Postřehy z bezpečnosti: FBI radí, pátrá, informuje

Pavel Bašta 27. 4. 2015

Kam až může vést vtip na Twitteru, když se týká bezpečnosti leteckého provozu? Kromě zodpovězení této otázky se v novém díle postřehů podíváme též na chyby Wi-Fi, na Side-channel útok „Spy in the sandbox“, na „bezsouborový“ malware uložený v registrech, či na nebezpečné chyby v oblíbené platformě pro e-shopy.

Dělat si z lidí šoufky se nevyplácí, to věděl už Walter Sobchak v nesmrtelném filmu Big Lebowski. A už vůbec se to nevyplácí v dnešní někdy až moc paranoidní době. Nově se o tom přesvědčil i výzkumník Chris Roberts, známý svým zájmem o prostředky hromadné dopravy. Jeho zábavný tweet o manipulaci s „engine-indicating and crew-alerting systémem“ (EICAS) Boeingu, ve kterém právě letěl, mu zajistil několikahodinovou pozornost FBI ihned po přistání a zabavení jeho elektronických zařízení. Roberts svým vtipem reagoval na zprávu US Government Accountability Office o chybě letounů Boeing 787 Dreamliner, Airbus A350 a A380, jejichž Wi-Fi pro cestující mají používat stejnou síť jako avionika letounů.

V reakci na incident s Chrisem Robertsem pak FBI společně s TSA (Transportation Security Administration) vydala doporučení  pro palubní personál, který by si měl všímat podezřelých cestujících a reportovat případné pokusy o připojení neznámých kabelů do IFE (In Flight Entertainment) systémů, či neobvyklých částí sedaček, hlásit IFE systémy vykazující znaky pokusů o manipulaci, či snahy silou odstranit kryty síťových portů. Také je doporučováno procházení síťových logů letadla (On to do teď nikdo nedělal?) a hledání podezřelých aktivit, jako je skenování sítě či pokusy o průnik do systémů.

Naše postřehy

V uplynulém týdnu se objevila chyba v programu wpa_supplicant, který se používá v Linuxu, BSD, OS X i ve Windows. Chyba se týká způsobu, kterým wpa_supplicant používá SSID získané z management rámců upravujících informace o členech P2P. Chyba může vést k odhalení obsahu paměti, DoS a pravděpodobně i ke spuštění libovolného kódu. K dispozici je již záplata, případně lze jako první pomoc vypnout podporu P2P.

U Wi-Fi ještě chvíli zůstaneme. V iOS 8 byla nalezena zranitelnost nultého dne, která způsobuje opakované pády aplikací či celého systému, pokud se tento systém připojí k zlovolnému hotspotu. Jedná se v podstatě o klasický DoS. Pokud už se uživatel k takovémuto přístupovému bodu připojí, nemá jinou možnost, jak problém odstranit, než se vzdálit z jeho dosahu tak, aby se zařízení nemohlo po restartu k dané Wi-Fi znovu připojit.

„Spy in the sandbox“ je útok, při němž se pomocí javascriptu nahraného v prohlížeči sleduje L3 cache procesoru, respektive doba potřebná k přístupu k těmto datům. Útočníkovi tedy stačí, pokud oběť přistoupí na stránky, jejichž obsah má pod kontrolou. Podle analytiků, kteří útok objevili, funguje útok zhruba na 80 procentech dnes používaných desktopů. Analytici zatím nezveřejnili přesný kód exploitu, aby měli výrobci prohlížečů čas vytvořit potřebné záplaty. Zatím doporučují uživatelům zavírat nepotřebné záložky v prohlížeči, pokud se chystají dělat na svém PC cokoliv citlivého.

Vyšla nová verze oblíbeného CMS WordPress 4.1.2. Je to v podstatě kritická bezpečnostní záplata pro všechny předchozí verze, proto se doporučuje ihned updatovat. Kromě XSS zranitelnosti opravuje také chyby jako SQLi, či možnost uploadu souborů s nevalidními názvy. Kromě nové verze WordPressu vyšlo také několik bezpečnostních záplat pro různé pluginy.

V oblíbené platformě Magento pro provozování online e-shopů byla nalezena bezpečnostní díra, která ohrožuje milióny uživatelů, kteří nakupují na některém z e-shopů postavených na této platformě. Nezáplatovaná verze obsahuje řetězec několika zranitelností, které ve svém důsledku umožňují útočníkovi spustit na serveru vlastní PHP kód. Díky tomu získá útočník kompletní kontrolu nad obchodem i jeho databází. To může být útočníkem využito k získání přístupu k informacím o kreditních kartách a dalších osobních informací zákazníků nakupujících na zranitelných stránkách. To, co by mohlo provozovatele e-shopů na této platformě trochu znervózňovat, je fakt, že netrvalo ani 24 hodin, než se objevily pokusy o zneužití těchto zranitelností. Dvě IP adresy alokované v Rusku se pokouší vytvořit v Magento databázi nového admin uživatele. Kdo nezáplatoval hned, už je pravděpodobně kompromitován, nebo brzy bude. V pozorovaném útoku se vytvářeli uživatelé vpwq či defaultmanager, jejich nález v databázi je tedy potvrzením úspěšné kompromitace spravovaného systému.

Společnost Trend Micro zaznamenala prodej již dříve pozorovaného fileless malware Phasebot, tedy malware, který na počítači nevytváří žádné vlastní soubory. Ke svému uložení používá registry Windows. Co je ovšem zajímavé, pro spuštění jednotlivých komponent z registru používá PowerShell, který je od Windows 7 nedílnou součástí výchozí instalace. Společnost Trend Micro předpokládá, že se k podobným technikám bude přiklánět stále více tvůrců malware. Ostatně i Phasebot je pravděpodobně jen vylepšenou verzí dřívějšího malware Solarbot.

Ve zkratce

Pro pobavení

TSA rozšířila svá doporučení ohledně bezpečnosti

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
DigiZone.cz: ČRa hodnotí pilotní 4K vysílání

ČRa hodnotí pilotní 4K vysílání

Měšec.cz: Cestujte bez starostí, získejte výhodné pojištění

Cestujte bez starostí, získejte výhodné pojištění

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

Podnikatel.cz: Zůstat na Heurece je čiré bláznovství

Zůstat na Heurece je čiré bláznovství

Podnikatel.cz: Babiš představil daňovou revoluci Moje daně

Babiš představil daňovou revoluci Moje daně

Vitalia.cz: Epidemie: Klíšťová encefalitida po ovčím sýru

Epidemie: Klíšťová encefalitida po ovčím sýru

DigiZone.cz: Mobilní aplikace pro DVTV je tady

Mobilní aplikace pro DVTV je tady

DigiZone.cz: Satelitní Flix TV vyráží do boje

Satelitní Flix TV vyráží do boje

DigiZone.cz: Noxon iRadio 1 W bude za pár měsíců

Noxon iRadio 1 W bude za pár měsíců

DigiZone.cz: HbbTV KinoSvět: už jede na dalších TV

HbbTV KinoSvět: už jede na dalších TV

Podnikatel.cz: 10 citátů Billa Gatese: tesat do kamene

10 citátů Billa Gatese: tesat do kamene

Vitalia.cz: Margit Slimáková nesnáší rajskou, Petr Fořt pizzu

Margit Slimáková nesnáší rajskou, Petr Fořt pizzu

Root.cz: Quake slaví 20 let novou epizodou zdarma

Quake slaví 20 let novou epizodou zdarma

Lupa.cz: Nej aplikace? Vodafone, Mozkovna, Záchranka

Nej aplikace? Vodafone, Mozkovna, Záchranka

Podnikatel.cz: Takhle si Babiš představuje nové daně

Takhle si Babiš představuje nové daně

Vitalia.cz: Jíme přesolené potraviny. Zrovna tyhle

Jíme přesolené potraviny. Zrovna tyhle

DigiZone.cz: Dabingové ceny znají letošní nominace

Dabingové ceny znají letošní nominace

DigiZone.cz: Soud zakázal šíření TV Markíza v ČR

Soud zakázal šíření TV Markíza v ČR

Podnikatel.cz: Chce s trdelníky ovládnout Asii. Poznejte ho

Chce s trdelníky ovládnout Asii. Poznejte ho

Lupa.cz: Vydavatelé jsou v háji, ale neumí si to připustit

Vydavatelé jsou v háji, ale neumí si to připustit