Hlavní navigace

Postřehy z bezpečnosti: nebezpečně zranitelné TCP/IP stacky

14. 12. 2020
Doba čtení: 4 minuty

Sdílet

 Autor: Depositphotos
Dnešní Postřehy přináší informace mj. o zranitelnostech TCP/IP stacků, o problémech ve VPN routerech D-Link, o ukradených nástrojích firmy FireEye a o několika dopadených a jednom propuštěném hackerovi.

AMNESIA:33 – kritické zranitelnosti TCP/IP stacků

Pracovníci Daniel dos Santos, Stanislav Dashevskyi, Jos Wetzels a Amine Amri z Forescout Research Labs v rámci bezpečnostního projektu Memoria zveřejnili technickou zprávu How TCP/IP Stacks Breed Critical Vulnerabilities in IoT, OT and IT Devices, která varuje, že některé open-source TCP/IP stacky celosvětově používané v zařízeních Internetu věcí, řídících a výpočetních systémech obsahují celkem 33 závažných zranitelností souhrnně pojmenovaných AMNESIA:33.

Většinu problémů způsobují chybějící kontroly formátů a délek jednotlivých polí v paketech, které tak umožňují neomezené čtení nebo zápis do paměti. Nejzávažnější zranitelnosti mají CVSS skóre 9,8 z 10 a umožňují vzdálené spuštění libovolného kódu; ostatní umožňují Denial of Service, DNS Cache Poisoning a Information Leak.

Zranitelné jsou TCP/IP stacky v těchto operačních systémech:

  • uIP-Contiki-OS (end-of-life [EOL]), verse 3.0 a starší
  • uIP-Contiki-NG, verse 4.5 a starší; opravená verse je 4.6 a novější
  • uIP (EOL), verse 1.0 a starší
  • open-iscsi, verse 2.1.12 a starší
  • picoTCP-NG, verse 1.7.0 a starší
  • picoTCP (EOL), verse 1.7.0 a starší
  • FNET, verse 4.6.3; opravená verse je 4.7.0 a novější
  • Nut/Net, verse 5.1 a starší
Počty prodejců zranitelných součástí a zařízení:

Stack       Total vendors Component vendors Device vendors
uIP              125                26             99
Nut/Net           24                 1             23
picoFTP           10                 8              2
FNET               5                 2              3
Total unique     158                36            122

Lze předpokládat, že zranitelný software je obsažen v desítkách až stovkách milionů zařízení, z nichž pravděpodobně velká část nikdy nebude aktualizována.

Kritické zranitelnosti ve VPN routerech firmy D-Link

Pracovnící firmy Digital Defense odhalili v srpnu 2020 zranitelnosti VPN routerů firmy D-Link; nacházejí se v routerech DSR-150, DSR-250, DSR-500 a DSR-1000AC, které obsahují firmware 3.17 a starší. První zranitelnost umožňuje, aby se neautentizovaný útočník připojil k webovému rozhraní routeru prostřednictvím LAN nebo WAN a zadal libovolné příkazy, které budou vykonány s oprávněním root; tím může VPN router zcela ovládnout, spustit další útoky, způsobit Denial of Service atd.

I druhá zranitelnost umožňuje zadání a vykonání libovolných příkazů s oprávněním root; tentokrát ale musí být útočník autentizovaný.

Třetí zranitelnost spočívá v tom, že autentizovaný uživatel může do CRONu zadat libovolné příkazy, které budou opět vykonány s oprávněním root; firma to ale za chybu nepovažuje.

Dne 9.12.2020 zveřejnila firma D-Link dokument s popisem zranitelností a s odkazy na nově dostupné verze firmwaru v3.17B, které odstraňují první dva problémy.

Hackeři ukradli útočné nástroje firmy FireEye

Proslulá bezpečnostní firma FireEye, jejímž heslem je „FireEye knows more about cyber security than anyone“, ohlásila 8. prosince 2020, že na ni zaútočil vysoce rafinovaný útočník, pravděpodobně sponzorovaný státem, s velmi vysokými útočnými schopnostmi, s nimiž se dosud nesetkala tato firma ani její partneři.

Útočník ukradl nástroje, které používá FireEye k penetračnímu testování pro potřeby tzv. Červených týmů; údajně se v nich nevyužívají žádné zranitelnosti typu 0-day. Firma neví, jestli budou tyto nástroje zveřejněny nebo jen využívány; jako protiopatření proti těmto svým útočným nástrojům zveřejnila seznam problémových CVE, které je třeba co nejdříve zkontrolovat a odstranit.

Malware Adrozek vkládá reklamy do prohlížečů a krade přihlašovací údaje

Přibližně od května 2020 je ve světě rozšířený malware Adrozek, jehož účelem je maximalizovat počet kliknutí na odkazy na ty webové stránky, na nichž má hacker zájem a za které je placen. Tyto odkazy se zobrazují ve výsledcích hledání prostřednictvím vyhledávačů např. takto:

Podle zjištění Microsoftu tento malware, prozatím rozšířený zejména v Evropě, Indii a JV Asii, využívá rozsáhlou infrastrukturu se 159 unikátními doménami, z nichž každá obsahuje přes 17 tisíc unikátních URL s více než 15 tisíci unikátními polymorfickými vzorky malwaru. Zdá se, že vkládané odkazy zatím nesměřují na servery obsahující malware, ale to mohou útočníci kdykoli změnit.

Na prohlížeči Mozilla Firefox, který je často považován za bezpečnější než jiné, umí Adrozek také krást přihlašovací údaje a odesílat je útočníkům.

Root tip

Ve zkratce

Pro pobavení

Formulář pro hlášení problémů s počítačem:

  1. Popište problém: _________________________­________________________
  2. Problém popište přesně: _________________________­________________________
  3. Uveďte svou teorii, proč k problému došlo: _________________________­________________________
  4. Závažnost problému: A. Nízká ___ B. Nízká ___ C. Nízká ___ D. Triviální ___
  5. Podstata problému: A. Nejde to odemknout ___ B. Zamrzlo to ___ C. Kouslo se to ___ D. Chcíplo to ___ E. Divně to smrdí
  6. Je počítač zapojen do el. sítě? Ano ___ Ne ___
  7. Je počítač zapnut? Ano ___ Ne ___
  8. Snažil jste se to spravit sám? Ano ___ Ne ___
  9. Vrátil jste všechno do původního stavu? Ano ___ Ne ___
  10. Je to teď ještě horší? Ano ___
  11. Požádal jste kamaráda, který se vyzná v počítačích, aby to opravil? Ano ___ Ne___
  12. Je to teď ještě podstatně horší? Ano ___
  13. Četl jste manuál? Ano ___ Ne ___
  14. Určitě jste četl manuál? Možná ___ Ne ___
  15. Jste si zcela jist, že jste četl manuál? Možná ___ Ne ___
  16. Myslíte, že jste pochopil obsah manuálu? Ano ___ Ne ___
  17. Pokud ano, proč nedokážete problém odstranit sám? _________________________­________________________
  18. Restartoval jste počítač? Ano ___ Ne ___
  19. Co jste dělal na počítači, když se problém objevil? _________________________­________________________
  20. Pokud „nic“, vysvětlete, proč jste na něm byl přihlášen: _________________________­________________________
  21. Jste si jist, že jste si problém jen nevymyslel? Ano ___ Ne ___
  22. Ukazují u vás nějaké hodiny čas 12:00 a blikají? Ano ___ Ne ___
  23. Máte nějaké fungující elektronické zařízení? Ano ___ Ne ___
  24. Praštil jste důkladně do počítače? Ano ___ Ne ___
  25. Hoří počítač? Ano ___ Ještě ne ___
  26. Jaké pocity ve vás tento problém vyvolává? _________________________­________________________
  27. Napište, jaké jste měl dětství: _________________________­________________________
  28. Viděl tento problém nějaký nezávislý svědek? _________________________­________________________
  29. Šlo by problém svést na někoho jiného? Ano ___ Ne ___

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…

Autor článku

CESNET-CERTS je oficiální jméno bezpečnostního týmu sdružení CESNET, z. s. p. o. od ledna roku 2004. Jeho součástí je také Forenzní laboratoř FLAB. Články tvoří společně jednotliví členové týmu.