Hlavní navigace

Postřehy z bezpečnosti: třetí zranitelnost Drupalu během jednoho měsíce

CESNET CERTS

Dnes si řekneme mj. o další zranitelnosti CMS Drupal, o jednom vítězství spravedlnosti, o falešném generálním klíči, o neočekávané schopnosti Alexy a o přístupu Facebooku ke kybernetickým zločinům.

Doba čtení: 3 minuty

Nová zranitelnost Drupalu

Ve středu 25. dubna 2018 vyšla nová verze webového redakčního systému Drupal, která odstraňuje vysoce kritickou zranitelnost CVE-2018–7600 typu RCE = vzdálené spuštění libovolného kódu.

Je to třetí zranitelnost Drupalu zjištěná během jednoho měsíce; byl k ní publikován exploit a již se aktivně zneužívá. CMS Drupal je tedy třeba pokud možno okamžitě aktualizovat na verzi 7.59 nebo 8.5.3.

Útočník na e-mail ředitele CIA odsouzen

V říjnu 2015 vzbudila velkou pozornost zpráva o hackerovi, který se naboural do soukromého e-mailového účtu tehdejšího ředitele CIA Johna Brennana. Hacker o sobě veřejně prohlásil, že je americký středoškolský student, člen hackerské skupiny „Crackas With Attitude“, a že se do Brennanova poštovního účtu vedeného u AOL dostal s využitím sociálního inženýrství.

Ve skutečnosti to byl 15letý britský středoškolský student Kane Gamble; byl zatčen v únoru 2016, v říjnu 2017 se přiznal a tento týden byl odsouzen ke dvěma letům vězení pro mladistvé. Jeho američtí komplicové, 22letý Andrew Otto Boggs a 24letý Justin Liverman, byli už loni odsouzeni za celou řadu převážně počítačových zločinů ke 2 a 5 letům vězení a k pokutě 100 a 145 tisíc dolarů. – Členy CWA byli i další Britové: 15letý „Cubed“ a 17letý „Derp“; zatím není známo, zda byli také odsouzeni.

Generální klíč odemkne libovolný pokoj v hotelu

Výzkumníci Tomi Tuominen a Timo Hirvonen z firmy F-Secure odhalili zranitelnost v systému elektronických zámků Vingcard Vision od firmy ASSA Abloy; tyto zámky se údajně používají ve 166 zemích a ve více než 42 tisících hotelů. Zmíněná zranitelnost jim umožnila vyrobit „generální klíč“ schopný odemknout libovolný zámek ve zvoleném hotelu a obejít případná další omezení (např. výtah původně nesměl zastavit v libovolném patře). Přeprogramování existující hotelové karty (RFID nebo s magnetickým proužkem) nebo vygenerování nové karty údajně bylo jednoduché a dalo se provést během minuty.

Výzkumníci ohlásili tuto zranitelnost firmě ASSA Abloy; ta ji už prý opravila a opravu distribuovala všem uživatelům systému.

Asistentka Alexa od Amazonu umí i odposlouchávat

Asistentka Alexa systému Amazon Echo obvykle reaguje jen na příkazy uvozené jejím jménem; na příkaz odpoví a komunikaci okamžitě ukončí. Výzkumníci z firmy Checkmarx ale vytvořili software, který se zdánlivě chová jen jako kalkulačka ovládaná hlasem, ale který i po vyřešení matematického problému dále odposlouchává zvuky ve svém okolí a přepis všeho, co uslyší, odesílá na zvolený web.

Jedinou indikací této aktivity zůstalo rozsvícené světlo na horní základně Echa. Firma Amazon byla o problému informována a řeší ho tím, že software s touto schopností odstraňuje ze svého obchodu.

Zvláštní přístup Facebooku ke kybernetickému zločinu

Brian Krebs, novinář proslulý svým bojem s počítačovým zločinem, nedávno informoval Facebook o asi 120 diskusních skupinách, které porušují pravidla: zabývají se např. šířením spamu, krádežemi identity, podvody s kreditními kartami i útoky DDoS, a publikují nástroje pro vytváření botnetů. Většina těchto diskusních skupin byla „uzavřená“, tj. nečlenové do nich měli přístup jen se souhlasem administrátorů skupiny, ale bylo zřejmé, co je náplní činnosti těchto skupin.

Nejvíce diskusních skupin nabízelo ukradené údaje o kreditních a debetních kartách; za nimi následovaly údaje umožňující neoprávněný přístup k poštovním účtům. Průměrné stáří těchto diskusních skupin bylo 2 roky; některé z nich byly i 9 let staré. Celkový počet jejich členů byl přes 300 tisíc.

Ředitel komunikace Facebooku Krebsovi poděkoval a slíbil, že Facebook bude příště aktivnější v kontrole dodržování pravidel. Diskusní skupiny Facebook velmi rychle smazal.

Nicméně zhruba o týden později Krebs zjistil, že některé ze zrušených diskusních skupin se během několika hodin znovu obnovily; když je ohlásil standardním postupem Facebooku, dostal odpovědi zhruba tohoto typu: „Tyto stránky jsme prozkoumali; naše pravidla sice neporušují, ale chápeme, že Vás mohou urážet. Poradíme Vám, jak si tento obsah můžete zablokovat.“ Pomohlo, až když tyto informace zveřejnil skrze Twitter. Ředitel komunikace Facebooku se omluvil a vysvětlil to lidskou chybou; podobné problémy s hlášením nevhodných stránek ale měli i další uživatelé Facebooku a vnucuje se podezření, že Facebook nerad ruší uživatelská konta, protože to neprospívá jeho obchodnímu modelu.

Ve zkratce

20 let počítačového viru CIH/Černobyl

MIF18_Michálek

Nové schopnosti GMAILu

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET.

Našli jste v článku chybu?