Postřehy z bezpečnosti: FBI radí, pátrá, informuje

Pavel Bašta 27. 4. 2015

Kam až může vést vtip na Twitteru, když se týká bezpečnosti leteckého provozu? Kromě zodpovězení této otázky se v novém díle postřehů podíváme též na chyby Wi-Fi, na Side-channel útok „Spy in the sandbox“, na „bezsouborový“ malware uložený v registrech, či na nebezpečné chyby v oblíbené platformě pro e-shopy.

Dělat si z lidí šoufky se nevyplácí, to věděl už Walter Sobchak v nesmrtelném filmu Big Lebowski. A už vůbec se to nevyplácí v dnešní někdy až moc paranoidní době. Nově se o tom přesvědčil i výzkumník Chris Roberts, známý svým zájmem o prostředky hromadné dopravy. Jeho zábavný tweet o manipulaci s „engine-indicating and crew-alerting systémem“ (EICAS) Boeingu, ve kterém právě letěl, mu zajistil několikahodinovou pozornost FBI ihned po přistání a zabavení jeho elektronických zařízení. Roberts svým vtipem reagoval na zprávu US Government Accountability Office o chybě letounů Boeing 787 Dreamliner, Airbus A350 a A380, jejichž Wi-Fi pro cestující mají používat stejnou síť jako avionika letounů.

V reakci na incident s Chrisem Robertsem pak FBI společně s TSA (Transportation Security Administration) vydala doporučení  pro palubní personál, který by si měl všímat podezřelých cestujících a reportovat případné pokusy o připojení neznámých kabelů do IFE (In Flight Entertainment) systémů, či neobvyklých částí sedaček, hlásit IFE systémy vykazující znaky pokusů o manipulaci, či snahy silou odstranit kryty síťových portů. Také je doporučováno procházení síťových logů letadla (On to do teď nikdo nedělal?) a hledání podezřelých aktivit, jako je skenování sítě či pokusy o průnik do systémů.

Naše postřehy

V uplynulém týdnu se objevila chyba v programu wpa_supplicant, který se používá v Linuxu, BSD, OS X i ve Windows. Chyba se týká způsobu, kterým wpa_supplicant používá SSID získané z management rámců upravujících informace o členech P2P. Chyba může vést k odhalení obsahu paměti, DoS a pravděpodobně i ke spuštění libovolného kódu. K dispozici je již záplata, případně lze jako první pomoc vypnout podporu P2P.

U Wi-Fi ještě chvíli zůstaneme. V iOS 8 byla nalezena zranitelnost nultého dne, která způsobuje opakované pády aplikací či celého systému, pokud se tento systém připojí k zlovolnému hotspotu. Jedná se v podstatě o klasický DoS. Pokud už se uživatel k takovémuto přístupovému bodu připojí, nemá jinou možnost, jak problém odstranit, než se vzdálit z jeho dosahu tak, aby se zařízení nemohlo po restartu k dané Wi-Fi znovu připojit.

„Spy in the sandbox“ je útok, při němž se pomocí javascriptu nahraného v prohlížeči sleduje L3 cache procesoru, respektive doba potřebná k přístupu k těmto datům. Útočníkovi tedy stačí, pokud oběť přistoupí na stránky, jejichž obsah má pod kontrolou. Podle analytiků, kteří útok objevili, funguje útok zhruba na 80 procentech dnes používaných desktopů. Analytici zatím nezveřejnili přesný kód exploitu, aby měli výrobci prohlížečů čas vytvořit potřebné záplaty. Zatím doporučují uživatelům zavírat nepotřebné záložky v prohlížeči, pokud se chystají dělat na svém PC cokoliv citlivého.

Vyšla nová verze oblíbeného CMS WordPress 4.1.2. Je to v podstatě kritická bezpečnostní záplata pro všechny předchozí verze, proto se doporučuje ihned updatovat. Kromě XSS zranitelnosti opravuje také chyby jako SQLi, či možnost uploadu souborů s nevalidními názvy. Kromě nové verze WordPressu vyšlo také několik bezpečnostních záplat pro různé pluginy.

V oblíbené platformě Magento pro provozování online e-shopů byla nalezena bezpečnostní díra, která ohrožuje milióny uživatelů, kteří nakupují na některém z e-shopů postavených na této platformě. Nezáplatovaná verze obsahuje řetězec několika zranitelností, které ve svém důsledku umožňují útočníkovi spustit na serveru vlastní PHP kód. Díky tomu získá útočník kompletní kontrolu nad obchodem i jeho databází. To může být útočníkem využito k získání přístupu k informacím o kreditních kartách a dalších osobních informací zákazníků nakupujících na zranitelných stránkách. To, co by mohlo provozovatele e-shopů na této platformě trochu znervózňovat, je fakt, že netrvalo ani 24 hodin, než se objevily pokusy o zneužití těchto zranitelností. Dvě IP adresy alokované v Rusku se pokouší vytvořit v Magento databázi nového admin uživatele. Kdo nezáplatoval hned, už je pravděpodobně kompromitován, nebo brzy bude. V pozorovaném útoku se vytvářeli uživatelé vpwq či defaultmanager, jejich nález v databázi je tedy potvrzením úspěšné kompromitace spravovaného systému.

Společnost Trend Micro zaznamenala prodej již dříve pozorovaného fileless malware Phasebot, tedy malware, který na počítači nevytváří žádné vlastní soubory. Ke svému uložení používá registry Windows. Co je ovšem zajímavé, pro spuštění jednotlivých komponent z registru používá PowerShell, který je od Windows 7 nedílnou součástí výchozí instalace. Společnost Trend Micro předpokládá, že se k podobným technikám bude přiklánět stále více tvůrců malware. Ostatně i Phasebot je pravděpodobně jen vylepšenou verzí dřívějšího malware Solarbot.

Ve zkratce

Pro pobavení

TSA rozšířila svá doporučení ohledně bezpečnosti

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Ohodnoťte jako ve škole:

Průměrná známka 1,50

Našli jste v článku chybu?
Zasílat nově přidané názory e-mailem
120na80.cz: 10 dezinfekcí: Vede „starý dobrý“ peroxid

10 dezinfekcí: Vede „starý dobrý“ peroxid

Podnikatel.cz: Heureka pod Rockaway? Tohle musí splnit

Heureka pod Rockaway? Tohle musí splnit

120na80.cz: Co lidi tropí se sádrou

Co lidi tropí se sádrou

120na80.cz: Tady se vaří padělané léky

Tady se vaří padělané léky

Lupa.cz: Nová podoba Instagramu? Katastrofa

Nová podoba Instagramu? Katastrofa

120na80.cz: Zjistěte, zda je vaše klíště infikované

Zjistěte, zda je vaše klíště infikované

Podnikatel.cz: Konečně vývar. Skoro jako od Steva Jobse

Konečně vývar. Skoro jako od Steva Jobse

Podnikatel.cz: Když už je sexy, tak ať taky funguje

Když už je sexy, tak ať taky funguje

DigiZone.cz: Konec geoblokace online médií?

Konec geoblokace online médií?

Vitalia.cz: Proč máme prasklý chléb nejraději?

Proč máme prasklý chléb nejraději?

DigiZone.cz: Konec geoblokace? Ani náhodou…

Konec geoblokace? Ani náhodou…

120na80.cz: Poznáte, který z léků je pravý?

Poznáte, který z léků je pravý?

Lupa.cz: Přenos hokeje padal kvůli útoku, tvrdí O2

Přenos hokeje padal kvůli útoku, tvrdí O2

Root.cz: Zákon o hazardu je v rozporu s ústavou

Zákon o hazardu je v rozporu s ústavou

DigiZone.cz: Šlágr TV dostala pokutu 100 000 Kč

Šlágr TV dostala pokutu 100 000 Kč

Vitalia.cz: Před, nebo po snídani? Kdy je lepší čistit si zuby

Před, nebo po snídani? Kdy je lepší čistit si zuby

Lupa.cz: Babiš: nevím o návodu, jak obejít blokování webů

Babiš: nevím o návodu, jak obejít blokování webů

Vitalia.cz: Taky ji kupujete? Je šizená

Taky ji kupujete? Je šizená

120na80.cz: 5 triků, jak zastavit krvácení po holení

5 triků, jak zastavit krvácení po holení

Vitalia.cz: 7 nemocí očí, které musíte léčit včas

7 nemocí očí, které musíte léčit včas