Postřehy z bezpečnosti: goodware vám napadne a zabezpečí router

Zuzana Duračinská 15. 2. 2016

V dnešním díle pravidelných pondělních bezpečnostních postřehů se podíváme na pokračování případu dobrého malwaru pro routery, kritickou zranitelnost v Cisco ASA softwaru či frameworku Sparkle.

Karta se obrací?

Světem se šíří zprávy z oblasti bezpečnosti a to hlavně negativního charakteru. I když jde často o velice zajímavé případy, pointa je většinou v nalezení zranitelnosti či bugu a jejím zneužití. Co když se však chyba zneužije v pozitivním slova smyslu?

Minulý týden jste se v Postřezích z bezpečnosti mohli dočíst o relativně kuriózním případu, kdy malware nahradil antivirový program. Tenhle týden nás potěšila další pozitivní zpráva ze soudku White hackeru. Jejich cíl je jasný: zabezpečit 200 000 routerů. Již minulý rok jste mohli zachytit zprávu o tom, jak se jim podařilo zlepšit zabezpečení 10 000 routerů. Psali jsme o tom i v tomto seriálu. Modus operandi je přitom stejný. Po tom, co se malware (neboli v tomto případě goodware) dostane na koncové zařízení, připojí se do peer-to-peer sítě a čeká na další pokyny. Tu však přichází ta pozitivní stránka věci. Namísto nějakého payloadu se snaží detekovat na koncovém zařízení škodlivý kód. Po detekování malware pak nastanou dvě věci:

a) budete požádáni o změnu výchozího hesla,

b) budete požádáni o zavření potenciálně nezabezpečených telnet portů.

Do malware „Linux.Wifatch“ neboli „Wifatch“ se teď ještě přidala detekce DNS poisoningu, backdoorů či vypnutého firewallu. Tento mal(good)ware je zveřejněný jako open source na GitLabu. Dle portálu TheHackerNews se hackerům podařilo tenhle týden „nakazit“ dalších 70 000 routerů. V každém případu je však nějaké, ‚ale‘. Tady jsou hned dvě. Malware Wifatch je často příliš velký pro instalaci na menších routerech. Druhé ‚ale‘ je v backdoorech. I když zatím není známo, zdali byly tyto backdoory zneužity, výzkumníci je v kódu našli. Bližší analýzu jednoho z prvních případů nákazy tímto malwarem se dočtete v loňské zprávě od Symantecu. K odstranění tohoto malware by měl stačit reset routeru, update firware a změna hesla. To však problém řeší jen částečně. Problémem jsou často chybějící aktualizace. Jeden tip na router s pravidelnými aktualizacemi bych měla.

Naše postřehy

Jak už bývá v uterý zvykem, Microsoft záplatoval. A zase bylo co. Jedna z nejkritičtějších zranitelností z tohoto balíku se dotýká všech podporovaných verzí včetně Windows 10. Zranitelnost spočívá ve vzdáleném spuštění kódu poté, co útočník přiměje uživatele k otevření upraveného žurnálovacího souboru (Windows Journal). Uživatelé, kteří mají v systému menší práva, nejsou tak postiženi jako ti, kteří mají administrátorská práva. Zároveň se spustila stránka, kde můžete sledovat historické updaty Windows 10, seznamy zranitelností a oprav vztahujících se na tuto verzi.

Kritická zranitelnost, která dosáhla až skóre 10, se objevila v Cisco ASA software. Cisco ASA Adaptive Security Appliance je IP router, který může sloužit i jako síťový antivir, IPS či VPN server. Zneužití je možné zasláním upravených UDP paketů do zranitelného zařízení. Dostupný je i seznam zranitelných zařízení.

Oracle vydal záplatu pro zranitelnost označenou jako CVE-2016–0603. Zranitelnost je poměrně komplexní a náročná na zneužití, avšak při jejím úspěšném využití hrozí kompromitace celého systému. Zranitelnost se týká jen platformy Windows.

Teď by měli zpozornět uživatelé Apple. Nová zranitelnost ve frameworku Sparkle nechává řadu macových aplikací zranitelných vůči Man-in-the-Middle. Tento open source framework využívá řada aplikací třetích stran pro automatické updaty. Problém však je v tom, že mnoho updatů je ze serverů stahovaných přes http, což v kombinaci se zranitelnou verzí Sparklu představuje problém. Developeři tak musí nejdříve updatovat Sparkle ve svých aplikacích, což nemusí být zrovna jednoduché. Seznam všech zranitelných aplikací bohužel není kompletní.

Cross-site scripting na webu sítě TOR byl opraven. Potom, jak TOR na výzvu k opravě nereagoval, se výzkumník Roy Jansen rozhodl zranitelnost zveřejnit. I když v mezičase TOR zveřejnil svůj první bug bounty program, úplně dobře to nedopadlo. Ten se totiž vztahuje jen na SW, ne na webové stránky, které projektu patří. V oblasti zodpovědného reportování zranitelností je bohužel ještě mnoho slabých článků.

V rámci Dne bezpečnějšího internetu, který připadl na úterý druhého týdne a druhého měsíce v roce oznámil Gmail dvě novinky, které plánuje (neznámo kdy) nasadit. Ta první souvisí s upozorňující stavovou ikonou, která bude indikovat, že někdo v komunikaci (příjemce nebo odesílatel) nepodporuje šifrovanou komunikaci a zpráva je tudíž zasílaná v clear textu. Druhé upozornění bude ve formě otazníku u avataru odesílatele. Ten se tam objeví vždy, když nebude jisté, že odesílatel je skutečně ten, za koho se vydává.

Adobe vydal záplaty pro řadu programů. Mezi nimi Flash Player, Photoshop, Bridge, Connect a Experience Manager.

Před dvěma týdny jsme informovali o zranitelnosti v aplikaci ShareIT od společnosti Lenovo. Návod k odstranění této zranitelnosti, která se týká platformy Windows a Android, najdete zde.

Ve zkratce

Ukradené záznamy z Department of Homeland Security

Skype Trojan

Hackeři nabízejí 23 000$za credentials zaměstnanců Apple

Bankomaty a trčící kabely

Nehacknutelný RFID?

Jak zareagují sociální sítě na jedno sportovní utkání?

Google odstranil přes 200 aplikací

Jak se hýbe s rublem pomocí malware

Jak bude vypadat 5G v 2020?

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
120na80.cz: Tipy pro odvodnění organismu

Tipy pro odvodnění organismu

DigiZone.cz: O2 Sport mění název, přejde i na Full HD

O2 Sport mění název, přejde i na Full HD

Vitalia.cz: Signál roztroušené sklerózy: brnění končetin

Signál roztroušené sklerózy: brnění končetin

Lupa.cz: eIDAS: Nepřehnali jsme to s výjimkami?

eIDAS: Nepřehnali jsme to s výjimkami?

Vitalia.cz: Bio vejce nepoznají ani veterináři

Bio vejce nepoznají ani veterináři

Podnikatel.cz: Polská vejce na českém pultu Albertu

Polská vejce na českém pultu Albertu

Měšec.cz: Do ostravské MHD bez jízdenky. Stačí vaše karta

Do ostravské MHD bez jízdenky. Stačí vaše karta

Lupa.cz: V Praze se otevřel první podnik s virtuální realitou

V Praze se otevřel první podnik s virtuální realitou

Podnikatel.cz: Fotogalerie: Jesenka už má skoro 50 let

Fotogalerie: Jesenka už má skoro 50 let

Měšec.cz: Platíme NFC mobilem. Konečně to funguje!

Platíme NFC mobilem. Konečně to funguje!

Vitalia.cz: Klíšťata letos řádí, skvrna se udělá jen někomu

Klíšťata letos řádí, skvrna se udělá jen někomu

DigiZone.cz: Markíza HD a Dajto? U Digi TV asi minulost

Markíza HD a Dajto? U Digi TV asi minulost

Měšec.cz: Investice do drahých kovů - znáte základní chyby?

Investice do drahých kovů - znáte základní chyby?

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

DigiZone.cz: Sázka na e-sporty stanici Prima vychází

Sázka na e-sporty stanici Prima vychází

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

Měšec.cz: OSVČ a zálohy: kdy musíte a nemusíte platit?

OSVČ a zálohy: kdy musíte a nemusíte platit?

Měšec.cz: Co s reklamací, když e-shop krachuje?

Co s reklamací, když e-shop krachuje?

Vitalia.cz: Sobotní masakr žrádla, chlastu a zábavy

Sobotní masakr žrádla, chlastu a zábavy

Lupa.cz: Japonská invaze. Proč SoftBank kupuje ARM?

Japonská invaze. Proč SoftBank kupuje ARM?