Postřehy z bezpečnosti: konec světového dne hesel

8. 5. 2023
Doba čtení: 3 minuty

Sdílet

 Autor: Depositphotos
V dnešním díle Postřehů se podíváme na kompromitované PHP balíčky, zranitelné WordPress weby, aktualizace Apple zařízení, zranitelnosti routerů Zyxel a také reakce na proběhlý Světový den hesel.

Útok na účet správce Packagist.org

Dne 1. května 2023 útočník získal přístup ke čtyřem uživatelským účtům na repozitáři PHP balíčků Packagist.org, které byly neaktivní, ale stále měly přístup ke 14 balíčkům. Útočník zkopíroval balíčky, upravil jejich popisy a změnil URL tak, aby odkazovaly na zkopírované repozitáře. Dne 2. května byly všechny postižené účty deaktivovány a balíčky obnoveny na původní URL.

Problém spočíval v tom, že všechny čtyři účty používaly společná hesla uniklá při předchozích incidentech na jiných platformách. Správci proto doporučují používat jedinečná silná hesla, správce hesel a dvoufaktorovou autentizaci (2FA) na účtech na Packagist.org a GitHub.

Prvním opatřením bylo zablokování úprav populárních balíčků s minimálně 50 000 instalacemi. Packagist.org plánuje zlepšit veřejnou dostupnost informací z auditního záznamu pro snadnější sledování změn v metadatech balíčků.

Nová zranitelnost v pluginu WordPress ohrožuje přes 2 miliony webů

Uživatelé pluginu Advanced Custom Fields pro WordPress by měli aktualizovat na verzi 6.1.6 kvůli zranitelnosti (CVE-2023–30777) způsobené odráženým cross-site skriptováním (XSS). Plugin má přes dva miliony aktivních instalací a zranitelnost byla objevena 2. května 2023. Útočníci mohou zneužít tuto chybu k odcizení citlivých informací nebo zvýšení oprávnění.

Bezpečnostní aktualizace napříč Apple produkty

Apple vydal aktualizace firmware pro osm různých zařízení, včetně modelů sluchátek AirPods a Beats, a také nabíječky MagSafe. Apple není příliš sdílný co aktualizace opravují až na zmínku zranitelnosti CVE-2023–27964. Aktualizaci navíc není možné provést manuálně, ale je automaticky provedena při nabíjení a v dosahu spárovaného iPhone, iPadu nebo Macu připojeného k Wi-Fi.

Kromě toho Apple zavedl nový typ softwarových záplat nazývaných Rapid Security Response (RSR). Tyto záplaty jsou určeny pro rychlejší nasazení zabezpečení a mají být častější než běžné softwarové aktualizace. První sada záplat RSR byla vydána pro iOS 16.4.1 (a), iPadOS 16.4.1 (a) a macOS 13.3.1 (a).

Tyto změny naznačují snahu společnosti Apple zlepšit zabezpečení svých produktů. Avšak, uživatelé by měli být stále opatrní, protože vydání některých oprav může trvat i několik dní a jejich instalace nemůže být vynucena.

Zyxel opravuje několik zranitelností

Společnost Zyxel, výrobce síťových zařízení a řešení, vydala bezpečnostní upozornění týkající se několika zranitelností. Celkem bylo nalezeno osm zranitelností, které se týkají různých aspektů zařízení Zyxel. Mezi nimi jsou například buffer overflow zranitelnost webového serveru (CVE-2023–28769), nedostatečná kontrola oprávnění v CGI programu a nechráněné přihlašovací údaje v konfiguračních souborech (CVE-2023–28770) nebo chybné zpracování symbolických odkazů v FTP serveru umožňující útočníkovi přístup k souborovému systému (CVE-2022–45440).

Opravený firmware byl bohužel vydán pouze pro zařízení, která se nachází v záruční nebo podpůrné době.

Apple a Google spojují síly v boji proti nechtěnému sledování

Nejedná se však o sledování na internetu, nýbrž IRL. Společnosti navrhly specifikaci pro IETF, která by měla řešit nechtěné sledování osob zneužitím Bluetooth trackerů jako je například Apple AirTag. Tato zařízení byla v minulosti zneužita například na sledování obětí domácího nasilí jeho pachateli. Nyní obě společnosti vyzývají k rozpoutání diskuse další výrobce těchto zařízení a organizace, které se zabývají bezpečností a ochranou soukromí.

Oprava DoS a obejití autentizace v libssh

Autoři knihovny libssh reagují na zranitelnosti CVE-2023–1667 a CVE-2023–2283. V případě první zranitelnosti mohl klient vyvolat NULL dereferenci způsobující pád serveru a tím i DoS pro připojení. Ve druhém případě umožňovala obejít autentizaci v případě problému s alokací paměti. Obě zranitelnosti byly opraveny ve verzích 0.9.7 a 0.10.5.

bitcoin školení listopad 24

Světový den hesel by měl být zrušen

Den hesel, který připadá na 4. kvěna, vyvolal hned několik reakcí. Microsoft na svém blogu připomenul výhody přihlašování pomocí Microsoft Authenticator, Windows Hello for Business a FIDO2 bezpečnostních klíčů. Google oznámil podporu passkeys (otisk prstu či obličeje, zámek obrazovky nebo hardwarový bezpečnostní klíč) na osobních účtech. Spolu s těmito oznámeními se objevil i komentář, že samotná existence tohoto dne je symptomem toho, že používání hesel by mělo být nahrazeno bezheslovou autentizací.

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

CESNET-CERTS je oficiální jméno bezpečnostního týmu sdružení CESNET, z. s. p. o. od ledna roku 2004. Jeho součástí je také Forenzní laboratoř FLAB. Články tvoří společně jednotliví členové týmu.