Hlavní navigace

Postřehy z bezpečnosti: prohlížeč Chrome ohrožen útokem CacheFlow

8. 2. 2021
Doba čtení: 4 minuty

Sdílet

 Autor: Depositphotos
V tomto díle Postřehů si povíme, jak se chránit proti nebezpečným doplňkům prohlížečů, o databázi zranitelností škodlivého kódu, o uzavření ValidCC a podíváme se i na několik kritických zranitelností.

CacheFlow ohrožuje miliony instalací Chrome

Minulý týden přinesl Root zprávu upozorňující na blogpost Avastu, který odhaluje další detaily útoku, jenž dostal přiléhavý název CacheFlow. Škodlivý kód měl na tři miliony instalací a k jeho odhalení přispěl také CSIRT.CZ. Na analýze jednoho z těchto doplňků „Downloader for Instagram“ Avast popisuje, jak mohly škodlivé doplňky tři roky unikat širší pozornosti. Předně započaly svou činnost ne dříve než tři dny po instalaci.

Jakmile pojaly podezření, že napadený uživatel by mohl být vývojář (přistupoval na localhost, měl otevřené Developer Tools, měnil si šířku obrazovky nebo si vyhledával jednu ze škodlivých podezřelých domén), deaktivovaly se, aby zůstaly i nadále nenápadné. Blogpost popisuje další věci, které může obezřetný uživatel/správce udělat, aby se zabezpečil a nemusel prohledávat celý zdrojový kód, např. prohlédnout v souboru manifest.json oprávnění a Content-Security-Policy.

Rádi bychom k těmto radám přidali ještě jednu dobrou metodu,, na kterou jsme zatím v žádné diskuzi týkající se CacheFlow nenarazili. Je k dispozici už řadu let, přesto není tolik známa. Jak se může chránit člověk, který není zkušený vývojář? Používat více profilů prohlížeče. Na opravdu důležité služby, jako je banka či e-mail, používat okno profilu, kde žádný doplněk není.

Více profilů lze používat najednou. Například Chrome vpravo nahoře má ikonku člověka v kolečku. V rozbalené nabídce si vyberete, jestli chcete zapnout okno profilu hosta (který se podobně jako anonymní profil smaže), nebo založit jiný profil. Firefox umožňuje ještě oddělenější cestu, stačí spustit program „ firefox -P “ pro výběr profilu ke spuštění.

Jak oni na nás, tak my na ně!

Databáze zranitelností operačních systémů, aplikací a síťových služeb všichni známe. Ale databázi zranitelností škodlivého kódu? Od ledna je dostupná databáze Malvuln.com, která poskytuje exploity zneužívající chyby ve škodlivém kódu. Proč?

Například Ankit Anubhav popsal, jak byla chyba v kódu botnetu Mirai použita ke zhroucení jeho C2 (command and control) serverů. Chyby ale můžeme použít nejen k narušení funkcí botnetu, ale i k trasování a konečné identifikaci jejich operátorů. Přišel čas oplácet tvůrcům exploitů a škodlivého kódu stejnou mincí?

ValidCC, hlavní bazar platebních karet uzavřen

ValidCC, dark webový bazar provozovaný cybercrime skupinou, která více než šest let hackovala online obchodníky a prodávala údaje o odcizených platebních kartách, minulý týden náhle zavřela obchod. Majitelé populárního obchodu uvedli, že jejich servery byly zabaveny jako součást koordinované operace vymáhání práva určené k odpojení a zabavení jeho infrastruktury.

Existují desítky online obchodů, které prodávají údaje o platebních kartách, ale většina z nich získává data od jiných zločinců. Naproti tomu bezpečnostní odborníci tvrdí, že společnost ValidCC se aktivně podílela na hackování stovek online obchodníků – kde nasazovala falešné skimmery platebních karet a tím získávala informace o platebních kartách.

Kritické zranitelnosti CISCO VPN routerů

Webové rozhraní VPN routerů od společnosti Cisco obsahuje kritické zranitelnosti, které mohou neautentizovanému útočníkovi umožnit vzdálené spuštění kódu pod administrativním uživatelem root a převzít tak úplnou kontrolu nad zařízením. Příčinou je nedostatečná validace HTTP požadavků.

Zranitelnost se týká těchto zařízení (s verzí firmwaru nižší než 1.0.01.02):

  • RV160 VPN Router
  • RV160W Wireless-AC VPN Router
  • RV260 VPN Router
  • RV260P VPN Router with POE
  • RV260W Wireless-AC VPN Router 

Společnost Cisco vydala opravenou verzi firmwaru (1.0.01.02). Všem uživatelům a administrátorům doporučujeme prostudovat bezpečnostní doporučení od společnosti Cisco a provést nezbytné aktualizace.

Zranitelnost pluginu Limit Login Attempts Reloaded pro WordPress

Analytici týmu Red Team Research (RTR) italské telekomunikační společnosti TIM nalezli dvě zranitelnosti nultého dne v pluginu Limit Login Attempts Reloaded pro WordPress. Jedna zranitelnost – Improper Restriction of Excessive Authentication Attempts – umožňuje obejít účel pluginu, tedy omezení útoků hrubou silou, zatímco druhá zranitelnost – Improper Neutralization of Input During Web Page Generation – umožňuje provedení útoku unauthenticated reflected XSS.

Nebezpečný mobilní virus se šíří jako lavina

Rogue je velmi nebezpečný záškodník. Dovoluje totiž útočníkům převzít kompletní kontrolu nad napadeným zařízením, umožňuje tedy krást fotografie, kontakty, zprávy, informace o poloze či jakákoliv jiná uložená data. Stejně tak může být využit ke šmírování – kyberzločinci díky němu mohou sledovat bez nadsázky každé kliknutí na dotykovou obrazovku.

Alarmující přitom není pouze to, co všechno tento nezvaný host umí, ale také rychlost, jakou se v poslední době šíří. Na černém internetovém trhu si jej totiž může koupit kdokoliv. Naplánovat sofistikovaný útok na mobilní zařízení tak zvládnou i lidé, kteří nemají hlubší počítačové znalosti.

Druhá skupina útoků SolarWinds, potenciálně spojená s čínskou vládou

Objevily se náznaky, že druhá skupina útočníků mohla zneužít chybu SolarWinds k instalaci backdoru Supernova. Tato informace byla také podpořena prosincovým tvrzení Microsoftu. Agentuře Reuters její zdroje sdělily fakt o existenci důkazů, že tento nový malware je pravděpodobně podporován Čínou.

root_podpora

Agentura Reuters uvedla, že útočníci se zaměřili na mzdový systém ministerstva zemědělství. Podle agentury Reuters se infrastruktura APT, použitá při útoku USDA, shoduje s infrastrukturou APT o které je známo, že je nasazena čínskými aktéry podporovanými vládou.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

Byl pro vás článek přínosný?

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.