Hlavní navigace

Postřehy z bezpečnosti: nepřítel naslouchá

CESNET CERTS

V dnešním díle se podíváme na hračky zmanipulovatelné k odposlouchávání, dále na zranitelnost FTP v Javě a nakonec si ukážeme výsledky neoficiální soutěže v hackingu WordPressu.

Nepřítel naslouchá

Není to tak dlouho, kdy německé úřady doporučovaly majitelům panenky Cayla, aby ji zničili. Prostřednictvím panenky lze přes bluetooth poměrně jednoduše odposlouchávat rozhovory majitelů a nebo přenášet hlasové zprávy do panenky.

Nyní se objevil další problém, tentokrát se zvířátky CloudPets. Společnosti vyrábějící tyto plyšáky bylo nejdříve pomocí nedávno objevené zranitelnosti v Mongo DB odcizeno na 800 tisíc uživatelských účtů. Dalším zkoumáním bylo zjištěno, že se útočníci pravděpodobně mohou dostat i k hlasovým zprávám uživatelů. Přestože společnost věděla o problému delší dobu a opakovaně byla na problém upozorňována, své zákazníky neinformovala. A aby toho nebylo málo, zjistilo se nakonec, že plyšáci trpí stejným problémem jako panenka Cayla a lze jejich prostřednictvím také odposlouchávat.

Python Java FTP injection

Výzkumník Alexander Klink objevil zranitelnost implementace FTP v Javě spočívající v tom, že do FTP komunikace lze vložit příkazy, které interpretr začne vykonávat. Tímto způsobem lze vytvořit jednoduchý SMTP server a jeho prostřednictvím odesílat poštu. V reakci na toto zjištění Timothy Morgan informoval o obdobném útoku, který funguje v Javě i Pythonu.  Morgan v tomto útoku zneužívá stejné chyby k otevření datového kanálu ke vzdálenému FTP serveru, čímž lze obejít firewall. O chybě informoval vývojáře už v lednu 2016. Vzhledem k tomu, že se jedná o kritickou zranitelnost, nehodlá zveřejnit kompletní informace, dokud nebude opravena.

Cloudbleed: žádná cenná data neunikla

Před týdnem kolega Ondřej Caletka v článku rozebral problém s unikem dat služby Cloudflare, kdy bylo možné získat v HTTP odpovědi část paměti proxy serverů. Nyní vydala společnost opět obsáhlý blogpost, týkající se analýzy dopadů na uživatele Cloudflare. Společnost analyzovala logy a stránky uložené v keších vyhledávačů. Podle výsledků analýzy objevená chyba nebyla zneužita, uniklá data obsahovala povětšinou interní hlavičky Cloudflare a uživatelská cookies. Žádná citlivá data zákazníků pravděpodobně neunikla. Přesto se Cloudflare intenzivně snaží vyhledat a smazat uniklá data z keší vyhledávačů.

Kolize SHA-1 rozbíjí SVN

Výzkumníci z Google spolu s vědci z CWI Institute in Amsterdam nedávno ukázali praktický příklad, že je možné vytvořit dvojici kolizních dokumentů se stejným otiskem SHA-1. To může představovat vážný problém pro elektronický podpis, pokud je využívána tato hašovací funkce.

Spekulace o prolomení bezpečnosti systému Git Linus Torvalds tlumí prohlášením, že svět se rozhodně zatím nehroutí a že přechod na jinou hašovací funkci je možný a proveditelný, není však nutné jej uspěchat. Na rozdíl od Gitu se ale ukázalo, že vložení dvou rozdílných souborů se stejným SHA-1 otiskem dokáže celkem efektivně rozbít repozitář systému SVN.

Správci hesel

Pokud nepoužíváte jedno kvalitní heslo pro všechny účty a přístupy, začnete dříve, či později pokukovat po nějakém správci hesel, který si je pamatuje za vás. Tým výzkumníků se podíval na zoubek několika nejoblíbenějším správcům hesel pro Android. A výsledky byly hodně překvapivé, některé aplikace dokonce ukládají hlavní heslo jako prostý text. Kompletní seznam nalezených problémů v aplikacích naleznete ve zprávě sdružení TeamSIK. Podle posledních informací na stránce byly k 1. březnu všechny zranitelnosti a nedostatky odstraněny tvůrci aplikací.

Hackni si svůj WordPress

Ačkoliv oprava zranitelnosti REST-API vyšla již koncem ledna, většina uživatelů si zřejmě s aktualizací hlavu nelámala. Netrvalo dlouho a došlo k nárůstu útoků na instalace WordPressu. Zájem hackerů byl obrovský a někteří mezi sebou soutěžili o to, kdo napadne víc webů. Vítězem se stal hacker s přezdívkou MuhmadEmad který si na konto připsal 350 tisíc napadených instalací WordPressu. Soutěž bude mít možná další kolo, Slavco Mihajlovski objevil zranitelnost SQL Injection v NextGEN gallery, oblíbeném pluginu pro WordPress.

Krátké zprávy

  • Podle statistiky společnosti ESET vzrostl počet ransomware na platformě Android za poslední rok o 50 procent. Výzkumníci ESETu předpokládají, že tento trend bude pokračovat i nadále.
  • Windows 10 dostanou aktualizaci, ve které přibude možnost zakázat instalaci programů jinak než z obchodu Windows Store. Otázkou je, zda se do budoucna z možnosti nestane povinnost.
  • Cisco informovalo o zranitelnosti Cisco NetFlow Generation Appliance, jejímž prostřednictvím může neautorizovaný útočník zastavit nebo nečekaně reloadovat službu, čímž způsobí její odepření (DoS).

Pro pobavení

Také vás korporátní bezpečnostní politiky nutí pravidelně měnit heslo?

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET.

Našli jste v článku chybu?