Postřehy z bezpečnosti: persistentní XSS v pluginech pro WordPress

Pavel Bašta 13. 4. 2015

V tomto díle postřehů se podíváme na CMS platformy a jejich pluginy, dále na napadení TV5Monde, která zřejmě svá hesla vysílala do světa v rámci reportáží, na skrytou komunikaci malware v 404 Not Found statutu, na další chybu prohlížeče Chrome vedoucí k pádu této aplikace a řadu dalších událostí.

Na kurzech o bezpečnosti, které vedu v rámci Akademie CZ.NIC, jsem až doposud říkal, že persistentní XSS dnes už na webech jen tak nepotkáte. Ale přestávám si tím být tak docela jistý, protože tento týden se objevilo persistentní XSS v pluginu WP-Super-Cache pro WordPress a v březnu byla ta samá chyba nalezena v rozšíření Google Analytics by Yoast, opět pro WordPress. Nikdo se pak nemůže divit, že jsou stránky na WordPressu často, ale opravdu často využívány k útokům přesměrovávajícím nebohé návštěvníky na různé exploit kity. Svůj podíl na tom mají jistě i někteří správci, kteří k záplatování přistupují řekněme laxně. Že v tomto směru není něco v pořádku, si všimla už i FBI, která tento týden vyzvala administrátory k záplatování stránek běžících na… WordPressu. 

Ostatně FBI musí ležet CMS systémy pěkně v žaludku. Je to asi dva roky zpět, co jsme od této organizace, respektive od US-CERT, který je s FBI úzce propojen, každý týden dostávali seznam serverů z ČR, které se v rámci operace Ababil podílely na útocích na banky v USA. Většina z těchto serverů běžela na nějakém tom CMS a přes různé zranitelnosti tam útočník dostával své PHP skripty, které pak použil k DDoS útokům. Když uvážíme, že webové servery obvykle leží na rychlých linkách, tak to byl od útočníků chytrý tah.

Naše postřehy

Útočníci hlásící se k hnutí Islámský stát napadli síť francouzské televizní stanice TV5Monde. Útočníkům se podařilo na několik hodin vyřadit z provozu vysílání této stanice a zároveň napadnout její internetové stránky a profily na sociálních sítích. Poslední verze událostí hovoří o útoku s pomocí Kjw0rm RAT. Otázkou je, jestli to nutně musel být sofistikovaný útok, jak o něm hovoří vedení tohoto kanálu. Při jednom z rozhovorů se zaměstnanci televize se podařilo nevědomky zabrat nástěnku zaměstnanců, na které byly lístečky s různými hesly. Například heslo k Youtube prý znělo „lemotdepassedeyoutube“, přeloženo do češtiny něco jako „heslokYoutube“. Na jiném záběru této televize se zase objevil „klasický“ žlutý papírek se jménem a heslem přilepený na monitoru. Televize se hájí tím, že lístečky s hesly se na nástěnce objevily až po útoku, kvůli potřebě rychle vyřešit dočasné přístupové kódy. Jenže tady nejde jen o politiku nakládání s hesly, ale zjevně také o jejich kvalitu.

Když jsme u té kvality hesel, minulý týden útočníci napadli účty klientů společnosti Lufthansa. Konkrétně účty v rámci programu pro sbírání nalétaných mílí, které mohou zákazníci následně směnit za různé hmotné i nehmotné odměny. Útočníkům se skutečně podařilo do některých účtů dostat. Přitom použili „jenom“ starý dobrý brute-force útok, tedy vyzkoušeli velké množství kombinací jmen a hesel.

Fortinet publikoval krátký blogpost, ve kterém popisuje, jakým způsobem jím analyzovaný malware ukrýval komunikaci do statutu HTTP/1.1 404 Not Found. Ač by se na první pohled mohlo zdát, že malwaru na druhé straně nic neodpovídá, opak je pravdou. V komunikaci jsou ukryty jak zprávy zjišťující stav C&C serveru, tak také data a příkazy.

Po třech týdnech tu máme další způsob, kterým lze shodit prohlížeč Chrome. Tentokrát k tomu stačí speciálně upravený a/nebo dlouhý odkaz.

Turecká vláda nechala zablokovat přístup k Youtube, Facebooku a Twitteru kvůli fotografiím státního zástupce, který byl minulý týden zajat levicovými extrémisty a následně zemřel. Turecká vláda tvrdí, že se tak stalo na základě soudního rozhodnutí a až po té, co neúspěšně požádali dotčené strany o odstranění „závadných“ fotografií. Osobně mi podobné cenzurování internetu ze strany vlád připadá naprosto nepřípustné a ačkoliv chápu, že kolování fotek oběti po Internetu musí být pro pozůstalé drásající, není možné tímto způsobem vyvíjet nátlak na provozovatele jednotlivých služeb, jako tomu bylo v tomto případě.

Herní platforma Steam se stává čím dál častějším vektorem různých útoků. Ten z minulého týdne spočíval v ukrytí malware do demo verze hry. Útočníci vzali demo reálné nové hry Octopus City Blues a přidali jej do sekce Greenlight na stránkách služby Steam. Falešná stránka vypadala velmi přesvědčivě a obsahovala videa, screenshoty a popis samotné hry.

Na konci opět něco pozitivního. DARPA (Defense Advanced Research Projects Agency) vyvíjí nový slibný nástroj pro detekci Malware na platformě Android. Jedním z cílů projektu je minimalizovat potřebnou lidskou práci při provádění detekce. Nástroj při testech úspěšně detekoval 85,7 procent zlovolných aplikací vytvořených druhým týmem.

Ve zkratce

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

DigiZone.cz: Šlágr TV: pokuta 100 tisíc za on-line

Šlágr TV: pokuta 100 tisíc za on-line

Root.cz: Zákon o hazardu je v rozporu s ústavou

Zákon o hazardu je v rozporu s ústavou

120na80.cz: Velký přehled: 7 očkování proti exotickým nemocem

Velký přehled: 7 očkování proti exotickým nemocem

DigiZone.cz: Unikátní Philips AmbiLux konečně ke koupi

Unikátní Philips AmbiLux konečně ke koupi

Lupa.cz: Jak EET vidí ajťák aneb Drahá vražda UX

Jak EET vidí ajťák aneb Drahá vražda UX

DigiZone.cz: Konec geoblokace? Ani náhodou…

Konec geoblokace? Ani náhodou…

Vitalia.cz: SÚKL: vakcíny jsou bezpečné a s autismem nesouvisí

SÚKL: vakcíny jsou bezpečné a s autismem nesouvisí

Lupa.cz: Přenos hokeje padal kvůli útoku, tvrdí O2

Přenos hokeje padal kvůli útoku, tvrdí O2

Vitalia.cz: Ministerstvo: tyto příbory jsou nebezpečné

Ministerstvo: tyto příbory jsou nebezpečné

Root.cz: Cenzura internetu prošla, i přes pochyby senátorů

Cenzura internetu prošla, i přes pochyby senátorů

120na80.cz: 10 nej přípravků na holení

10 nej přípravků na holení

DigiZone.cz: UPC umí televizi sedm dní nazpět

UPC umí televizi sedm dní nazpět

Lupa.cz: Válka e-shopů. Alza končí s Heurekou

Válka e-shopů. Alza končí s Heurekou

Vitalia.cz: Taky ji kupujete? Je šizená

Taky ji kupujete? Je šizená

Lupa.cz: Babiš: nevím o návodu, jak obejít blokování webů

Babiš: nevím o návodu, jak obejít blokování webů

Vitalia.cz: Proč máme prasklý chléb nejraději?

Proč máme prasklý chléb nejraději?

Podnikatel.cz: Šizený guláš na pultě. Jako Lidl to nedělejte

Šizený guláš na pultě. Jako Lidl to nedělejte

Vitalia.cz: Tetanus v USA – i po odřeninách

Tetanus v USA – i po odřeninách

DigiZone.cz: Šlágr TV dostala pokutu 100 000 Kč

Šlágr TV dostala pokutu 100 000 Kč

Vitalia.cz: Děti jsou sportem opotřebované

Děti jsou sportem opotřebované