Hlavní navigace

Postřehy z bezpečnosti: kocoura Apache ohrožuje Strašidelná kočka

CESNET CERTS

Tentokrát se dozvíme mimo jiné o bezpečnostních chybách v Apache Tomcatu, v rozšířeních WordPressu a v linuxovém démonu PPP, o nebezpečných doplňcích prohlížečů i o odhalení podvodné technické podpory.

Doba čtení: 3 minuty

Sdílet

Kocoura Apache (Tomcat) ohrožuje Strašidelná kočka

Ve čtvrtek 12. prosince 2019 ohlásili pracovníci čínské bezpečnostní firmy Chaitin Tech závažnou bezpečnostní chybu typu file read/inclusion ve webových serverech Apache Tomcat; pojmenovali ji GhostCat. Projevuje se tak, že vzdálený neautentizovaný útočník může číst libovolné soubory v adresářích webapp (např. konfigurační nebo zdrojové soubory), a pokud je povolen upload, může do systému nahrát nebezpečné soubory a vzdáleně spustit libovolný kód. Chyba se týká všech dosavadních verzí Apache Tomcat 6.x až 9.x; starší verze nebyly testovány. Chyba byla opravena ve verzích 9.0.31, resp. 8.5.51 a 7.0.100, které byly zveřejněny 24.2.2020. Zranitelnost má označení CVE-2020–1938.

Vzhledem k tomu, že exploity pro tuto zranitelnost jsou obecně dostupné a scanování TCP portu 8009, na kterém poslouchá zranitelný protokol AJP, probíhá v masovém měřítku, je třeba systémy Apache Tomcat updatovat co nejdříve.

Zranitelná rozšíření CMS WordPress…

Během tohoto týdne bylo odhaleno překvapivě velké množství zranitelností typu Cross-site Scripting (XSS) ve velmi rozšířených doplňcích publikačního systému CMS WordPress; jejich zneužití umožňuje útočníkům tyto systémy zcela ovládnout a zranitelnosti se už aktivně zneužívají. Jedná se o tyto doplňky:

… i linuxový démon PPP

Ve čtvrtek 5. března 2020 zveřejnil americký CERT/CC informaci o zranitelnosti CVE-2020–8597 démona ppp (Point-to-Point Protocol), který slouží k navazování spojení skrze DSL, VPN a modemy dial-up. Tato zranitelnost umožňuje vzdáleným neautentizovaným útočníkům, kteří odešlou zranitelnému klientu nebo serveru ppp speciálně naformátovaný rámec EAP (Extensible Authentication Protocol), způsobit na napadeném systému přetečení vyrovnávací paměti a spustit libovolný kód. Systém je zranitelný i v případě, že na něm není nakonfigurována nebo povolena podpora EAP. – Tuto zranitelnost obsahují verze pppd 2.4.2 – 2.4.8; nové verze nebo bezpečnostní záplaty je třeba instalovat co nejdříve.

Omezte používaní doplňků prohlížečů

Brian Krebs, novinář proslulý svým bojem s počítačovým zločinem, píše o zranitelných doplňcích k prohlížeči Chrome. Jeden z nich, Page Ruler, původně nabízel možnost změřit rozměry obrázků a jiných objektů na webové stránce; nainstalovalo si ho asi 400 tisíc uživatelů. Před několika lety ho ale původní majitel prodal a nový majitel tento doplněk modifikoval tak, že teď kontroluje, zda uživatel edituje určité webové stránky jako např. WordPress nebo Joomla. Pokud zjistí, že ano, na konec editovaného souboru přidá javascriptový kód, který má za úkol zobrazovat nevyžádané reklamy.

Brian Krebs píše, že marketingové firmy mají velký zájem o koupi nebo placené užívání zavedených doplňků k prohlížečům; uvádí příklad reklamní firmy, která nabízí denní platbu až 2500 USD za každých 100 tisíc shlédnutí americkými uživateli.

Autor doporučuje:

  • Důkladně si rozmyslete, zda doplněk určitě potřebujete; to se týká i doplňků k CMS WordPress, Joomla apod.
  • Pokud doplněk prohlížeče najednou požaduje více oprávnění, než měla minulá verze, je to velmi podezřelé.
  • Nikdy nestahujte ani neinstalujte doplněk jen proto, že vám to některý web doporučuje: „Pokud jste to nehledali, neinstalujte to!“
  • „Pokud jste to nainstalovali, sledujte, zda existují novější verze!“
  • „Pokud to už nepotřebujete, odinstalujte to!“

Nejvíce soukromí zajistí Brave

Douglas Leith, pracovník Trinity College v Dublinu, vypracoval výzkumnou zprávu Web Browser Privacy: What Do Browsers Say When They Phone Home?, která hodnotí 6 webových prohlížečů z hlediska zachování soukromí jejich uživatelů. Podle zprávy zachovává soukromí nejlépe prohlížeč Brave od Brendana Eicha, spoluzakladatele Mozilly a autora JavaScriptu. Ve druhé kategorii jsou prohlížeče Chrome, Firefox a Safari, a v poslední Microsoft Edge a ruský Yandex.

Zákon zakazuje nedůvěryhodná komunikační zařízení, podporuje bezpečná

Ve čtvrtek 27. února 2020 americký Senát jednohlasně schválil zákon Secure and Trusted Telecommunications Networks Act, stručně nazývaný „Rip and Replace (vytrhni a nahraď)“, který zakazuje používat federální peníze na nákup nedůvěryhodných komunikačních zařízení (např. 5G od firem Huawei a ZTE) a zároveň vyhrazuje 1 miliardu USD na podporu menších poskytovatelů telekomunikačních služeb, kteří tak budou moci nebezpečná zařízení vyřadit a nahradit je bezpečnějšími (např. od Nokie a Ericssonu). Zákon nyní čeká jen na podpis prezidenta Trumpa.

Naproti tomu v lednu britská vláda oznámila, že povolí užití zařízení 5G Huawei v periferních sítích. Evropská komise chce nechat rozhodnutí o tom, zda užívat zařízení od riskantních dodavatelů, na jednotlivých státech Evropské unie.