Postřehy z bezpečnosti: goodware vám napadne a zabezpečí router

Zuzana Duračinská 15. 2. 2016

V dnešním díle pravidelných pondělních bezpečnostních postřehů se podíváme na pokračování případu dobrého malwaru pro routery, kritickou zranitelnost v Cisco ASA softwaru či frameworku Sparkle.

Karta se obrací?

Světem se šíří zprávy z oblasti bezpečnosti a to hlavně negativního charakteru. I když jde často o velice zajímavé případy, pointa je většinou v nalezení zranitelnosti či bugu a jejím zneužití. Co když se však chyba zneužije v pozitivním slova smyslu?

Minulý týden jste se v Postřezích z bezpečnosti mohli dočíst o relativně kuriózním případu, kdy malware nahradil antivirový program. Tenhle týden nás potěšila další pozitivní zpráva ze soudku White hackeru. Jejich cíl je jasný: zabezpečit 200 000 routerů. Již minulý rok jste mohli zachytit zprávu o tom, jak se jim podařilo zlepšit zabezpečení 10 000 routerů. Psali jsme o tom i v tomto seriálu. Modus operandi je přitom stejný. Po tom, co se malware (neboli v tomto případě goodware) dostane na koncové zařízení, připojí se do peer-to-peer sítě a čeká na další pokyny. Tu však přichází ta pozitivní stránka věci. Namísto nějakého payloadu se snaží detekovat na koncovém zařízení škodlivý kód. Po detekování malware pak nastanou dvě věci:

a) budete požádáni o změnu výchozího hesla,

b) budete požádáni o zavření potenciálně nezabezpečených telnet portů.

Do malware „Linux.Wifatch“ neboli „Wifatch“ se teď ještě přidala detekce DNS poisoningu, backdoorů či vypnutého firewallu. Tento mal(good)ware je zveřejněný jako open source na GitLabu. Dle portálu TheHackerNews se hackerům podařilo tenhle týden „nakazit“ dalších 70 000 routerů. V každém případu je však nějaké, ‚ale‘. Tady jsou hned dvě. Malware Wifatch je často příliš velký pro instalaci na menších routerech. Druhé ‚ale‘ je v backdoorech. I když zatím není známo, zdali byly tyto backdoory zneužity, výzkumníci je v kódu našli. Bližší analýzu jednoho z prvních případů nákazy tímto malwarem se dočtete v loňské zprávě od Symantecu. K odstranění tohoto malware by měl stačit reset routeru, update firware a změna hesla. To však problém řeší jen částečně. Problémem jsou často chybějící aktualizace. Jeden tip na router s pravidelnými aktualizacemi bych měla.

Naše postřehy

Jak už bývá v uterý zvykem, Microsoft záplatoval. A zase bylo co. Jedna z nejkritičtějších zranitelností z tohoto balíku se dotýká všech podporovaných verzí včetně Windows 10. Zranitelnost spočívá ve vzdáleném spuštění kódu poté, co útočník přiměje uživatele k otevření upraveného žurnálovacího souboru (Windows Journal). Uživatelé, kteří mají v systému menší práva, nejsou tak postiženi jako ti, kteří mají administrátorská práva. Zároveň se spustila stránka, kde můžete sledovat historické updaty Windows 10, seznamy zranitelností a oprav vztahujících se na tuto verzi.

Kritická zranitelnost, která dosáhla až skóre 10, se objevila v Cisco ASA software. Cisco ASA Adaptive Security Appliance je IP router, který může sloužit i jako síťový antivir, IPS či VPN server. Zneužití je možné zasláním upravených UDP paketů do zranitelného zařízení. Dostupný je i seznam zranitelných zařízení.

Oracle vydal záplatu pro zranitelnost označenou jako CVE-2016–0603. Zranitelnost je poměrně komplexní a náročná na zneužití, avšak při jejím úspěšném využití hrozí kompromitace celého systému. Zranitelnost se týká jen platformy Windows.

Teď by měli zpozornět uživatelé Apple. Nová zranitelnost ve frameworku Sparkle nechává řadu macových aplikací zranitelných vůči Man-in-the-Middle. Tento open source framework využívá řada aplikací třetích stran pro automatické updaty. Problém však je v tom, že mnoho updatů je ze serverů stahovaných přes http, což v kombinaci se zranitelnou verzí Sparklu představuje problém. Developeři tak musí nejdříve updatovat Sparkle ve svých aplikacích, což nemusí být zrovna jednoduché. Seznam všech zranitelných aplikací bohužel není kompletní.

Cross-site scripting na webu sítě TOR byl opraven. Potom, jak TOR na výzvu k opravě nereagoval, se výzkumník Roy Jansen rozhodl zranitelnost zveřejnit. I když v mezičase TOR zveřejnil svůj první bug bounty program, úplně dobře to nedopadlo. Ten se totiž vztahuje jen na SW, ne na webové stránky, které projektu patří. V oblasti zodpovědného reportování zranitelností je bohužel ještě mnoho slabých článků.

V rámci Dne bezpečnějšího internetu, který připadl na úterý druhého týdne a druhého měsíce v roce oznámil Gmail dvě novinky, které plánuje (neznámo kdy) nasadit. Ta první souvisí s upozorňující stavovou ikonou, která bude indikovat, že někdo v komunikaci (příjemce nebo odesílatel) nepodporuje šifrovanou komunikaci a zpráva je tudíž zasílaná v clear textu. Druhé upozornění bude ve formě otazníku u avataru odesílatele. Ten se tam objeví vždy, když nebude jisté, že odesílatel je skutečně ten, za koho se vydává.

Adobe vydal záplaty pro řadu programů. Mezi nimi Flash Player, Photoshop, Bridge, Connect a Experience Manager.

Před dvěma týdny jsme informovali o zranitelnosti v aplikaci ShareIT od společnosti Lenovo. Návod k odstranění této zranitelnosti, která se týká platformy Windows a Android, najdete zde.

Ve zkratce

Ukradené záznamy z Department of Homeland Security

Skype Trojan

Hackeři nabízejí 23 000$za credentials zaměstnanců Apple

Bankomaty a trčící kabely

Nehacknutelný RFID?

Jak zareagují sociální sítě na jedno sportovní utkání?

Google odstranil přes 200 aplikací

Jak se hýbe s rublem pomocí malware

Jak bude vypadat 5G v 2020?

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Vitalia.cz: Proč máme prasklý chléb nejraději?

Proč máme prasklý chléb nejraději?

120na80.cz: Kvete kaštan, uvařte si čaj

Kvete kaštan, uvařte si čaj

120na80.cz: Vyzrajte na návaly a pocení v přechodu

Vyzrajte na návaly a pocení v přechodu

Lupa.cz: Válka e-shopů. Alza končí s Heurekou

Válka e-shopů. Alza končí s Heurekou

DigiZone.cz: Šlágr TV: pokuta 100 tisíc za on-line

Šlágr TV: pokuta 100 tisíc za on-line

Vitalia.cz: SÚKL: vakcíny jsou bezpečné a s autismem nesouvisí

SÚKL: vakcíny jsou bezpečné a s autismem nesouvisí

Vitalia.cz: Před, nebo po snídani? Kdy je lepší čistit si zuby

Před, nebo po snídani? Kdy je lepší čistit si zuby

Vitalia.cz: Ministerstvo: tyto příbory jsou nebezpečné

Ministerstvo: tyto příbory jsou nebezpečné

Vitalia.cz: Taky ji kupujete? Je šizená

Taky ji kupujete? Je šizená

Vitalia.cz: Děti jsou sportem opotřebované

Děti jsou sportem opotřebované

Podnikatel.cz: Přechod z OSVČ na firmu? Totální šok!

Přechod z OSVČ na firmu? Totální šok!

Root.cz: Zákon o hazardu je v rozporu s ústavou

Zákon o hazardu je v rozporu s ústavou

Lupa.cz: Babiš: nevím o návodu, jak obejít blokování webů

Babiš: nevím o návodu, jak obejít blokování webů

Podnikatel.cz: Alza radí e-shopům, jak opustit Heureku

Alza radí e-shopům, jak opustit Heureku

120na80.cz: 5 triků, jak zastavit krvácení po holení

5 triků, jak zastavit krvácení po holení

Vitalia.cz: Syndrom počítačového vidění: stačí dvě hodiny denně

Syndrom počítačového vidění: stačí dvě hodiny denně

Lupa.cz: Kam si doma dáte internet věcí? Na polici?

Kam si doma dáte internet věcí? Na polici?

Vitalia.cz: Muži kouří 24 cigaret denně, ženy o dost míň

Muži kouří 24 cigaret denně, ženy o dost míň

Vitalia.cz: Kdy je čas na kouče a kdy na psychologa

Kdy je čas na kouče a kdy na psychologa

Lupa.cz: Přenos hokeje padal kvůli útoku, tvrdí O2

Přenos hokeje padal kvůli útoku, tvrdí O2