Hlavní navigace

Postřehy z bezpečnosti: kouzelný hashtag pro děravý Drupal

CESNET CERTS

Tentokrát se zaměříme na evergreen webových aplikací: neošetřené uživatelské vstupy. Ovšem u aplikace, na které stojí miliony webů. Nahlédneme na několik dalších kritických zranitelností a Meltdown vrátí úder.

Doba čtení: 3 minuty

Více než milion děravých Drupalů

Ve středu 28. března byla zveřejněna dříve avizovaná záplata vysoce kritické zranitelnosti v redakčním systému Drupal. Ta útočníkovi umožňuje vzdáleně spouštět libovolný kód (RCE). Zranitelné jsou verze Drupalu 6, 7 i 8. Aktualizace jsou dostupné pouze pro větve 7.x a 8.5.x. Pokud používáte starší verzi Drupalu, můžete aplikovat opravu manuálně nebo aktualizovat na podporovanou verzi Drupalu.

Chyba je velmi snadno zneužitelná, možné vektory pro útok jsou například parametry v URL adrese nebo speciální cookie. Dočasně přepnout Drupal do maintenance módu nepomůže, chyba se nachází v jádře Drupalu.

Celá zranitelnost je založena na funkcionalitě Form Controls, která je součástí Drupalu od verze 4.7.x. Díky této funkcionalitě umí Drupal dodatečně zpracovávat vstupní data, začíná-li název zpracovávané položky magickým znakem ‚#‘. Výše odkazovaný manuál Drupalu dokumentuje desítky takových speciálních názvů položek, zneužít je možno jakoukoliv z nich. Na Twitteru už se rozjela debata o pojmenování zranitelnosti (např HashTrash nebo Drupalgedon 2.0).

Není VPN jako VPN

Uživatel Paolo Stagno, známý také jako VoidSec, na svém blogu zveřejnil test 70 VPN providerů, ve kterém zkoumal, zda-li dané VPN řešení neleakuje skutečnou IP adresu uživatele. Ukázalo se, že ve čtvrtině případů tomu tak je. Na vině je technologie WebRTC, jehož cíl je definovat jasné API pro audio a video hovory nebo P2P komunikaci v rámci prohlížeče.

Mezi leakujícími VPN poskytovateli je i služba Hola!VPN, populární zejména pro obcházení restrikcí internetových služeb na geolokaci uživatele (například BBC iPlayer). Autor článku dále zveřejnil jednoduchý VPN test, kterým si můžete ověřit, zda-li i vám unikne vaše skutečná IP adresa.

Chrome rozšíření pro detekci homografických útoků na doménová jména

Phishingové útoky, těžící z legitimně vypadajících doménových jmen, jsou dnes běžná praxe. Příkladem takových jmen jsou https://coinḃase.com a https://coinbase.com. Izraelská společnost Phish.AI proto vydala rozšíření pro prohlížeč Chrome, které se snaží detekovat IDN/Unicode doménová jména, která se snaží napodobovat již existující domény. Zdrojové kódy jsou dostupné na GitHubu společnosti Phish.AI, hned vedle nástroje, který podvodná jména generuje :-)

Total Meltdown

Pokud se vám zdálo, že Meltdown není zas takový průšvih, tak Total Meltdown váš názor možná změní. Jedná se o děravou záplatu operačního systému Microsoft Windows 7 v 64bitové verzi. Pokud takový systém provozujete a od ledna či února jste neaktualizovali, vystavujete se mnohem závěžnější chybě.

Originální Meltdown záplata totiž do každého bežícího procesu namapovala paměť, ke které by neměl mít přístup každý. Exploitace je triviální – Windows za útočníka odvede těžkou práci s mapováním paměti, útočník už do paměti jen zapíše.

Tato chyba se týká pouze 64bitových verzí Windows 7 a Windows 2008 R2, kde byly aplikovány Meltdown záplaty z ledna/února. Netýká se systémů, které originální Meltdown záplaty ještě neaplikovaly, nebo už mají březnové záplaty. Podrobnosti sepsal autor Ulf Frisk na svém blogu v příspěvku Total Meltdown?

Kritická zranitelnost Cisco IOS XE

V rámci interního bezpečnostního testování byla nalezena kritická zranitelnosti v software Cisco IOS XE řady 16.x. Ten totiž obsahuje nedokumentovaný uživatelský účet cisco s privilege level 15 (nejvyšší). Cisco již vydalo aktualizace, případně doporučuje zmíněný účet odstranit, nebo mu alespoň změnit heslo.

Důvod existence takového účtu Cisco v oficiálním prohlášení o chybě neuvádí. Nabízí se tedy spekulace o zapomenutém testovacím účtu, nebo o možných zadních vrátkách do systému.

Když budete na Skype sprostí, Microsoft vám může zablokovat účet

Jonathan Corbett publikoval článek o aktualizaci podmínek používání služeb firmy Microsoft. Ty se týkají aplikací jako Skype, Office 365 nebo OneDrive. V aktualizovaných podmínkách se Jonathan Corbett dočetl, že není dovoleno veřejně vystavovat nevhodný materiál, zahrnující offensive language, tj. užívat urážlivý jazyk. Autor dále rozebírá způsoby, které si Microsoft vyhradil pro vyšetřování podezření z porušení podmínek – tedy prohledávání vašich dat.

Provinilci pak může být zablokován účet. V dnešní době je taková věc silně nežádoucí, protože účty u velkých spolešností jsou zpravidla propojeny s celou řadou služeb. Může se vám tedy stát, že na Xboxu někomu něco nehezkého řeknete a přijdete o e-mailovou chránku, obsah OneDrive a Skype konto.

MIF18 tip v článku témata

Ve zkratce

Pro pobavení

Zdroj: Twitter, @Michael1979

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET.

Našli jste v článku chybu?