Postřehy z bezpečnosti: krocení duchů v Linuxu

Pavel Bašta 2. 2. 2015

V dnešním díle postřehů se podíváme na zranitelnost v knihovně glibc pojmenovanou GHOST, povíme si o nové chybové hlášce webových serverů, řekneme si o další chybě SoHo routerů, společně zhodnotíme, zda má smysl investovat do nové verze trojského koně Zeus a samozřejmě si představíme i další zajímavosti.

Zranitelnost pojmenovaná GHOST byla objevena a zdokumentována analytiky společnosti Qualys. Jedná se o chybu funkce __nss_hostname_digits_dots() v knihovně glibc vedoucí k heap-based buffer overflow. Chyba se tak může týkat v podstatě každé linuxové aplikace, která provádí překlady doménových jmen. Vzdálený útočník může následně využít tuto chybu ke spuštění libovolného kódu s uživatelskými oprávněními aplikace, která tuto funkci volala. Zajímavé je, že tato chyba byla opravena již v květnu 2013 mezi verzemi glibc-2.17 a glibc-2.18. Bohužel však nebyla identifikována jako bezpečnostní problém, a proto je zranitelná verze stále používána v LTS verzích různých distribucí, jako například Debian 7 (Wheezy), Red Hat Enterprise Linux 6 a 7, CentOS 6 a 7, či Ubuntu 12.04. 

Aby toho nebylo málo, ukazuje se, že díky funkci WordPressu „wp_http_validate_url()“, která zranitelnou funkci využívá, může být hojně rozšířený WordPress vhodným vektorem pro provedení útoku proti zranitelnému serveru. Již byl také vytvořen proof-of-concept, který může při použití proti WordPressu na zranitelném serveru vést k přetečení bufferu. Problém se samozřejmě může týkat i dalších PHP aplikací, používajících stejnou funkci.

Doporučuje se tedy přejít co nejdříve na verzi knihovny 2.18, nebo pozdější.

Naše postřehy

Útočníci hlásící se k ISIS a operující pod názvem „Cyber Caliphate”, kompromitovali DNS servery společnosti Malaysia Airlines a návštěvníky v narážce na záhadně ztracený let MH370 přesměrovávali na stránky s chybovou hláškou „404-Plane Not Found”. Část dne tak byl vyřazen z provozu systém pro bookování letenek.

Byla oznámena chyba v super bezpečných zařízeních BlackPhone. Kritická chyba umožňovala pouhým posláním zprávy do aplikace Silent Text, která slouží pro bezpečnou textovou komunikaci, provést celou řadu operací, včetně dešifrování a čtení zpráv, nebo získání databáze kontaktů. Chyba již byla záplatována.

Společnost Mozilla se v listopadu spojila s projektem Tor, a to v nové iniciativě nazvané Polaris. Výsledkem této spolupráce je 12 nových vysoko kapacitních „Middle relays“, které budou pomáhat s lepší distribucí provozu od uživatelů.

Další kritická zranitelnost domácích routerů se tentokrát týká DSL routerů D-Link, ale protože byla nalezena na routeru s firmware ZynOS, pravděpodobně se tedy bude týkat i dalších výrobců, včetně TP-Linku. Útočník se může dostat do administračního rozhraní bez přihlášení a změnit v něm nastavení DNS. Pokud není administrační rozhraní dostupné přes WAN rozhraní, může se stále pokusit o vykonání tohoto útoku s využitím CSRF. Pro útok již byl publikován proof-of-concept exploit.

Již jednou zlikvidovaný Botnet ZeroAccess se opět vrátil na scénu. Samotný malware stahuje aplikaci, která pak provádí vyhledávání a klikání na výsledky. Tento způsob monetizace malware se nazývá click fraud a podle společnosti Symantec je to velice lukrativní business.

Nárůst služeb typu DDoS-for-hire vedl k novému boomu DDoS útoků a více než 40 procent všech DDoS útoků během posledního čtvrtletí roku 2014 využívalo amplification techniky. Vyplývá to ze zprávy společnosti Akamai. Stejnému tématu se ve svém článku pojmenovaném „Internet of Dangerous Things“ věnuje také známý bezpečnostní expert Brian Krebs.

Další malvertising kampaň, o kterých jsem tu více psal předminule, tentokrát využívala nedávno objevenou zranitelnost v Adobe Flash playeru. Kampaň probíhala na stránkách pro dospělé a návštěvníci s nezazáplatovanou verzí Flash Playeru si kromě zajímavých obrázků odnesli také malware Bedep, který je schopný provádět „advertising fraud“ či, případně stahovat do počítače další malware.

Nechvalně známý bankovní trojan Zeus má novou verzi. Zatím byla použita k útokům na uživatele v Kanadě. V době, kdy byla nová verze analyzována společností SentinelOne, ji ještě nedokázaly antivirové aplikace rozpoznat. Došlo také k vylepšení ovládacího panelu, který nyní zobrazuje detailní informace o každém kompromitovaném bankovním účtu, včetně zůstatku, aktuálního přihlášení do aplikace a webového prohlížeče oběti. V panelu jsou ale i další funkce týkající se převodů peněz, nebo odměn pro money mules (bílé koně).

A téměř na závěr bych vás rád upozornil na text kolegyně Zuzany Duračinské, která pro blog sdružení CZ.NIC připravila velice zajímavý text. Díky němu totiž snadno zjistíte, zda se vás, respektive vaší společnosti, týká zákon o kybernetické bezpečnosti, který je více než aktuální od začátku tohoto roku.

Ve zkratce

Závěr:

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Měšec.cz: Cestujte bez starostí, získejte výhodné pojištění

Cestujte bez starostí, získejte výhodné pojištění

DigiZone.cz: Deklarace kompatibility? Jen LG...

Deklarace kompatibility? Jen LG...

Podnikatel.cz: Zůstat na Heurece je čiré bláznovství

Zůstat na Heurece je čiré bláznovství

DigiZone.cz: Nova stahuje bonus díl „Tvoje tvář má...“

Nova stahuje bonus díl „Tvoje tvář má...“

Podnikatel.cz: Babiš představil daňovou revoluci Moje daně

Babiš představil daňovou revoluci Moje daně

DigiZone.cz: Mobilní aplikace pro DVTV je tady

Mobilní aplikace pro DVTV je tady

DigiZone.cz: Pardubicko: Výrazně posílen Mux 3

Pardubicko: Výrazně posílen Mux 3

DigiZone.cz: Noxon iRadio 1 W bude za pár měsíců

Noxon iRadio 1 W bude za pár měsíců

DigiZone.cz: Robinsonův ostrov moderuje Novotný

Robinsonův ostrov moderuje Novotný

Měšec.cz: Ceny PHM v Evropě. Finty na úspory

Ceny PHM v Evropě. Finty na úspory

Lupa.cz: Vzali věc, která fungovala, a přidali internet

Vzali věc, která fungovala, a přidali internet

DigiZone.cz: Dabingové ceny znají letošní nominace

Dabingové ceny znají letošní nominace

Vitalia.cz: Margit Slimáková nesnáší rajskou, Petr Fořt pizzu

Margit Slimáková nesnáší rajskou, Petr Fořt pizzu

DigiZone.cz: Satelitní Flix TV vyráží do boje

Satelitní Flix TV vyráží do boje

120na80.cz: Léky a dietní opatření při kopřivce

Léky a dietní opatření při kopřivce

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Root.cz: Quake slaví 20 let novou epizodou zdarma

Quake slaví 20 let novou epizodou zdarma

DigiZone.cz: Náhrada za nevrácená zařízení?

Náhrada za nevrácená zařízení?

Lupa.cz: Facebook tlačí Moments a hrozí mazáním fotek

Facebook tlačí Moments a hrozí mazáním fotek

DigiZone.cz: HbbTV KinoSvět: už jede na dalších TV

HbbTV KinoSvět: už jede na dalších TV