Hlavní navigace

Postřehy z bezpečnosti: zranitelný Control Web Panel, Fancy Product Designer i další

7. 6. 2021
Doba čtení: 4 minuty

Sdílet

 Autor: Control Web Panel
V dnešních Postřezích se dozvíme o zranitelnostech v Control Web Panelu, v doplňku WordPressu a v knihovně Lasso, o nových útocích na antivirové programy atd. Je tam i několik potěšujících zpráv.

Nový malware napadá Control Web Panel na Linuxu a FreeBSD

Výzkumní pracovníci bezpečnostního týmu Juniper Threat Labs publikovali 26. dubna 2021 a po nich 27. května pracovníci Qihoo 360 NETLAB zprávu o útoku dosud neznámého malware (Qihoo 360 NETLAB ho pojmenoval Facefish) na Control Web Panel, dříve známý jako CentOS Web Panel – dále jen „CWP“, používaný pro správu webových serverů.

Malware infikuje CWP pomocí Command Injection stažením dropperu z IP adresy 176.111.174.26, zjistí typ systému (prozatím dokáže infikovat jen Linux a FreeBSD na x64) a pomocí LD_PRELOAD infikuje server SSHD. Dropper pak stáhne rootkit, který podle autorů zpráv nabízí tyto funkce:

  • hlášení ukradených přihlašovacích údajů
  • hlášení systémových informací z příkazu UNAME
  • spuštění reversního shellu
  • spuštění libovolného systémového příkazu
  • ohlášení výsledků spuštění interpreteru BASH
  • ohlášení informací o systému.

Všechna komunikace s řídicím serverem botnetu je šifrována pomocí BLOWFISH, výměnu klíčů zajišťují Diffie a Hellman.

Pracovníci Juniperu upozornili, že Zero Day Initiative v loňském roce ohlásila 37 zranitelností CWP typu 0-day. Zdrojový kód CWP není open source, ale je zašifrován a obfuskován, takže ho nemůže opravit nikdo kromě autorů a není známo, které verze CWP jsou či případně nejsou zranitelné. V roce 2020 bylo v provozu asi 215 tisíc instalací CWP.

Korespondenci uživatelů s autory včetně doporučeného postupu řešení lze najít na fóru CWP.

Zranitelnost RCE ‌0-Day‌ v doplňku WordPressu Fancy Product Designer

Bezpečnostní tým Wordfence detekoval 31. května 2021 kritickou 0-day zranitelnost CVE-2021–24370 (CVSS skóre 9.8) v doplňku WordPressu „Fancy Product Designer“ instalovaném na asi 17 tisících serverech. Zranitelnost spočívá v možnosti nahrát do systému libovolný spustitelný soubor PHP, spustit ho a systém tak zcela ovládnout.

V některých případech byl systém zranitelný i po deaktivaci tohoto doplňku, takže pomohla jen úplná deinstalace doplňku. Autor vydal opravenou verzi 4.6.9 doplňku Fancy Product Designer dne 2. června 2021.

Zranitelnost knihovny Lasso má dalekosáhlé důsledky

V knihovně Lasso (Liberty Alliance Single Sign On), která implementuje standard SAML (Security Assertion Markup Language) sloužící k jednotnému přihlašování prohlížeče k různým webovým službám, byla odhalena zranitelnost CVE-2021–28091 se skóre CVSS 8.2. Projevuje se tak, že kvůli nedostatečnému ověřování kombinovaných podpisů v odpovědích SAML se typicky mohl ověřený uživatel vydávat za jiného uživatele v téže organizaci.

Chyba byla nejprve nalezena ve službě Enterprise Application Access (EAA) firmy Akamai, ale ta pak určila, že problém je v knihovně Lasso. Tentýž problém byl i v programu PacketFence a spolu s další zranitelností CVE-2021–33054 i v programu SOGo od verze 2.0.5 (opravená verze je 2.4.1) a od 3.x do opravené verze 5.1.1. Bližší podrobnosti uvádí Akamai v samostatném dokumentu.

Zranitelnost CVE-2021–28091 v knihovně Lasso ovlivnila i produkty dalších firem: Cisco uvádí v dokumentu seznamy svých zranitelných i nezranitelných produktů, bezpečnostní bulletiny vydali vývojáři projektů Debian, RHEL a UbuntuOpravená verze knihovny Lasso z 1. června 2021 je 2.7.0.

Nové možné útoky malware na systémy zabezpečené antivirem

Akademičtí výzkumníci z University of Luxembourg a University of London publikovali zprávu upozorňující na nové možné způsoby, jakými dokáže malware zaútočit na řadu nynějších antivirových programů, a uvedli také metodu, která těmto typům útoků dokáže zabránit.

Útok pojmenovaný „Ghost Control“ spočívá v tom, že malware vypne běžící antivirovou ochranu tak, že simuluje kliknutí myši na příslušné tlačítko v menu. Tento typ útoku prozatím selhává na těch antivirech, které využívají User Account Control.

Druhý typ útoku pojmenovaný „Cut and Mouse“ dokázal úspěšně zaútočit na soubory uložené v adresářích chráněných pomocí Microsoft Controlled Folder Access v nových systémech Windows 10 a Windows Server 2019. Do takových adresářů smí zapisovat jen programy uvedené ve whitelistu, což jsou programy považované za neškodné, jako např. Notepad a Paint.

Útok může spočívat např. v tom, že malware typu ransomware načte obsah „chráněných“ souborů, odstraní jejich atributy typu ReadOnly, v paměti je zašifruje, převede do formátu Base64 a pak spustí Notepad, který původně „chráněné“ soubory přepíše jejich zašifrovaným obsahem. Útoky tohoto typu jsou omezeny velikostí zpracovávaných souborů, další typ útoku typu wipeware ale toto omezení nemá: vytvoří seznam souborů, které chce zničit, odstraní jejich atributy typu ReadOnly, v paměti vygeneruje náhodný obrázek o velikosti největšího souboru a uloží ho do Clipboardu. Pak pro každý cílový soubor spustí Paint, z clipboardu načte vygenerovaný obrázek a přepíše s ním cílový soubor na disku.

Výsledky testu vybraných 29 antivirových programů jsou uvedeny v této tabulce. Vysvětlivky zkratek v popisu (zelené zatržení znamená zranitelnost):

  • IL of GUI = Integrity Level grafického rozhraní
  • Utilizes UAC = Antivirus využívá User Account Control

Autor: University of Luxembourg, University of London

Služba „Have I Been Pwned“ spolupracuje s FBI, „Pwned Passwords“ je open-source

Spolupráce s FBI zajistí, že databáze „Have I Been Pwned“ dostane informace i o těch zkompromitovaných heslech, které FBI odhalí při svém vyšetřování; údajně jich je téměř miliarda měsíčně.

MIF21_Dolejsova

Otevření kódu zabezpečí transparentnost služby „Pwned Passwords“, o které diskutovali např. i účastníci diskuse u předešlého popisu této služby.

Ve zkratce

  • Prohlížeč Google Chrome od verze 91 v rámci Enhanced Safe Browsing dokáže otestovat v reálném čase bezpečnost nových a aktualizovaných rozšíření prohlížeče stahovaných z Google Play store.
  • Kompromitace 5 500 účtů pouze pomocí „Credential Stuffing“ a jak se jí vyhnout
  • Vyšel nový manuál „Best Practices for MITRE ATT&CK® Mapping“ pro bezpečnostní a forenzní týmy; obsahuje i ukázkový report o malware TrickBot.
  • Při bezpečnostní operaci HAECHI-I v 9 zemích Asie a Pacifiku zatčeno 585 zločinců, zmrazeno 1600 bankovních účtů a zabaveno 83 milionů USD.

Pro pobavení


Autor: John Klossner

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…

Autor článku

CESNET-CERTS je oficiální jméno bezpečnostního týmu sdružení CESNET, z. s. p. o. od ledna roku 2004. Jeho součástí je také Forenzní laboratoř FLAB. Články tvoří společně jednotliví členové týmu.