Postřehy z bezpečnosti: persistentní XSS v pluginech pro WordPress

Pavel Bašta 13. 4. 2015

V tomto díle postřehů se podíváme na CMS platformy a jejich pluginy, dále na napadení TV5Monde, která zřejmě svá hesla vysílala do světa v rámci reportáží, na skrytou komunikaci malware v 404 Not Found statutu, na další chybu prohlížeče Chrome vedoucí k pádu této aplikace a řadu dalších událostí.

Na kurzech o bezpečnosti, které vedu v rámci Akademie CZ.NIC, jsem až doposud říkal, že persistentní XSS dnes už na webech jen tak nepotkáte. Ale přestávám si tím být tak docela jistý, protože tento týden se objevilo persistentní XSS v pluginu WP-Super-Cache pro WordPress a v březnu byla ta samá chyba nalezena v rozšíření Google Analytics by Yoast, opět pro WordPress. Nikdo se pak nemůže divit, že jsou stránky na WordPressu často, ale opravdu často využívány k útokům přesměrovávajícím nebohé návštěvníky na různé exploit kity. Svůj podíl na tom mají jistě i někteří správci, kteří k záplatování přistupují řekněme laxně. Že v tomto směru není něco v pořádku, si všimla už i FBI, která tento týden vyzvala administrátory k záplatování stránek běžících na… WordPressu. 

Ostatně FBI musí ležet CMS systémy pěkně v žaludku. Je to asi dva roky zpět, co jsme od této organizace, respektive od US-CERT, který je s FBI úzce propojen, každý týden dostávali seznam serverů z ČR, které se v rámci operace Ababil podílely na útocích na banky v USA. Většina z těchto serverů běžela na nějakém tom CMS a přes různé zranitelnosti tam útočník dostával své PHP skripty, které pak použil k DDoS útokům. Když uvážíme, že webové servery obvykle leží na rychlých linkách, tak to byl od útočníků chytrý tah.

Naše postřehy

Útočníci hlásící se k hnutí Islámský stát napadli síť francouzské televizní stanice TV5Monde. Útočníkům se podařilo na několik hodin vyřadit z provozu vysílání této stanice a zároveň napadnout její internetové stránky a profily na sociálních sítích. Poslední verze událostí hovoří o útoku s pomocí Kjw0rm RAT. Otázkou je, jestli to nutně musel být sofistikovaný útok, jak o něm hovoří vedení tohoto kanálu. Při jednom z rozhovorů se zaměstnanci televize se podařilo nevědomky zabrat nástěnku zaměstnanců, na které byly lístečky s různými hesly. Například heslo k Youtube prý znělo „lemotdepassedeyoutube“, přeloženo do češtiny něco jako „heslokYoutube“. Na jiném záběru této televize se zase objevil „klasický“ žlutý papírek se jménem a heslem přilepený na monitoru. Televize se hájí tím, že lístečky s hesly se na nástěnce objevily až po útoku, kvůli potřebě rychle vyřešit dočasné přístupové kódy. Jenže tady nejde jen o politiku nakládání s hesly, ale zjevně také o jejich kvalitu.

Když jsme u té kvality hesel, minulý týden útočníci napadli účty klientů společnosti Lufthansa. Konkrétně účty v rámci programu pro sbírání nalétaných mílí, které mohou zákazníci následně směnit za různé hmotné i nehmotné odměny. Útočníkům se skutečně podařilo do některých účtů dostat. Přitom použili „jenom“ starý dobrý brute-force útok, tedy vyzkoušeli velké množství kombinací jmen a hesel.

Fortinet publikoval krátký blogpost, ve kterém popisuje, jakým způsobem jím analyzovaný malware ukrýval komunikaci do statutu HTTP/1.1 404 Not Found. Ač by se na první pohled mohlo zdát, že malwaru na druhé straně nic neodpovídá, opak je pravdou. V komunikaci jsou ukryty jak zprávy zjišťující stav C&C serveru, tak také data a příkazy.

Po třech týdnech tu máme další způsob, kterým lze shodit prohlížeč Chrome. Tentokrát k tomu stačí speciálně upravený a/nebo dlouhý odkaz.

Turecká vláda nechala zablokovat přístup k Youtube, Facebooku a Twitteru kvůli fotografiím státního zástupce, který byl minulý týden zajat levicovými extrémisty a následně zemřel. Turecká vláda tvrdí, že se tak stalo na základě soudního rozhodnutí a až po té, co neúspěšně požádali dotčené strany o odstranění „závadných“ fotografií. Osobně mi podobné cenzurování internetu ze strany vlád připadá naprosto nepřípustné a ačkoliv chápu, že kolování fotek oběti po Internetu musí být pro pozůstalé drásající, není možné tímto způsobem vyvíjet nátlak na provozovatele jednotlivých služeb, jako tomu bylo v tomto případě.

Herní platforma Steam se stává čím dál častějším vektorem různých útoků. Ten z minulého týdne spočíval v ukrytí malware do demo verze hry. Útočníci vzali demo reálné nové hry Octopus City Blues a přidali jej do sekce Greenlight na stránkách služby Steam. Falešná stránka vypadala velmi přesvědčivě a obsahovala videa, screenshoty a popis samotné hry.

Na konci opět něco pozitivního. DARPA (Defense Advanced Research Projects Agency) vyvíjí nový slibný nástroj pro detekci Malware na platformě Android. Jedním z cílů projektu je minimalizovat potřebnou lidskou práci při provádění detekce. Nástroj při testech úspěšně detekoval 85,7 procent zlovolných aplikací vytvořených druhým týmem.

Ve zkratce

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
DigiZone.cz: Soud zakázal šíření TV Markíza v ČR

Soud zakázal šíření TV Markíza v ČR

Vitalia.cz: Epidemie: Klíšťová encefalitida po ovčím sýru

Epidemie: Klíšťová encefalitida po ovčím sýru

120na80.cz: Cestovní nevolnost. Co pomůže?

Cestovní nevolnost. Co pomůže?

DigiZone.cz: Recenze: TechniSat DigitRadio 2GO

Recenze: TechniSat DigitRadio 2GO

Podnikatel.cz: Zůstat na Heurece je čiré bláznovství

Zůstat na Heurece je čiré bláznovství

Lupa.cz: Text umírá, na webu zbude jen video

Text umírá, na webu zbude jen video

DigiZone.cz: Kanály Novy na Slovensku oficiálně?

Kanály Novy na Slovensku oficiálně?

Lupa.cz: Facebook tlačí Moments a hrozí mazáním fotek

Facebook tlačí Moments a hrozí mazáním fotek

120na80.cz: Proč komáři létají hlavně večer?

Proč komáři létají hlavně večer?

Podnikatel.cz: Výpadek internetu a #EET. Co s tím?

Výpadek internetu a #EET. Co s tím?

Podnikatel.cz: 10 citátů Billa Gatese: tesat do kamene

10 citátů Billa Gatese: tesat do kamene

Lupa.cz: Zaměstnanec T-Mobilu ukradl data o zákaznících

Zaměstnanec T-Mobilu ukradl data o zákaznících

DigiZone.cz: Mobilní aplikace pro DVTV je tady

Mobilní aplikace pro DVTV je tady

Root.cz: Quake slaví 20 let novou epizodou zdarma

Quake slaví 20 let novou epizodou zdarma

DigiZone.cz: ČTÚ květen: rušení TV vysílání narůstá

ČTÚ květen: rušení TV vysílání narůstá

DigiZone.cz: Noxon iRadio 1 W bude za pár měsíců

Noxon iRadio 1 W bude za pár měsíců

DigiZone.cz: Robinsonův ostrov moderuje Novotný

Robinsonův ostrov moderuje Novotný

Podnikatel.cz: Chce s trdelníky ovládnout Asii. Poznejte ho

Chce s trdelníky ovládnout Asii. Poznejte ho

DigiZone.cz: Pardubicko: Výrazně posílen Mux 3

Pardubicko: Výrazně posílen Mux 3

120na80.cz: Krémy, nebo spreje na opalování?

Krémy, nebo spreje na opalování?