Postřehy z bezpečnosti: chybný OAuth rizikem pro téměř milion webů

5. 8. 2024
Doba čtení: 10 minut

Sdílet

Ilustrační obrázek Autor: Depositphotos.com, podle licence: Rights Managed
Ilustrační obrázek
Jako každé pondělí přinášíme řadu zajímavostí, a to od XSS při špatném nasazení OAuth, přes aktivně zneužívané zranitelnosti až po nové AI FraudGPT nebo kritické zranitelnost platformy HeroHero.

Nevhodná implementace OAuth vede k XSS

Developeři nebezpečí spojenému s XSS věnují větší pozornost a možnosti ochrany proti XSS jsou stále účinnější, nicméně Cross-site scripting je stále jednou z nejrozšířenějších bezpečnostních rizik vyskytujících se na webových stránkách. Salt Security na svém blogu zveřejnila nedávno objevenou zranitelnost tohoto typu zneužívající chybnou implementaci mechanismu pro přihlašování pomocí Googlu, Facebooku, GitHubu nebo jiných poskytovatelů identit. Zaměřili se na společnost Hotjar, ale tatáž chyba se dle nich vyskytuje až na milionu dalších webových aplikacích. Podle výzkumníků se nejedná o chybu v OAuth samotném, nýbrž pouze ve způsobu, jakým je tento mechanismus na aplikacích nasazen.

Přihlášení pomocí OAuth 2.0 probíhá většinou podle standardního postupu, ve kterém je hlavním cílem získání přístupového tokenu (access token) od poskytovatele identity. Uživatel je přesměrován na OAuth server, kde je po přihlášení vygenerován jednorázový kód, a uživatel je pak přesměrován zpět s autorizačním kódem v parametru URL. Poté je buď kód ověřen a vyměněn za přístupový token, nebo je autorizační token odeslán v URL rovnou, spolu s tajným kódem. To závisí na hodnotě parametru response_type, kde mohou být hodnoty code, token nebo id_token, případně jejich kombinace.

V případě Hotjar vypadal požadavek na přesměrování z Googlu zpět na Hotjar následovně: https://insights.hotjar.com/a­pi/sso/google-auth?state=[state]&code=[secret_code]. Tajný kód je tedy součástí URL adresy, která je pro Javascript dostupná například pomocí funkce URLSearchParams(window.lo­cation.search).

Významným aspektem této zranitelnosti je fakt, že fragment URL (část za #) není běžně zpracován serverem, ale je dostupný klientskému JavaScriptu. Pokud je autorizace upravena tak, aby zahrnovala response_type=code,token, může útočník docílit toho, že Google pošle autorizační kód ve fragmentu URL. Aplikační server Hotjar tento jednorázový kód nezpracoval, což umožnilo útočníkovi zneužít tuto zranitelnost. Tajný kód byl z URL fragmentu přístupný přes JavaScript a slabý článek v kódu umožnil, aby byl tento kód odeslán na server útočníka, což vedlo k úspěšnému XSS útoku.

Salt Security na svých stránkách zveřejnila scanner, pomocí něhož si můžete ověřit, zda by vaše stránky mohly být zranitelné.

VMware ESXi a Acronis zranitelnosti v hledáčku útočníků

Aféra CrowdStrike nám sice připomněla, že je vhodné aktualizace softwaru před nasazením otestovat, na druhou stranu ale není vhodné s nasazením kritických záplat příliš otálet. Nově záplatované zranitelnosti se totiž rychle dostávají do hledáčku nejrůznějších darebáků. V uplynulém týdnu tak nedávno záplatovaná zranitelnost ve VMware ESXi zaujala ransomware skupiny Storm-0506, Storm-1175, Octo Tempest a Manatee Tempest, které se snažily dostat na dotčené systémy ransomware Akira a Black Basta. Ačkoliv je samotné zneužití zranitelnosti triviální, k jeho realizaci je třeba jiný existující účet v AD s dostatečnými oprávněními. Popsaným útokům proto předcházela infekce jiným malwarem nebo útok hrubou silou na RDP.

Jiným příkladem je zranitelnost CVE-2023–45249, která může vést k vzdálenému spuštění kódu prostřednictvím zneužití výchozího hesla. Ačkoliv byla zranitelnost objevena a opravena již před devíti měsíci, společnost Acronis vydala nyní varování, že je aktivně zneužívána útočníky.

Spyware Mandrake pro Android v Google Play

Během vyšetřování útoků úzce zaměřených na konkrétní zařízení objevili analytici společnosti Kaspersky v Google Play pět aplikací, které si v letech 2022 až 2024 stáhlo 32 tisíc uživatelů a které měly jako nechtěný přídavek Spyware Mandrake.

Ten umožňuje útočníkům získat úplnou kontrolu nad infikovaným zařízením a exfiltrovat citlivá data. Také implementuje funkci kill-switch, která vymaže všechna data obětí a nezanechá žádnou stopu po přítomnosti malware. Jednalo se o aplikace AisFS, Astro Exploreer, Amber, CryptoPulsing a Brain Matrix.

Polské podniky pod útoky RAT malware

Malé a střední podniky v Polsku jsou terčem phishingových kampaní šířící RAT malware (Remote Access Trojan) jako je Agent Tesla, Formbook nebo Remcos RAT. Podle bezpečnostního pracovníka firmy ESET, Jakuba Kaloče: Útočníci používají dříve kompromitované firemní e-mailové účty k šíření škodlivých e-mailů, hostování malwaru a kolekci ukradených dat.

Útoky začínají phishingovými e-maily s RAR nebo ISO přílohami, které po otevření spustí několikastupňový proces pro stáhnutí a spuštění trojského koně. Na závěr je použit program DbatLoader, který stahuje Agent Tesla nebo jiný malware použitý pro další vlnu útoků.

Rostoucí hrozba podvodných e-commerce sítí a malvertisingu

Uživatelé Facebooku se stávají cílem sofistikované podvodné e-commerce sítě s názvem ERIAKOS. Tato kampaň využívá stovky falešných webových stránek, které slouží k odcizení osobních a finančních údajů například pomocí nabízení známých značek. Podvodné stránky bývají většinou přístupné pouze prostřednictvím mobilních zařízení anebo po přesměrování z podvodných reklamních bannerů objevujících se na Facebooku, což ztěžuje jejich odhalení automatizovanými detekčními systémy. Falešné reklamy na Facebooku lákají uživatele na časově omezené slevy a uživatel také může vidět falešně vytvořené komentáře, které produkty chválí. Nezkušený uživatel tak může snadno podlehnout dojmu, že nakupuje bezpečně.

Kampaň ERIAKOS není jediným příkladem kriminálních e-commerce sítí. V květnu 2024 byla odhalena masivní síť 75 tisíc falešných online obchodů, nazvaná BogusBazaar, která vydělala více než 50 milionů dolarů. Kromě podvodných e-commerce kampaní byly odhaleny i další malvertising kampaně. Například podvodné investiční domény, falešné weby ministerstev, bankovní phishing a jiné. Tyto hrozby představují vážné riziko pro uživatele a vyžadují zvýšenou pozornost uživatelů.

SMS stealer a propojení se službou dočasných telefonních čísel

Použili jste někdy nějakou ze služeb poskytující dočasná čísla pro posílání SMS, např. kvůli ověření, registraci, autentizaci apod.? Zajímalo vás, komu tato čísla vlastně patří? Případným zájemcům o bližší vhled může posloužit Zimperium blog post o objevu a sledování kampaně SMS stealeru na platformě Android.

Tento malware se šíří pomocí reklamy a Telegram botů, kdy se pokusí potencionální oběť (většinou hledající neoficiální verze aplikací) oklamat tak, aby si zdánlivě důvěryhodnou aplikaci nainstalovala sideloadingem mimo oficiální Google Play kanál. Oběť je požádána o sdílení telefonního čísla a následně je „obdařena“ malwarem ušitým přímo na míru. Ten se pak registruje na řídících C&C serverech, jejichž seznam získává většinou z platforem Firebase nebo GitHub. Tím se ustaví komunikační kanál, kterým proudí kradená data, např. ověřovací SMS zprávy.

V přibližně stotisícovém počtu unikátních vzorků malware výzkumníci objevili oběti z celkem 113 zemí, převážně Indie a Ruska. Na základě analýzy jednoho ze vzorků se domnívají, že primární motivací je finanční zisk založený na poskytování služeb s dočasnými čísly, konkrétně fastsms.su, jejíž API endpoint se ve vzorku nalézal. Službu se ohledně výše uvedených zjištění pokusil kontaktovat BleepingComputer, který o výzkumu informoval, reakce ale do data publikování článku nedorazila.

Miliony zařízení zranitelné vůči „PKFail“

Výzkumníci odhalili závažnou zranitelnost v procesu bezpečného spouštění (Secure Boot) milionů zařízení založených na procesorech Intel a ARM. Problém nazvaný „PKFail“ souvisí s používáním společného kryptografického klíče (Platform Key) od společnosti American Megatrends International (AMI) ve firmwaru zařízení různých výrobců.

Tento klíč, původně určený pouze pro testování, unikl v roce 2018. Výrobci jej však nadále používali v reálných zařízeních, což vytvořilo vážnou bezpečnostní hrozbu. Útočníci, kteří získají přístup k tomuto klíči, mohou snadno obejít ochranu Secure Boot, a získat tak kontrolu nad zařízením. Mezi postižené výrobce patří Lenovo, HP, Asus a SuperMicro. Řešení problému vyžaduje nahrazení kompromitovaného klíče a vydání aktualizací firmwaru. Proces aktualizace však může trvat značnou dobu, zejména u kriticky důležitých systémů. 

Odborníci doporučují odpojit zranitelná zařízení od důležitých sítí až do instalace aktualizací. Problém PKFail zdůrazňuje důležitost správného řízení kryptografických klíčů v dodavatelském řetězci zařízení.

Objevil se nový nástroj AI „FraudGPT“

Na darknetových tržištích se objevil nový nástroj umělé inteligence pro kyberzločince nazvaný FraudGPT. Tento nástroj následuje po dříve představeném WormGPT a je určen výhradně pro škodlivé účely. FraudGPT je propagován jako AI bot schopný vytvářet phishingové e-maily, hackovací nástroje a pomáhat při dalších nezákonných činnostech. Je dostupný formou předplatného v ceně od 200 dolarů měsíčně do 1700 dolarů ročně. 

Vývojář nástroje, známý pod pseudonymem CanadianKingpin, tvrdí, že FraudGPT dokáže psát škodlivý kód, vytvářet nezjistitelný malware a odhalovat zranitelnosti v systémech. Podle jeho slov již proběhlo více než 3000 prodejů. Výskyt takových nástrojů odráží trend, kdy zločinci využívají technologie podobné ChatGPT, ale bez etických omezení. To umožňuje i začínajícím zločincům provádět rozsáhlé a přesvědčivé phishingové útoky a útoky s kompromitací firemních e-mailů (BEC). 

 Bezpečnostní experti varují, že takové nástroje mohou výrazně zvýšit účinnost a rozsah kybernetické kriminality. Zdůrazňují potřebu posílit kybernetickou bezpečnost, včetně implementace víceúrovňových strategií ochrany a zlepšení analýzy hrozeb.

NÚKIB spustil pilotní verzi veřejné části svého Portálu

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) spustil pilotní verzi veřejné části Portálu NÚKIB, který bude sloužit jako hlavní komunikační kanál mezi NÚKIBem a povinnými osobami dle nového Zákona o kybernetické bezpečnosti. Cílem pilotního provozu je otestovat funkcionality a uživatelskou přívětivost platformy.

Uživatelé mohou NÚKIBu zasílat připomínky. Portál již nyní obsahuje kromě jiného informace o tom, na koho nový Zákon dopadá, včetně online „kalkulačky“, prostřednictvím které si může každý subjekt jednoduše a v pár krocích ověřit, zda podle zadaných kritérií bude spadat mezi regulované služby, a v případě, že ano, tak se dozvědět i více o režimu svých povinností.

Platforma Herohero obsahovala kritické zranitelnosti

Platforma Herohero obsahovala bezpečnostní zranitelnosti, které ohrozily data všech uživatelů a mohly vést ke krádeži desítek milionů korun. První chyba umožňovala úplný přístup k libovolnému účtu pouze na základě znalosti profilu, bez nutnosti jakékoliv interakce uživatele. Útočník mohl měnit obsah, číst a psát zprávy, vytvářet předplatné či používat platební kartu bez vědomí uživatele, a to i při nastavené 3D Secure ochraně.

Druhá zranitelnost spočívala v chybném zacházení s JWT tokenem a XSS útokem, který mohl vést ke krádeži sezení přihlášeného uživatele. Ukládání sezení do localStorage namísto cookies s atributem HttpOnly umožňovalo útočníkovi pomocí XSS útoku získat přístup k uživatelskému účtu. Tyto chyby byly objeveny a nahlášeny spoluzakladateli platformy. Článek od etického hackera Marka Totha obsahuje podrobné bezpečnostní doporučení, jak podobná rizika eliminovat, pro vývojáře i běžné uživatele.

Stát připravuje novou strategii kybernetické bezpečnosti

NÚKIB vyzývá veřejnost, aby do 30. srpna 2024 zaslala návrhy na témata a oblasti, které by neměly být opomenuty v nové Národní strategii kybernetické bezpečnosti (NSKB), jež se připravuje jako součást své pravidelné pětileté aktualizace. Aktuální strategii i akční plán naleznete na nukib.gov.cz.

Chrome se bude na Windows lépe bránit

Častý vektor útoku na stanicích Windows je infostealer malware, který ukradne z Chrome citlivá data. Přestože Chrome dělá, co může – na macOS Keychain, v Linuxu peněženky jako kwallet a na Windows DPAPI, zkušenosti ukazují, že uživatelé nejsou chráněni dost.

Infostealer může uniknout pozornosti antivirů. Prohlížeč proto bude citlivá data šifrovat speciálně pro každou aplikaci zvlášť. Malware, který by chtěl prolomit toto šifrování, pak musí kompromitovat Chrome přímo, nebo se eskalovat na administrátora, což jsou oboje podezřelé akce, které antivirům neuniknou. Novinka funguje už dva týdny, a to od vydání Chrome 127.

Nástroj pro testování AI

Národní úřad pro standardy a technologie (NIST) publikoval open source nástroj Dioptra. Dioptra je platforma, která slouží k testování bezpečnostních vlastností umělé inteligence (AI). Motivací pro vytvoření nástroje bylo, že AI založená na strojovém učení není příliš transparentní a její uživatel málokdy tuší, jak funguje.

Abychom mohli mít k AI určitou úroveň důvěry, měla by být transparentní, nezaujatá, vysvětlitelná a bezpečná. A právě tyto charakteristiky lze pomocí Dioptry testovat.

Temu čelí obvinění z šíření malware

Čínská online nákupní platforma Temu, která se rychle stala populární díky svým velmi nízkým cenám, čelí vážným obviněním z nelegálních aktivit spojených s její mobilní aplikací. Generální prokurátor státu Arkansas, Tim Griffin, podal žalobu, v níž tvrdí, že aplikace Temu funguje jako nebezpečný malware.

Podle obvinění aplikace získává neoprávněný přístup k osobním údajům uživatelů, včetně kamery, polohy, kontaktů, textových zpráv a dalších citlivých informací​​.

Nový typ podvodů – lajkovací brigády

Experti z Komerční banky upozorňují na nový typ internetových podvodů, který se tváří jako nabídka brigády, která spočívá jen v klikání na videa nebo jiný obsah na internetu a díky které vyděláte za pár minut i několik stovek korun. Za atraktivní nabídkou se ale skrývá podvod, který naivního člověka naopak o peníze připraví nebo může skončit i jeho trestním stíháním.

ict ve školství 24

Na začátku dostane oběť SMS, zprávu ve WhatsAppu, Telegramu nebo podobné aplikaci od neznámého čísla. Odesílatel často i perfektní češtinou nabízí přivýdělek prostřednictvím jednoduché činnosti online. Ve zprávě představí kompletní podmínky a náplň „brigády“. Ta může mít více forem, které se mohou vzájemně prolínat a kombinovat.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.