Hlavní navigace

Postřehy z bezpečnosti: tvůj router je můj router

22. 10. 2018
Doba čtení: 4 minuty

Sdílet

V dnešním díle se podíváme na zranitelnosti některých routerů D-Link, phishing zaměřený na čtenáře, podvodné mobilní aplikace v obchodě, novou špionážní kampaň, starou chybu v LibSSH, nový nebezpečný malware a další.

Skupina výzkumníků z polské univerzity přišla na to, že některé modely routerů D-Link obsahují tři zranitelnosti a využitím každé z nich se útočníkovi nakonec může podařit získat plnou kontrolu nad zařízením. Jedná se o následující zranitelnosti: „Directory Traversal“ (CVE-2018–10822), soubor s heslem v čitelné podobě (CVE-2018–10824) a injektování příkazové řádky (CVE-2018–10823).

Díky první zmíněné zranitelnosti mohou útočníci číst libovolné soubory pomocí HTTP žádosti. I přesto, že zranitelnost již byla v minulosti nahlášena, opravy, které již byly vydány, danou chybu nenapravily. To znamená, že útočník může stále získat přístup do souborů a prohlížet si jejich obsah.

Díky tomu, že některé routery obsahují hesla administrátorů v čitelné podobě, může útočník najít daný soubor a získat tak administrátorské přihlašovací údaje. Teď již útočníkům stačí zneužít třetí zmíněnou zranitelnost a díky získaným přihlašovacím údajů mají plnou kontrolu nad některými routery D-Link, včetně DWR-116, DWR-111, DIR-140L, DIR-640L, DWR-512, DWR-712, DWR-912 a DWR-921.

Naše postřehy

Několik globálních vydavatelství knih a mezinárodní agentura Eccles Fisher, zabývající se průzkumem literatury, varovaly své zaměstnance před spoustou phishingových e-mailů, které cílí na citlivé informace autorů a vydavatelů včetně knižních rukopisů. Varování vydal Penguin Random House (PRH) v Severní Americe. Upozorňuje nejen na nebezpečí pro samotné rukopisy, ale zejména také na útoky na uživatelské průkazy, hesla, čísla sociálního pojištění, čísla kreditních karet, čísla bankovních účtů apod. K těmto bezpečnostním výzvám se připojila další dvě významná jména v knižním byznysu: Pan Macmillan a Catherine Eccles.

The Bookseller také uvádí, že se podvodníci vydávají za Catherine Ecclesovou, majitelku londýnské literární agentury Eccles Fisher. Sama Ecclesová podezírá z útoků „někoho se znalostí našeho průmyslu a s kým pracujeme“. Před časem rovněž varovala J. K. Rowlingová fanoušky Harryho Pottera před falešnou nabídkou, která slíbila další část série. Ve skutečnosti se jednalo o pokus krádeže detailů kreditních karet.

Do oficiálního obchodu s aplikacemi pro mobilní zařízení s operačním systémem Android Google Play proniklo šest dalších falešných bankovních aplikací, které okrádají uživatele o citlivé údaje jako jsou platební karty nebo přihlašovací údaje k internetovému bankovnictví. Na rozdíl od předešlé trojanizované aplikace QRecorder, ale necílí primárně na české uživatele. I celkový objem instalací je podstatně nižší. Eset objevil aplikace, které se vydávají za legitimní nástroje pro přístup k účtům bank z Nového Zélandu, Austrálie, Anglie, Švýcarska, Polska a rakouské směnárny kryptoměn Bitpanda.

Firma McAfee produkující bezpečnostní software vydala zprávu, která oznamuje objevení nové kyberšpionážní kampaně [PDF] zaměřené na Jižní Koreu, Spojené státy americké a Kanadu. Advanced Threat Research and Anti-Malware Operations týmy objevily další neznámý průzkumný implantát zaměřený na korejsky mluvící uživatele. Na základě její podobnosti se starším malwarem Seasalt, který souvisí s dřívějšími čínskými hackerskými operacemi, nazvaly tuto hrozbu Operace Oceansalt. Oceansalt používá část kódu ze Seasaltu (z roku 2010), který je spojen s čínskou hackerskou skupinou Comment Crew.

Čtyři roky stará chyba v LibSSH umožnuje kompletně obejít přihlášení a získat administrátorský přístup ke zranitelnému serveru, a to bez nutnosti zadávat heslo. Problém se naštěstí netýká OpenSSH a ani GitHub tímto problémem není dotčen. I přesto služba Shodan ukazuje zhruba 6500 zranitelných serverů dostupných přes internet. Samotné zneužití zranitelnosti je velmi jednoduché, útočníkovi stačí poslat zprávu SSH2_MSG_USERAUTH_SUCCESS místo očekávané zprávy SSH2_MSG_USERAUTH_REQUEST.

Slovenská společnost ESET identifikovala nový nebezpečný malware, který podle zpráv nakazil tři energetické a dopravní společnosti na Ukrajině a v Polsku. Původ malwaru přisuzují skupině, která je podle Británie napojena na ruskou zpravodajskou službu GRU (nově pouze GU). Jedná se prý o stejnou skupinu, která již v minulosti napadla ukrajinský energetický sektor malwarem nazvaným BlackEnergy, nyní však použila novou verzi zvanou GreyEnergy. Útok na ukrajinský energetický sektor spojený s malwarem BlackEnergy z roku 2015 je považován za první kybernetický útok způsobující rozsáhlé výpadky dodávek elektrické energie. Podle společnosti FireEye stojí za útokem skupina s názvem Sandworm, která je i podle ministerstva spravedlnosti Spojených států napojena na GU.

CS24_early

Na serveru SANS byl publikován příspěvek popisující práci s virtuálním strojem RedHunt Linux, který je postavený na Lubuntu-18.04 x64 a obsahuje sadu nástrojů  pro penetrační testování, ale také pro zaznamenávání informací o útoku nebo pro OSINT. V článku jsou také uvedeny konkrétní příklady použití nástroje pro emulaci útoků nebo nástroje pro OSINT.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET.

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Byl pro vás článek přínosný?

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.