Postřehy z bezpečnosti: děravé záplaty pro Log4Shell

2. 5. 2022
Doba čtení: 4 minuty

Sdílet

 Autor: Depositphotos
Dnes se podíváme na to, že i záplaty mohou obsahovat zranitelnosti, zavirujeme Virustotal, vydáme malware jako legitimní balíček a zakončíme to pohledem NÚKIBu na kybernetické incidenty.

Záplaty Log4Shell otevírají cestu do hostitelského OS

Ve snaze opravit zranitelnost Log4Shell zavedl AWS několik řešení, která detekují zranitelné Java aplikace a za pochodu je opravují. Tato řešení jsou určena jak pro standalone server, tak pro Kubernetes clustery, ECS (Elastic Container Service) clustery a Fargate. Řešení lze instalovat i do dalších cloudů, nebo do takzvaných „on premise“ systémů.

Výzkumníci z Unit 42 však zjistili, že po aplikaci opravy v rámci serveru nebo clusteru, může získat každý kontejner přístup do hostitelského operačního systému. Z kontejneru lze také eskalovat privilegia a získat v systému superuživatelská oprávnění. Problému byla přiřazena CVE-2021–3100, CVE-2021–3101, CVE-2022–0070 a CVE-2022–007.

Opravy výše zmíněných řešení byly publikovány 19. dubna: v prostředí Kubernetu instalujte aktuální Daemonset (v moment vzniku článku oprava neexistuje pro Debian a Ubuntu),  standalone servery aktualizujte pomocí yum update log4j-cve-2021-44228-hotpatch a Hotdog aktualizujte na poslední verzi. Příklad zneužití je možné si prohlédnout prohlédnout na YouTube.

Jak zavirovat Virustotal

Výzkumníci z Cysource objevili způsob, jak na známé antivirové platformě spustit vlastní kód. Virustotal je služba, která se často používá pro detekci známých i neznámých druhů malwaru a dokáže rozlišovat mezi jednotlivými antivirovými produkty. Nejčastěji pak Virustotal poskytne výslednou zprávu rozlišující, které antiviry nahraný malware detekují a které ne.

Shai Alfasi a Marlon Fabiano da Silva zneužili zranitelnost CVE-2021–22204 vyskytující se v nástroji ExifTool. Tato zranitelnost umožňuje spuštění libovolného kódu. Tímto způsobem získali přístup k více než 50 strojům, které, jak se ukázalo, nepatří jen Googlu, ale i ostatním partnerům. Zranitelnost nahlásili přes GoogleVRP (Vulnerability Reward Program) a článek tak vyšel až po opravení této zranitelnosti.

Malware jako legitimní balíček

Ve správci balíčků NPM byla odhalena takzvaná „logická chyba“, která mohla umožnit útočníkům vydávat podvržené knihovny za legitimní a přimět nic netušící vývojáře k jejich instalaci. Tato zranitelnost byla pracovníky z cloudové bezpečnostní firmy Aqua nazvána „Package Planting“. Aktualizace opravující zranitelnost byla vydána 26. dubna.

Útočníci mohli vytvářet balíčky s malwarem a přiřadit je k důvěryhodným a oblíbeným správcům bez jejich vědomí. Takováto chyba nejenom umožňuje distribuovat malware, ale také může zhoršit pověst důvěryhodných uživatelů, kteří pod svým jménem šíří malware, aniž by o tom věděli.

Důvěryhodný podvodník

Dáváte si pozor při nákupech na internetu? Kontrolujete URL, abyste nevepsali číslo karty na falešnou stránku? Nevěříte příchozím telefonům z banky, že nejsou vishing? I pak vás mohou okrást, jak dokládá příběh Adama Vopičky, který poptával Steam Deck. Ozval se mu sympatický prodejce, který se jednoho takového zbavoval; ovšem co čert nechtěl, byl až z Ostravy.

Působil však důvěryhodně (tykání, společní přátelé, společné zájmy), a když Adam nečekaně dostal fotku občanky, aniž si všiml, slevil z původních bezpečnostních záruk a poslal deset tisíc do černé díry. Občanka totiž byla sice pravá, ale kradená. A závěrem, nezapomeňte, fotku své občanky také neposílejte.

Nové možnosti odstranění výsledků z Googlu

Google rozšířil možnosti požadavku na odstranění výsledků z vyhledávání. Nově je možné požádat i o odstranění dalších osobních údajů, jako jsou telefonní číslo, e-mailová adresa či adresa bydliště, nebo informace, které by mohly vést ke krádeži identity, tedy například přihlašovací údaje. Podle Googlu je každý takový požadavek individuálně vyhodnocen, aby nedocházelo k vyřazování legitimních zdrojů, jako jsou zpravodajské weby či vládní registry.

Tímto krokem navazuje na nedávné rozšíření, které umožnilo nezletilým žádat odstranění jejich fotek z vyhledávání obrázků. Připomínají však, že odstraněním z vyhledávání informace z Internetu nezmizí a doporučují kontaktovat konkrétní hosting, kde je obsah hostován.

Úspěch českých a slovenských specialistů na kybernetickou bezpečnost

Společný tým, složený z českých a slovenských specialistů na kybernetickou bezpečnost, obsadil 5. místo na největším a nejkomplexnějším cvičení kybernetické bezpečnosti na světě. Cvičení Locked Shields 2022 pořádalo NATO Cooperative Cyber Defence Centre of Excellence v estonském Tallinnu. První místo obsadil tým z Finska. Dohromady bylo do cvičení zapojeno více než 2 000 specialistů a celkem soutěžilo 24 týmů z 32 zemí světa.

V letošním ročníku tvořily Česká a Slovenská republika jeden tým, čímž se prohloubila vzájemná spolupráce, která bude nadále pokračovat i nad rámec tohoto cvičení. Za ČR se do společného týmu zařadili zástupci NÚKIB, CIRC MO, EG.D, Red Hat, CZ.NIC, České spořitelny i zástupci z řad bezpečnostní komunity v ČR.

Kybernetické incidenty pohledem NÚKIB: březen 2022

Národní úřad pro kybernetickou bezpečnost vydal další přehled Kybernetických incidentů. Ani za měsíc březen v ČR stále neevidují žádný incident, který by byl prokazatelně spojený s válkou na Ukrajině. Situaci ale stále monitorují a vyhodnocují.

bitcoin školení listopad 24

Do březnových incidentů se naopak opět promítly phishingové kampaně a ransomware, kdy každá z těchto kategorií tvořila pětinu incidentů. Celý dokument si můžete přečíst přečíst na webu NÚKIB[PDF].

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.