accelion se na svém webu chlubí, že její řešení je vhodné pro bezpečné sdílení souborů ve velkých firmách a vládních úřadech. Nicméně když jsem si k jejich software chtěl najít více informací, narazil jsem ještě na tento článek z roku 2013, ve kterém jeho autor popisuje, jak snadno se mu tehdy podařilo na serveru files.fb.com změnit heslo u cizího účtu. To fungovalo, protože se mu na serveru podařilo vytvořit vlastní testovací účet a také proto, že v cookies byla pomocí base-64 zakódována e-mailová adresa spojená s daným účtem. Pak už jen stačilo zachytávat POST požadavky při odesílání změny hesla a změnit v nich e-mailovou adresu na adresu svázanou s účtem, jehož heslo chtěl autor článku resetovat. Výše popsaný incident tedy rozhodně nebyl prvním velkým problémem serveru files.fb.com. Jsem zvědavý, jestli z toho Facebook tentokrát vyvodí nějaké větší změny.

Naše postřehy

Pěkné počtení nám připravil tento týden hacker, který nejspíš stál za loňským útokem na Hacking Team. Útoku jsme se věnovali ve dvou  dílech našich Postřehů. Aby se dostal do sítě, musel si napsat vlastní exploit pro zranitelnost na neupřesněném embedded zařízení (0-day zranitelnost je tam prý stále), dále si připravil vlastní firmware rozšířený o backdoor a užitečné nástroje, které mu umožnily se z napadeného zařízení dostat dále do sítě, a zároveň mu připravený backdoor umožnil vyhnout se dalšímu využívání nalezené zranitelnosti (kvůli ztížení její následné identifikace při vyšetřování incidentu). Podle vlastní dokumentace Hacking Teamu měly být jejich zálohy v separátní síti, ale nmap je našel ve stejné síti, jako byly ostatní stanice. Přes nezabezpečené zálohy se pak hacker dostal až k administrátorským heslům. Mimochodem, jedno z nich bylo „P4ssword„. Pak už nebyl problém dostat se k e-mailovému serveru a začít s postupným stahováním dat. Je to dlouhé, ale zajímavé čtení, kde se například také dozvíme, jak si zajišťoval trvalý přístup nebo přístup ke zdrojovým kódům.

Pokud vás zajímá, jakými nástroji nás CIA špehuje na sociálních sítích, pak si projděte tento článek a související odkazy. Krátce, jedná se například o Dataminr, který umožňuje analýzu dat z Twitteru, dále nástroj Geofeedia, který na základě dat ze sociálních sítí informuje o důležitých novinkách a měl by umět také sledovat protesty aktivistů. Nástroj Dunami, který používá také FBI, pak sleduje propojení mezi uživateli nebo potenciální znaky radikalizace. Všechno jsou to produkty firem, do kterých investovala společnost In-Q-Tel, údajně založená CIA.

IBM varuje před velkým nárůstem útoků na CMS platformu WordPress, který se projevil zvýšeným výskytem nové verze C99 webshell. V březnu byl oproti únoru nárůst o 45 procent. O problémech s CMS WordPress se ve svém příspěvku na fóru SANS zmiňoval také jeden z uživatelů: „I'm currently going through a phase of WordPress dPression. Either my users are exceptionally adept at finding hacked and subverted WordPress sites, or there are just so many of these sites out there. This week's particular fun seems to be happening on restaurant web sites.“

Nový způsob, jak do počítače dopravit Remote Access Trojan (RAT) a snížit šance na detekci antiviry, objevili experti společnosti SentinelOne v Asii. Knihovna, která se stará o rozbalení a injektování RAT, je nahrána pomocí metody, která zajistí, že soubor knihovny vůbec nebude zapsán do filesystému, což snižuje šanci na detekování antivirovým řešením. Jádro malware a nastavení pro samotnou knihovnu jsou pak zašifrovány a uloženy v několika PNG obrázcích.

Když ještě naše sdružení sedělo na původní adrese, sídlila vedle nás pobočka nejmenované banky. Nebyla určena pro klienty, ale podle našeho odhadu se v ní zpracovávaly smlouvy klientů a podobné věci. Tato pobočka měla připojení od O2 a její DSL modem měl několik měsíců nakonfigurovánu starou dobrou výchozí síť VoIP s výchozím nastavením hesla. Píši o tom proto, že příběh o překlepu za miliardu dolarů napsal své další dějství. Podle serveru hackernews totiž vyšetřovatelé tohoto incidentu narazili na problém se sítí v bance, která byla postavena na laciných routerech a switchích z druhé ruky.

Stará a dosud neopravená chyba v protokolu SS7 umožnila bezpečnostním expertům odposlouchávat a sledovat pohyb mobilního telefonu amerického kongresmana pouze na základě znalosti jeho telefonního čísla.

widgety

Ve zkratce

Pro pobavení

Rukověť moderního projektového manažera

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Podnikatel.cz: ČOI zamířila na e-shopy. Zaplatí 1,5 milionu

ČOI zamířila na e-shopy. Zaplatí 1,5 milionu

120na80.cz: Nejsilnější alergeny jsou pryč

Nejsilnější alergeny jsou pryč

DigiZone.cz: Regionální tele­vize CZ vysílá "Mapu úspěchu"

Regionální tele­vize CZ vysílá "Mapu úspěchu"

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Podnikatel.cz: ČSSZ posílá přehled o důchodovém kontě

ČSSZ posílá přehled o důchodovém kontě

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

DigiZone.cz: Digi Slovakia zařazuje stanice SPI

Digi Slovakia zařazuje stanice SPI

120na80.cz: Galerie: Čínští policisté testují českou minerálku

Galerie: Čínští policisté testují českou minerálku

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Lupa.cz: Cimrman má hry na YouTube i vlastní doodle

Cimrman má hry na YouTube i vlastní doodle

Podnikatel.cz: Tyto pojmy k #EET byste měli znát

Tyto pojmy k #EET byste měli znát

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn