Postřehy z bezpečnosti: krocení duchů v Linuxu

Pavel Bašta 2. 2. 2015

V dnešním díle postřehů se podíváme na zranitelnost v knihovně glibc pojmenovanou GHOST, povíme si o nové chybové hlášce webových serverů, řekneme si o další chybě SoHo routerů, společně zhodnotíme, zda má smysl investovat do nové verze trojského koně Zeus a samozřejmě si představíme i další zajímavosti.

Zranitelnost pojmenovaná GHOST byla objevena a zdokumentována analytiky společnosti Qualys. Jedná se o chybu funkce __nss_hostname_digits_dots() v knihovně glibc vedoucí k heap-based buffer overflow. Chyba se tak může týkat v podstatě každé linuxové aplikace, která provádí překlady doménových jmen. Vzdálený útočník může následně využít tuto chybu ke spuštění libovolného kódu s uživatelskými oprávněními aplikace, která tuto funkci volala. Zajímavé je, že tato chyba byla opravena již v květnu 2013 mezi verzemi glibc-2.17 a glibc-2.18. Bohužel však nebyla identifikována jako bezpečnostní problém, a proto je zranitelná verze stále používána v LTS verzích různých distribucí, jako například Debian 7 (Wheezy), Red Hat Enterprise Linux 6 a 7, CentOS 6 a 7, či Ubuntu 12.04. 

Aby toho nebylo málo, ukazuje se, že díky funkci WordPressu „wp_http_validate_url()“, která zranitelnou funkci využívá, může být hojně rozšířený WordPress vhodným vektorem pro provedení útoku proti zranitelnému serveru. Již byl také vytvořen proof-of-concept, který může při použití proti WordPressu na zranitelném serveru vést k přetečení bufferu. Problém se samozřejmě může týkat i dalších PHP aplikací, používajících stejnou funkci.

Doporučuje se tedy přejít co nejdříve na verzi knihovny 2.18, nebo pozdější.

Naše postřehy

Útočníci hlásící se k ISIS a operující pod názvem „Cyber Caliphate”, kompromitovali DNS servery společnosti Malaysia Airlines a návštěvníky v narážce na záhadně ztracený let MH370 přesměrovávali na stránky s chybovou hláškou „404-Plane Not Found”. Část dne tak byl vyřazen z provozu systém pro bookování letenek.

Byla oznámena chyba v super bezpečných zařízeních BlackPhone. Kritická chyba umožňovala pouhým posláním zprávy do aplikace Silent Text, která slouží pro bezpečnou textovou komunikaci, provést celou řadu operací, včetně dešifrování a čtení zpráv, nebo získání databáze kontaktů. Chyba již byla záplatována.

Společnost Mozilla se v listopadu spojila s projektem Tor, a to v nové iniciativě nazvané Polaris. Výsledkem této spolupráce je 12 nových vysoko kapacitních „Middle relays“, které budou pomáhat s lepší distribucí provozu od uživatelů.

Další kritická zranitelnost domácích routerů se tentokrát týká DSL routerů D-Link, ale protože byla nalezena na routeru s firmware ZynOS, pravděpodobně se tedy bude týkat i dalších výrobců, včetně TP-Linku. Útočník se může dostat do administračního rozhraní bez přihlášení a změnit v něm nastavení DNS. Pokud není administrační rozhraní dostupné přes WAN rozhraní, může se stále pokusit o vykonání tohoto útoku s využitím CSRF. Pro útok již byl publikován proof-of-concept exploit.

Již jednou zlikvidovaný Botnet ZeroAccess se opět vrátil na scénu. Samotný malware stahuje aplikaci, která pak provádí vyhledávání a klikání na výsledky. Tento způsob monetizace malware se nazývá click fraud a podle společnosti Symantec je to velice lukrativní business.

Nárůst služeb typu DDoS-for-hire vedl k novému boomu DDoS útoků a více než 40 procent všech DDoS útoků během posledního čtvrtletí roku 2014 využívalo amplification techniky. Vyplývá to ze zprávy společnosti Akamai. Stejnému tématu se ve svém článku pojmenovaném „Internet of Dangerous Things“ věnuje také známý bezpečnostní expert Brian Krebs.

Další malvertising kampaň, o kterých jsem tu více psal předminule, tentokrát využívala nedávno objevenou zranitelnost v Adobe Flash playeru. Kampaň probíhala na stránkách pro dospělé a návštěvníci s nezazáplatovanou verzí Flash Playeru si kromě zajímavých obrázků odnesli také malware Bedep, který je schopný provádět „advertising fraud“ či, případně stahovat do počítače další malware.

Nechvalně známý bankovní trojan Zeus má novou verzi. Zatím byla použita k útokům na uživatele v Kanadě. V době, kdy byla nová verze analyzována společností SentinelOne, ji ještě nedokázaly antivirové aplikace rozpoznat. Došlo také k vylepšení ovládacího panelu, který nyní zobrazuje detailní informace o každém kompromitovaném bankovním účtu, včetně zůstatku, aktuálního přihlášení do aplikace a webového prohlížeče oběti. V panelu jsou ale i další funkce týkající se převodů peněz, nebo odměn pro money mules (bílé koně).

widgety

A téměř na závěr bych vás rád upozornil na text kolegyně Zuzany Duračinské, která pro blog sdružení CZ.NIC připravila velice zajímavý text. Díky němu totiž snadno zjistíte, zda se vás, respektive vaší společnosti, týká zákon o kybernetické bezpečnosti, který je více než aktuální od začátku tohoto roku.

Ve zkratce

Závěr:

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

Lupa.cz: Kde leží hardwarový pupek světa?

Kde leží hardwarový pupek světa?

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Podnikatel.cz: ČSSZ posílá přehled o důchodovém kontě

ČSSZ posílá přehled o důchodovém kontě

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT

Lupa.cz: Cimrman má hry na YouTube i vlastní doodle

Cimrman má hry na YouTube i vlastní doodle

DigiZone.cz: Technisat připravuje trojici DAB

Technisat připravuje trojici DAB

Root.cz: Hořící telefon Samsung Note 7 zapálil auto

Hořící telefon Samsung Note 7 zapálil auto

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Vitalia.cz: Tradiční čínská medicína a rakovina

Tradiční čínská medicína a rakovina

Podnikatel.cz: Tyto pojmy k #EET byste měli znát

Tyto pojmy k #EET byste měli znát

Vitalia.cz: Jsou vegani a vyrábějí nemléko

Jsou vegani a vyrábějí nemléko

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

DigiZone.cz: Digi Slovakia zařazuje stanice SPI

Digi Slovakia zařazuje stanice SPI