Hlavní navigace

Postřehy z bezpečnosti: 100 000 napadených stránek s CMS WordPress

22. 12. 2014
Doba čtení: 6 minut

Sdílet

V dnešním díle Postřehů se podíváme na chybu v pluginu RevSlider, díky které správci stránek běžících na CMS WordPress zažili horký týden, dále na 12 miliónů zranitelných SOHO routerů, ShellShock v NASu od QNAP, CSRF na blogger.com, následky vypnutí thepiratebay a několik dalších zajímavých novinek.

Máme tady jeden takový ošklivý, nepěknou věc. Tento týden začal pro více než deset tisíc provozovatelů webových stránek nepěkným zážitkem, protože společnost Google dala na blacklist více než deset tisíc doménových jmen. Za vším je nejspíš zranitelnost v pluginu RevSlider určeného pro WordPress, či spíše, vzhledem k tomu, jak dlouho se o zranitelnosti ví, pohodlnost či neznalost administrátorů. Útočníci tuto zranitelnost zneužili a na kompromitované stránky umístili javascriptový kód, který do všech zobrazených stránek natahoval javascript z domény SoakSoak.ru. Proto se také můžete setkat s označením „SoakSoak malware“.

Kampaň byla dobře připravena, protože kromě samotného útočného kódu jsou ještě na napadených instancích otevřeny zadní vrátka pomocí backdooru Filesman, nebo přidáním dalšího administrátora do WordPressu. Tento přístup dost komplikoval opravy ze strany administrátorů, kteří si tentokrát nevystačí s prostým smazáním nebezpečného kódu a provedením záplaty zranitelné komponenty. Řekl bych, že s takto propracovaným útokem budou mít někteří o zábavu postaráno až do Vánoc.

A mimochodem, začátkem týdne jsme zaznamenali větší množství zablokovaných domén i v naší aplikaci MDM.

Naše postřehy

Švédská policie v předminulém týdnu vypnula servery, na kterých běžela známá služba pro hledání torrentů Pirate Bay. Netrvalo ale dlouho a lidé z okolí jiné podobné služby ISOHunt rozjeli zrcadlo na doméně oldpiratebay.org. Kromě této domény lze na Internetu najít i další zrcadla. Pokud jste byli zvyklí na ThePirateBay vyhledávat torrenty vašich oblíbených linuxových distribucí ;-), je potřeba zachovat při výběru náhrady za původní službu ThePirate Bay určitou obezřetnost, neboť v některých případech mohou být za daným zrcadlem například snahy o distribuci malware. Také skupina Anonymous nečekala dlouho s odvetou za vypnutí serverů a tento týden hacknula některé e-mailové účty Švédské vlády.

Jestli se tato zpráva potvrdí, tak je něco špatně v celém odvětví výroby domácích routerů. Jádrem problému je zranitelnost v embedded webserveru zvaném RomPager. Útočník musí k exploitování chyby zaslat pouze jediný paket obsahující speciální HTTP cookie. Tento exploit následně naruší paměť zařízení a umožní útočníkovi vzdáleně získat administrátorský přístup k zařízení. Chyba se týká výrobků D-Link, Huawei, TP-Link, ZTE, Zyxel a některých dalších. Zranitelný kód byl vytvořen v roce 2002 a byl poskytován tvůrcům chipsetů spolu s SDK, na kterém pak výrobci vytvářeli vlastní firmware. Kód SDK byl ovšem opraven již v roce 2005, přesto byla chyba nalezena i ve firmware pro zařízení z roku 2014, který byl stažen před měsícem. To už je skutečně na pováženou. Zranitelných routerů je údajně asi 12 miliónů.

Ačkoliv záplata pro zařízení network-attached storage (NAS) od společnosti QNAP, která řeší známou zranitelnost ShellShock, existuje již od října, stále je mnoho zařízení, na kterých nebyla aplikována. Důvodem je určitá obtížnost tohoto kroku z pohledu běžného uživatele. Toho využívá nový červ útočící na skript ‚/cgi-bin/authLogin.cgi‘, který je známým vektorem pro Shellshock na zařízeních QNAP. Skript je volán během přihlašování a proto je dostupný bez zalogování. Po útoku se pak jednoduchý shell skript postará o stažení a spuštění dalších kousků malware. Kromě jiného je na napadeném zařízení na portu 26 spuštěno SSH a je přidán uživatel s administrátorskými právy pojmenovaný „request“. Původní zdroj informace je dostupný zde.

V protokolu SS7, který slouží v telekomunikačních sítích k předávání informací k uskutečnění a ukončení telefonních hovorů, byla nalezena chyba, která umožňuje číst SMS a odposlouchávat cizí hovory. Přitom je úplně jedno, jak silné šifrování operátor umožňuje. Více informací by mělo být  zveřejněno na konci měsíce na konferenci 31st Chaos Communication Congress (31C3) v Hamburku.

Německá BSI vydala report, ve kterém popisuje důsledky útoku na jedny německé ocelárny. Po útoku hackerů nebylo možné odstavit vysoké pece, což vedlo k jejich značnému poškození. Stejně jako v případě napadení ICANN (na nějž odkazuji níže), i zde hrál svou roli spear-phishing.

Nedávno jsem slyšel tuto hlášku: „Dnes mají rodiče největší obavy z toho, co jejich syn stahuje z Internetu a co jejich dcera na Internet nahrává.“ Někomu by se to možná mohlo zdát vtipné, ale vtipné to určitě není, protože letošní výzkum provedený v UK ukázal, že přibližně 24 procent mladých Britů zažilo situaci, kdy někdo distribuoval na Internetu bez jejich vědomí fotografie, na kterých ovšem byli nazí. Jak vysvětlit mladým lidem, že co Internet schvátí, již nikdy nevydá, je předmětem různých školení řady institucí, mezi něž patří i Akademie CZ.NIC. Ostatně i u nás v ČR ještě stále doznívá aféra „roztahovačky“.

Je to dva týdny, co jsme tu měli CSRF naposledy a už je tu zase, tentokrát na službě společnosti Google blogger.com. Útočník mohl díky této chybě publikovat vlastní článek na blogu někoho jiného. Jak už jsem psal minule, CSRF je opravdu rozšířená a přitom nebezpečná chyba a z nějakého důvodu dělá její správné ošetření problémy i velkým společnostem. Mimochodem, nálezce této CSRF zranitelnosti dostal odměnu ve výši 3133,7 dolarů.

USBdriveby je další zařízení, které umožňuje emulovat myš a klávesnici a převzít tak kontrolu nad počítačem. Jak ale vyplývá z videa přímo na stránce autora, jedná se vlastně o přejmenované Teensy, které si mohou zájemci vyzkoušet i v rámci kurzů v akademii CZ.NIC.

Během operace „Torpedo“ si FBI v roce 2012 s pomocí Metasploitu posvítila na návštěvníky stránek s dětskou pornografií. Využila pravděpodobně Decloaking Engine , který například využíval schopnosti Adobe Flash plug-inu inicializovat přímou komunikaci přes Internet, obejít při tom Tor a tak odhalit reálnou IP adresu hosta. V té době se totiž FBI podařilo odhalit tři servery, na kterých bylo nabízeno dětské porno a s pomocí soudního povolení pak do stránek přidala Flash kód, který jí pomohl část návštěvníků identifikovat.

Jste teenager a máte rádi adrenalin? Pak přesně pro vás je určena nová výuková aplikace do mobilních telefonů uvolněná GHCQ. Ano, tou britskou zpravodajskou službou, která figurovala mimo jiné také v některých informacích, které poskytl Edward Snowden a která se například nerozpakovala monitorovat kompletní provoz na transatlantických optických kabelech. Organizaci GHCQ však i přes zmíněná drobná negativa až dojemným způsobem leží na srdci bezpečí a vzdělávání mladých lidí v oblasti kryptografie.:-) Proto navrhla a nechala vytvořit aplikaci Cryptoy, která má mladým lidem mezi 14 až 16 roky přiblížit krásy kryptografie. Uživatelé si mohou s pomocí aplikace vyměňovat přes sociální sítě a e-mail zašifrované zprávy. Samozřejmě nemohu tvrdit, že aplikace bude své uživatele určitě šmírovat, na druhou stranu, kdo z nás by si dobrovolně nahrál aplikaci od zpravodajské služby.

A nakonec také nějaké pozitivní zprávy. Společnost Google, respektive její tým, který se zabývá projektem prohlížeče Chrome označil všechen HTTP provoz jako riskantní a plánuje v rámci prohlížeče Chrome explicitně a aktivně informovat uživatele, jejichž komunikace se serverem neposkytuje dostatečné bezpečí  jejich datům. Start by měl být v průběhu příštího roku. Další počin Google na poli bezpečnosti je pak vydání rozšíření pro Chrome, které má usnadnit end-to-end šifrování e-mailové komunikace.

Ve čtvrtek 1. ledna 2015 vstupuje v platnost nový zákon o kybernetické bezpečnosti. Jako provozovatel národního bezpečnostního týmu CSIRT.CZ jsme proto na našem webu připravili potřebné formuláře. Naším cílem je poskytnout společnostem, kterých se nový zákon bude týkat, takové komunikační prostředky, které jim naplnění jejich povinností co nejvíce usnadní.

Bezpečnostní tým společnosti Google nalezl několik zranitelností v současné implementaci NTP. Jedna z těchto zranitelností může vést až ke spuštění libovolného kódu. Dotčeny jsou verze NTP serveru před verzí 4.2.8. Říká se, že několik z těchto zranitelností již bylo aktivně exploitováno. Doporučuje se co nejdříve provést update všech provozovaných, veřejně dostupných, NTP serverů.

CS24 tip temata

Ve zkratce:

Závažná zranitelnost Honeywell OPOS
Údajný únik celé Srbské národní databáze obyvatel
Seriál o bezpečnosti a hackování Androidu
FreeBSD: Zranitelnost Buffer Overflow
Eskalace privilegií v linuxu
Trojan využívá Pinterest k předávání informací
Jak funguje FastFlax
Další backdoor na Čínských telefonech

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Pavel Bašta pracuje ve sdružení CZ.NIC jako team leader a bezpečnostní analytik CZ.NIC CSIRT a CSIRT.CZ.