Hlavní navigace

Postřehy z bezpečnosti: vrchní, prchni!

3. 6. 2019
Doba čtení: 2 minuty

Sdílet

Dnes se podíváme, jak rychle lze přijít o údaje z platební karty, podíváme se na sql servery, problémy jednoho města a samozřejmě se najde i nějaká ta zranitelnost ve WordPressu.

Vrchní s platebním terminálem

Platební terminály řetězce rychlého občerstvení Checkers and Rally’s byly napadeny a útočníkům se podařilo odcizit platební údaje zákazníků. Malware se zatím nepodařilo identifikovat, ale podle všeho jeho úkolem bylo získávání údajů z magnetického proužku na platební kartě.

Různé provozovny byly postiženy v různou dobu a údajně se tento útok odehrává již několik let. Zatím nebylo prokázáno, že došlo ke zneužití nasbíraných dat, ani provozovatel samotný nedokáže odhadnout dopad na zákazníky.  

Wordpress a jeho rozšíření

V rozšíření ConvertPlus pro redakční systém WordPress byla objevena zranitelnost umožňující útočníkovi zaregistrovat se s právy administrátora. Plugin umožňuje uživateli výběr role při registraci. Administrátorská role je pouze skryta a při odeslání formuláře lze tuto roli podstrčit do odesílané žádosti a získat účet s oprávněním administrátora. Tento plugin používá asi 100 000 aktivních instalací, oprava byla zatím vydána pro prémiové uživatele.

V rozšíření Slick Popup byl objeven backdoor umožňující přihlášení s právy administrátora. Dřívější verze vyžadovaly nastavení uživatelského hesla a jména, zatímco poslední verze má přímo nastaveno uživatelské jméno a heslo. Vývojáři poskytli opravu pouze pro platící uživatele. 

MS-SQL a PHPMyAdmin

Výzkumníci z Guardicore Labs publikovali detailní zprávu o útocích na MS-SQL a PHPMyAdmin známých jako Nansh0u campaign. Útočníci používají útok hrubou silou na veřejně přístupné servery. Po úspěšném přihlášení spustí několik SQL příkazů ke stažení vzdáleného kódu a pomocí chyby v eskalaci práv se snaží získat oprávnění administrátora.

Pokud se to povede, nainstalují nástroj pro těžbu kryptoměn. Malware je podepsaný expirovaným certifikátem od Verisign, čímž se snaží získat na důvěryhodnosti.  Obrana je jako obvykle jednoduchá, používat silná hesla.

Problémy města Baltimore

Město Baltimore se potýká s problémy po útoku ransomware RobbinHood. Veškeré platby, administrativa i komunikace byla ochromena a útočníci vyžadují zaplacení výkupného. Další komplikace nastala, když Google zablokoval schránky, které byly zřízeny jako dočasné řešení. Protože z jednoho místa bylo vytvořeno více poštovních schránek, Google je automaticky zablokoval. 

DuckDuckGo

Prohlížeč DuckDuckGo pro platformu Android trpí na URL Spoofing Attack. Tento problém byl reportován již v říjnu 2018, ale vývojáři ho nepovažují za závažný. Nyní se objevil proof of koncept využívající tuto chybu a podvržené stránky lze díky této chybě zamaskovat jako legitimní. 

Docker race-condition

Chyba postihující Docker umožňuje z kontejneru číst, ale i zapisovat data na hostitelském systému s oprávněními roota. Zranitelnost je využitelná, pouze pokud administrátor hostitelského systému spustí příkaz docker cp. Dokud je příkaz v běhu, může útočník zevnitř kontejneru napadat hostitelský systém.

Děti, YouTube a Influencer

Společnost AVG provedla ve Velké Británii průzkum zaměřený na rodiče dětí. Cílem bylo zmapovat povědomí rodičů o tom, s čím se jejich děti na YouTube mohou setkat, zejména videa influencerů. Ukázalo se, že velice málo rodičů má přehled o tom, jaká videa potomci sledují a jaká jsou jejich zaměření.

UX DAy - tip 2

Přestože YouTube ve svých podmínkách nedovoluje použití uživatelům mladším 13 let, rodiče umožňují svým mladším potomkům sledovat videa bez jakékoliv kontroly. Rodiče by uvítali obdobný systém hodnocení věkové přístupnosti videí na YouTube, jako je u filmů. 

Pro zasmání

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

Byl pro vás článek přínosný?

Autor článku

CESNET-CERTS je oficiální jméno bezpečnostního týmu sdružení CESNET, z. s. p. o. od ledna roku 2004. Jeho součástí je také Forenzní laboratoř FLAB. Články tvoří společně jednotliví členové týmu.