Dnes se podíváme na aprílovou nadílku Apache, pozastavíme se nad Facebookem (dvakrát), zmíníme strojové učení Tesly, prozkoumáme podvrhnutelnost GPS a prohlédneme si data v několika databázích.
První apríl přinesl zveřejnění několika zranitelností ve webovém serveru Apache.
Je mezi nimi i zranitelnost označená jako CVE-2019–0211, která si už zasloužila zmínku na Rootu, protože může postihnout většinu sdílených hostingů. Viz například detailní analýza. Ve zkratce – každý worker může v jemu přidělené struktuře ve sdílené paměti upravit určitý ukazatel, který Apache po restartu workeru příliš důvěřivě použije.
Zajímavá je i chyba souběhu CVE-2019–0217 v mod_auth_digest, která umožňuje autentizaci pod jiným uživatelem.
CVE-2019–0215 je zase nepříjemná chybka v mod_ssl, která umožňuje některým klientům obejít řízení přístupu.
Mark Zuckerberg to nemá jednoduché. Poté, co médii prolétlo, že Facebook ukládá hesla v nešifrované podobě, tu máme další problém – pro ověření vlastnictví souvisejícího webmailového účtu Facebook žádal o heslo k onomu účtu. Možná by ono URL mělo být nahlášeno na Phishtank?
Další vrásky Markovi nejspíš udělala zpráva, že na nechráněných serverech v Amazon S3 cloudu nedefinovanou dobu koukaly do světa dva náklady dat o uživatelích. Jeden od mediální firmy Cultura Colectiva (540 milionů záznamů), což je nálož, která překračuje i z Cambridge Analyticu. Druhý od aplikace At the Pool (22 000 záznamů, ale s plaintextovými hesly). Hesla pravděpodobně nejsou přímo k facebookovému účtu, ale přiznejme si to, pro mnoho uživatelů je odlišení hlavního hesla k Facebooku a hesla k pluginu/aplikaci pod úrovní rozlišení.
Tencent Keen Security Lab vydaly paper, kde předvádějí, jak se dá Tesla řídit gamepadem přes Bluetooth a CAN sběrnici, ukazují ošálení AI, která řídí automatické spouštění stěračů, a zmatení autopilota nálepkami na silnici. Fiktivní silniční „pruhy“ jsou vytvořeny tak, aby nebyly příliš nápadné pro člověka, ale autopilota například dokáží odvést do vedlejšího pruhu.
Nenápadné značky Tesla interpretuje jako pruh.
Organizace C4ADS vydala obsáhlou analýzu, z níž vyplývá, že ruská federace běžně využívá podvrhování GPS. Patrná je i korelace míst manipulace s pohyby ruských vládních špiček.
V souvislosti s GPS je dobré zmínit i změnu epochy, která se může dotknout řady zařízení.
Po nezabezpečených databázích MongoDB, Elasticsearch a CouchDB přichází jako vhodný vektor Kibana. Kibana v základu neřeší autentizaci, navíc velké množství instancí je zastaralých a zranitelných na CVE-2018–17246, což dělá z dat v připojeném Elasticu švédský stůl.
Nicméně ani kauza MongoDB není historií. Indická vládní agentura, která nechala volně otevřenou databázi cca 7 milionů těhotných žen s řadou osobních a citlivých informací, může sloužit jako odstrašující příklad. Zvláště proto, že i přes několikerá ohlášení byla data dostupná přes měsíc. Řešení spočívalo v odstranění citlivých záznamů… ale inkriminované Mongo je otevřené stále. Řada lidí jistě čeká, co se v něm objeví dalšího.
V úterý 9. dubna na konferenci UKNOF-43 v Manchesteru se chystá odhalení dlouho neopravené chyby v RouterOSu. Raději zůstaňte naladěni.
Ironie osudu – na nigerijském vládním webu sídlila phishingová stránka.
Domain fronting je zajímavá technika, jak skrýt před cenzorem – dostat se na určitý web, přestože komunikace vypadá neškodně. Jde o kombinaci bezpečné vnější informace (DNS, SNI) a citlivé vnitřní (za šifrováním v HTTP hlavičce).
Podobným způsobem lze ale využít i HTTP Pipelining.
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…
