Pamatujete? Tak se jmenoval krátký seriál ze sedmdesátých let, který provázely různé drobné lumpárny dětí v pražské zoologické zahradě. No a jednu takovou lumpárnu se zadními vrátky kdosi provedl v oblíbeném linuxovém správcovském nástroji Webmin .

Tak jako táta Malina říkal, že smrt v cirkuse nepřichází nikdy sama , musíme i my konstatovat, že jeden bezpečnostní problém leckdy záhy následuje nějaký další. Výzkumník Xiaoyin Liu objevil, že záplatu nedávné 0day zranitelnosti v Steam klientovi pro Windows, popsané dříve jiným vědcem Vasilyem Kravetsem , lze obejít. Staronová zranitelnost ohrožuje přes 96 miliónů uživatelů. Kravets se následně rozhodl zveřejnit způsob, jak si lze prostřednictvím oprávnění NT AUTHORITY\SYSTEM služby Steam klienta pomocí techniky BaitAndSwitch dělat s napadenými Windows téměř cokoliv. Společnost Valve vyvíjející Steam za to Kravetse nepochválila, naopak ho vyřadila z účasti v programu na odhalování Valve zranitelnotí na HackerOne .

Scam otestoval tým internetového deníku BleepingComputer a přesvědčil se, že mu byl testovací účet opravdu ukraden. Steam samozřejmě o změně hesla a e-mailu uživatele informuje na původní adrese. Informace obsahuje i IP adresu, ze které byl účet změněn. V daném případě se jednalo o adresu 188.119.12.154 , což svědčí o tom, že zloděj účtu pocházel z Ruska. Naštěstí lze otevřením lístku podpory Steamu vrátit původní nastavení účtu, takže pokud jste se stali obětí, nejste zcela ztraceni. Bohužel o co můžete přijít je váš inventář. Pokud z něj něco útočníci ukradnou, či prodají dále, Steam vám nepomůže (říká to jeho politika ).

Největším překvapením byla firma vyvíjející oblíbený nástroj pro vzdálenou správu pro Windows, která tímto způsobem kompromitovala své veškeré přijaté objednávky. Díky tomu mohl kdokoliv zjistit kdo tento software používá včetně kontaktů na něj. To je skvělý materiál pro útočníky, kteří chtějí udeřit pomocí spear phishingu , nebo podvod typu BEC . Dalším překvapujícím objevem, který se vymykal všem ostatním dokumentům, byl formulář požadavku na přepravu osob armádním letectvem Ústředního velitelství USA (US CENTCOM). Formulář obsahoval osobní data cestujících a údaje o budoucím letu. CENTCOM i výše zmíněná softwarová firma byli samozřejmě Cyjaxem na problém upozorněni.

Nestává se často, že chybu omylem neudělají programátoři, ale že ji tam zanese někdo neznámý úmyslně. Zde se to ale čert ví jak stalo a vězte, že verze 1.882 až 1.921 Webminu jsou zranitelné. Pokud se řadíte mezi tři milióny uživatelů, kteří si ročně produkt stáhnou, a nemáte dosud aktualizováno, udělejte to nejpozději ihned. Jinak si to totiž u vás útočník spustí co potřebuje.

