Hlavní navigace

Postřehy z bezpečnosti: útok na Ubiquiti pohledem insidera

5. 4. 2021
Doba čtení: 4 minuty

Sdílet

 Autor: Ubiquiti
V tomto díle Postřehů se podíváme na nové informace k útoku na Ubiquiti, na pokus o kompromitaci repozitáře jazyka PHP, na nový spyware pro Android a na řadu dalších zajímavostí.

Únik z Ubiquiti

Server krebsonsecurity.com zveřejnil závažné informace o úniku dat ze společnosti Ubiquiti. Podle zdroje serveru, který měl být u likvidace následků úniku dat se společnost snažila mlžit, aby snížila dopad na cenu akcií. Zdroj serveru prý obavy ohledně skutečných důsledků útoku probíral s „whistleblower hotline“ Ubiquiti i s evropským pověřencem pro ochranu dat.

Zatímco dle oficiální verze tvrdila, že napadení zahrnovalo třetí stranu v podobě poskytovatele cloudových služeb, dle zdroje serveru krebsonsecurity.com získali útočníci plný přístup do databáze Ubiquiti na Amazon Web Services, která měla být tou třetí stranou zahrnutou v útoku. Útočníci měli přístup k privilegovaným účtům, které si zaměstnanec Ubiquiti uložil do účtu na LastPass, a získali tak přístup do všech Ubiquiti AWS účtů, aplikačních logů, databází, uživatelských přihlášení a k informacím potřebným k podvržení single sign-on cookies. Získaný přístup měl umožňovat útočníkům vzdálený přístup do nespočtu Ubiquiti zařízení po celém světě.

Pokus o kompromitaci PHP

Minulou neděli se hackeři pokusili kompromitovat programovací jazyk PHP jako takový. Pod jmény známých vývojářů vložili do oficiálního gitového repozitáře jazyka nenápadný kód, který by, pokud by zůstal nepovšimnut, způsobil katastrofu na všech webech užívajících PHP. Stačilo by vedle běžné hlavičky HTTP_USER_AGENT, kterou při každém požadavku na obsah webu odešle váš prohlížeč spolu s informacemi o sobě (a webová stránka tak může zareagovat a upravit obsah například pro mobily), poslat podobnou hlavičku:  HTTP_USER_AGENTT.

Přehlédli jste druhé písmeno T na konci řetězce? Hackeři doufali, že vývojáři je přehlédnou také. Hlavička by mohla obsahovat libovolný kód, který by PHP spustilo a umožnilo tak kompromitovat čtyři pětiny světového webu. Administrátoři jazyka naštěstí zareagovali promptně, kód odstranili, a protože zřejmě došlo k prolomení bezpečnosti serveru repozitáře spíše než uniknutí hesla jednotlivce, reorganizují vnitroorganizační pravidla přispívání a celý repozitář přesouvají na GitHub.

Spyware pro Android se vydává za aktualizaci systému

Vědci objevili nový spyware na zařízeních Android, který krade citlivé informace uživatelů, a to například historii prohlížeče či nahrávání zvuků a telefonních hovorů. Zatímco malware v systému Android se dříve maskoval napodobováním známých aplikací pod názvy podobajícími se legitimním softwarům, tento nový spyware se tváří jako aktualizace systému. Spyware vytváří oznámení o tom, že se hledá aktualizace systému, uživatel v domnění, že si aktualizuje systém Android, si tak stahuje spyware do svého zařízení, uvedli bezpečnostní specialisté společnosti Zimperium v páteční analýze.

Po instalaci se sofistikovaná spywarová kampaň pustí do svého úkolu tím, že zaregistruje zařízení na serveru Firebase Command-and-Control (C2) s informacemi, jako jsou procento baterie, statistiky úložiště a zda je v telefonu nainstalován WhatsApp, následně shromáždí a exportuje jakákoliv data, která jsou pro server zajímavá, ve formě šifrovaného souboru ZIP. Přestože aplikace „System Update“ nebyla nikdy distribuována prostřednictvím oficiálního obchodu Google Play, výzkum znovu zdůrazňuje, jak mohou obchody s aplikacemi třetích stran skrývat nebezpečný malware.

Tajemný hacker trvale útočil na českou rodinu

Zajímavý případ na svých stránkách zveřejnila Policie ČR. Jednalo se vytrvalé útoky hackera na jednu rodinu po dobu tří měsíců. Podle všeho celou věc nahlásil otec rodiny až po více než měsíci, nicméně se během šetření ukázalo, že se pravděpodobně nejedná o útoky zvenčí, nýbrž zevnitř (v rámci rodiny).

Nakonec se pod tíhou důkazů přiznal nezletilý chlapec, který mimo útoků stál i za výhrůžkami v anglickém jazyce a žádostí o výkupné ve výši 100 000 Kč. Vzhledem k faktu, že nezletilý mladík měl ke všem zařízením v domácnosti přístup a jeho chování nenaplňuje jeden z bodů skutkové podstaty, byl celý případ odložen.

Problém SMS autentizace

O tom, že autentizace skrz SMS má své mezery, se ví už dlouho. Jak velké ve skutečnosti jsou, ukazuje aktuální reportáž magazínu Vice. Problém není ani tak v samotném textování, ale v celém prostředí telekomunikačních technologií.

Reportéry oslovený hacker v rámci demonstrace katastrofické zneužitelnosti systému přesměroval veškerou textovou komunikaci oběti, kterou byl jeden z reportérů, aniž by k tomu potřeboval větších odborných znalostí. V zásadě jen stačilo zaplatit malý poplatek (asi 350 Kč) legitimní messagingové službě s názvem Sakari. Hacker „pouze“ zalhal o tom, že k přesměrování má povolení uživatele/oběti, aniž by po něm bylo požadováno to jakkoliv doložit.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.