Hlavní navigace

Postřehy z bezpečnosti: špiníme roury linuxového jádra

14. 3. 2022
Doba čtení: 5 minut

Sdílet

 Autor: Depositphotos
Tento týden se opět nevyhneme válečným tématům, kde pravidelně přispívají všechny strany konfliktu. Dále probereme nedostatečné zabezpečení UPS vedoucí k přehrání firmware nebo závažnou zranitelnost Dirty Pipe.

Ukrajina a Rusko

Přestože se ruská invaze odehrává zejména ve fyzické rovině, kyberprostor taktéž není ušetřen, a to ani z jedné strany konfliktu. Dle ukrajinské bezpečnostní služby SSU stránky ukrajinské vlády a regionů čelí útokům, při kterých se útočníci pokouší na některé stránky umístit (nepravdivé) oznámení, že Ukrajina kapitulovala.

Ukrajinské organizace taktéž čelí kyberútokům s pomocí veřejně dostupného backdooru zvaného „MicroBackdoor“. Připisovány jsou skupině Ghostwriter (UNC1151) s možnými vazbami na běloruskou vládu.

Praktikují se také phishingové útoky na Ukrajinu a její evropské spojence, o čemž informoval i ukrajinský CERT tým. Dále se rozepsal Google o konkrétních doménách a útočících skupinách, mezi které řadí Fancy Bear (APT28), výše zmíněný Ghostwriter, Mustang Panda (Temp.Hex) a další. Cílem bývá – jak už je běžné – krást přihlašovací údaje.

Když se již bavíme o Googlu, ten ve čtvrtek začal zapínat vlastní notifikace o leteckých náletech v Ukrajině pro tamější Androidy.

Mnoho občanů po celém světě se dobrovolně zapojilo do útoků, zejména proti ruským organizacím a médiím; již z dřívějška víme, že Ukrajina organizuje svoji „IT Army“. Společnost disBalancer nabízí DDoS klienta Liberator. Toho stačí spustit a rázem jste součástí útočícího botnetu. Bojovnosti a naivity uživatelů nyní zneužívají nepřátelské síly, které přes Telegram šíří falešnou verzi Liberatora, po jejímž spuštění se na počítač nahraje trojan Phoenix. Ten zkopíruje přihlašovací údaje a možná i další věci. A z wanna-be útočníka se rázem stává oběť.

Abyste o zapojení náhodou neuvažovali, ruská vláda zveřejnila seznam 17 tisíc IP adres, které měly být údajně zapojeny do DDoS útoků proti ruským sítím.

Anonymous měli hacknout Roskomnadzor; zveřejnili přes 800 GB dat, mimo jiné i databáze z oddělení HR v Baškirsku.

Ukrajina byla také přijata jako přispívající účastník kybernetické části NATO. Chtěla být plnohodnotným členem, to ale ještě před invazí zablokovalo Maďarsko.

Rusko však nezahálí a konsoliduje svoji infrastrukturu, zatímco blokuje další a další zahraniční služby, v pátek např. Instagram. V běloruském médiu Nexta se objevilo nařízení ruské vlády, které si spousta lidí vyložila jako přípravu Ruska na odpojení od Internetu. Tak horké to zřejmě nebude, alespoň v současnosti ne, i když to nelze úplně vyloučit. Situaci podrobně vysvětluje Petr Krčmář v dřívějším článku na Root.cz.

Rusko se také pokouší zavést svoji vlastní kořenovou certifikační autoritu, reaguje tak na sankce. Doporučuje užívat ruské prohlížeče, které tuto autoritu mají předinstalovanou, zejména tedy Yandex a Atom. Vznikají tudíž obavy ze státem posvěcených útoků typu Man-in-the-Middle (MitM).

Lapsy v ochraně dat

Samsungu utekly zdrojové kódy mnoha produktů, včetně kódů provádějících citlivé operace v Trusted Environment. Skupina zodpovědná za únik, jihoamerický Lapsus$, nedlouho před tím ukořistila a zveřejnila zdrojové kódy firmy NVIDIA, které obsahovaly i privátní klíče podpisových certifikátů pro ovladače. Zřejmě minulý týden se tyto certifikáty začaly zneužívat k podepisování binárek.

Přestože již certifikáty expirovaly, Windows takto podepsaný ovladač stále zavede. Než bude věc oficiálně vyřešena (kupř. revokací certifikátů a vydáním nových balíčků postižených ovladačů), je efektivním řešením například blokace prostřednictvím Windows Defender Application Control (WDAC).

Skupina Lapsus$ také prohlásila, že má data několika dalších společností, a mimo jiné naznačila napadení Ubisoftu, kde se ale zatím zdá, že k úniku dat nedošlo. Útok ale způsobil krátkou nedostupnost některých služeb, plus si zaměstnanci museli změnit hesla.

Činily se ale i další skupiny, např. LockBit se přihlásil k útoku ransomwarem na Bridgestone Americas, kde došlo k exfiltraci dat.

Nejde však jen o zločince. Výzkumný tým Cybernews informoval o objevení otevřené databáze ElasticSearch s daty o pohybech přepravních lodí. Zřejmě se jedná o data z čínských přístavů Nanking a Zhangjiagang u řeky Jang-c’-ťiang. Databáze byla otevřena pro čtení i zápis; poškození či zneužití těchto dat by mohlo mít dalekosáhlé důsledky pro mezinárodní lodní přepravu. Podle týmu byla v současnosti datová díra již zalepena.

Zdroje nepřerušeného vzplanutí

Firma Schneider Electric vydává aktualizace firmwaru pro síťové řadiče svých zdrojů nepřerušovaného napájení (UPS), APC SmartConnect a Smart-UPS. Záplatuje tím tři kritické zranitelnosti, přezdívané TLStorm, objevené týmem společnosti Armis. Jejich kombinací lze, mimo jiného, docílit neautorizovaného přehrání firmwaru, a to vzdáleně, přes síť.

Nehledě na možné manipulace s výstupním napětím, týmu se podařilo obejít softwarové pojistky proti nadměrnému proudu a UPS fyzicky poškodit. Zranitelná zařízení lze najít na stránkách věnovaných útoku; podrobnosti k útoku jsou ve whitepaperu.

Špinavá roura

Líbila se vám „Dirty COW“ (CVE-2016–5195)? Pak zbystřete. Příběh „Dirty Pipe“ vedl k odhalení obdobné chyby v linuxovém jádře, kterou lze snadno využít k lokální eskalaci práv. Pokud ji srovnáme s „Dirty COW,“ pak zjistíme, že je její zneužití pro eskalaci snazší. Tato zranitelnost dostala CVE-2022–0847 a skóre CVSSv3 7.8 a je již opravena ve většině aktuálních distribučních jader.

Zranitelnost je zneužitelná lokálně, spuštěním kódu neprivilegovaným uživatelem, uživatel musí mít práva ke čtení daného souboru. Pozornost si zasluhuje zejména tím, že umožňuje (v určitých mezích) měnit stránky keše, a tím měnit obsah souborů načtených v paměti, aniž by muselo dojít k zápisu zpět na disk. Restart by tedy takové změny nepřežily, ale to tolik nevadí – stačí, aby si daný soubor někdo vyžádal, dokud je stále v keši, a dostane upravenou verzi. Vzhledem k tomu, že se stále technicky jedná pouze o čtení, lze tímto způsobem „přepisovat“ i data na zdrojích pouze ke čtení, rozumějme třeba na CD.

K dokreslení lze uvést příklad, kdy lze takto změnit např. načtený /etc/passwd, pomocí su root eskalovat a získat práva uživatele root.

CS24_early

Tuto chybu si v Linuxu „užijete“ od jader 5.8 až do 5.16.11, 5.15.25 a 5.10.102, ve kterých byla opravena. Zneužitelná je také na nedávných Androidech, kupř. v Google Pixel 6. Oprava spočívá ve správné inicializaci flagů při alokaci nového struct pipe_buffer objektu ve dvou funkcích pracujících s rourami.

Ve zkratce

Pro pobavení


Autor: Randall Munroe, podle licence: CC BY-NC 2.5

Sledování obyvatel planety Země už není jen záležitost lidí.

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Byl pro vás článek přínosný?

Autor článku

CESNET-CERTS je oficiální jméno bezpečnostního týmu sdružení CESNET, z. s. p. o. od ledna roku 2004. Jeho součástí je také Forenzní laboratoř FLAB. Články tvoří společně jednotliví členové týmu.