Kritické chyby ve třech e-learning pluginech pro WordPress
Vzhledem k aktuální situaci kolem COVID19 se určitá část vzdělávání přesunula do online prostředí na nejrůznější e-learningové platformy. Mnoho vzdělávacích institucí rychle integrovalo nějakou formu Learning Management systému (LMS) do své platformy. Výzkumníci z Check Point Research Team objevili ve třech LMS pluginech pro WordPress velmi závažné zranitelnosti. Konkrétně se jedná o pluginy LearnPress, LearnDash a LifterLMS. Tyto pluginy jsou nainstalovány na cca 100 000 různých vzdělávacích platformách včetně velkých amerických univerzit, jen LearnPress a LifterLMS byly od svého uvedení staženy více než 1,6milionkrát.
Chyby objevené v pluginu LearnPress se různí od např. typu blind SQL injection až po eskalaci oprávnění, která umožňuje libovolnému uživateli převzít roli učitele. V případě LearnDash lze s využitím SQL injection kupříkladu podvrhnout zápis do placeného kurzu. A konečně zranitelnost v LifterLMS umožňuje libovolnému uživateli změnit své jméno na cokoliv, co bude následně interpretováno jako PHP kód a provedeno na straně serveru.
V souhrnu tyto chyby umožňují útočníkům provádět mimo jiné věci jako krást osobní informace, měnit si známky, získávat zadání a výsledky testů nebo si vydat certifikát o absolvování kurzu.
Výzkumníci o chybách informovali výrobce všech dotčených pluginů již v březnu a ti podle všeho již vydali příslušné opravy.
Kritické chyby v SaltStack se dotýkají tisíců data center
Dvě velmi závažné bezpečnostní chyby byly nalezeny v SaltStack Salt konfiguračním frameworku. Salt, podobně jako např. Puppet nebo Ansible, umožňuje hromadnou správu serverů a jiných zařízení. Salt používá architekturu master/slave, kdy spravované servery pravidelně komunikují s centrálním uzlem, od kterého získávají informace o svém cílovém stavu a příkazy k provedení.
Chyby se nenachází přímo v kódu Saltu, ale v technologii ZeroMQ, která se používá pro komunikaci mezi spravovanými servery a centrálním uzlem. Obě chyby se navzájem doplňují a vedou až ke kompletnímu převzetí kontroly nad centrálním uzlem a tím i k převzetí kontroly nad všemi spravovanými servery. První chyba umožňuje útočníkovi naprosto obejít autentizační mechanismy při připojování k centrálnímu uzlu a injektovat do systému falešné příkazy. Druhá chyba umožňuje čtení a zápis libovolných souborů na centrálním uzlu a tedy i krádež bezpečnostních klíčů pro autentizaci jako root.
Obě chyby již byly výrobcem opraveny a všem uživatelům je doporučována bezodkladná aktualizace.
Hackeři vylákali ze tří britských firem 1,3 milionu dolarů
Velmi pozoruhodným a sofistikovaným způsobem se v nedávném vysoce cíleném útoku podařilo skupině nazývané „The Florentine Banker“ vylákat ze tří britských firem více než 1,3 milionu dolarů v domnění, že tím financují startupy.
Typ útoku má označení Business Email Compromise (BEC) a spočívá ve dvou fázích. V první fázi získají útočníci přístup k emailovým účtům vytipovaných vysoce postavených úředníků cílové firmy a monitorují komunikaci. Po vytipování vhodného obchodního jednání, během kterého budou od někoho někam posílány peníze, přejdou do druhé, aktivní fáze. V té založí domény podobné doménám na obou stranách emailové komunikace a pomocí nastavení filtrování emailů provedou útok typu MITM, při kterém zachytávají emaily mezi oběma stranami a mění klíčové informace jako třeba čísla účtů pro bankovní převody.
Americká FBI zvoní na poplach, protože dle zprávy z roku 2019 hlášených podvodů typu BEC bylo celkem 23 775 a celková škoda se vyšplhala až na 1,7 miliard dolarů.
Chyba v pluginu Ninja Forms pro WordPress
A ještě jednou se dnes vrátíme k systému WordPress. Více než 800 tisíc instalací je zranitelných v důsledku chyby v rozšíření Ninja Forms. Chyba je v tuto chvíli již opravena, ale k 1.5. stále existovalo 800 000 zranitelných instalací. Jedná se o chybu typu Cross-Site Request Forgery (CSRF) a potenciálně může vést až k útoku typu Stored Cross-Site Scripting (Stored XSS).
Útočník musí přimět správce kliknout na škodlivý link, který následně přidá k právě vytvořenému formuláři škodlivý kód. V konečné fázi útoku může dojít až k vytvoření falešného účtu správce a k úplnému převzetí kontroly nad webovou stránkou, případně k přesměrování nic netušících návštěvníků na škodlivé weby.
Ve zkratce
- Nezáplatovatelná Starbleed chyba v FPGA čipech Xilinx
- Nový malware pro Android krade bankovní hesla a soukromá data
- Úspěšné cílené phishingové útoky na VIP ve více než 150 společnostech na světě
- Jak kyberzločinci přežívají v COVID19 období
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
ČLÁNKY DO MAILU