Postřehy z bezpečnosti: apríl u Apačů

Dnes se podíváme na aprílovou nadílku Apache, pozastavíme se nad Facebookem (dvakrát), zmíníme strojové učení Tesly, prozkoumáme podvrhnutelnost GPS a prohlédneme si data v několika databázích.
Apríl u Apačů
První apríl přinesl zveřejnění několika zranitelností ve webovém serveru Apache.
Je mezi nimi i zranitelnost označená jako CVE-2019–0211, která si už zasloužila zmínku na Rootu, protože může postihnout většinu sdílených hostingů. Viz například detailní analýza. Ve zkratce – každý worker může v jemu přidělené struktuře ve sdílené paměti upravit určitý ukazatel, který Apache po restartu workeru příliš důvěřivě použije.
Zajímavá je i chyba souběhu CVE-2019–0217 v mod_auth_digest
, která umožňuje autentizaci pod jiným uživatelem.
CVE-2019–0215 je zase nepříjemná chybka v mod_ssl
, která umožňuje některým klientům obejít řízení přístupu.
Mark Zuckerberg to nemá jednoduché. Poté, co médii prolétlo, že Facebook ukládá hesla v nešifrované podobě, tu máme další problém – pro ověření vlastnictví souvisejícího webmailového účtu Facebook žádal o heslo k onomu účtu. Možná by ono URL mělo být nahlášeno na Phishtank?
Další vrásky Markovi nejspíš udělala zpráva, že na nechráněných serverech v Amazon S3 cloudu nedefinovanou dobu koukaly do světa dva náklady dat o uživatelích. Jeden od mediální firmy Cultura Colectiva (540 milionů záznamů), což je nálož, která překračuje i z Cambridge Analyticu. Druhý od aplikace At the Pool (22 000 záznamů, ale s plaintextovými hesly). Hesla pravděpodobně nejsou přímo k facebookovému účtu, ale přiznejme si to, pro mnoho uživatelů je odlišení hlavního hesla k Facebooku a hesla k pluginu/aplikaci pod úrovní rozlišení.
Hackujeme Teslu
Tencent Keen Security Lab vydaly paper, kde předvádějí, jak se dá Tesla řídit gamepadem přes Bluetooth a CAN sběrnici, ukazují ošálení AI, která řídí automatické spouštění stěračů, a zmatení autopilota nálepkami na silnici. Fiktivní silniční „pruhy“ jsou vytvořeny tak, aby nebyly příliš nápadné pro člověka, ale autopilota například dokáží odvést do vedlejšího pruhu.
GPS trochu jinak
Organizace C4ADS vydala obsáhlou analýzu, z níž vyplývá, že ruská federace běžně využívá podvrhování GPS. Patrná je i korelace míst manipulace s pohyby ruských vládních špiček.
V souvislosti s GPS je dobré zmínit i změnu epochy, která se může dotknout řady zařízení.
Otevřená Kibana následuje Elastic a Mongo
Po nezabezpečených databázích MongoDB, Elasticsearch a CouchDB přichází jako vhodný vektor Kibana. Kibana v základu neřeší autentizaci, navíc velké množství instancí je zastaralých a zranitelných na CVE-2018–17246, což dělá z dat v připojeném Elasticu švédský stůl.
-
- Reporting & Analytics specialist
- FRONT-END DEVELOPER
- PYTHON vývojář pro vývoj AI
- Angular frontend developer
- Systémový specialista
- IT technik
-
- Psaní velkých písmen jako pravopisná hrůza hrůz?
- Zkušenosti generála tajné služby: Práce s lidmi
- Kritické myšlení 8 - Racionální komunikace a argumentace
- Knihovny na SharePointu 1: co je to knihovna a jak do ní dostat soubory
- Kritické myšlení 2 - Jak hacknout rozhodování - intuice vs. algoritmy
- Obchodní myšlení
Nicméně ani kauza MongoDB není historií. Indická vládní agentura, která nechala volně otevřenou databázi cca 7 milionů těhotných žen s řadou osobních a citlivých informací, může sloužit jako odstrašující příklad. Zvláště proto, že i přes několikerá ohlášení byla data dostupná přes měsíc. Řešení spočívalo v odstranění citlivých záznamů… ale inkriminované Mongo je otevřené stále. Řada lidí jistě čeká, co se v něm objeví dalšího.
Varování MikroTikům
V úterý 9. dubna na konferenci UKNOF-43 v Manchesteru se chystá odhalení dlouho neopravené chyby v RouterOSu. Raději zůstaňte naladěni.
Pro pobavení
Ironie osudu – na nigerijském vládním webu sídlila phishingová stránka.
Pro poučení
Domain fronting je zajímavá technika, jak skrýt před cenzorem – dostat se na určitý web, přestože komunikace vypadá neškodně. Jde o kombinaci bezpečné vnější informace (DNS, SNI) a citlivé vnitřní (za šifrováním v HTTP hlavičce).
Podobným způsobem lze ale využít i HTTP Pipelining.
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…
Autor článku
CESNET-CERTS je oficiální jméno bezpečnostního týmu sdružení CESNET, z. s. p. o. od ledna roku 2004. Jeho součástí je také Forenzní laboratoř FLAB. Články tvoří společně jednotliví členové týmu.
Seriál Postřehy z bezpečnosti
-
- FRONT-END DEVELOPER
- C#/.NET Developer
- PYTHON vývojář pro vývoj AI
- Angular frontend developer
- Systémový specialista
- .NET Core Developer - API, microservices, platební terminály
-
- Psaní velkých písmen jako pravopisná hrůza hrůz?
- Vizuální myšlení
- NLP koučink - kompletní kurz
- Kritické myšlení 8 - Racionální komunikace a argumentace
- Kritické myšlení 2 - Jak hacknout rozhodování - intuice vs. algoritmy
- Obchodní myšlení
Dále u nás najdete
Internet Info Root.cz (www.root.cz)
Informace nejen ze světa Linuxu. ISSN 1212-8309
Copyright © 1998 – 2019 Internet Info, s.r.o. Všechna práva vyhrazena.