Hlavní navigace

Postřehy z bezpečnosti: e-learningové platformy dostávají za vyučenou

4. 5. 2020
Doba čtení: 3 minuty

Sdílet

Dnes se nám roztrhl pomyslný pytel s chybami týkajícími se rozšíření pro WordPress: podíváme se na oblíbená e-learningová rozšíření a formuláře. Povíme si také o kritických chybách v populárním ZeroMQ a další zajímavosti.

Kritické chyby ve třech e-learning pluginech pro WordPress

Vzhledem k aktuální situaci kolem COVID19 se určitá část vzdělávání přesunula do online prostředí na nejrůznější e-learningové platformy. Mnoho vzdělávacích institucí rychle integrovalo nějakou formu Learning Management systému (LMS) do své platformy. Výzkumníci z Check Point Research Team objevili ve třech LMS pluginech pro WordPress velmi závažné zranitelnosti. Konkrétně se jedná o pluginy LearnPress, LearnDash a LifterLMS. Tyto pluginy jsou nainstalovány na cca 100 000 různých vzdělávacích platformách včetně velkých amerických univerzit, jen LearnPress a LifterLMS byly od svého uvedení staženy více než 1,6milionkrát. 

Chyby objevené v pluginu LearnPress se různí od např. typu blind SQL injection až po eskalaci oprávnění, která umožňuje libovolnému uživateli převzít roli učitele. V případě LearnDash lze s využitím SQL injection kupříkladu podvrhnout zápis do placeného kurzu. A konečně zranitelnost v LifterLMS umožňuje libovolnému uživateli změnit své jméno na cokoliv, co bude následně interpretováno jako PHP kód a provedeno na straně serveru.

V souhrnu tyto chyby umožňují útočníkům provádět mimo jiné věci jako krást osobní informace, měnit si známky, získávat zadání a výsledky testů nebo si vydat certifikát o absolvování kurzu.

Výzkumníci o chybách informovali výrobce všech dotčených pluginů již v březnu a ti podle všeho již vydali příslušné opravy.

Kritické chyby v SaltStack se dotýkají tisíců data center

Dvě velmi závažné bezpečnostní chyby byly nalezeny v SaltStack Salt konfiguračním frameworku. Salt, podobně jako např. Puppet nebo Ansible, umožňuje hromadnou správu serverů a jiných zařízení. Salt používá architekturu master/slave, kdy spravované servery pravidelně komunikují s centrálním uzlem, od kterého získávají informace o svém cílovém stavu a příkazy k provedení.

Chyby se nenachází přímo v kódu Saltu, ale v technologii ZeroMQ, která se používá pro komunikaci mezi spravovanými servery a centrálním uzlem. Obě chyby se navzájem doplňují a vedou až ke kompletnímu převzetí kontroly nad centrálním uzlem a tím i k převzetí kontroly nad všemi spravovanými servery. První chyba umožňuje útočníkovi naprosto obejít autentizační mechanismy při připojování k centrálnímu uzlu a injektovat do systému falešné příkazy. Druhá chyba umožňuje čtení a zápis libovolných souborů na centrálním uzlu a tedy i krádež bezpečnostních klíčů pro autentizaci jako root.

Obě chyby již byly výrobcem opraveny a všem uživatelům je doporučována bezodkladná aktualizace.

Hackeři vylákali ze tří britských firem 1,3 milionu dolarů

Velmi pozoruhodným a sofistikovaným způsobem se v nedávném vysoce cíleném útoku podařilo skupině nazývané „The Florentine Banker“ vylákat ze tří britských firem více než 1,3 milionu dolarů v domnění, že tím financují startupy. 

Typ útoku má označení Business Email Compromise (BEC) a spočívá ve dvou fázích. V první fázi získají útočníci přístup k emailovým účtům vytipovaných vysoce postavených úředníků cílové firmy a monitorují komunikaci. Po vytipování vhodného obchodního jednání, během kterého budou od někoho někam posílány peníze, přejdou do druhé, aktivní fáze. V té založí domény podobné doménám na obou stranách emailové komunikace a pomocí nastavení filtrování emailů provedou útok typu MITM, při kterém zachytávají emaily mezi oběma stranami a mění klíčové informace jako třeba čísla účtů pro bankovní převody.

Americká FBI zvoní na poplach, protože dle zprávy z roku 2019 hlášených podvodů typu BEC bylo celkem 23 775 a celková škoda se vyšplhala až na 1,7 miliard dolarů.

Chyba v pluginu Ninja Forms pro WordPress

A ještě jednou se dnes vrátíme k systému WordPress. Více než 800 tisíc instalací je zranitelných v důsledku chyby v rozšíření Ninja Forms. Chyba je v tuto chvíli již opravena, ale k 1.5. stále existovalo 800 000 zranitelných instalací. Jedná se o chybu typu Cross-Site Request Forgery (CSRF) a potenciálně může vést až k útoku typu Stored Cross-Site Scripting (Stored XSS). 

Útočník musí přimět správce kliknout na škodlivý link, který následně přidá k právě vytvořenému formuláři škodlivý kód. V konečné fázi útoku může dojít až k vytvoření falešného účtu správce a k úplnému převzetí kontroly nad webovou stránkou, případně k přesměrování nic netušících návštěvníků na škodlivé weby.

Ve zkratce

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

Byl pro vás článek přínosný?

Autor článku

CESNET-CERTS je oficiální jméno bezpečnostního týmu sdružení CESNET, z. s. p. o. od ledna roku 2004. Jeho součástí je také Forenzní laboratoř FLAB. Články tvoří společně jednotliví členové týmu.