Hlavní navigace

Postřehy z bezpečnosti: reálné chyby virtuálního prostředí

1. 3. 2021
Doba čtení: 2 minuty

Sdílet

 Autor: Depositphotos
Tento týden je nepříjemný pro uživatele VMware, objevily se dvě zajímavé studie: o sledování webových uživatelů a o nepříjemném stavu rozšiřujících aplikací Amazon Alexy, a jako obvykle utekla i nějaká ta data.

VMWare vydal výstrahy ke třem zranitelnostem

První, označená CVE-2021–21972, umožňuje útočníkovi po HTTPS poslat speciálně zkonstruovaný požadavek, který mu poté umožní spouštět libovolné příkazy na serveru bez omezení práv.

Druhá, CVE-2021–21973, umožňuje díky špatné validaci URL posílat neautorizované POST požadavky.

Třetí, CVE-2021–21974, se týká ESXi, a jedná se o heap overflow v SLP pro útočníka na stejné síti.

Všechny tři zranitelnosti jsou kritického charakteru a je velice záhodno updatovat.

Studie sledování pomocí CNAME

Výzkumníci z Katolické univerzity v Lovani prozkoumali využívání sledování uživatelů reklamními společnostmi, založeném na skrývání za CNAME, zde je také původní zpráva.

Některé reklamní společnosti začaly smluvně operovat na subdoméně provozovatelů, u kterých zobrazují svoje reklamy. Subdoména je ale pouhé CNAME, které vede na centrální reklamní aplikaci. To jim umožňuje se vyhnout obvyklému blokování a vmezeřit se do same-origin.

Metoda není nová, například ve firefoxové verzi uBlock Origin už cca dva roky (od 1.25) dokáže CNAME resolvovat a metodu odhalit, podobně Brave (od 1.17). Chrome nemá API pro DNS resolving, řešení této metody skrývání se tedy nejspíš nedočká.

Belgičtí výzkumníci identifikovali 13 různých firem, využívajících tuto techniku, a našli ji na cca 10 % z top 10 000 stránek. Dále prošli 7797 stránek, které používají CNAME tracking – 95 % z nich využívalo cookies. Prozkoumali také 103 stránek, které uživatelům poskytují nějakou formu přihlášení – a na 13 z nich reklamní společnosti získávaly i plné jméno uživatele, umístění, email a obsah autentizační cookie.

Overview of CNAME tracking
https://arxiv.org/abs/2102.09301

Overview of CNAME tracking

Alexo, jaké jsou tvé skilly?

Amazon Alexa umožňuje rozšiřovat své schopnosti pomocí aplikací třetích stran, tzv. skillů. Řádka výzkumníků z Rúrské univerzity v Bochumi si vzala do hledáčku celý aplikační ekosystém.

Tým zjistil, že kromě technických problémů aplikace prochází také poměrně špatným review procesem. Aplikace mohou být kupříkladu pozměněny po review, mohou mít stejnou spouštěcí frázi jako už existující a známé skilly (tzv. skill squatting), mohou pro review impersonovat známé firmy, mohou si aktivovat „spící“ intenty (které prošly review proto, že vypadají nepoužité) a aplikace se v některých případech mohou dostat i k datům, ke kterým by neměly mít práva.

PDF shadow attacks

Výzkumníci opět z Rúrské univerzity vydali nový update k možnostem modifikace PDF dokumentu po podepsání. O jejich předchozí zprávě jsme už v Postřezích psali.

14 milionů účtů Amazonu a eBay

Objevila se na prodej databáze 14 milionů účtů z Amazonu a eBay. Společnosti nepotvrdily žádný útok, spekuluje se, že data byla získána pomocí „password spraying“, tj. variace na slovníkový útok, kdy se útočník snaží o zalogování na velké množství účtů pomocí několika nejčastějších hesel.

Únik dat z Brave při prohlížení přes Tor

Prohlížeč Brave, známý pro své snahy o ochranu soukromí, opravil chybu, kdy se při prohlížení přes Tor snažil přeložit doménová jména .onion přes běžné DNS – kterým tedy vyzrazoval, kam se uživatel snaží přistoupit. Chyba byla opravena ve verzi 1.20.108.

Pro poučení

Máme skutečně jen jeden interoperabilní JSON? Jake Miller vám vysvětlí, že to není tak jednoduché.

Pro pobavení

Tvůj model bezpečnosti není stejný jako můj
Autor: Nic (@hvcco)

Tvůj model bezpečnosti není stejný jako můj.

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…

Autor článku

CESNET-CERTS je oficiální jméno bezpečnostního týmu sdružení CESNET, z. s. p. o. od ledna roku 2004. Jeho součástí je také Forenzní laboratoř FLAB. Články tvoří společně jednotliví členové týmu.