Hlavní navigace

Postřehy z bezpečnosti: tvůj router je můj router

CSIRT.CZ

V dnešním díle se podíváme na zranitelnosti některých routerů D-Link, phishing zaměřený na čtenáře, podvodné mobilní aplikace v obchodě, novou špionážní kampaň, starou chybu v LibSSH, nový nebezpečný malware a další.

Doba čtení: 4 minuty

Skupina výzkumníků z polské univerzity přišla na to, že některé modely routerů D-Link obsahují tři zranitelnosti a využitím každé z nich se útočníkovi nakonec může podařit získat plnou kontrolu nad zařízením. Jedná se o následující zranitelnosti: „Directory Traversal“ (CVE-2018–10822), soubor s heslem v čitelné podobě (CVE-2018–10824) a injektování příkazové řádky (CVE-2018–10823).

Díky první zmíněné zranitelnosti mohou útočníci číst libovolné soubory pomocí HTTP žádosti. I přesto, že zranitelnost již byla v minulosti nahlášena, opravy, které již byly vydány, danou chybu nenapravily. To znamená, že útočník může stále získat přístup do souborů a prohlížet si jejich obsah.

Díky tomu, že některé routery obsahují hesla administrátorů v čitelné podobě, může útočník najít daný soubor a získat tak administrátorské přihlašovací údaje. Teď již útočníkům stačí zneužít třetí zmíněnou zranitelnost a díky získaným přihlašovacím údajů mají plnou kontrolu nad některými routery D-Link, včetně DWR-116, DWR-111, DIR-140L, DIR-640L, DWR-512, DWR-712, DWR-912 a DWR-921.

Naše postřehy

Několik globálních vydavatelství knih a mezinárodní agentura Eccles Fisher, zabývající se průzkumem literatury, varovaly své zaměstnance před spoustou phishingových e-mailů, které cílí na citlivé informace autorů a vydavatelů včetně knižních rukopisů. Varování vydal Penguin Random House (PRH) v Severní Americe. Upozorňuje nejen na nebezpečí pro samotné rukopisy, ale zejména také na útoky na uživatelské průkazy, hesla, čísla sociálního pojištění, čísla kreditních karet, čísla bankovních účtů apod. K těmto bezpečnostním výzvám se připojila další dvě významná jména v knižním byznysu: Pan Macmillan a Catherine Eccles.

The Bookseller také uvádí, že se podvodníci vydávají za Catherine Ecclesovou, majitelku londýnské literární agentury Eccles Fisher. Sama Ecclesová podezírá z útoků „někoho se znalostí našeho průmyslu a s kým pracujeme“. Před časem rovněž varovala J. K. Rowlingová fanoušky Harryho Pottera před falešnou nabídkou, která slíbila další část série. Ve skutečnosti se jednalo o pokus krádeže detailů kreditních karet.

Do oficiálního obchodu s aplikacemi pro mobilní zařízení s operačním systémem Android Google Play proniklo šest dalších falešných bankovních aplikací, které okrádají uživatele o citlivé údaje jako jsou platební karty nebo přihlašovací údaje k internetovému bankovnictví. Na rozdíl od předešlé trojanizované aplikace QRecorder, ale necílí primárně na české uživatele. I celkový objem instalací je podstatně nižší. Eset objevil aplikace, které se vydávají za legitimní nástroje pro přístup k účtům bank z Nového Zélandu, Austrálie, Anglie, Švýcarska, Polska a rakouské směnárny kryptoměn Bitpanda.

Firma McAfee produkující bezpečnostní software vydala zprávu, která oznamuje objevení nové kyberšpionážní kampaně [PDF] zaměřené na Jižní Koreu, Spojené státy americké a Kanadu. Advanced Threat Research and Anti-Malware Operations týmy objevily další neznámý průzkumný implantát zaměřený na korejsky mluvící uživatele. Na základě její podobnosti se starším malwarem Seasalt, který souvisí s dřívějšími čínskými hackerskými operacemi, nazvaly tuto hrozbu Operace Oceansalt. Oceansalt používá část kódu ze Seasaltu (z roku 2010), který je spojen s čínskou hackerskou skupinou Comment Crew.

Čtyři roky stará chyba v LibSSH umožnuje kompletně obejít přihlášení a získat administrátorský přístup ke zranitelnému serveru, a to bez nutnosti zadávat heslo. Problém se naštěstí netýká OpenSSH a ani GitHub tímto problémem není dotčen. I přesto služba Shodan ukazuje zhruba 6500 zranitelných serverů dostupných přes internet. Samotné zneužití zranitelnosti je velmi jednoduché, útočníkovi stačí poslat zprávu SSH2_MSG_USERAUTH_SUCCESS místo očekávané zprávy SSH2_MSG_USERAUTH_REQUEST.

Slovenská společnost ESET identifikovala nový nebezpečný malware, který podle zpráv nakazil tři energetické a dopravní společnosti na Ukrajině a v Polsku. Původ malwaru přisuzují skupině, která je podle Británie napojena na ruskou zpravodajskou službu GRU (nově pouze GU). Jedná se prý o stejnou skupinu, která již v minulosti napadla ukrajinský energetický sektor malwarem nazvaným BlackEnergy, nyní však použila novou verzi zvanou GreyEnergy. Útok na ukrajinský energetický sektor spojený s malwarem BlackEnergy z roku 2015 je považován za první kybernetický útok způsobující rozsáhlé výpadky dodávek elektrické energie. Podle společnosti FireEye stojí za útokem skupina s názvem Sandworm, která je i podle ministerstva spravedlnosti Spojených států napojena na GU.

Na serveru SANS byl publikován příspěvek popisující práci s virtuálním strojem RedHunt Linux, který je postavený na Lubuntu-18.04 x64 a obsahuje sadu nástrojů  pro penetrační testování, ale také pro zaznamenávání informací o útoku nebo pro OSINT. V článku jsou také uvedeny konkrétní příklady použití nástroje pro emulaci útoků nebo nástroje pro OSINT.

Našli jste v článku chybu?