Postřehy z bezpečnosti: zranitelný Drupal, WinRAR, IIS i infrastruktura DNS
Dnes si řekneme něco o zranitelnosti CMS Drupal, komprimačního a archivačního programu WinRAR i Microsoft IIS, o útocích na infrastrukturu DNS i o tom, že důvěřovat důvěryhodnému uploaderovi se nevyplácí.
Kritická zranitelnost CMS Drupal
20. února 2019 vydal bezpečnostní tým Drupalu zprávu o kritické zranitelnosti CVE-2019–6340, která umožňuje spustit libovolný kód PHP. Problém spočíval v nedostatečné sanitizaci vstupních dat.
- Pokud provozujete Drupal 8.6.x, přejděte na verzi 8.6.10.
- Pokud provozujete Drupal 8.5.x, přejděte na verzi 8.5.11.
- Starší verze Drupalu 8 už nejsou podporovány.
Kritická zranitelnost programu WinRAR
Bezpečnostní tým firmy Check Point Software Technologies odhalil chybu absolute path traversal ve velmi rozšířeném komprimačním a archivačním programu WinRAR, která se projevuje při dekompresi archivu typu ACE: výsledné dekomprimované soubory lze vytvořit v libovolném adresáři, což může vést např. i ke spuštění libovolného kódu. Chyba byla odstraněna ve WinRARu verze 5.70 Beta 1; dne 21. února byla zveřejněna ještě novější verze WinRAR 5.70 Beta 2.
Zranitelné IIS na Windows 10, Windows Serveru a Windows Serveru 2016
Bezpečnostní expert Gal Goldshtein z firmy F5 Networks odhalil, že Internet Information Services (IIS) běžící na Windows 10, Windows Serveru a Windows Serveru 2016 jsou zranitelné: zlovolné dotazy protokolem HTTP/2 mohou způsobit nedostupnost služby (Denial of Service), dokud nedoběhne časový limit spojení. Administrátor IIS ale může nastavit parametry HTTP/2 tak, aby k problému nedocházelo.
Rozsáhlé útoky na infrastrukturu DNS
Jak zjistil bezpečnostní tým Talos firmy Cisco, již v průběhu roku 2017, ale obzvláště koncem roku 2018, proběhla řada útoků z íránských sítí. Jejich cílem bylo získat tajné informace z vládních úřadů i soukromých firem v cizích zemích: Albánie, Egypt, Irák, Jordánsko, Kuvajt, Kypr, Libanon, Saudská Arabie a Spojené arabské emiráty. Přitom byla napadena i síťová infrastruktura Německa, Spojených států a Švédska. Útok byl velmi rafinovaný; podle zmíněného dokumentu byl využit mj. spear-phishing, přesměrování provozu DNS a dosud neznámý nástroj pro vzdálenou správu počítače, který byl nazván DNSpionage.
Známý novinář a bezpečnostní expert Brian Krebs píše o svých dalších zjištěních: útočníkům se podařilo získat přihlašovací údaje administrátorů DNS a v doménových zónách změnit adresové záznamy tak, že provoz elektronické pošty a VPN přesměrovali na stroj, který sami ovládali, takže mohli provést útok typu Man in the Middle. Díky tomu získali SSL certifikáty napadených domén, takže mohli dešifrovat elektronickou poštu i provoz virtuálních privátních sítí, o které měli zájem.
Podle Briana Krebse jeden z útoků směřoval částečně ovládl síťovou infrastrukturu jistého doménového registrátora a s využitím protokolu EPP (Extensible Provisioning Protocol) změnil záznamy v napadených doménách. Útočníkům pomohlo, že protokol DNSSEC byl nasazen jen v části infrastruktury, na kterou zaútočili.
V souvislosti s těmito útoky vydala 24. ledna 2019 americká agentura CISA (Cybersecurity and Infrastructure Security Agency) dokument Mitigate DNS Infrastructure Tampering, který mj. doporučuje:
- Zkontrolujte všechny DNS záznamy, zda obsahují správné údaje
- Změňte hesla pro přístup ke svým doménám
- Zaveďte multifaktorovou autentisaci pro přístup k DNS
- Monitorujte logy Certificate Transparency
Neohlášený mikrofon v zařízení Google zákazníky překvapil
4. února 2019 ohlásila firma Google, že její domácí bezpečnostní systém Nest Secure začne podporovat funkci Google Assistant; bude tedy i reagovat na hlasové příkazy. To ale vzbudilo rozruch u mnoha uživatelů, kteří netušili, že Google Nest Guard obsahuje i mikrofon, a obávali se, že Google je mohl tímto mikrofonem odposlouchávat. Firma Google na to prohlásila, že mikrofon dosud nebyl aktivní a byl tam jen pro případná další rozšíření systému (např. pro detekci tříštícího se skla), a za špatnou komunikaci se omluvila.
Ve zkratce
- Soubory od důvěryhodného uploadera CracksNow obsahují ransomware GandCrab
- Nové útoky malwaru na Network Attached Storage firmy QNAP
Pro zasmání
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…
Autor článku
Seriál Postřehy z bezpečnosti
- Postřehy z bezpečnosti: na internetu nejste nikdy v bezpečí
- Postřehy z bezpečnosti: zranitelnost Dirty_Sock umožňuje získat práva uživatele root
- Postřehy z bezpečnosti: zranitelný Drupal, WinRAR, IIS i infrastruktura DNS
- Postřehy z bezpečnosti: DMA útoky jsou stále ve hře
- Postřehy z bezpečnosti: nová zero-day zranitelnost pro Google Chrome
-
- Project Specialist - IT/SW
- Specialista řešitel vzdálené správy
- Integrační specialista, který umí vyndat ježka z klece
- React / Redux Developer (f/m/d)
- C#/.NET Core Developer in trading/crypto/fintech startup
- Test analytik / koordinátor
-
- Excel - Expresní úvod
- Secret Dictionary of Native Speakers
- Kontingenční tabulky v Excel
- Autenticky a po svém
- Nábor nových zaměstnanců v souladu s GDPR
- Obsahová strategie III: Jak na persony
