Hlavní navigace

Postřehy z bezpečnosti: lechtivé vysávání

CESNET CERTS

V dnešním úklidovém speciálu se nejprve podíváme, zda máte doma pořádně vyluxováno, poradíme vám, jak si přeprat špinavé kreditní karty a nakonec vše vydezinfikujeme voňavým chlorem.

Doba čtení: 5 minut

LuxBrother – živě z vysavače

Vědci Leonid Krolle a Georgy Zaytsev z Positive Technologies, společnosti zabývající se bezpečností, zjistili, že vysavače firmy Dongguan Diqee mohou z domácnosti svých majitelů vynášet po síti citlivá data. Tyto IoT robotické vysavače jsou totiž vybaveny kamerou s nočním viděním zabírající úhel 360 stupňů a kromě zapojení do úklidu je lze napojit na domácí dohledový systém.

V Positive Technologies objevili hned dvě zranitelnosti uvedených vysavačů. První z nich umožňuje vzdálené spuštění kódu s rootovskými právy. Stačí získat MAC adresu zařízení a zaslat mu speciální UDP paket, který je sice nutné autorizovat, ale ve většině případů škodičovi postačí znát tovární přihlašovací daje admin:888888.
Ke zneužití druhé zranitelnosti už musí mít útočník fyzický přístup k vysavači. K útoku se použije microSD karta, na které je v adresáři /sdcard/upgrage__360 připraven nijak nekontrolovaný skript upgrade.sh, který může např. odeslat citlivá data z vysavače přes jiné zařízení ve WiFi síti. Obě zranitelnosti mohou samozřejmě také velmi dobře posloužit k zařazení vysavače do BotNetu.

Že nemáte takový vysavač a dokonce o uvedeném výrobku slyšíte poprvé? Nemněte si ruce předčasně. Dongguan Diqee totiž nevyrábí jen vysavače, ale třeba i domovní zvonky, dohledové kamery, DVR a další zařízení. A to vše pod několika jinými značkami. Vědci se tedy domnívají, že zařízení osazených videomodulem trpícím stejnými zranitelnostmi je mezi námi mnohem více. O záplatách se, jak lze očekávat, zatím mlčí.

Digitální prádelna

Pokud někdo přijde k penězům nelegálně, má obvykle problém je utratit tak, aby se nepřišlo na to, že pocházejí z trestné činnosti. Tím spíš to platí o odcizených kreditních kartách. Jistá skupina, jejímž koníčkem je praní špinavých peněz, k tomu používala falešné applovské účty a hráčské profily. Její členové si objednávali prémiová rozšíření her, které platili kradenými kartami. Následně přístupy prodávali na online hráčských fórech a inkasovali za ně již čistý obnos.

Uvedený způsob praní špinavých peněz byl odhalen americkým ministerstvem spravedlnosti. Pomohli mu k tomu odborníci z firmy Kromtech Security, kteří zhruba v polovině června objevili na Internetu volně přístupnou databázi MongoDB obsahující data pachatelů. Databáze obsahovala 150 833 záznamů o ukradených kartách (číslo, datum expirace a CCV).

Jen dezinfikované je opravdu čisté

Služba bezpečnosti Ukrajiny (zkratka SBU), prý zastavila útok na aulskou chlorovnu (Auly, Dněpropetrovská oblast) vedený prostřednictvím botnetu VPNFilter, o kterém jsme na Rootu psali v květnu. Malwarem byly údajně infikovány bezpečnostní systémy továrny monitorující vznik mimořádných událostí. Jak uvedla SBU na své facebookové stránce, útok byl zastaven včas. Pokud by byl pokračoval, mohlo by údajně dojít k poškození výrobní technologie a následně k havárii, která by mohla způsobit katastrofu.
Malwarem botnetů BlackEnergy a VPNFilter, údajně pocházejícím z Ruska od skupiny APT, je v současné době na Ukrajině infikováno velké množství domácích i firemních síťových zařízení a jejich počet neustále vzrůstá.

Záhadní útočníci

TG Soft’s Research Centre (C.R.A.M.) sledoval od dubna do července tohoto roku spear phishingové útoky na italská servisní střediska Samsungu. Útoky se velmi podobají těm, které byly odhaleny v Rusku v letošním červnu a které byly proti ruským servisům vedeny od března. Maily byly jazykově i obsahově velmi kvalitní a byl pod nimi podepsán skutečný IT manažer italských (respektive ruských) servisů. Smysl útoků je dosud pro vědce záhadou, malware šířený phishingem v excelovských dokumentech zneužívajících zranitelnost CVE-2017–11882 nedává žádný rozumný smysl. V servisech totiž není téměř co ukrást – objem zajímavých dat je zde velmi malý, osobní údaje zákazníků se zde neschraňují. Je možné, že se útočníci chtěli dostat k nástrojům používaných servisy pro správu počítačů zákazníků a získat tak nad nimi kontrolu.


Autor: TG Soft

Záplatovací okénko

Ve středu 18. července vydal Oracle bezpečnostní záplaty pro své produkty. Je v nich zalepeno rekordních 334 kritických zranitelností. Pokud jste tak již neučinili, co nejdříve upgradujte zde.

Ve stejný den vyřešil několik bezpečnostních problémů svých produktů další gigant, společnost Cisco. Řešeny jsou zranitelnosti CVE-2018–0374 až 0377. Nejzajímavější z nich nám přišla zranitelnost CVE-2018–0375. Ta má totiž na stupnici CVSSv3, která končí desítkou, vzácné skóre 9,8. Cisco ve svém trojjediném produktu Cisco Policy Suite omylem zapomnělo nedokumentované heslo pro rootovský přístup. Kdo toto heslo objevil, mohl si v této mocné aplikaci (a jejím prostřednictvím) dělat, co chtěl.

Zajímavá je i další „závada“, která zavání úmyslnou cenzurou. Některé iPhony bylo totiž možné na dálku až do aktualizace z minulého pondělí složit ve chvíli, kdy libovolná aplikace měla zobrazit slovo Taiwan nebo taiwanskou vlajku.

Žalovat se nemá, ale hlásit se to musí

Asi nemusíme vysvětlovat, proč je velmi vhodné hlásit WWW stránku, která má závadný obsah. Pochopitelně je tím myšlen obsah podvodného charakteru či obsah, který je v rozporu s nějakým zákonem. Společnost ISC vypracovala pěkný přehled většiny projektů, které uvítají vaše hlášení a díky kterým závadný obsah dříve či později z Internetu zmizí, nebo jsou na něj alespoň uživatelé upozorněni. Zajímavá je i diskuse pod článkem, kam přispěvatelé přidali řadu dalších zajímavých odkazů.

Možná by vás také zajímalo

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET.

Našli jste v článku chybu?