Hlavní navigace

Postřehy z bezpečnosti: krocení duchů v Linuxu

Pavel Bašta 2. 2. 2015

V dnešním díle postřehů se podíváme na zranitelnost v knihovně glibc pojmenovanou GHOST, povíme si o nové chybové hlášce webových serverů, řekneme si o další chybě SoHo routerů, společně zhodnotíme, zda má smysl investovat do nové verze trojského koně Zeus a samozřejmě si představíme i další zajímavosti.

Zranitelnost pojmenovaná GHOST byla objevena a zdokumentována analytiky společnosti Qualys. Jedná se o chybu funkce __nss_hostname_digits_dots() v knihovně glibc vedoucí k heap-based buffer overflow. Chyba se tak může týkat v podstatě každé linuxové aplikace, která provádí překlady doménových jmen. Vzdálený útočník může následně využít tuto chybu ke spuštění libovolného kódu s uživatelskými oprávněními aplikace, která tuto funkci volala. Zajímavé je, že tato chyba byla opravena již v květnu 2013 mezi verzemi glibc-2.17 a glibc-2.18. Bohužel však nebyla identifikována jako bezpečnostní problém, a proto je zranitelná verze stále používána v LTS verzích různých distribucí, jako například Debian 7 (Wheezy), Red Hat Enterprise Linux 6 a 7, CentOS 6 a 7, či Ubuntu 12.04. 

Aby toho nebylo málo, ukazuje se, že díky funkci WordPressu „wp_http_validate_url()“, která zranitelnou funkci využívá, může být hojně rozšířený WordPress vhodným vektorem pro provedení útoku proti zranitelnému serveru. Již byl také vytvořen proof-of-concept, který může při použití proti WordPressu na zranitelném serveru vést k přetečení bufferu. Problém se samozřejmě může týkat i dalších PHP aplikací, používajících stejnou funkci.

Doporučuje se tedy přejít co nejdříve na verzi knihovny 2.18, nebo pozdější.

Naše postřehy

Útočníci hlásící se k ISIS a operující pod názvem „Cyber Caliphate”, kompromitovali DNS servery společnosti Malaysia Airlines a návštěvníky v narážce na záhadně ztracený let MH370 přesměrovávali na stránky s chybovou hláškou „404-Plane Not Found”. Část dne tak byl vyřazen z provozu systém pro bookování letenek.

Byla oznámena chyba v super bezpečných zařízeních BlackPhone. Kritická chyba umožňovala pouhým posláním zprávy do aplikace Silent Text, která slouží pro bezpečnou textovou komunikaci, provést celou řadu operací, včetně dešifrování a čtení zpráv, nebo získání databáze kontaktů. Chyba již byla záplatována.

Společnost Mozilla se v listopadu spojila s projektem Tor, a to v nové iniciativě nazvané Polaris. Výsledkem této spolupráce je 12 nových vysoko kapacitních „Middle relays“, které budou pomáhat s lepší distribucí provozu od uživatelů.

Další kritická zranitelnost domácích routerů se tentokrát týká DSL routerů D-Link, ale protože byla nalezena na routeru s firmware ZynOS, pravděpodobně se tedy bude týkat i dalších výrobců, včetně TP-Linku. Útočník se může dostat do administračního rozhraní bez přihlášení a změnit v něm nastavení DNS. Pokud není administrační rozhraní dostupné přes WAN rozhraní, může se stále pokusit o vykonání tohoto útoku s využitím CSRF. Pro útok již byl publikován proof-of-concept exploit.

Již jednou zlikvidovaný Botnet ZeroAccess se opět vrátil na scénu. Samotný malware stahuje aplikaci, která pak provádí vyhledávání a klikání na výsledky. Tento způsob monetizace malware se nazývá click fraud a podle společnosti Symantec je to velice lukrativní business.

Nárůst služeb typu DDoS-for-hire vedl k novému boomu DDoS útoků a více než 40 procent všech DDoS útoků během posledního čtvrtletí roku 2014 využívalo amplification techniky. Vyplývá to ze zprávy společnosti Akamai. Stejnému tématu se ve svém článku pojmenovaném „Internet of Dangerous Things“ věnuje také známý bezpečnostní expert Brian Krebs.

Další malvertising kampaň, o kterých jsem tu více psal předminule, tentokrát využívala nedávno objevenou zranitelnost v Adobe Flash playeru. Kampaň probíhala na stránkách pro dospělé a návštěvníci s nezazáplatovanou verzí Flash Playeru si kromě zajímavých obrázků odnesli také malware Bedep, který je schopný provádět „advertising fraud“ či, případně stahovat do počítače další malware.

Nechvalně známý bankovní trojan Zeus má novou verzi. Zatím byla použita k útokům na uživatele v Kanadě. V době, kdy byla nová verze analyzována společností SentinelOne, ji ještě nedokázaly antivirové aplikace rozpoznat. Došlo také k vylepšení ovládacího panelu, který nyní zobrazuje detailní informace o každém kompromitovaném bankovním účtu, včetně zůstatku, aktuálního přihlášení do aplikace a webového prohlížeče oběti. V panelu jsou ale i další funkce týkající se převodů peněz, nebo odměn pro money mules (bílé koně).

A téměř na závěr bych vás rád upozornil na text kolegyně Zuzany Duračinské, která pro blog sdružení CZ.NIC připravila velice zajímavý text. Díky němu totiž snadno zjistíte, zda se vás, respektive vaší společnosti, týká zákon o kybernetické bezpečnosti, který je více než aktuální od začátku tohoto roku.

Ve zkratce

Závěr:

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Root.cz: Pinebook: linuxový notebook za 89 dolarů

Pinebook: linuxový notebook za 89 dolarů

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

Vitalia.cz: Co pomáhá dítěti při zácpě?

Co pomáhá dítěti při zácpě?

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Vitalia.cz: 9 největších mýtů o mase

9 největších mýtů o mase

DigiZone.cz: Sony KD-55XD8005 s Android 6.0

Sony KD-55XD8005 s Android 6.0

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?