Postřehy z bezpečnosti: persistentní XSS v pluginech pro WordPress

Pavel Bašta 13. 4. 2015

V tomto díle postřehů se podíváme na CMS platformy a jejich pluginy, dále na napadení TV5Monde, která zřejmě svá hesla vysílala do světa v rámci reportáží, na skrytou komunikaci malware v 404 Not Found statutu, na další chybu prohlížeče Chrome vedoucí k pádu této aplikace a řadu dalších událostí.

Na kurzech o bezpečnosti, které vedu v rámci Akademie CZ.NIC, jsem až doposud říkal, že persistentní XSS dnes už na webech jen tak nepotkáte. Ale přestávám si tím být tak docela jistý, protože tento týden se objevilo persistentní XSS v pluginu WP-Super-Cache pro WordPress a v březnu byla ta samá chyba nalezena v rozšíření Google Analytics by Yoast, opět pro WordPress. Nikdo se pak nemůže divit, že jsou stránky na WordPressu často, ale opravdu často využívány k útokům přesměrovávajícím nebohé návštěvníky na různé exploit kity. Svůj podíl na tom mají jistě i někteří správci, kteří k záplatování přistupují řekněme laxně. Že v tomto směru není něco v pořádku, si všimla už i FBI, která tento týden vyzvala administrátory k záplatování stránek běžících na… WordPressu. 

Ostatně FBI musí ležet CMS systémy pěkně v žaludku. Je to asi dva roky zpět, co jsme od této organizace, respektive od US-CERT, který je s FBI úzce propojen, každý týden dostávali seznam serverů z ČR, které se v rámci operace Ababil podílely na útocích na banky v USA. Většina z těchto serverů běžela na nějakém tom CMS a přes různé zranitelnosti tam útočník dostával své PHP skripty, které pak použil k DDoS útokům. Když uvážíme, že webové servery obvykle leží na rychlých linkách, tak to byl od útočníků chytrý tah.

Naše postřehy

Útočníci hlásící se k hnutí Islámský stát napadli síť francouzské televizní stanice TV5Monde. Útočníkům se podařilo na několik hodin vyřadit z provozu vysílání této stanice a zároveň napadnout její internetové stránky a profily na sociálních sítích. Poslední verze událostí hovoří o útoku s pomocí Kjw0rm RAT. Otázkou je, jestli to nutně musel být sofistikovaný útok, jak o něm hovoří vedení tohoto kanálu. Při jednom z rozhovorů se zaměstnanci televize se podařilo nevědomky zabrat nástěnku zaměstnanců, na které byly lístečky s různými hesly. Například heslo k Youtube prý znělo „lemotdepassedeyoutube“, přeloženo do češtiny něco jako „heslokYoutube“. Na jiném záběru této televize se zase objevil „klasický“ žlutý papírek se jménem a heslem přilepený na monitoru. Televize se hájí tím, že lístečky s hesly se na nástěnce objevily až po útoku, kvůli potřebě rychle vyřešit dočasné přístupové kódy. Jenže tady nejde jen o politiku nakládání s hesly, ale zjevně také o jejich kvalitu.

Když jsme u té kvality hesel, minulý týden útočníci napadli účty klientů společnosti Lufthansa. Konkrétně účty v rámci programu pro sbírání nalétaných mílí, které mohou zákazníci následně směnit za různé hmotné i nehmotné odměny. Útočníkům se skutečně podařilo do některých účtů dostat. Přitom použili „jenom“ starý dobrý brute-force útok, tedy vyzkoušeli velké množství kombinací jmen a hesel.

Fortinet publikoval krátký blogpost, ve kterém popisuje, jakým způsobem jím analyzovaný malware ukrýval komunikaci do statutu HTTP/1.1 404 Not Found. Ač by se na první pohled mohlo zdát, že malwaru na druhé straně nic neodpovídá, opak je pravdou. V komunikaci jsou ukryty jak zprávy zjišťující stav C&C serveru, tak také data a příkazy.

Po třech týdnech tu máme další způsob, kterým lze shodit prohlížeč Chrome. Tentokrát k tomu stačí speciálně upravený a/nebo dlouhý odkaz.

Turecká vláda nechala zablokovat přístup k Youtube, Facebooku a Twitteru kvůli fotografiím státního zástupce, který byl minulý týden zajat levicovými extrémisty a následně zemřel. Turecká vláda tvrdí, že se tak stalo na základě soudního rozhodnutí a až po té, co neúspěšně požádali dotčené strany o odstranění „závadných“ fotografií. Osobně mi podobné cenzurování internetu ze strany vlád připadá naprosto nepřípustné a ačkoliv chápu, že kolování fotek oběti po Internetu musí být pro pozůstalé drásající, není možné tímto způsobem vyvíjet nátlak na provozovatele jednotlivých služeb, jako tomu bylo v tomto případě.

Herní platforma Steam se stává čím dál častějším vektorem různých útoků. Ten z minulého týdne spočíval v ukrytí malware do demo verze hry. Útočníci vzali demo reálné nové hry Octopus City Blues a přidali jej do sekce Greenlight na stránkách služby Steam. Falešná stránka vypadala velmi přesvědčivě a obsahovala videa, screenshoty a popis samotné hry.

Na konci opět něco pozitivního. DARPA (Defense Advanced Research Projects Agency) vyvíjí nový slibný nástroj pro detekci Malware na platformě Android. Jedním z cílů projektu je minimalizovat potřebnou lidskou práci při provádění detekce. Nástroj při testech úspěšně detekoval 85,7 procent zlovolných aplikací vytvořených druhým týmem.

Ve zkratce

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Lupa.cz: IT scéna po brexitu: přijde exodus vývojářů?

IT scéna po brexitu: přijde exodus vývojářů?

Měšec.cz: Do ostravské MHD bez jízdenky. Stačí vaše karta

Do ostravské MHD bez jízdenky. Stačí vaše karta

DigiZone.cz: Starci na chmelu jsou restaurovaní do 4K

Starci na chmelu jsou restaurovaní do 4K

DigiZone.cz: Kauza technik: oficiální vyjádření Novy

Kauza technik: oficiální vyjádření Novy

120na80.cz: Tipy pro odvodnění organismu

Tipy pro odvodnění organismu

120na80.cz: Úpal vs. úžeh. Co dělat?

Úpal vs. úžeh. Co dělat?

Měšec.cz: Co s reklamací, když e-shop krachuje?

Co s reklamací, když e-shop krachuje?

Lupa.cz: eIDAS: Nepřehnali jsme to s výjimkami?

eIDAS: Nepřehnali jsme to s výjimkami?

Měšec.cz: Cool karta: recenze předplacenky

Cool karta: recenze předplacenky

Vitalia.cz: Dermatolog radí: Pozor na citrusové vůně

Dermatolog radí: Pozor na citrusové vůně

Vitalia.cz: Za zánět močových cest mohou plavky

Za zánět močových cest mohou plavky

Podnikatel.cz: Místa, kde hází podnikání klacky pod nohy

Místa, kde hází podnikání klacky pod nohy

DigiZone.cz: Sat novinky: pátý kanál maďarské televize

Sat novinky: pátý kanál maďarské televize

Měšec.cz: Platíme NFC mobilem. Konečně to funguje!

Platíme NFC mobilem. Konečně to funguje!

DigiZone.cz: Loewe Subwoofer 300 pro televizory

Loewe Subwoofer 300 pro televizory

Lupa.cz: Japonská invaze. Proč SoftBank kupuje ARM?

Japonská invaze. Proč SoftBank kupuje ARM?

Měšec.cz: Nový sazebník mBank radost nedělá

Nový sazebník mBank radost nedělá

Vitalia.cz: Petr Koukal: Až rakovina mi zkvalitnila život

Petr Koukal: Až rakovina mi zkvalitnila život

DigiZone.cz: Hra o trůny: natáčení 7. řady posunuto

Hra o trůny: natáčení 7. řady posunuto

Lupa.cz: EU začala prověřovat bezpečnost open-source

EU začala prověřovat bezpečnost open-source