Postřehy z bezpečnosti: FBI radí, pátrá, informuje

Pavel Bašta 27. 4. 2015

Kam až může vést vtip na Twitteru, když se týká bezpečnosti leteckého provozu? Kromě zodpovězení této otázky se v novém díle postřehů podíváme též na chyby Wi-Fi, na Side-channel útok „Spy in the sandbox“, na „bezsouborový“ malware uložený v registrech, či na nebezpečné chyby v oblíbené platformě pro e-shopy.

Dělat si z lidí šoufky se nevyplácí, to věděl už Walter Sobchak v nesmrtelném filmu Big Lebowski. A už vůbec se to nevyplácí v dnešní někdy až moc paranoidní době. Nově se o tom přesvědčil i výzkumník Chris Roberts, známý svým zájmem o prostředky hromadné dopravy. Jeho zábavný tweet o manipulaci s „engine-indicating and crew-alerting systémem“ (EICAS) Boeingu, ve kterém právě letěl, mu zajistil několikahodinovou pozornost FBI ihned po přistání a zabavení jeho elektronických zařízení. Roberts svým vtipem reagoval na zprávu US Government Accountability Office o chybě letounů Boeing 787 Dreamliner, Airbus A350 a A380, jejichž Wi-Fi pro cestující mají používat stejnou síť jako avionika letounů.

V reakci na incident s Chrisem Robertsem pak FBI společně s TSA (Transportation Security Administration) vydala doporučení  pro palubní personál, který by si měl všímat podezřelých cestujících a reportovat případné pokusy o připojení neznámých kabelů do IFE (In Flight Entertainment) systémů, či neobvyklých částí sedaček, hlásit IFE systémy vykazující znaky pokusů o manipulaci, či snahy silou odstranit kryty síťových portů. Také je doporučováno procházení síťových logů letadla (On to do teď nikdo nedělal?) a hledání podezřelých aktivit, jako je skenování sítě či pokusy o průnik do systémů.

Naše postřehy

V uplynulém týdnu se objevila chyba v programu wpa_supplicant, který se používá v Linuxu, BSD, OS X i ve Windows. Chyba se týká způsobu, kterým wpa_supplicant používá SSID získané z management rámců upravujících informace o členech P2P. Chyba může vést k odhalení obsahu paměti, DoS a pravděpodobně i ke spuštění libovolného kódu. K dispozici je již záplata, případně lze jako první pomoc vypnout podporu P2P.

U Wi-Fi ještě chvíli zůstaneme. V iOS 8 byla nalezena zranitelnost nultého dne, která způsobuje opakované pády aplikací či celého systému, pokud se tento systém připojí k zlovolnému hotspotu. Jedná se v podstatě o klasický DoS. Pokud už se uživatel k takovémuto přístupovému bodu připojí, nemá jinou možnost, jak problém odstranit, než se vzdálit z jeho dosahu tak, aby se zařízení nemohlo po restartu k dané Wi-Fi znovu připojit.

„Spy in the sandbox“ je útok, při němž se pomocí javascriptu nahraného v prohlížeči sleduje L3 cache procesoru, respektive doba potřebná k přístupu k těmto datům. Útočníkovi tedy stačí, pokud oběť přistoupí na stránky, jejichž obsah má pod kontrolou. Podle analytiků, kteří útok objevili, funguje útok zhruba na 80 procentech dnes používaných desktopů. Analytici zatím nezveřejnili přesný kód exploitu, aby měli výrobci prohlížečů čas vytvořit potřebné záplaty. Zatím doporučují uživatelům zavírat nepotřebné záložky v prohlížeči, pokud se chystají dělat na svém PC cokoliv citlivého.

Vyšla nová verze oblíbeného CMS WordPress 4.1.2. Je to v podstatě kritická bezpečnostní záplata pro všechny předchozí verze, proto se doporučuje ihned updatovat. Kromě XSS zranitelnosti opravuje také chyby jako SQLi, či možnost uploadu souborů s nevalidními názvy. Kromě nové verze WordPressu vyšlo také několik bezpečnostních záplat pro různé pluginy.

V oblíbené platformě Magento pro provozování online e-shopů byla nalezena bezpečnostní díra, která ohrožuje milióny uživatelů, kteří nakupují na některém z e-shopů postavených na této platformě. Nezáplatovaná verze obsahuje řetězec několika zranitelností, které ve svém důsledku umožňují útočníkovi spustit na serveru vlastní PHP kód. Díky tomu získá útočník kompletní kontrolu nad obchodem i jeho databází. To může být útočníkem využito k získání přístupu k informacím o kreditních kartách a dalších osobních informací zákazníků nakupujících na zranitelných stránkách. To, co by mohlo provozovatele e-shopů na této platformě trochu znervózňovat, je fakt, že netrvalo ani 24 hodin, než se objevily pokusy o zneužití těchto zranitelností. Dvě IP adresy alokované v Rusku se pokouší vytvořit v Magento databázi nového admin uživatele. Kdo nezáplatoval hned, už je pravděpodobně kompromitován, nebo brzy bude. V pozorovaném útoku se vytvářeli uživatelé vpwq či defaultmanager, jejich nález v databázi je tedy potvrzením úspěšné kompromitace spravovaného systému.

Společnost Trend Micro zaznamenala prodej již dříve pozorovaného fileless malware Phasebot, tedy malware, který na počítači nevytváří žádné vlastní soubory. Ke svému uložení používá registry Windows. Co je ovšem zajímavé, pro spuštění jednotlivých komponent z registru používá PowerShell, který je od Windows 7 nedílnou součástí výchozí instalace. Společnost Trend Micro předpokládá, že se k podobným technikám bude přiklánět stále více tvůrců malware. Ostatně i Phasebot je pravděpodobně jen vylepšenou verzí dřívějšího malware Solarbot.

Ve zkratce

Pro pobavení

TSA rozšířila svá doporučení ohledně bezpečnosti

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Lupa.cz: Elektronika tajemství zbavená. Jak s ní začít?

Elektronika tajemství zbavená. Jak s ní začít?

120na80.cz: Bylinka pro dobrý sex. Jaká to je?

Bylinka pro dobrý sex. Jaká to je?

Vitalia.cz: Lidl opakovaně nabízel falšované potraviny

Lidl opakovaně nabízel falšované potraviny

Lupa.cz: Online porno ničí sexuální život mladých mužů

Online porno ničí sexuální život mladých mužů

Lupa.cz: Kolín dá čipy na náměstí, do kontejnerů i dětem

Kolín dá čipy na náměstí, do kontejnerů i dětem

Vitalia.cz: Nejlepší nápoj po sportu? Nealko pivo

Nejlepší nápoj po sportu? Nealko pivo

Root.cz: Legendární hra Quake slaví 20. narozeniny

Legendární hra Quake slaví 20. narozeniny

Lupa.cz: Milý deníčku, teď mi tě bude psát aplikace

Milý deníčku, teď mi tě bude psát aplikace

Vitalia.cz: Kedlubna, neobyčejná zelenina

Kedlubna, neobyčejná zelenina

DigiZone.cz: Budoucí DVB-T2: je tu test u ČRa

Budoucí DVB-T2: je tu test u ČRa

Podnikatel.cz: Čauky mňauky. Proč hledají lidé tento výraz?

Čauky mňauky. Proč hledají lidé tento výraz?

Lupa.cz: Jak připojit Colours? Gong má chytrou Wi-Fi

Jak připojit Colours? Gong má chytrou Wi-Fi

DigiZone.cz: Film+ a nevhodné snímky přes den

Film+ a nevhodné snímky přes den

Podnikatel.cz: Musí rentiér odvádět DPH?

Musí rentiér odvádět DPH?

Vitalia.cz: „Nepřeskakujte“ praktické lékaře

„Nepřeskakujte“ praktické lékaře

DigiZone.cz: Prima a vznik slovenského kanálu

Prima a vznik slovenského kanálu

Lupa.cz: Nechcete datacentrum? Jsou na prodej

Nechcete datacentrum? Jsou na prodej

Lupa.cz: Samořídicí taxíky jsou tu. Začíná s nimi Uber

Samořídicí taxíky jsou tu. Začíná s nimi Uber

Vitalia.cz: Nadměrná mateřská péče škodí zdraví

Nadměrná mateřská péče škodí zdraví

Lupa.cz: První robotické taxíky už vozí pasažéry

První robotické taxíky už vozí pasažéry