Hlavní navigace

Postřehy z bezpečnosti: Facebooku zavařil software pro bezpečné sdílení souborů

Pavel Bašta 25. 4. 2016

Dnes se podíváme na děravý software pro sdílení souborů, který umožnil únik hesel zaměstnanců Facebooku, na zveřejněný popis útoku na Hacking Team, problémy WordPressu a šmírovací nástroje CIA.

Ten pocit, když se nabouráte Facebooku do serveru a zjistíte, že už tam někdo byl před vámi a nechal tam i svůj webshell. Přesně to se stalo analytikovi společnosti DevCore, když při zkoumání infrastruktury Facebooku našel server pojmenovaný files.fb.com. Na něm běžela instance programu Accellion File Transfer, umožňující zaměstnancům Facebooku „bezpečnou“ výměnu souborů. Vzhledem k dalšímu vývoji situace lze říci, že, naštěstí pro Facebook, nalezl tento analytik v produktu Accellion několik nových, do té doby neznámých chyb, jako XSS, lokální eskalace oprávnění, nebo chyby umožňující vzdálené spuštění kódu.

Jednu z nich, konkrétně Pre-Auth SQL Injection, pak využil k nahrání vlastního webshellu na server. Jakmile převzal kontrolu nad serverem, začal shromažďovat údaje potřebné pro bug bounty program Facebooku. V té chvíli ovšem zjistil, že není prvním, kdo se na server dostal. Na serveru našel další webshell. Tento první útočník využíval ovládnutý server ke sbírání přihlašovacích údajů zaměstnanců Facebooku. Za nahlášení zranitelností dostal Orange Tsai zaslouženou odměnu 10 000 dolarů.

Společnost Accelion se na svém webu chlubí, že její řešení je vhodné pro bezpečné sdílení souborů ve velkých firmách a vládních úřadech. Nicméně když jsem si k jejich software chtěl najít více informací, narazil jsem ještě na tento článek z roku 2013, ve kterém jeho autor popisuje, jak snadno se mu tehdy podařilo na serveru files.fb.com změnit heslo u cizího účtu. To fungovalo, protože se mu na serveru podařilo vytvořit vlastní testovací účet a také proto, že v cookies byla pomocí base-64 zakódována e-mailová adresa spojená s daným účtem. Pak už jen stačilo zachytávat POST požadavky při odesílání změny hesla a změnit v nich e-mailovou adresu na adresu svázanou s účtem, jehož heslo chtěl autor článku resetovat. Výše popsaný incident tedy rozhodně nebyl prvním velkým problémem serveru files.fb.com. Jsem zvědavý, jestli z toho Facebook tentokrát vyvodí nějaké větší změny.

Naše postřehy

Pěkné počtení nám připravil tento týden hacker, který nejspíš stál za loňským útokem na Hacking Team. Útoku jsme se věnovali ve dvou  dílech našich Postřehů. Aby se dostal do sítě, musel si napsat vlastní exploit pro zranitelnost na neupřesněném embedded zařízení (0-day zranitelnost je tam prý stále), dále si připravil vlastní firmware rozšířený o backdoor a užitečné nástroje, které mu umožnily se z napadeného zařízení dostat dále do sítě, a zároveň mu připravený backdoor umožnil vyhnout se dalšímu využívání nalezené zranitelnosti (kvůli ztížení její následné identifikace při vyšetřování incidentu). Podle vlastní dokumentace Hacking Teamu měly být jejich zálohy v separátní síti, ale nmap je našel ve stejné síti, jako byly ostatní stanice. Přes nezabezpečené zálohy se pak hacker dostal až k administrátorským heslům. Mimochodem, jedno z nich bylo „P4ssword„. Pak už nebyl problém dostat se k e-mailovému serveru a začít s postupným stahováním dat. Je to dlouhé, ale zajímavé čtení, kde se například také dozvíme, jak si zajišťoval trvalý přístup nebo přístup ke zdrojovým kódům.

Pokud vás zajímá, jakými nástroji nás CIA špehuje na sociálních sítích, pak si projděte tento článek a související odkazy. Krátce, jedná se například o Dataminr, který umožňuje analýzu dat z Twitteru, dále nástroj Geofeedia, který na základě dat ze sociálních sítí informuje o důležitých novinkách a měl by umět také sledovat protesty aktivistů. Nástroj Dunami, který používá také FBI, pak sleduje propojení mezi uživateli nebo potenciální znaky radikalizace. Všechno jsou to produkty firem, do kterých investovala společnost In-Q-Tel, údajně založená CIA.

IBM varuje před velkým nárůstem útoků na CMS platformu WordPress, který se projevil zvýšeným výskytem nové verze C99 webshell. V březnu byl oproti únoru nárůst o 45 procent. O problémech s CMS WordPress se ve svém příspěvku na fóru SANS zmiňoval také jeden z uživatelů: „I'm currently going through a phase of WordPress dPression. Either my users are exceptionally adept at finding hacked and subverted WordPress sites, or there are just so many of these sites out there. This week's particular fun seems to be happening on restaurant web sites.“

Nový způsob, jak do počítače dopravit Remote Access Trojan (RAT) a snížit šance na detekci antiviry, objevili experti společnosti SentinelOne v Asii. Knihovna, která se stará o rozbalení a injektování RAT, je nahrána pomocí metody, která zajistí, že soubor knihovny vůbec nebude zapsán do filesystému, což snižuje šanci na detekování antivirovým řešením. Jádro malware a nastavení pro samotnou knihovnu jsou pak zašifrovány a uloženy v několika PNG obrázcích.

Když ještě naše sdružení sedělo na původní adrese, sídlila vedle nás pobočka nejmenované banky. Nebyla určena pro klienty, ale podle našeho odhadu se v ní zpracovávaly smlouvy klientů a podobné věci. Tato pobočka měla připojení od O2 a její DSL modem měl několik měsíců nakonfigurovánu starou dobrou výchozí síť VoIP s výchozím nastavením hesla. Píši o tom proto, že příběh o překlepu za miliardu dolarů napsal své další dějství. Podle serveru hackernews totiž vyšetřovatelé tohoto incidentu narazili na problém se sítí v bance, která byla postavena na laciných routerech a switchích z druhé ruky.

Stará a dosud neopravená chyba v protokolu SS7 umožnila bezpečnostním expertům odposlouchávat a sledovat pohyb mobilního telefonu amerického kongresmana pouze na základě znalosti jeho telefonního čísla.

Ve zkratce

Pro pobavení

Rukověť moderního projektového manažera

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

25. 4. 2016 9:12

K te ofixlovane loterii: Jiz v roce 1980 se vyskytl zajimavy pripad, kdy byl ofixlovan mechanicky stroj na tah cisel: https://en.wikipedia.org/wiki/1980_Pennsylvania_Lottery_scandal

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Root.cz: Kamery Sony se dají ovládnout na dálku

Kamery Sony se dají ovládnout na dálku

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Root.cz: Chytré hodinky Pebble úplně končí

Chytré hodinky Pebble úplně končí

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Vitalia.cz: Říká amoleta - a myslí palačinka

Říká amoleta - a myslí palačinka

Vitalia.cz: Dáte si jahody s plísní?

Dáte si jahody s plísní?

DigiZone.cz: Sony KD-55XD8005 s Android 6.0

Sony KD-55XD8005 s Android 6.0

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

DigiZone.cz: ČRa DVB-T2 ověřeno: Hisense a Sencor

ČRa DVB-T2 ověřeno: Hisense a Sencor

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU