Postřehy z bezpečnosti: goodware vám napadne a zabezpečí router

Zuzana Duračinská 15. 2. 2016

V dnešním díle pravidelných pondělních bezpečnostních postřehů se podíváme na pokračování případu dobrého malwaru pro routery, kritickou zranitelnost v Cisco ASA softwaru či frameworku Sparkle.

Karta se obrací?

Světem se šíří zprávy z oblasti bezpečnosti a to hlavně negativního charakteru. I když jde často o velice zajímavé případy, pointa je většinou v nalezení zranitelnosti či bugu a jejím zneužití. Co když se však chyba zneužije v pozitivním slova smyslu?

Minulý týden jste se v Postřezích z bezpečnosti mohli dočíst o relativně kuriózním případu, kdy malware nahradil antivirový program. Tenhle týden nás potěšila další pozitivní zpráva ze soudku White hackeru. Jejich cíl je jasný: zabezpečit 200 000 routerů. Již minulý rok jste mohli zachytit zprávu o tom, jak se jim podařilo zlepšit zabezpečení 10 000 routerů. Psali jsme o tom i v tomto seriálu. Modus operandi je přitom stejný. Po tom, co se malware (neboli v tomto případě goodware) dostane na koncové zařízení, připojí se do peer-to-peer sítě a čeká na další pokyny. Tu však přichází ta pozitivní stránka věci. Namísto nějakého payloadu se snaží detekovat na koncovém zařízení škodlivý kód. Po detekování malware pak nastanou dvě věci:

a) budete požádáni o změnu výchozího hesla,

b) budete požádáni o zavření potenciálně nezabezpečených telnet portů.

Do malware „Linux.Wifatch“ neboli „Wifatch“ se teď ještě přidala detekce DNS poisoningu, backdoorů či vypnutého firewallu. Tento mal(good)ware je zveřejněný jako open source na GitLabu. Dle portálu TheHackerNews se hackerům podařilo tenhle týden „nakazit“ dalších 70 000 routerů. V každém případu je však nějaké, ‚ale‘. Tady jsou hned dvě. Malware Wifatch je často příliš velký pro instalaci na menších routerech. Druhé ‚ale‘ je v backdoorech. I když zatím není známo, zdali byly tyto backdoory zneužity, výzkumníci je v kódu našli. Bližší analýzu jednoho z prvních případů nákazy tímto malwarem se dočtete v loňské zprávě od Symantecu. K odstranění tohoto malware by měl stačit reset routeru, update firware a změna hesla. To však problém řeší jen částečně. Problémem jsou často chybějící aktualizace. Jeden tip na router s pravidelnými aktualizacemi bych měla.

Naše postřehy

Jak už bývá v uterý zvykem, Microsoft záplatoval. A zase bylo co. Jedna z nejkritičtějších zranitelností z tohoto balíku se dotýká všech podporovaných verzí včetně Windows 10. Zranitelnost spočívá ve vzdáleném spuštění kódu poté, co útočník přiměje uživatele k otevření upraveného žurnálovacího souboru (Windows Journal). Uživatelé, kteří mají v systému menší práva, nejsou tak postiženi jako ti, kteří mají administrátorská práva. Zároveň se spustila stránka, kde můžete sledovat historické updaty Windows 10, seznamy zranitelností a oprav vztahujících se na tuto verzi.

Kritická zranitelnost, která dosáhla až skóre 10, se objevila v Cisco ASA software. Cisco ASA Adaptive Security Appliance je IP router, který může sloužit i jako síťový antivir, IPS či VPN server. Zneužití je možné zasláním upravených UDP paketů do zranitelného zařízení. Dostupný je i seznam zranitelných zařízení.

Oracle vydal záplatu pro zranitelnost označenou jako CVE-2016–0603. Zranitelnost je poměrně komplexní a náročná na zneužití, avšak při jejím úspěšném využití hrozí kompromitace celého systému. Zranitelnost se týká jen platformy Windows.

Teď by měli zpozornět uživatelé Apple. Nová zranitelnost ve frameworku Sparkle nechává řadu macových aplikací zranitelných vůči Man-in-the-Middle. Tento open source framework využívá řada aplikací třetích stran pro automatické updaty. Problém však je v tom, že mnoho updatů je ze serverů stahovaných přes http, což v kombinaci se zranitelnou verzí Sparklu představuje problém. Developeři tak musí nejdříve updatovat Sparkle ve svých aplikacích, což nemusí být zrovna jednoduché. Seznam všech zranitelných aplikací bohužel není kompletní.

Cross-site scripting na webu sítě TOR byl opraven. Potom, jak TOR na výzvu k opravě nereagoval, se výzkumník Roy Jansen rozhodl zranitelnost zveřejnit. I když v mezičase TOR zveřejnil svůj první bug bounty program, úplně dobře to nedopadlo. Ten se totiž vztahuje jen na SW, ne na webové stránky, které projektu patří. V oblasti zodpovědného reportování zranitelností je bohužel ještě mnoho slabých článků.

V rámci Dne bezpečnějšího internetu, který připadl na úterý druhého týdne a druhého měsíce v roce oznámil Gmail dvě novinky, které plánuje (neznámo kdy) nasadit. Ta první souvisí s upozorňující stavovou ikonou, která bude indikovat, že někdo v komunikaci (příjemce nebo odesílatel) nepodporuje šifrovanou komunikaci a zpráva je tudíž zasílaná v clear textu. Druhé upozornění bude ve formě otazníku u avataru odesílatele. Ten se tam objeví vždy, když nebude jisté, že odesílatel je skutečně ten, za koho se vydává.

Adobe vydal záplaty pro řadu programů. Mezi nimi Flash Player, Photoshop, Bridge, Connect a Experience Manager.

Před dvěma týdny jsme informovali o zranitelnosti v aplikaci ShareIT od společnosti Lenovo. Návod k odstranění této zranitelnosti, která se týká platformy Windows a Android, najdete zde.

Ve zkratce

Ukradené záznamy z Department of Homeland Security

Skype Trojan

Hackeři nabízejí 23 000$za credentials zaměstnanců Apple

Bankomaty a trčící kabely

Nehacknutelný RFID?

Jak zareagují sociální sítě na jedno sportovní utkání?

Google odstranil přes 200 aplikací

Jak se hýbe s rublem pomocí malware

Jak bude vypadat 5G v 2020?

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Vitalia.cz: Očkování je nutné, říká homeopatka

Očkování je nutné, říká homeopatka

Lupa.cz: Olympiáda zakázala GIFy. Moc to nepomáhá

Olympiáda zakázala GIFy. Moc to nepomáhá

Měšec.cz: Platíme NFC mobilem. Konečně to funguje!

Platíme NFC mobilem. Konečně to funguje!

Vitalia.cz: Galerie: Strouhanka ze starých rohlíků? Kdepak

Galerie: Strouhanka ze starých rohlíků? Kdepak

Měšec.cz: Investiční pasti. Děláte to, co ostatní, ale proděláváte

Investiční pasti. Děláte to, co ostatní, ale proděláváte

Podnikatel.cz: Česká pošta vycouvala ze služby ČP Cloud

Česká pošta vycouvala ze služby ČP Cloud

Podnikatel.cz: OSA zdraží, ale taky přidá nový poplatek

OSA zdraží, ale taky přidá nový poplatek

Lupa.cz: Elektronika tajemství zbavená. Jak s ní začít?

Elektronika tajemství zbavená. Jak s ní začít?

Podnikatel.cz: Pozor na vykuky, imitují služby České pošty

Pozor na vykuky, imitují služby České pošty

120na80.cz: Kam umístit silikony?

Kam umístit silikony?

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

Lupa.cz: Co vzal čas: internetové kavárny a herny

Co vzal čas: internetové kavárny a herny

DigiZone.cz: Jetelín končí. Prima ho vyřadila

Jetelín končí. Prima ho vyřadila

Vitalia.cz: Vakcína Cervarix je oficiálně i pro chlapce

Vakcína Cervarix je oficiálně i pro chlapce

Měšec.cz: Test: Výběry z bankomatů v cizině a kurzy

Test: Výběry z bankomatů v cizině a kurzy

Měšec.cz: Se stavebkem k soudu už (většinou) nemusíte

Se stavebkem k soudu už (většinou) nemusíte

DigiZone.cz: ČTÚ červenec: rušení trochu vzrostlo

ČTÚ červenec: rušení trochu vzrostlo

Lupa.cz: Nechcete datacentrum? Jsou na prodej

Nechcete datacentrum? Jsou na prodej

Lupa.cz: Kdo vykrádá LinkedIn? Zjistit to má soud

Kdo vykrádá LinkedIn? Zjistit to má soud

Lupa.cz: Hackujete? Můžete mít problém sehnat práci

Hackujete? Můžete mít problém sehnat práci