Postřehy z bezpečnosti: krocení duchů v Linuxu

Pavel Bašta 2. 2. 2015

V dnešním díle postřehů se podíváme na zranitelnost v knihovně glibc pojmenovanou GHOST, povíme si o nové chybové hlášce webových serverů, řekneme si o další chybě SoHo routerů, společně zhodnotíme, zda má smysl investovat do nové verze trojského koně Zeus a samozřejmě si představíme i další zajímavosti.

Zranitelnost pojmenovaná GHOST byla objevena a zdokumentována analytiky společnosti Qualys. Jedná se o chybu funkce __nss_hostname_digits_dots() v knihovně glibc vedoucí k heap-based buffer overflow. Chyba se tak může týkat v podstatě každé linuxové aplikace, která provádí překlady doménových jmen. Vzdálený útočník může následně využít tuto chybu ke spuštění libovolného kódu s uživatelskými oprávněními aplikace, která tuto funkci volala. Zajímavé je, že tato chyba byla opravena již v květnu 2013 mezi verzemi glibc-2.17 a glibc-2.18. Bohužel však nebyla identifikována jako bezpečnostní problém, a proto je zranitelná verze stále používána v LTS verzích různých distribucí, jako například Debian 7 (Wheezy), Red Hat Enterprise Linux 6 a 7, CentOS 6 a 7, či Ubuntu 12.04. 

Aby toho nebylo málo, ukazuje se, že díky funkci WordPressu „wp_http_validate_url()“, která zranitelnou funkci využívá, může být hojně rozšířený WordPress vhodným vektorem pro provedení útoku proti zranitelnému serveru. Již byl také vytvořen proof-of-concept, který může při použití proti WordPressu na zranitelném serveru vést k přetečení bufferu. Problém se samozřejmě může týkat i dalších PHP aplikací, používajících stejnou funkci.

Doporučuje se tedy přejít co nejdříve na verzi knihovny 2.18, nebo pozdější.

Naše postřehy

Útočníci hlásící se k ISIS a operující pod názvem „Cyber Caliphate”, kompromitovali DNS servery společnosti Malaysia Airlines a návštěvníky v narážce na záhadně ztracený let MH370 přesměrovávali na stránky s chybovou hláškou „404-Plane Not Found”. Část dne tak byl vyřazen z provozu systém pro bookování letenek.

Byla oznámena chyba v super bezpečných zařízeních BlackPhone. Kritická chyba umožňovala pouhým posláním zprávy do aplikace Silent Text, která slouží pro bezpečnou textovou komunikaci, provést celou řadu operací, včetně dešifrování a čtení zpráv, nebo získání databáze kontaktů. Chyba již byla záplatována.

Společnost Mozilla se v listopadu spojila s projektem Tor, a to v nové iniciativě nazvané Polaris. Výsledkem této spolupráce je 12 nových vysoko kapacitních „Middle relays“, které budou pomáhat s lepší distribucí provozu od uživatelů.

Další kritická zranitelnost domácích routerů se tentokrát týká DSL routerů D-Link, ale protože byla nalezena na routeru s firmware ZynOS, pravděpodobně se tedy bude týkat i dalších výrobců, včetně TP-Linku. Útočník se může dostat do administračního rozhraní bez přihlášení a změnit v něm nastavení DNS. Pokud není administrační rozhraní dostupné přes WAN rozhraní, může se stále pokusit o vykonání tohoto útoku s využitím CSRF. Pro útok již byl publikován proof-of-concept exploit.

Již jednou zlikvidovaný Botnet ZeroAccess se opět vrátil na scénu. Samotný malware stahuje aplikaci, která pak provádí vyhledávání a klikání na výsledky. Tento způsob monetizace malware se nazývá click fraud a podle společnosti Symantec je to velice lukrativní business.

Nárůst služeb typu DDoS-for-hire vedl k novému boomu DDoS útoků a více než 40 procent všech DDoS útoků během posledního čtvrtletí roku 2014 využívalo amplification techniky. Vyplývá to ze zprávy společnosti Akamai. Stejnému tématu se ve svém článku pojmenovaném „Internet of Dangerous Things“ věnuje také známý bezpečnostní expert Brian Krebs.

Další malvertising kampaň, o kterých jsem tu více psal předminule, tentokrát využívala nedávno objevenou zranitelnost v Adobe Flash playeru. Kampaň probíhala na stránkách pro dospělé a návštěvníci s nezazáplatovanou verzí Flash Playeru si kromě zajímavých obrázků odnesli také malware Bedep, který je schopný provádět „advertising fraud“ či, případně stahovat do počítače další malware.

Nechvalně známý bankovní trojan Zeus má novou verzi. Zatím byla použita k útokům na uživatele v Kanadě. V době, kdy byla nová verze analyzována společností SentinelOne, ji ještě nedokázaly antivirové aplikace rozpoznat. Došlo také k vylepšení ovládacího panelu, který nyní zobrazuje detailní informace o každém kompromitovaném bankovním účtu, včetně zůstatku, aktuálního přihlášení do aplikace a webového prohlížeče oběti. V panelu jsou ale i další funkce týkající se převodů peněz, nebo odměn pro money mules (bílé koně).

A téměř na závěr bych vás rád upozornil na text kolegyně Zuzany Duračinské, která pro blog sdružení CZ.NIC připravila velice zajímavý text. Díky němu totiž snadno zjistíte, zda se vás, respektive vaší společnosti, týká zákon o kybernetické bezpečnosti, který je více než aktuální od začátku tohoto roku.

Ve zkratce

Závěr:

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Vitalia.cz: Jak pít při sportu

Jak pít při sportu

DigiZone.cz: Prima a vznik slovenského kanálu

Prima a vznik slovenského kanálu

Vitalia.cz: Budou i v Česku GM potraviny bez označení?

Budou i v Česku GM potraviny bez označení?

Vitalia.cz: Skutečně zdravá škola je ve 160 školách zdarma

Skutečně zdravá škola je ve 160 školách zdarma

Lupa.cz: Milý deníčku, teď mi tě bude psát aplikace

Milý deníčku, teď mi tě bude psát aplikace

Podnikatel.cz: Do týmu vezměte kritiky, mistry světa nebrat

Do týmu vezměte kritiky, mistry světa nebrat

DigiZone.cz: Nativní reklama a zářná budoucnost

Nativní reklama a zářná budoucnost

Lupa.cz: Měřičům síly hesla se nedá věřit. Víte proč?

Měřičům síly hesla se nedá věřit. Víte proč?

Podnikatel.cz: Připomínáme změny ve slevách na dani

Připomínáme změny ve slevách na dani

Vitalia.cz: Tradiční čínská medicína: 7 rad proti bolesti zad

Tradiční čínská medicína: 7 rad proti bolesti zad

DigiZone.cz: Vláda schválila digitální vysílání ČRo

Vláda schválila digitální vysílání ČRo

Podnikatel.cz: Zajímavý paradox: Daří se vedle konkurence

Zajímavý paradox: Daří se vedle konkurence

120na80.cz: Pylová sezóna nejsilnějších alergenů končí

Pylová sezóna nejsilnějších alergenů končí

Vitalia.cz: „Sjíždět“ porno není bez rizika

„Sjíždět“ porno není bez rizika

Root.cz: Čína má nejvýkonnější počítač světa

Čína má nejvýkonnější počítač světa

Podnikatel.cz: Česká pošta vycouvala ze služby ČP Cloud

Česká pošta vycouvala ze služby ČP Cloud

DigiZone.cz: Sky Deutschland: dvakrát fotbal ve 4K

Sky Deutschland: dvakrát fotbal ve 4K

Podnikatel.cz: Kdy s příjmy není třeba platit zdravotko?

Kdy s příjmy není třeba platit zdravotko?

DigiZone.cz: Podzim na Prima Comedy Central

Podzim na Prima Comedy Central

120na80.cz: Klíšťata jsou stále v lesích

Klíšťata jsou stále v lesích