Postřehy z bezpečnosti: goodware vám napadne a zabezpečí router

Zuzana Duračinská 15. 2. 2016

V dnešním díle pravidelných pondělních bezpečnostních postřehů se podíváme na pokračování případu dobrého malwaru pro routery, kritickou zranitelnost v Cisco ASA softwaru či frameworku Sparkle.

Karta se obrací?

Světem se šíří zprávy z oblasti bezpečnosti a to hlavně negativního charakteru. I když jde často o velice zajímavé případy, pointa je většinou v nalezení zranitelnosti či bugu a jejím zneužití. Co když se však chyba zneužije v pozitivním slova smyslu?

Minulý týden jste se v Postřezích z bezpečnosti mohli dočíst o relativně kuriózním případu, kdy malware nahradil antivirový program. Tenhle týden nás potěšila další pozitivní zpráva ze soudku White hackeru. Jejich cíl je jasný: zabezpečit 200 000 routerů. Již minulý rok jste mohli zachytit zprávu o tom, jak se jim podařilo zlepšit zabezpečení 10 000 routerů. Psali jsme o tom i v tomto seriálu. Modus operandi je přitom stejný. Po tom, co se malware (neboli v tomto případě goodware) dostane na koncové zařízení, připojí se do peer-to-peer sítě a čeká na další pokyny. Tu však přichází ta pozitivní stránka věci. Namísto nějakého payloadu se snaží detekovat na koncovém zařízení škodlivý kód. Po detekování malware pak nastanou dvě věci:

a) budete požádáni o změnu výchozího hesla,

b) budete požádáni o zavření potenciálně nezabezpečených telnet portů.

Do malware „Linux.Wifatch“ neboli „Wifatch“ se teď ještě přidala detekce DNS poisoningu, backdoorů či vypnutého firewallu. Tento mal(good)ware je zveřejněný jako open source na GitLabu. Dle portálu TheHackerNews se hackerům podařilo tenhle týden „nakazit“ dalších 70 000 routerů. V každém případu je však nějaké, ‚ale‘. Tady jsou hned dvě. Malware Wifatch je často příliš velký pro instalaci na menších routerech. Druhé ‚ale‘ je v backdoorech. I když zatím není známo, zdali byly tyto backdoory zneužity, výzkumníci je v kódu našli. Bližší analýzu jednoho z prvních případů nákazy tímto malwarem se dočtete v loňské zprávě od Symantecu. K odstranění tohoto malware by měl stačit reset routeru, update firware a změna hesla. To však problém řeší jen částečně. Problémem jsou často chybějící aktualizace. Jeden tip na router s pravidelnými aktualizacemi bych měla.

Naše postřehy

Jak už bývá v uterý zvykem, Microsoft záplatoval. A zase bylo co. Jedna z nejkritičtějších zranitelností z tohoto balíku se dotýká všech podporovaných verzí včetně Windows 10. Zranitelnost spočívá ve vzdáleném spuštění kódu poté, co útočník přiměje uživatele k otevření upraveného žurnálovacího souboru (Windows Journal). Uživatelé, kteří mají v systému menší práva, nejsou tak postiženi jako ti, kteří mají administrátorská práva. Zároveň se spustila stránka, kde můžete sledovat historické updaty Windows 10, seznamy zranitelností a oprav vztahujících se na tuto verzi.

Kritická zranitelnost, která dosáhla až skóre 10, se objevila v Cisco ASA software. Cisco ASA Adaptive Security Appliance je IP router, který může sloužit i jako síťový antivir, IPS či VPN server. Zneužití je možné zasláním upravených UDP paketů do zranitelného zařízení. Dostupný je i seznam zranitelných zařízení.

Oracle vydal záplatu pro zranitelnost označenou jako CVE-2016–0603. Zranitelnost je poměrně komplexní a náročná na zneužití, avšak při jejím úspěšném využití hrozí kompromitace celého systému. Zranitelnost se týká jen platformy Windows.

Teď by měli zpozornět uživatelé Apple. Nová zranitelnost ve frameworku Sparkle nechává řadu macových aplikací zranitelných vůči Man-in-the-Middle. Tento open source framework využívá řada aplikací třetích stran pro automatické updaty. Problém však je v tom, že mnoho updatů je ze serverů stahovaných přes http, což v kombinaci se zranitelnou verzí Sparklu představuje problém. Developeři tak musí nejdříve updatovat Sparkle ve svých aplikacích, což nemusí být zrovna jednoduché. Seznam všech zranitelných aplikací bohužel není kompletní.

Cross-site scripting na webu sítě TOR byl opraven. Potom, jak TOR na výzvu k opravě nereagoval, se výzkumník Roy Jansen rozhodl zranitelnost zveřejnit. I když v mezičase TOR zveřejnil svůj první bug bounty program, úplně dobře to nedopadlo. Ten se totiž vztahuje jen na SW, ne na webové stránky, které projektu patří. V oblasti zodpovědného reportování zranitelností je bohužel ještě mnoho slabých článků.

V rámci Dne bezpečnějšího internetu, který připadl na úterý druhého týdne a druhého měsíce v roce oznámil Gmail dvě novinky, které plánuje (neznámo kdy) nasadit. Ta první souvisí s upozorňující stavovou ikonou, která bude indikovat, že někdo v komunikaci (příjemce nebo odesílatel) nepodporuje šifrovanou komunikaci a zpráva je tudíž zasílaná v clear textu. Druhé upozornění bude ve formě otazníku u avataru odesílatele. Ten se tam objeví vždy, když nebude jisté, že odesílatel je skutečně ten, za koho se vydává.

Adobe vydal záplaty pro řadu programů. Mezi nimi Flash Player, Photoshop, Bridge, Connect a Experience Manager.

Před dvěma týdny jsme informovali o zranitelnosti v aplikaci ShareIT od společnosti Lenovo. Návod k odstranění této zranitelnosti, která se týká platformy Windows a Android, najdete zde.

Ve zkratce

Ukradené záznamy z Department of Homeland Security

Skype Trojan

Hackeři nabízejí 23 000$za credentials zaměstnanců Apple

Bankomaty a trčící kabely

Nehacknutelný RFID?

Jak zareagují sociální sítě na jedno sportovní utkání?

Google odstranil přes 200 aplikací

Jak se hýbe s rublem pomocí malware

Jak bude vypadat 5G v 2020?

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Měšec.cz: Cestujte bez starostí, získejte výhodné pojištění

Cestujte bez starostí, získejte výhodné pojištění

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

Podnikatel.cz: "Okurku" vyřeší slevové servery. Už jim věřte

"Okurku" vyřeší slevové servery. Už jim věřte

120na80.cz: Fotografie z misí Lékařů bez hranic

Fotografie z misí Lékařů bez hranic

DigiZone.cz: Skylink zapojil nový transpondér

Skylink zapojil nový transpondér

Lupa.cz: Zaměstnanec T-Mobilu ukradl data o zákaznících

Zaměstnanec T-Mobilu ukradl data o zákaznících

DigiZone.cz: Loewe: už i bezztrátové streamování hudby

Loewe: už i bezztrátové streamování hudby

Vitalia.cz: Máte chutě? Nejezděte do světa, ale do Dobřichovic

Máte chutě? Nejezděte do světa, ale do Dobřichovic

DigiZone.cz: Noxon iRadio 1 W bude za pár měsíců

Noxon iRadio 1 W bude za pár měsíců

Podnikatel.cz: Zůstat na Heurece je čiré bláznovství

Zůstat na Heurece je čiré bláznovství

Vitalia.cz: Margit Slimáková nesnáší rajskou, Petr Fořt pizzu

Margit Slimáková nesnáší rajskou, Petr Fořt pizzu

DigiZone.cz: Soud zakázal šíření TV Markíza v ČR

Soud zakázal šíření TV Markíza v ČR

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Vitalia.cz: Epidemie: Klíšťová encefalitida po ovčím sýru

Epidemie: Klíšťová encefalitida po ovčím sýru

DigiZone.cz: Satelitní Flix TV vyráží do boje

Satelitní Flix TV vyráží do boje

Lupa.cz: Vzali věc, která fungovala, a přidali internet

Vzali věc, která fungovala, a přidali internet

Vitalia.cz: Tohle kafe má být hit léta

Tohle kafe má být hit léta

Vitalia.cz: Jeďte do lázní, to je holistika

Jeďte do lázní, to je holistika

DigiZone.cz: Euro 2016: HbbTV na ČT opět kvalitní

Euro 2016: HbbTV na ČT opět kvalitní

Měšec.cz: Práce na tři směny? Neblázněte, mám doma psa

Práce na tři směny? Neblázněte, mám doma psa