Postřehy z bezpečnosti: apríl u Apačů

Apríl u Apačů

První apríl přinesl zveřejnění několika zranitelností ve webovém serveru Apache.

Je mezi nimi i zranitelnost označená jako CVE-2019–0211, která si už zasloužila zmínku na Rootu, protože může postihnout většinu sdílených hostingů. Viz například detailní analýza. Ve zkratce – každý worker může v jemu přidělené struktuře ve sdílené paměti upravit určitý ukazatel, který Apache po restartu workeru příliš důvěřivě použije.

Zajímavá je i chyba souběhu CVE-2019–0217 v mod_auth_digest, která umožňuje autentizaci pod jiným uživatelem.

CVE-2019–0215 je zase nepříjemná chybka v mod_ssl, která umožňuje některým klientům obejít řízení přístupu.

Facebook

Mark Zuckerberg to nemá jednoduché. Poté, co médii prolétlo, že Facebook ukládá hesla v nešifrované podobě, tu máme další problém – pro ověření vlastnictví souvisejícího webmailového účtu Facebook žádal o heslo k onomu účtu. Možná by ono URL mělo být nahlášeno na Phishtank?

Další vrásky Markovi nejspíš udělala zpráva, že na nechráněných serverech v Amazon S3 cloudu nedefinovanou dobu koukaly do světa dva náklady dat o uživatelích. Jeden od mediální firmy Cultura Colectiva (540 milionů záznamů), což je nálož, která překračuje i z Cambridge Analyticu. Druhý od aplikace At the Pool (22 000 záznamů, ale s plaintextovými hesly). Hesla pravděpodobně nejsou přímo k facebookovému účtu, ale přiznejme si to, pro mnoho uživatelů je odlišení hlavního hesla k Facebooku a hesla k pluginu/aplikaci pod úrovní rozlišení.

Hackujeme Teslu

Tencent Keen Security Lab vydaly paper, kde předvádějí, jak se dá Tesla řídit gamepadem přes Bluetooth a CAN sběrnici, ukazují ošálení AI, která řídí automatické spouštění stěračů, a zmatení autopilota nálepkami na silnici. Fiktivní silniční „pruhy“ jsou vytvořeny tak, aby nebyly příliš nápadné pro člověka, ale autopilota například dokáží odvést do vedlejšího pruhu.

Autor: Keen Security Lab

Nenápadné značky Tesla interpretuje jako pruh.

GPS trochu jinak

Organizace C4ADS vydala obsáhlou analýzu, z níž vyplývá, že ruská federace běžně využívá podvrhování GPS. Patrná je i korelace míst manipulace s pohyby ruských vládních špiček.

V souvislosti s GPS je dobré zmínit i změnu epochy, která se může dotknout řady zařízení.

Otevřená Kibana následuje Elastic a Mongo

Po nezabezpečených databázích MongoDB, Elasticsearch a CouchDB přichází jako vhodný vektor Kibana. Kibana v základu neřeší autentizaci, navíc velké množství instancí je zastaralých a zranitelných na CVE-2018–17246, což dělá z dat v připojeném Elasticu švédský stůl.

Nicméně ani kauza MongoDB není historií. Indická vládní agentura, která nechala volně otevřenou databázi cca 7 milionů těhotných žen s řadou osobních a citlivých informací, může sloužit jako odstrašující příklad. Zvláště proto, že i přes několikerá ohlášení byla data dostupná přes měsíc. Řešení spočívalo v odstranění citlivých záznamů… ale inkriminované Mongo je otevřené stále. Řada lidí jistě čeká, co se v něm objeví dalšího.

Varování MikroTikům

V úterý 9. dubna na konferenci UKNOF-43 v Manchesteru se chystá odhalení dlouho neopravené chyby v RouterOSu. Raději zůstaňte naladěni.

Pro pobavení

Ironie osudu – na nigerijském vládním webu sídlila phishingová stránka.

Pro poučení

Domain fronting je zajímavá technika, jak skrýt před cenzorem – dostat se na určitý web, přestože komunikace vypadá neškodně. Jde o kombinaci bezpečné vnější informace (DNS, SNI) a citlivé vnitřní (za šifrováním v HTTP hlavičce).

Podobným způsobem lze ale využít i HTTP Pipelining.

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…