Hlavní navigace

Postřehy z bezpečnosti: e-mail by chtěl spouštět kód

24. 10. 2022
Doba čtení: 4 minuty

Sdílet

 Autor: Depositphotos
Dnes se pověnujeme spuštění kódu přes zranitelnou Zimbru, zranitelnostem při příjmu Wi–Fi na Linuxu, děravému kyblíku Microsoftu a jeho komunikačním lapsům či nepovedenému upgradu Turris OS.

RCE a DoS přes zapnutou Wi–Fi na Linuxu

V linuxové implementaci parsování protokolu 802.11 (Wi–Fi) byly objeveny zranitelnosti vedoucí k možnému vzdálenému spuštění kódu a případným DoS útokům. Zranitelnosti CVE-2022–41674 (RCE), CVE-2022–42720 (RCE), CVE-2022–42721 (DoS) platí od verze jádra 5.1, CVE-2022–42719 (RCE) od verze 5.2 a CVE-2022–42722 (DoS) od verze 5.8.

Nepříjemná je snadná zneužitelnost, kdy stačí mít v systému zapnutou Wi–Fi, která pak sama přijímá rámce – beacony – v rámci skenu. To zároveň limituje dosah útoku, který by se tudíž nejspíš odehrál v rádiovém dosahu stroje.

Zranitelnosti jsou již opraveny v nadcházejícím vydání jádra 6.1 a zároveň byly opravy backportovány do verzí 6.0.2, 5.19.16, 5.15.74, 5.10.148 a 5.4.218. Byl zveřejněn i proof-of-concept možného exploitu.

Na roota přes amavis a cpio v Zimbře

Po krátké době druhá závažná zranitelnost v Zimbře. Zimbra Collaboration Suite (ZCS) ve verzích 8.8.15 a 9.0 utrpěla nepříjemnou zranitelnost (CVE-2022–41352, CVSSv3: 9.8), která umožňuje nahrát na server libovolné soubory, vynutit spuštění kódu a získat přístup k účtům jiných uživatelů.

Útočníkům stačí zaslat na e-mailový server zprávu se speciálně upraveným archivem tar, který je následně amavisem předán cpio. Utilita se použije, pokud na serveru není nainstalován doporučený archivátor pax. Extrahováním do cesty /opt/zimbra/jetty/webapps/zimbra/public se kód zpřístupní na webovém serveru a je následně možné jej vzdáleně spustit.

Již 10. září byla zranitelnost nahlášena na fóru Zimbry jako aktivně zneužívaná, což potvrdily další příspěvky ve fóru. Společnost Volexity celosvětově identifikovala cca 1600 napadených serverů ZCS. Metasploit již zařadil do repozitáře exploit.

Analýza společnosti Flashpoint ukázala, že jde o CVE-2015–1197 balíčku cpio. Tato chyba byla již jednou záplatována, ale patch byl posléze z velké části doporučen k revertu, což se pak skutečně stalo, mj. i v Debianu a Ubuntu. V srpnu 2022 si vývojář z Red Hatu povšiml, že tato zranitelnost stále není opravena, ale jeho e-mail v konferenci zůstal bez reakce.

Opravy jsou přítomny ve verzích 9.0.0 Patch-27 a 8.8.15 Patch-34. Pokud není možné aktualizovat, pak je možné zranitelnost mitigovat nainstalováním balíčku pax a restartováním služby. Amavis jej pak následně použije přednostně místo  cpio.

Microsoftu vytekl kyblík jeho vlastních dat z Azure

SOCRadar ve čtvrtek publikoval svůj report, jak Microsoftu uteklo 2,4 TB dat více než 65 tisíc entit ve 111 zemích. V uniklých datech jsou jména, emaily, faktury, objednávky a další citlivé dokumenty. Data utekla skrz nesprávně nakonfigurovaný datový bucket v cloudu Azure, který byl veřejně přístupný a zaindexovaný vyhledávači. SOCRadar problém pojmenoval BlueBleed a v rámci svých nástrojů publikoval ověřovátko, kterým můžete zjistit, zda jsou e-mailové adresy z vaší domény součástí úniku. O problému již Root psal ve zprávičce.

Reakce Microsoftu na veřejný report SOCRadaru se ovšem stala terčem kritiky, třeba už kvůli tomu, jak se rozhodli SOCRadar „povodit“ kvůli údajně zavádějícím číslům a přefouknutému rozsahu incidentu, aniž by sami poskytli přesnější informace. Microsoft samotný také sice informoval své zákazníky prostřednictvím portálu Message Center již začátkem října, odmítal ovšem sdělit jakékoliv podrobnosti, nehledě na to, že ne všechny organizace mají přístup ke svému Message Center a tudíž se o problému vůbec nemusely dovědět.

Pokud zjistíte, že je vaše organizace součástí úniku, možností je kontaktovat Microsoft pro detaily do 4. listopadu prostřednictvím administrátorské konzole Microsoft 365 – Support → New service request.

Testů není nikdy dost aneb upgrade Turris OS

Ve středu se tým stojící za vývojem Turris OS rozhodl vydat verzi 6.0. Šlo o poměrně velký skok včetně aktualizace kernelu a OpenWrt. Aktualizace byla vypuštěna pro všechny podporované Turrisy, včetně prvních 1.x.

Brzy začala přicházet první chybová hlášení od lidí, kterým se router samovolně aktualizoval. Ukázal se řádný průšvih: v průběhu upgradu došlo k migraci nastavení sítě a také firewallu; v něm následně z nejistých příčin vypadlo mapování portů k zónám.

Výsledkem bylo, že Turrisy byly poté naprosto vystaveny do internetu, stejně jako jejich webová administrace. K přístupu do webové administrace reForis navíc nebylo nutné ani přihlášení, jelikož nenaběhla ani nová autentizační brána. Bohužel dle ohlasů nešlo o ojedinělé případy. Shodou okolností nenaběhlo ani SSH, ani LuCI, a přestože byl dostupný přístup k reForisu, nebylo v něm (dle vyjádření týmu Turris) možné router trvale poškodit. Restart tyto problémy vyřešil, ale v mnoha případech bylo nutné jej provést ručně.

root_podpora

Tým Turrise problém během dne řešil a vydával rychlé opravy. Poté v pátek vydal omluvu a obsáhlé vyjádření, ve kterém vysvětluje příčiny a proč se chyby nepodařilo při testování odhalit, ale také, jakým způsobem se jim do budoucna hodlají vyhnout. Konkrétně při přechodu na další verzi, Turris OS 7.0, budou migrovat pouze OpenWrt, aniž by přidávali další funkce; dále změní způsob provádění integračních testů a mj. se zamyslí nad tím, jakým způsobem nabízet větší aktualizace uživatelům. Zmíněné změny zaberou čas, věřme však, že budou pouze ku prospěchu situaci.

Krátce

Pro pobavení

Doufáme, že jde o vtip.

Autor: cyberrpreneur

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

Byl pro vás článek přínosný?

Autor článku

CESNET-CERTS je oficiální jméno bezpečnostního týmu sdružení CESNET, z. s. p. o. od ledna roku 2004. Jeho součástí je také Forenzní laboratoř FLAB. Články tvoří společně jednotliví členové týmu.