RCE a DoS přes zapnutou Wi–Fi na Linuxu
V linuxové implementaci parsování protokolu 802.11 (Wi–Fi) byly objeveny zranitelnosti vedoucí k možnému vzdálenému spuštění kódu a případným DoS útokům. Zranitelnosti CVE-2022–41674 (RCE), CVE-2022–42720 (RCE), CVE-2022–42721 (DoS) platí od verze jádra 5.1, CVE-2022–42719 (RCE) od verze 5.2 a CVE-2022–42722 (DoS) od verze 5.8.
Nepříjemná je snadná zneužitelnost, kdy stačí mít v systému zapnutou Wi–Fi, která pak sama přijímá rámce – beacony – v rámci skenu. To zároveň limituje dosah útoku, který by se tudíž nejspíš odehrál v rádiovém dosahu stroje.
Zranitelnosti jsou již opraveny v nadcházejícím vydání jádra 6.1 a zároveň byly opravy backportovány do verzí 6.0.2, 5.19.16, 5.15.74, 5.10.148 a 5.4.218. Byl zveřejněn i proof-of-concept možného exploitu.
Na roota přes amavis a cpio v Zimbře
Po krátké době druhá závažná zranitelnost v Zimbře. Zimbra Collaboration Suite (ZCS) ve verzích 8.8.15 a 9.0 utrpěla nepříjemnou zranitelnost (CVE-2022–41352, CVSSv3: 9.8), která umožňuje nahrát na server libovolné soubory, vynutit spuštění kódu a získat přístup k účtům jiných uživatelů.
Útočníkům stačí zaslat na e-mailový server zprávu se speciálně upraveným archivem tar, který je následně amavisem předán cpio. Utilita se použije, pokud na serveru není nainstalován doporučený archivátor pax. Extrahováním do cesty /opt/zimbra/jetty/webapps/zimbra/public se kód zpřístupní na webovém serveru a je následně možné jej vzdáleně spustit.
Již 10. září byla zranitelnost nahlášena na fóru Zimbry jako aktivně zneužívaná, což potvrdily další příspěvky ve fóru. Společnost Volexity celosvětově identifikovala cca 1600 napadených serverů ZCS. Metasploit již zařadil do repozitáře exploit.
Analýza společnosti Flashpoint ukázala, že jde o CVE-2015–1197 balíčku cpio. Tato chyba byla již jednou záplatována, ale patch byl posléze z velké části doporučen k revertu, což se pak skutečně stalo, mj. i v Debianu a Ubuntu. V srpnu 2022 si vývojář z Red Hatu povšiml, že tato zranitelnost stále není opravena, ale jeho e-mail v konferenci zůstal bez reakce.
Opravy jsou přítomny ve verzích 9.0.0 Patch-27 a 8.8.15 Patch-34. Pokud není možné aktualizovat, pak je možné zranitelnost mitigovat nainstalováním balíčku pax a restartováním služby. Amavis jej pak následně použije přednostně místo cpio.
Microsoftu vytekl kyblík jeho vlastních dat z Azure
SOCRadar ve čtvrtek publikoval svůj report, jak Microsoftu uteklo 2,4 TB dat více než 65 tisíc entit ve 111 zemích. V uniklých datech jsou jména, emaily, faktury, objednávky a další citlivé dokumenty. Data utekla skrz nesprávně nakonfigurovaný datový bucket v cloudu Azure, který byl veřejně přístupný a zaindexovaný vyhledávači. SOCRadar problém pojmenoval BlueBleed a v rámci svých nástrojů publikoval ověřovátko, kterým můžete zjistit, zda jsou e-mailové adresy z vaší domény součástí úniku. O problému již Root psal ve zprávičce.
Reakce Microsoftu na veřejný report SOCRadaru se ovšem stala terčem kritiky, třeba už kvůli tomu, jak se rozhodli SOCRadar „povodit“ kvůli údajně zavádějícím číslům a přefouknutému rozsahu incidentu, aniž by sami poskytli přesnější informace. Microsoft samotný také sice informoval své zákazníky prostřednictvím portálu Message Center již začátkem října, odmítal ovšem sdělit jakékoliv podrobnosti, nehledě na to, že ne všechny organizace mají přístup ke svému Message Center a tudíž se o problému vůbec nemusely dovědět.
Pokud zjistíte, že je vaše organizace součástí úniku, možností je kontaktovat Microsoft pro detaily do 4. listopadu prostřednictvím administrátorské konzole Microsoft 365 – Support → New service request.
Testů není nikdy dost aneb upgrade Turris OS
Ve středu se tým stojící za vývojem Turris OS rozhodl vydat verzi 6.0. Šlo o poměrně velký skok včetně aktualizace kernelu a OpenWrt. Aktualizace byla vypuštěna pro všechny podporované Turrisy, včetně prvních 1.x.
Brzy začala přicházet první chybová hlášení od lidí, kterým se router samovolně aktualizoval. Ukázal se řádný průšvih: v průběhu upgradu došlo k migraci nastavení sítě a také firewallu; v něm následně z nejistých příčin vypadlo mapování portů k zónám.
Výsledkem bylo, že Turrisy byly poté naprosto vystaveny do internetu, stejně jako jejich webová administrace. K přístupu do webové administrace reForis navíc nebylo nutné ani přihlášení, jelikož nenaběhla ani nová autentizační brána. Bohužel dle ohlasů nešlo o ojedinělé případy. Shodou okolností nenaběhlo ani SSH, ani LuCI, a přestože byl dostupný přístup k reForisu, nebylo v něm (dle vyjádření týmu Turris) možné router trvale poškodit. Restart tyto problémy vyřešil, ale v mnoha případech bylo nutné jej provést ručně.
Tým Turrise problém během dne řešil a vydával rychlé opravy. Poté v pátek vydal omluvu a obsáhlé vyjádření, ve kterém vysvětluje příčiny a proč se chyby nepodařilo při testování odhalit, ale také, jakým způsobem se jim do budoucna hodlají vyhnout. Konkrétně při přechodu na další verzi, Turris OS 7.0, budou migrovat pouze OpenWrt, aniž by přidávali další funkce; dále změní způsob provádění integračních testů a mj. se zamyslí nad tím, jakým způsobem nabízet větší aktualizace uživatelům. Zmíněné změny zaberou čas, věřme však, že budou pouze ku prospěchu situaci.
Krátce
- Produkty od Oraclu (Oracle DB, MySQL, VirtualBox aj.) obdržely 370 bezpečnostních záplat.
- Exploit pro obejití autentizace FortiOS a FortiProxy přistál v Metasploitu.
- Byly vydány nové verze Gitu, které opravují zranitelnosti zneužitelné přes git shell (SSH).
- Objevila se zranitelnost v Apache Commons Text, potenciálně zneužitelná na spuštění kódu, ale zdaleka ne tak rozšířená jako Log4Shell, se kterým je srovnávána. Již je zneužívaná.
- Microsoftí Office 365 Message Encryption šifruje e-maily v módu ECB. Zlepšení se neplánuje.
- Na Ukrajině a v Polsku řádil neznámý ransomware, k infekcím došlo během jedné hodiny, reportuje MSTIC.
- CTF hra The Catch 2022 pokračuje až do konce tohoto týdne.
Pro pobavení
Doufáme, že jde o vtip.
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
ČLÁNKY DO MAILU