Hlavní navigace

Postřehy z bezpečnosti: zranitelnosti, kam až dohlédnete

Tentokrát se seznámíme s novými zranitelnostmi protokolů SMB a UPnP a dozvíme se např. o bezpečnosti známých projektů Open Source, o nečekaném využití zranitelnosti OS Tails a o jednom trojském koni.
CESNET CERTS 15. 6. 2020
Doba čtení: 6 minut

Sdílet

Nebezpečná chyba protokolu SMB: SMBleed

Dne 9. června 2020 zveřejnila firma Microsoft bezpečnostní záplaty pro celkem 129 zranitelností operačního systému Windows a dalších programů. Jedna z těchto zranitelností je CVE-2020–1206 – chyba v protokolu SMB (Server Message Block), známá i jako chyba SMBleed, která umožňuje vzdálenému neautentizovanému útočníkovi zjistit obsah paměti kernelu. Mimoto tato chyba ve spojení s už známou zranitelností SMBGhost (CVE-2020–0796) z března 2020 umožňuje neautentizovanému útočníkovi vzdálené spuštění libovolného kódu.

Útočník může tuto zranitelnost serveru SMB zneužít tak, že mu pošle speciálně naformátovaný paket. Pokud chce útočník napadnout klienta SMB, musí nakonfigurovat škodlivý server SMBv3 a přesvědčit uživatele, aby se k němu připojil. Výzkumníci z firmy ZecOps, kteří chybu SMBleed odhalili, publikovali i Proof of Concept.

Firma ZecOps uvádí, že problém lze obejít i takto: zakázat kompresi SMBv3, zablokovat TCP port 445 nebo dokonce stroj isolovat; především ale doporučuje nainstalovat vydané bezpečnostní záplaty.

Další nebezpečná zranitelnost protokolu UPnP

Turecký bezpečnostní expert Yunus Çadırcı zveřejnil 8. června 2020 informace o nové zranitelnosti protokolu UPnP CVE-2020–12695 pojmenované CallStranger.

Zranitelnost funkce UPnP SUBSCRIBE umožňuje vzdálenému neautentisovanému útočníkovi posílat velké množství dat na libovolně zvolené cíle i mimo danou místní síť, což může způsobit:

  • exfiltraci dat z napadené sítě
  • scan portů zařízení, na kterých je aktivní UPnP
  • zneužití zařízení, na kterých je aktivní UPnP, ke generování odražených útoků TCP DDoS.

Open Connectivity Foundation (OCF) publikovala 17.4.2020 novou specifikaci UPnP (UPnP Device Architecture 2.0), která řeší tento problém. Dá se předpokládat, že bude trvat dlouho, než výrobci dotčených zařízení dodají bezpečnostní záplaty, které by měly implicitně v zařízeních zablokovat funkci UPnP SUBSCRIBE a také vyžadovat, aby oprávněný uživatel explicitně tuto funkci povolil pouze pro důveryhodnou místní síť.

Dokud nebudou k dispozici bezpečnostní záplaty, autor doporučuje provést tato opatření:

  • zakázat službu UPnP, pokud se nevyužívá nebo není nutně potřeba
  • zakázat službě UPnP přístup na Internet
  • blokovat odchozí i příchozí pakety HTTP SUBSCRIBE a NOTIFY.

K bezpečnosti známých open-source projektů

Společnost RiskSense zveřejnila v květnu 2020 zajímavý dokument „The Dark Reality of Open Source“, který rozebírá zranitelnosti v 54 známých open-source projektech mezi lednem 2015 a březnem 2020. Hlavní užitečné závěry jsou:

V roce 2019 bylo zjištěno 968 zranitelností CVE, což je více než dvojnásobek proti roku 2018. K nejvýraznějšímu meziročnímu zhoršení došlo u projektů Magento (0 → 137 CVE), GitLab (40 → 198) a Jenkins (120 → 329 CVE).

Za celé období 2015 – 2020 měly všechny zkoumané projekty ohlášeno celkem 2694 zranitelností CVE; z nich měly nejvíce zranitelností projekty Jenkins (646) a MySQL (624), za nimi s velkým odstupem GitLab (306), OpenStack (165) a Magento (154).

Důležitý je i počet veřejně známých exploitů těchto zranitelností. První 2 projekty s nejvíce zranitelnostmi, Jenkins a MySQL, mají i nejvíce známých exploitů (po 15); za nimi následuje JBoss (8), OpenStack a Apache Tomcat (po 7). Prvních 30 projektů s nejvíce zranitelnostmi a exploity je uvedeno v této tabulce:

Zajímavé je, že např. projekty Vagrant a Alfresco mají jen po 9 zranitelnostech CVE, ale jsou relativně hodně zranitelné: existuje pro ně 6 exploitů, resp. 3 exploity.

Společnost RiskSense také zkoumala, jak dlouho trvalo, než byly zranitelnosti CVE přidány do National Vulnerability Database. Průměrné zpoždění bylo 54 dní, ale u 119 CVE trvalo přidání do NVD přes 1 rok. Nejdelší zpoždění, 1817 dní, se projevilo u zranitelnosti PostgreSQL CVE-2015–0244. Je tedy vidět, že firmy, které provozují tyto projekty open source, by se neměly spoléhat jen na informace uveřejněné v NVD.

V lednu – březnu 2020 bylo u těchto projektů zjištěno celkem 179 nových zranitelností CVE; existuje k nim 5 nových známých exploitů.

Největší podíl zranitelností byl typu information exposure, cross-site scripting a nesprávná kontrola vstupních dat. K těmto dvěma posledním kategoriím existovalo i nejvíce exploitů.

Americké úřady urgují výsledky vyšetřování Juniperu

Koncem roku 2015 ohlásila firma Juniper, že v zařízeních NetScreen s operačním systémem ScreenOS odhalila zranitelnosti CVE-2015–7755 a CVE-2015–7756. První z nich spočívala v pevně nastaveném hesle, které umožnilo libovolnému útočníkovi připojit se k danému zařízení prostřednictvím Telnetu nebo SSH. Druhá zranitelnost umožnila dešifrovat komunikaci procházející skrze VPN. Obě zranitelnosti se nacházely ve ScreenOSu distribuovaném mezi lety 2012 a 2015, ale zranitelný software, šifrovací algoritmus Dual_EC_DRBG úmyslně oslabený organisaci NSA tam byl v provozu už od roku 2008 nebo 2009. Podrobnosti lze najít např. ve vánočním vydání 2015 Postřehů z bezpečnosti.

Po odhalení těchto zranitelností firma Juniper oznámila, že zahájila vyšetřování celé záležitosti, ale po více než 4 letech k problému nic nezveřejnila; členové amerického Kongresu i Senátu tedy požadují zveřejnit výsledky vyšetřování i vysvětlení, kdo je zodpovědný za použití algoritmu Dual_EC_DRBG a za volbu hodnoty jeho parametru Q, která se lišila od hodnoty uvedené v oficiální specifikaci algoritmu; kdo vedl vyšetřování, kdo schválil změny softwaru atd.

Tento požadavek je třeba chápat v souvislosti se současnou snahou jiných amerických úřadů o zabudování zadních vrátek do komunikačních systémů tak, aby bylo možné snáze monitorovat obsah zašifrované komunikace. Signatáři dopisu zřejmě chtějí na tomto příkladu Juniperu dokázat, že zadní vrátka mohou být zneužita i ve prospěch cizích států.

Firma Facebook zaplatila za exploit, aby odhalila nebezpečného vyděrače

Vyděrač používající pseudonymu Brian Kil od prosince 2015 do srpna 2017 vydíral mladé dívky: pod záminkou, že má jejich kompromitující fotografie a videa, vyžadoval další a hrozil, že pokud je nedostane, dívky znásilní a zabije, přičemž vyvraždí i jejich rodiče a celou jejich školu. Chtěl být „nejhorším kybernetickým teroristou, jaký kdy žil“.

Policie i FBI dlouho marně pátrala po tomto rafinovaném vyděrači, který se svými obětmi zásadně komunikoval po síti TOR s využitím operačního systému Tails. Jak se nyní ukázalo, problém nakonec vyřešila firma Facebook, která najala nejmenovanou bezpečnostní firmu; ta odhalila dosud neznámou zranitelnost ve videopřehrávači systému Tails a za „šestimístnou sumu“ Facebooku prodala odpovídající exploit.

Facebook ho pak zpřístupnil FBI, která se souhlasem soudu připravila video obsahující i exploit a jménem vydírané dívky je poslala vyděrači. Tím FBI získala IP adresu vyděračova stroje, zjistila tak jeho polohu a začala monitorovat dům, kde bydlel, i síťový provoz jeho počítače. Tak dokázala, že všechna komunikace využívající TORu probíhala jen v době, kdy byl podezřelý ve svém domě.

MIF obecny

Vyděrač se přiznal k 41 obviněním; hrozí mu 15 až 30 let vězení. Nová verze videopřehrávače v systému Tails už údajně popsanou zranitelnost neobsahuje.

Ve zkratce

  • IBM zveřejnila nástroje Open Source pro zpracování zašifrovaných dat: Firma IBM ohlásila, že nabízí soubory nástrojů Open Source, které umožňují zpracovávat zašifrovaná data, aniž by bylo třeba je dešifrovat. Tyto nástroje využívají plně homomorfního šifrování (Fully Homomorphic Encryption); zatím jsou dostupné jen pro macOS a iOS, ale IBM pracuje i na verzích pro Linux a Android. FHE lze s výhodou použít např. při zpracování citlivých dat na nedůvěryhodných strojích, např. v pronajatých cloudech.
  • Technický popis botnetu Kingminer
  • Signal pomáhá zakrývat obličeje demonstrantů: Komunikátor Signal se hojně využívá při současných násilných demonstracích v USA a jeho tvůrci nově nabízí možnost zakrýt nebo rozmazat obličeje na přenášených fotografiích. Signal má automaticky detekovat vyfotografované obličeje a rozmazat je, pokud si to uživatel přeje, ale k disposici je i možnost ruční editace. Všechno zpracování dat probíhá lokálně na telefonu. – Firma také slibuje, že bude účastníkům demonstrací na požádání distribuovat i textilní roušky na zakrytí obličeje.
  • Nevěřte neznámým programům pro záchranu dat zašifrovaných ransomwarem: Autor popisuje trojského koně, který se vydává za zdarma dostupný program pro záchranu dat zašifrovaných ransomwarem DJVU. Pokud ho ale uživatel spustí, zjistí, že všechny jeho soubory, jejichž koncovky byly uvedeny v seznamu, jsou zašifrovány novým náhodně zvoleným klíčem a je k nim přidána koncovka .ZRB; některé soubory tedy pak mohou být zašifrovány dvakrát. Autor upozorňuje, že popsaný program lze snadno modifikovat tak, aby předstíral, že se hodí i k dešifrování jiného ransomware než DJVU.

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…