Hlavní navigace

Postřehy z bezpečnosti: zranitelnost pluginu pro WordPress

26. 10. 2020
Doba čtení: 5 minut

Sdílet

V dnešním díle Postřehů se podíváme na závažnou zranitelnost pluginu Loginizer, na zranitelnosti Google Chrome, VMware, na podvržení adresního řádku v prohlížečích a na řadu dalších zajímavostí.

Když vás ochránce pustí dovnitř

Tento týden byla zveřejněna závažná zranitelnost wordpressového pluginu Loginizer, který je jedním z nejpopulárnějších vůbec a je tak nainstalován na více než milionu webů, byla zveřejněna tento týden.

Plugin slouží k ochraně před útoky hrubou silou proti přihlašovacímu formuláři, při logování a případnému blacklistování útočících adres. Právě logování použitých přihlašovacích údajů se ukázalo jako zranitelné, protože plugin nedostatečně ošetřuje vstup a případné SQL příkazy mohou vést k úspěšnému útoku typu SQL Injection a tím pádem až ke kompletnímu převzetí kontroly nad webem.

Autoři samotného WordPressu považují zranitelnost za tak závažnou, že sáhli po vzácném opatření, kterým je nucená automatická aktualizace pluginu většiny wordpressových webů. Je však doporučeno zkontrolovat, že aktualizace proběhla a Loginizer běží v opravené verzi 1.6.4. V opačném případě je nutné provést aktualizaci manuálně.

Aktivně zneužívaná zranitelnost Google Chrome

Google Chrome (přesněji knihovna FreeType) obsahuje chybu CVE-2020–15999, která umožňuje vykonání kódu v kontextu uživatele a je již aktivně zneužívána. Aktualizujte Chrome na verzi 86.0.4240.111 volbou Help → About Google Chrome.

Zranitelnost se dále vyskytuje/vyskytovala i v Chromiu a jeho odvozeninách, jako jsou například Microsoft Edge, Brave, Vivaldi nebo Steam. Zranitelnost postihuje nejen Windows, ale také iOS, Android a Linux. Navíc je velmi pravděpodobné, že knihovnu FreeType používají i další open-source projekty. Knihovnu je tedy nutné aktualizovat na verzi 2.10.4.

Phishingová kampaň zneužívá Microsoft Teams

Pracovníci společnosti Abnormal Security objevili novou phishingovou kampaň, která využívá populární služby Microsoft Teams. Podle vyjádření společnosti útok mohl zasáhnout až padesát tisíc uživatelů. Útočníci se snaží získat přístupové údaje pro Office 365 a to tak, že na první pohled se e-mail tváří, že byl odeslán pomocí automatizovaného nástroje určeného pro Teams.

Ve phishingové zprávě je uživateli oznámeno, že v aplikaci Teams je nová aktivita, kterou si může vyzkoušet. V případě, že uživatel klikne na jeden ze tří odkazů v e-mailu, je přesměrován na falešné přihlašovací stránky pro Office 365.

Zranitelnosti VMware

Tento týden VMware odhalil šest zranitelností týkajících se jejich ESXi, Workstation, Fusion, Cloud Foundation a NSX-T produktů.

Nejkritičtější z nich, zranitelnost CVE-2020–3992 dosahuje skóre 9,8 z 10 na stupnici závažnosti. Jedná se o zranitelnost v ESXi hypervizoru, kterou lze zneužít prostřednictvím sítě ke spuštění škodlivého kódu na kompromitovaném stroji. Chyba byla objevena v rámci iniciativy Zero Day Initiative společností Trend Micro, která upozornila na to, že ke zneužití této chyby není vyžadováno žádné ověření.

Specifická chyba se vyskytuje při zpracování zpráv SLP. Problém vyplývá z nedostatečné validace existence objektu před provedením operací s objektem. To může útočník zneužít k provádění kódu skrze démona SLP.

Není URL jako URL

Některé mobilní prohlížeče jsou náchylné k podvržení adresního řádku. Chyba se týká prohlížečů Apple Safari, Opera Touch, UCWeb, Yandex Browser, Bolt Browser a RITS Browser. Pákistánský výzkumník ji objevil v srpnu a až nyní ji zveřejnil, aby měli výrobci čas na opravu (ne všichni zatím stihli).

Útok se realizuje tak, že JavaScript přemaže obsah stránky, zatímco rozkáže načítat jinou stránku. Panel adresy se změní hned, byť data z cílové stránky ještě nedorazila (nebo nikdy nedorazí). V demonstraci začne načítat neobsazený port prohlížeče bing.com (v nekonečném cyklu). Prohlížeč ochotně ihned ukáže v panelu adresu bing.com – ovšem pro úsporu místa, která je v tomto případě zcela kontraproduktivní, neukáže plné URL, bing.com:8081. Na tomto portu server Bingu nevrací žádný obsah, takže prohlížeč čeká a obsah stránky volně určuje útočník.

Chyba je o to závažnější, že kontrola domény v panelu adresy je pro uživatele jedním z hlavních bezpečnostních návyků.

Instagram má problém

Irský národní úřad pro ochranu osobních údajů (Data Protection Commissioner, DPC) vyšetřuje Instagram. Důvodem je způsob, jakým sociální síť nakládá s osobními daty nezletilých uživatelů. Pokud se ukáže, že se společnost skutečně porušila zákon, Facebook, kterému Instagram patří, může čelit vysoké pokutě. Facebook provinění odmítá a s úřadem spolupracuje.

DPC, coby celoevropský supervizor pro dodržování zákona o GDPR, prošetřuje, zda vůbec Facebook má zákonnou oporu pro nakládání s osobními daty dětí a zda má na Instagramu pro dětské uživatele nastaveny dostačující ochranné mechanismy. Dále se zajímá také o to, zda Facebook v souvislosti se zakládáním profilu a nastavením účtu na Instagramu dodržuje zákon o GDPR, a to s ohledem na skutečnost, že dětští uživatelé jsou považováni za zranitelné (minimální věk pro založení instagramového účtu je třináct let).

Závěry průzkumu Cybersecurity: The Human Challenge

IT manažeři v organizacích postižených ransomwarem se téměř trojnásobně častěji cítí „výrazně pozadu“, pokud jde o porozumění kybernetickým hrozbám, v porovnání s jejich kolegy v organizacích, které zatím napadeny nebyly (17 % oproti 6 %).

V České republice studie podobný rozdíl nezaznamenala – „výrazně pozadu“ za kyberhrozbami se cítí 16 % IT manažerů, bez ohledu na to, zdali již jejich organizace byla napadena či nikoli. Více než třetina (35 %) obětí ransomwaru uvedla, že nábor a udržení kvalifikovaných profesionálů v oblasti zabezpečení IT bylo jejich největší výzvou, pokud jde o kybernetickou bezpečnost, ve srovnání s pouhými 19 % těch, kteří dosud zasaženi nebyli. V České republice se tento údaj pro organizace napadené a nenapadené ransomwarem opět neliší a problém se získáním kvalifikovaných profesionálů na zabezpečení IT řeší 33 % organizací.

ADAM a hledání Nette frameworku

Na začátku června jsme v rámci projektu ADAM spustili nástroj DNS crawler, který periodicky prochází domény druhé úrovně pod TLD .cz, sbírá data z DNS, webových a mailových serverů a umožňuje nám získaná data analyzovat. Dnes bychom vás rádi seznámili s jedním z výstupů této aktivity, která přispěje celkové bezpečnosti českého Internetu.

UX DAy - tip 2

Před dvěma týdny byla zveřejněna informace o závažné zranitelnosti (CVE-2020–15227) populárního webového PHP frameworku Nette, která může potenciálnímu útočníkovi umožnit tzv. vzdálené spuštění kódu (remote code execution), což je jeden z nejrizikovějších typů zranitelností a může vést až k převzetí kontroly nad serverem. Protože se tato zranitelnost nachází právě v kódu samotného frameworku, který je hojně využíván při tvorbě webových stránek, dotýká se tato zranitelnost opravdu velkého množství webů.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

Byl pro vás článek přínosný?

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.