Hlavní navigace

Postřehy z bezpečnosti: zranitelný Drupal, WinRAR, IIS i infrastruktura DNS

CESNET CERTS

Dnes si řekneme něco o zranitelnosti CMS Drupal, komprimačního a archivačního programu WinRAR i Microsoft IIS, o útocích na infrastrukturu DNS i o tom, že důvěřovat důvěryhodnému uploaderovi se nevyplácí.

Doba čtení: 3 minuty

Kritická zranitelnost CMS Drupal

20. února 2019 vydal bezpečnostní tým Drupalu zprávu o kritické zranitelnosti CVE-2019–6340, která umožňuje spustit libovolný kód PHP. Problém spočíval v nedostatečné sanitizaci vstupních dat.

  • Pokud provozujete Drupal 8.6.x, přejděte na verzi 8.6.10.
  • Pokud provozujete Drupal 8.5.x, přejděte na verzi 8.5.11.
  • Starší verze Drupalu 8 už nejsou podporovány.

Kritická zranitelnost programu WinRAR

Bezpečnostní tým firmy Check Point Software Technologies odhalil chybu absolute path traversal ve velmi rozšířeném komprimačním a archivačním programu WinRAR, která se projevuje při dekompresi archivu typu ACE: výsledné dekomprimované soubory lze vytvořit v libovolném adresáři, což může vést např. i ke spuštění libovolného kódu. Chyba byla odstraněna ve WinRARu verze 5.70 Beta 1; dne 21. února byla zveřejněna ještě novější verze WinRAR 5.70 Beta 2.

Zranitelné IIS na Windows 10, Windows Serveru a Windows Serveru 2016

Bezpečnostní expert Gal Goldshtein z firmy F5 Networks odhalil, že Internet Information Services (IIS) běžící na Windows 10, Windows Serveru a Windows Serveru 2016 jsou zranitelné: zlovolné dotazy protokolem HTTP/2 mohou způsobit nedostupnost služby (Denial of Service), dokud nedoběhne časový limit spojení. Administrátor IIS ale může nastavit parametry HTTP/2 tak, aby k problému nedocházelo.

Rozsáhlé útoky na infrastrukturu DNS

Jak zjistil bezpečnostní tým Talos firmy Cisco, již v průběhu roku 2017, ale obzvláště koncem roku 2018, proběhla řada útoků z íránských sítí. Jejich cílem bylo získat tajné informace z vládních úřadů i soukromých firem v cizích zemích: Albánie, Egypt, Irák, Jordánsko, Kuvajt, Kypr, Libanon, Saudská Arabie a Spojené arabské emiráty. Přitom byla napadena i síťová infrastruktura Německa, Spojených států a Švédska. Útok byl velmi rafinovaný; podle zmíněného dokumentu byl využit mj. spear-phishing, přesměrování provozu DNS a dosud neznámý nástroj pro vzdálenou správu počítače, který byl nazván DNSpionage.

Známý novinář a bezpečnostní expert Brian Krebs píše o svých dalších zjištěních: útočníkům se podařilo získat přihlašovací údaje administrátorů DNS a v doménových zónách změnit adresové záznamy tak, že provoz elektronické pošty a VPN přesměrovali na stroj, který sami ovládali, takže mohli provést útok typu Man in the Middle. Díky tomu získali SSL certifikáty napadených domén, takže mohli dešifrovat elektronickou poštu i provoz virtuálních privátních sítí, o které měli zájem.

Podle Briana Krebse jeden z útoků směřoval částečně ovládl síťovou infrastrukturu jistého doménového registrátora a s využitím protokolu EPP (Extensible Provisioning Protocol) změnil záznamy v napadených doménách. Útočníkům pomohlo, že protokol DNSSEC byl nasazen jen v části infrastruktury, na kterou zaútočili.

V souvislosti s těmito útoky vydala 24. ledna 2019 americká agentura CISA (Cybersecurity and Infrastructure Security Agency) dokument Mitigate DNS Infrastructure Tampering, který mj. doporučuje:

  • Zkontrolujte všechny DNS záznamy, zda obsahují správné údaje
  • Změňte hesla pro přístup ke svým doménám
  • Zaveďte multifaktorovou autentisaci pro přístup k DNS
  • Monitorujte logy Certificate Transparency

Neohlášený mikrofon v zařízení Google zákazníky překvapil

4. února 2019 ohlásila firma Google, že její domácí bezpečnostní systém Nest Secure začne podporovat funkci Google Assistant; bude tedy i reagovat na hlasové příkazy. To ale vzbudilo rozruch u mnoha uživatelů, kteří netušili, že Google Nest Guard obsahuje i mikrofon, a obávali se, že Google je mohl tímto mikrofonem odposlouchávat. Firma Google na to prohlásila, že mikrofon dosud nebyl aktivní a byl tam jen pro případná další rozšíření systému (např. pro detekci tříštícího se skla), a za špatnou komunikaci se omluvila.

Ve zkratce

Pro zasmání

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…

Našli jste v článku chybu?