Hlavní navigace

Postřehy z bezpečnosti: botnet s vlastním honeypotem

22. 3. 2021
Doba čtení: 4 minuty

Sdílet

 Autor: Depositphotos
Uplynulý týden byl opět bohatý na ohlášené zranitelnosti. Podíváme se ale také na nový botnet používající honeypoty k hledání dalších obětí nebo na to, jak se skupině náctiletých podařilo proniknout do Twitteru.

Botnet a honeypot v jednom

Analytici z Netlab 360 našli nový botnet založený na botnetu Mirai. Tato novinka byla pojmenována ZHtrap a šíří se s využitím čtyř různých zranitelností. Je využíván především k DDoS útokům a skenování, ale má integrovány i funkce backdooru. Podporuje více architektur, včetně x86, ARM a MIPS.

Jeho nejzajímavější vlastností je, že může napadená zařízení změnit v honeypot. Ten pak naslouchá na 23 různých portech a sbírá IP adresy útočníků. Na tyto IP adresy pak zkusí ZHtrap zaútočit. Pokud se útok podaří, stahuje si pak s využitím sítě Tor další payload z C2 serverů. Analytici společnosti NetLab se domnívají, že za tímto mechanismem stojí předpoklad, že mnoho honeypotem zachycených útoků má na svědomí zařízení, která byla sama kompromitována jinými útočníky a že tedy budou s velkou pravděpodobností zranitelná.

Pluginy pro WordPress opět na scéně

Více než 7 milionů webových stránek je dotčeno zranitelností dvou populárních pluginů z pro WordPress. Zranitelnosti byly odhaleny v pluginech Elementor a WP Super Cache. V případě pluginu Elementor se jedná o stored cross-site scripting, což útočníkovi umožňuje vložit do stránek vlastní javasriptový kód. Druhý z pluginů, WP Super Cache, disponuje zranitelností authenticated remote code execution. Ta umožňuje útočníkovi nahrát a spustit škodlivý kód.

Obě zranitelnosti již byly opraveny (Elementor 3.1.4 a WP Super Cache 1.7.2).

Kritická zranitelnost Gitlab

Byla objevena kritická zranitelnost v systému GitLab s CVSS 9.9, zatím bez přiřazeného CVE. Zranitelnost postihuje všechny verze 13.2 a novější a opravují ji vydané verze 13.9.4, 13.8.6, a 13.7.9. Zneužitím této zranitelnosti může neautentizovaný útočník spouštět na serveru škodlivý kód.

Útok na tři pražské polikliniky

Minulý týden došlo k úspěšnému útoku na tři pražské polikliniky. V důsledku útoku nebylo možné používat e-mail ani objednávkový systém. Incident byl oznámen Národnímu úřadu pro kybernetickou bezpečnost. Podle Deníku N se nejednalo o zranitelnost v produktu Microsoft Exchange.

Twitter obětí sociálního inženýrství skupinky teenagerů

Teenager odsouzen na tři roky za hacknutí Twitteru. Pošlete mi peníze, pošlu vám dvojnásobek zpět, ale jen v příštích třiceti minutách! Podobnou výzvu umístil sedmnáctiletý Graham Clark a jeho další kumpáni minulý červenec na sociální účty 130 vlivných osobností, mezi nimiž nechyběl stávající prezident Biden. Zpráva, slibující snadný výdělek přiměla pod časovým tlakem řadu lidí otevřít své bitcoinové peněženky a zaslat je povedené skupině.

Floriďan nyní souhlasil s trestem. Jak se jim podařilo se dostat na servery velké společnosti? Důkladným pátráním na LinkedINu si vytipovali zaměstnance, kteří by mohli mít správný přístup a cílenými telefonáty je přesvědčili, že jsou také zaměstnanci Twitteru. Pandemická opatření jim nahrávala. Spearphishing pokračoval umně vytvořenou stránkou, která se při nepozornosti nedala rozeznat od reálného portálu, kterým se zaměstnanci společnosti připojovali na VPN. Ten sice vyžaduje dvoufaktorovou autentizaci, nicméně útočníci se přihlásili ve stejný okamžik jako skuteční zaměstnanci – kteří jim tak poskytli jednorázový token.

Zranitelnosti jádra

Bezpečnostní výzkumníci z firmy GRIMM objevili tři zranitelnosti linuxového jádra (CVE-2021–27365, CVE-2021–27363 a CVE-2021–27364), konkrétně v kódu pro SCSI subsystém. Zranitelnosti v jádře zůstaly zřejmě bez povšimnutí posledních patnáct let. Jedna ze zranitelností může být zneužita k navýšení práv uživatele. Součástí zveřejněných informací of GRIMM je také ukázkový kód, jak zranitelnost zneužít (PoC).

SQLi a persistentní XSS v MyBB

Dvojice kritických zranitelností byla objevena v open-source softwaru pro tvorbu diskuzního fóra s názvem „MyBB“. Chyby byly objeveny bezpečnostními vědci Simonem Scannellem a Carlem Smithem 22. února a opraveny 10. března ve verzi 1.8.26. První zranitelnost umožňovala útočníkovi provést perzistentní XSS CVE-2021–27889. Útočník mohl uložit škodlivý kód do příspěvků nebo dokonce i do soukromé zprávy uživatelů. Po uložení kódu pak stačí, aby si uživatel zobrazil soukromou zprávu případně navštívil infikovanou nástěnku.

Druhá chyba zranitelnost SQL injection CVE-2021–27890. Kombinací těchto dvou chyb by mohl útočník vytvořit skript, který by zaslal správci fóra, který má oprávnění přidávat nové témata, kde by mohl importovat téma s nebezpečným kódem či vlastním exploitem. Uživatelům fóra „MyBB“ se doporučuje updatovat na nejnovější verzi.

Již třetí zero-day chyba v Chrome

Tentokrát se jedná o chybu use-after-free, které bylo přiřazeno CVE-2021–21193 s kritičností 8,8 z 10 a je obsažena v subsystému Blink, vyvíjeného jako část projektu Chromium. Útočník, který naláká oběť na svoji zákeřnou stránku, může pomocí této chyby vykonat kód na zařízení oběti.

Aktualizujte Chrome na 89.0.4389.90. Pokud opravdu nevíte, co děláte, nenavštěvujte stránky s podezřelým obsahem.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.