Hlavní navigace

Postřehy z bezpečnosti: úroda u MikroTiků

CESNET CERTS

Pravidelná sbírka bezpečnostních zajímavostí minulého týdne. Dnes si projedeme úrodu CVE, opřeme se do sociálních sítí i do balíčkovacích formátů, strháme oblíbené kecálky, a třeba se opět i poučíme.

Doba čtení: 2 minuty

Úroda u MikroTiků

Výzkumníci z Tenable Research dokázali zkombinovat známou zranitelnost CVE-2018–14847 (čtení libovolných souborů přes Winbox) s několika dalšími. Proof-of-concept je na GitHubu. Zveřejnili rovnou i dávku dalších zranitelností:

  • CVE-2018–1156 – autentizovaná RCE pomocí buffer overflow na zásobníku.
  • CVE-2018–1157 – pád HTTP serveru při vyčerpání paměti při uploadu.
  • CVE-2018–1159 – memory corruption a shození HTTP serveru.
  • CVE-2018–1158 – vyčerpání zásobníku HTTP serveru při parsování JSONu.

WhatsApp – tak to zvedněte

Natalie SilvanovichGoogle Project Zero objevila zranitelnost, která umožňuje shodit (a potenciálně napadnout) WhatsApp pomocí porušeného RTP paketu v okamžiku, kdy uživatel přijímá hovor. Více také na SecurityAffairs. Oblíbené kecálky si ale nemají co vyčítat, před nedávnem se ukázalo, že ze superbezpečného Telegramu prosakují IP adresy.

Google minus

Google občas také nerad zveřejňuje informace o únicích dat, zřejmě proto, aby nelákal pozornost regulátorů. Na Rootu už bylo toto téma detailně probráno. Pravděpodobně Google nechtěl spadnout do stejného pytle s Facebookem (Cambridge Analytica a později neslavná zranitelnost View as).

Google se rozhodl síť Google+ uzavřít pro běžné uživatele a zůstat jen u korporátních zákazníků. Krom toho se nyní snaží poněkud si spravit tvář hlasitým utahováním pravidel pro přístup aplikací ke G-Suite, přístup Androidích aplikací ke API Gmailu, záznamům hovorů a SMS, a zřejmě v budoucnu další v rámci projektu Strobe.

Noční můra Flatpak

Na výmluvné doméně FlatKill.org se objevil drobný hate na Flatpak. Přestože se ani nesnaží tvářit nezaujatě, nad některými body není dobré zavírat oči. Třeba nad tím, že hlasitě proklamované bezpečnostní vlastnosti, jako je aplikační sandbox, jsou i v oficiálních balíčcích často vypnuty, a že balíčkování aplikací není právě záživná činnost, takže balíčky končí se zastaralými a nezáplatovanými knihovnami.

Apple – malé trable ve velké Číně

Kolem 700 čínských uživatelů iPhonu přišlo o peníze, zřejmě na základě ukradených Apple ID. Alipay za své uživatele zkontaktovala Apple, zatím bez odezvy. Přestože je zjevné, že některá Apple ID byla použita ze zařízení, která dotyčným uživatelům nepatří, Apple odmítl transakce refundovat.

Ve zkratce

  • CVE-2018–17456 – GIT: spuštění kódu z .gitmodules během „git clone“
  • CVE-2018–18065 – net-snmp: shození pomocí vhodně zkonstruovaného UDP paketu
  • CVE-2018–15471 – Linux (Xen): přístup mimo hranice paměti
  • CVE-2018–18021 – Linux (KVM): nedostatečné restrikce při zpracování ioctl
  • CVE-2018–16738 – TINC: nedostatečný autentizační protokol
  • CVE-2018–16758 –  TINC: nedostatečná autentizace umožňuje downgrade šifrování

Pro poučení

Na blogu Google se objevil článek popisující kontrolu toku kódu, tj. toho, zda kód skáče kde, kam a odkud má.

Portswigger s pomocí několika bezpečnostních výzkumníků poskládal žebříček hackovacích technik roku 2017. Zajímavé čtení i odkazované materiály.

Pro pobavení

Bavíte-li se „hackováním“, můžete už jen zaplakat, protože Bitcoin Challenge o 310 BTC skončila. Spravit náladu si ale můžete u The Catch.

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET.

Našli jste v článku chybu?