Na akci BlackHat, která proběhla ve čtvrtek a pátek v Londýně, byly oznámeny podrobnosti o zranitelnostech i u nás prodávaných Belkin WeMo zařízení pro automatizaci chytré domácnosti. Jedná se o chytré kamery, vypínače, žárovky, zvlhčovače vzduchu, topná tělesa nebo vařiče. V těchto zařízeních byly nalezeny závažné zranitelnosti již v letech 2013 a 2014. Při nyní prováděném testování byly v zařízeních nalezeny dvě nové zranitelnosti.
První nalezená zranitelnost může být zneužita pro vzdálené získání root přístupu k zařízením WeMo. K úspěšnému útoku musí mít útočník přístup k mobilnímu zařízení uživatele. Pokud by jej však získal, například prostřednictvím malware, mohl by do zařízení WeMo nahrát vlastní IoT malware. Ten by sice mohl jít odstranit přehráním firmware, ale jelikož útočníkův malware může díky spouštění pod oprávněním root ukončit proces updatování firmware, je otázka, zda by takto nevznikl celkem persistentní botnet. Útočník by tak mohl vytvořit odolný IoT botnet, jako to kdysi hrozilo třeba u 3G modemů Huawei.
Druhá zranitelnost je cross-site scripting a týká se aplikace WeMo pro Android. Při spouštění aplikace WeMo zkouší vyhledat a identifikovat všechna WeMo zařízení v dosahu. Pokud útočník místo názvu zařízení vloží do příslušné položky javascript, je pak tento javascript vykonán na zařízení, na kterém běží zranitelná aplikace a to v okamžiku, kdy je toto zařízení aplikací zaznamenáno. WeMo aplikace má přístup například k úložišti, kameře, Wi-Fi, kontaktům nebo uživatelským účtům, což dává útočníkovi značné možnosti. Útočník, který má k WeMo zařízením přístup po síti, může prý navíc jednoduše změnit název těchto zařízení pomocí UPnP zprávy. Podle jednoho z objevitelů této zranitelnosti může útočník také zkusit emulovat WeMo zařízení s upraveným jménem a počkat, až se potenciální oběť připojí do veřejné Wi-Fi, do které se připojí i útočník. Aplikace WeMo pak začne automaticky prohledávat síť a až nalezne útočníkovo zařízení, bude jím podstrčený kód vykonán.
Naše postřehy
Další IoT botnet se šíří převážně po routerech a modemech. Pro své šíření zneužívá telnet, na který se snaží dostat s využitím uniklých přihlašovacích údajů, které pochází z botnetu Mirai. Pro komunikaci používá IRC protokol a je schopen provést DDoS útoky jako například UDP a TCP flood. Tento malware se nijak nestará o persistenci, může tedy být ze zařízení snadno odstraněn pouhým restartem.
Britské nemocnice sdružené pod National Health Service (NHS) byly nuceny zrušit stovky plánovaných operací, vyšetření a diagnostických procedur. Stalo se tak v důsledku napadení IT systémů několika nemocnic blíže nespecifikovaným malwarem. Na radu expertů NHS vypnula většinu systémů, aby mohla nákazu izolovat a odstranit. Zabezpečení nemocnic patří k často diskutovaným tématům, jak připomíná server Securityaffairs.co, v posledních dvou letech došlo v některých nemocnicích například k úniku dat o pacientech nebo k ohrožení dat z důvodu napadení ransomwarem.
Mirai IoT Botnet známý pod označením Botnet 14, byl použit k útoku na Lonestar Cell MTN, což je telekomunikační společnost, která poskytuje Internet celé Liberii. Ta je k Internetu připojena jediným optickým kabelem. Útoků bylo několik a vždy trvaly jen krátkou dobu. Podle Kevina Beaumonta nejspíš útočník testuje různé techniky DDoS útoků. Později se však objevily informace, že to možná nebylo tak horké, jak to z počátku média prezentovala.
Zranitelnosti a nedostatečná hesla u dohledových kamer nepřitahují pozornost pouze v souvislosti s možným zapojením těchto zařízení do botnetů jako je Mirai. Podle společnosti BLACKOPS Cyber se o ně zajímá také Hacking tým ISIS. Tato společnost našla server, kde si tento tým sdílel informace o odkazech na jednotlivé kamery a popisy jejich zranitelností. Přístup ke kamerám může ISIS pomoci při plánování teroristických útoků, stejně jako při krytí samotného útoku.
Julian Oliver v rámci svého projektu Stealth Infrastructure tentokrát vyzkoušel vytvořit skrytou základnovou stanici GSM, která je maskována jako běžná kancelářská tiskárna. Ta vysílá na telefony v okolí SMS tvářící se jako by byly odeslány někým, koho příjemce zná. Pokud příjemce odpoví, je získáno číslo IMSI a další identifikační údaje. „Tiskárna“ také náhodně volá na telefony v okolí, a pokud majitel hovor přijme, je mu zahrána píseň od Stevie Wondera. Takovýto systém by mohl být využit například k rozesílání phishingových zpráv na telefony v okolí.
Vnitřek upravené tiskárny
Zranitelnost DOM-based cross-site scripting byla odhalena v platformě Wix.com, která umožňuje uživatelům snadnou tvorbu webových prezentací. Pokud se útočníkovi podaří nalákat uživatele nebo dokonce vlastníka webové prezentace na této platformě k otevření útočníkem připraveného odkazu, může být do stránky vložen javascript útočníka. S jeho pomocí může útočník například ukrást session cookies, změnit obsah webové stránky zobrazený u daného uživatele, požádat o zadání jména a hesla, vyzvat uživatele ke stažení a instalaci souboru s malwarem a další.
Ve zkratce
- oAuth 2.0 hack ohrožuje účty Adnroid aplikací
- Nový DRAM útok umožňuje skryté krádeže dat
- Volatility Bot: automatická analýza paměti
- Wi-Fi jako IMSI catcher
- Extrakce malware přenášeného přes Telnet
- Kritické zranitelnosti MySQL
- Zranitelnost Windows zneužívaná in the wild
- Za výpadek známého blacklistu mohla unesená doména
- V open source produktu Memcached byly nalezeny tři kritické zranitelnosti
Pro pobavení
Závěr
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.
