Postřehy z bezpečnosti: apríl u Apačů

Apríl u Apačů

První apríl přinesl zveřejnění několika zranitelností ve webovém serveru Apache.

Je mezi nimi i zranitelnost označená jako CVE-2019–0211, která si už zasloužila zmínku na Rootu, protože může postihnout většinu sdílených hostingů. Viz například detailní analýza. Ve zkratce – každý worker může v jemu přidělené struktuře ve sdílené paměti upravit určitý ukazatel, který Apache po restartu workeru příliš důvěřivě použije.

Zajímavá je i chyba souběhu CVE-2019–0217 v mod_auth_digest, která umožňuje autentizaci pod jiným uživatelem.

CVE-2019–0215 je zase nepříjemná chybka v mod_ssl, která umožňuje některým klientům obejít řízení přístupu.

Facebook

Mark Zuckerberg to nemá jednoduché. Poté, co médii prolétlo, že Facebook ukládá hesla v nešifrované podobě, tu máme další problém – pro ověření vlastnictví souvisejícího webmailového účtu Facebook žádal o heslo k onomu účtu. Možná by ono URL mělo být nahlášeno na Phishtank?

Další vrásky Markovi nejspíš udělala zpráva, že na nechráněných serverech v Amazon S3 cloudu nedefinovanou dobu koukaly do světa dva náklady dat o uživatelích. Jeden od mediální firmy Cultura Colectiva (540 milionů záznamů), což je nálož, která překračuje i z Cambridge Analyticu. Druhý od aplikace At the Pool (22 000 záznamů, ale s plaintextovými hesly). Hesla pravděpodobně nejsou přímo k facebookovému účtu, ale přiznejme si to, pro mnoho uživatelů je odlišení hlavního hesla k Facebooku a hesla k pluginu/aplikaci pod úrovní rozlišení.

Hackujeme Teslu

Tencent Keen Security Lab vydaly paper, kde předvádějí, jak se dá Tesla řídit gamepadem přes Bluetooth a CAN sběrnici, ukazují ošálení AI, která řídí automatické spouštění stěračů, a zmatení autopilota nálepkami na silnici. Fiktivní silniční „pruhy“ jsou vytvořeny tak, aby nebyly příliš nápadné pro člověka, ale autopilota například dokáží odvést do vedlejšího pruhu.

Autor: Keen Security Lab

Nenápadné značky Tesla interpretuje jako pruh.

GPS trochu jinak

Organizace C4ADS vydala obsáhlou analýzu, z níž vyplývá, že ruská federace běžně využívá podvrhování GPS. Patrná je i korelace míst manipulace s pohyby ruských vládních špiček.

V souvislosti s GPS je dobré zmínit i změnu epochy, která se může dotknout řady zařízení.

Otevřená Kibana následuje Elastic a Mongo

Po nezabezpečených databázích MongoDB, Elasticsearch a CouchDB přichází jako vhodný vektor Kibana. Kibana v základu neřeší autentizaci, navíc velké množství instancí je zastaralých a zranitelných na CVE-2018–17246, což dělá z dat v připojeném Elasticu švédský stůl.