Hlavní navigace

Postřehy z bezpečnosti: netradiční služba americké pošty

CESNET CERTS

Dnes se podíváme na velmi nekonvenční službu „poskytovanou“ na webu americké pošty, na zajímavý a netradiční způsob řízení botnetu a s blížícím se koncem roku zkusíme začít i trochu sumarizovat a predikovat.

Doba čtení: 3 minuty

Americká poštovní a informační služba?

Americká pošta „poskytovala“ po více než rok na svých stránkách usps.com velmi netradiční „službu“. V důsledku chyby mohl jakýkoliv uživatel s platným účtem získat přístup k informacím o libovolném uživateli. Chyba se nacházela v API submodulu na sledování zásilek v reálném čase a spočívala mimo jiné v přítomnosti celé řady wildcard vyhledávacích parametrů, které v kombinaci s chybou v autentizaci ve výsledku dovolily zobrazit velmi citlivé informace jako jméno, adresa, telefon, číslo účtu a další data o kterémkoliv ze 60 milionů uživatelů. A ukázalo se, že bohužel nejen zobrazit, ale zmíněné API umožňovalo i požádat o změnu těchto údajů, např. emailu nebo doručovací adresy.

Chyba je v tuto chvíli již opravena, nicméně velmi zarážející je způsob, jakým se USPS postavila k celému problému. Podle dostupných zdrojů nejmenovaný bezpečnostní výzkumník chybu opakovaně hlásil po dobu téměř jednoho roku, ale byl ze strany USPS ignorován. K nápravě došlo až ve chvíli, kdy se jménem výzkumníka začal o problém zajímat jistý novinář… chyba byla následně opravena během 48 hodin.

Zajímavý koncept řízení botnetu pomocí emailu

Mallware Fancy Bear (také známý jako APT28, Pawn Storm, Sofacy Group, Sednit) používá dle výzkumu Unit 42 z Palo Alto nový trojan pojmenovaný Cannon. Nejzajímavějším aspektem tohoto nového trojanu je dle výzkumu způsob komunikace s C&C servery založený na emailu. Malware posílá šifrované emaily na specifické emailové adresy pomocí SMTPS přes TCP port 587. Použití SMTPS a POP3S mimo jiné ztěžuje jeho detekci z toho důvodu, že komunikace probíhá přes legitimní poštovní servery.

Mallware cílí zejména na vládní instituce, šíří se prostřednictvím podvodných emailů s infikovanou přílohou a ztěžuje odhalení a analýzu tím, že používá funkci AutoClose a nespustí se, dokud není zavřen dokument, který sloužil jako vektor útoku. Obsahuje poměrně sofistikované funkce umožňující mu získat persistenci v systému, dělat snapshoty pracovní plochy, přihlásit se k POP3 emailovému účtu uživatele, nebo stáhnout a spustit lokálně libovolný další payload.

Tři nové zranitelnosti v Atlantis Word Processor

Tři nové zranitelnosti umožňující spuštění škodlivého kódu byly nalezeny výzkumníky z Cisco Talos v oblíbeném textovém editoru Atlantis Word Processor. Stalo se tak pouze 50 dní po tom, co ten samý tým publikoval osm zranitelností umožňujících taktéž spuštění libovolného kódu.

Vektor útoku opět spočívá ve vytvoření škodlivého dokumentu a donucení nic netušící oběti k jeho otevření, např. prostřednictvím metod phishingu. Všechny zranitelnosti již mají přiřazeny CVE a byly nahlášeny vývojářům, kteří je ve verzi 3.2.10.1 opravili.

Instagram a jeho funkce Download Your Data

V souvislosti se zavedením GDPR implementoval Instagram novou funkci Download Your Data, která uživatelům této sociální platformy umožňuje stáhnout si k sobě veškerá jejich data. V implementaci se bohužel objevila chyba, v jejímž důsledku bylo heslo v čitelné podobě jednak součástí stahovaného datového balíku, ale objevilo se i v URL (takže mohlo být zalogováno webovými servery) a  bylo uloženo i na serverech Facebooku. V tuto chvíli je již chyba opravena, data ze serverů Facebooku jsou podle vyjádření firmy smazána a dotčení uživatelé byli informováni, aby si změnili heslo.

Ve zkratce

Pro pobavení

Zebra po defragmentaci

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…

Našli jste v článku chybu?