Zranitelnost pojmenovaná GHOST byla objevena a zdokumentována analytiky společnosti Qualys. Jedná se o chybu funkce __nss_hostname_digits_dots() v knihovně glibc vedoucí k heap-based buffer overflow. Chyba se tak může týkat v podstatě každé linuxové aplikace, která provádí překlady doménových jmen. Vzdálený útočník může následně využít tuto chybu ke spuštění libovolného kódu s uživatelskými oprávněními aplikace, která tuto funkci volala. Zajímavé je, že tato chyba byla opravena již v květnu 2013 mezi verzemi glibc-2.17 a glibc-2.18. Bohužel však nebyla identifikována jako bezpečnostní problém, a proto je zranitelná verze stále používána v LTS verzích různých distribucí, jako například Debian 7 (Wheezy), Red Hat Enterprise Linux 6 a 7, CentOS 6 a 7, či Ubuntu 12.04.
Aby toho nebylo málo, ukazuje se, že díky funkci WordPressu „wp_http_validate_url()“, která zranitelnou funkci využívá, může být hojně rozšířený WordPress vhodným vektorem pro provedení útoku proti zranitelnému serveru. Již byl také vytvořen proof-of-concept, který může při použití proti WordPressu na zranitelném serveru vést k přetečení bufferu. Problém se samozřejmě může týkat i dalších PHP aplikací, používajících stejnou funkci.
Doporučuje se tedy přejít co nejdříve na verzi knihovny 2.18, nebo pozdější.
Naše postřehy
Útočníci hlásící se k ISIS a operující pod názvem „Cyber Caliphate”, kompromitovali DNS servery společnosti Malaysia Airlines a návštěvníky v narážce na záhadně ztracený let MH370 přesměrovávali na stránky s chybovou hláškou „404-Plane Not Found”. Část dne tak byl vyřazen z provozu systém pro bookování letenek.
Byla oznámena chyba v super bezpečných zařízeních BlackPhone. Kritická chyba umožňovala pouhým posláním zprávy do aplikace Silent Text, která slouží pro bezpečnou textovou komunikaci, provést celou řadu operací, včetně dešifrování a čtení zpráv, nebo získání databáze kontaktů. Chyba již byla záplatována.
Společnost Mozilla se v listopadu spojila s projektem Tor, a to v nové iniciativě nazvané Polaris. Výsledkem této spolupráce je 12 nových vysoko kapacitních „Middle relays“, které budou pomáhat s lepší distribucí provozu od uživatelů.
Další kritická zranitelnost domácích routerů se tentokrát týká DSL routerů D-Link, ale protože byla nalezena na routeru s firmware ZynOS, pravděpodobně se tedy bude týkat i dalších výrobců, včetně TP-Linku. Útočník se může dostat do administračního rozhraní bez přihlášení a změnit v něm nastavení DNS. Pokud není administrační rozhraní dostupné přes WAN rozhraní, může se stále pokusit o vykonání tohoto útoku s využitím CSRF. Pro útok již byl publikován proof-of-concept exploit.
Již jednou zlikvidovaný Botnet ZeroAccess se opět vrátil na scénu. Samotný malware stahuje aplikaci, která pak provádí vyhledávání a klikání na výsledky. Tento způsob monetizace malware se nazývá click fraud a podle společnosti Symantec je to velice lukrativní business.
Nárůst služeb typu DDoS-for-hire vedl k novému boomu DDoS útoků a více než 40 procent všech DDoS útoků během posledního čtvrtletí roku 2014 využívalo amplification techniky. Vyplývá to ze zprávy společnosti Akamai. Stejnému tématu se ve svém článku pojmenovaném „Internet of Dangerous Things“ věnuje také známý bezpečnostní expert Brian Krebs.
Další malvertising kampaň, o kterých jsem tu více psal předminule, tentokrát využívala nedávno objevenou zranitelnost v Adobe Flash playeru. Kampaň probíhala na stránkách pro dospělé a návštěvníci s nezazáplatovanou verzí Flash Playeru si kromě zajímavých obrázků odnesli také malware Bedep, který je schopný provádět „advertising fraud“ či, případně stahovat do počítače další malware.
Nechvalně známý bankovní trojan Zeus má novou verzi. Zatím byla použita k útokům na uživatele v Kanadě. V době, kdy byla nová verze analyzována společností SentinelOne, ji ještě nedokázaly antivirové aplikace rozpoznat. Došlo také k vylepšení ovládacího panelu, který nyní zobrazuje detailní informace o každém kompromitovaném bankovním účtu, včetně zůstatku, aktuálního přihlášení do aplikace a webového prohlížeče oběti. V panelu jsou ale i další funkce týkající se převodů peněz, nebo odměn pro money mules (bílé koně).
A téměř na závěr bych vás rád upozornil na text kolegyně Zuzany Duračinské, která pro blog sdružení CZ.NIC připravila velice zajímavý text. Díky němu totiž snadno zjistíte, zda se vás, respektive vaší společnosti, týká zákon o kybernetické bezpečnosti, který je více než aktuální od začátku tohoto roku.
Ve zkratce
- 6000 certifikátů v roce 2014 použito k podepsání malware
- Produkty Mozilla přestanou důvěřovat některým certifikátům
- Záplatování buffer overflow zranitelností v ICS
- 6 linků, kde si můžete ověřit, co o vás ví Google
- Nový malware Foxy používá chytré techniky skrývání
- Framework pro sdílení informací o hrozbách
- Facebookový trojan infikoval 110 000 uživatelů
- Penetrační testování erotických pomůcek a hraček
Závěr:
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.