Postřehy z bezpečnosti: FBI radí, pátrá, informuje

27. 4. 2015
Doba čtení: 4 minuty

Sdílet

Kam až může vést vtip na Twitteru, když se týká bezpečnosti leteckého provozu? Kromě zodpovězení této otázky se v novém díle postřehů podíváme též na chyby Wi-Fi, na Side-channel útok „Spy in the sandbox“, na „bezsouborový“ malware uložený v registrech, či na nebezpečné chyby v oblíbené platformě pro e-shopy.

Dělat si z lidí šoufky se nevyplácí, to věděl už Walter Sobchak v nesmrtelném filmu Big Lebowski. A už vůbec se to nevyplácí v dnešní někdy až moc paranoidní době. Nově se o tom přesvědčil i výzkumník Chris Roberts, známý svým zájmem o prostředky hromadné dopravy. Jeho zábavný tweet o manipulaci s „engine-indicating and crew-alerting systémem“ (EICAS) Boeingu, ve kterém právě letěl, mu zajistil několikahodinovou pozornost FBI ihned po přistání a zabavení jeho elektronických zařízení. Roberts svým vtipem reagoval na zprávu US Government Accountability Office o chybě letounů Boeing 787 Dreamliner, Airbus A350 a A380, jejichž Wi-Fi pro cestující mají používat stejnou síť jako avionika letounů.

V reakci na incident s Chrisem Robertsem pak FBI společně s TSA (Transportation Security Administration) vydala doporučení  pro palubní personál, který by si měl všímat podezřelých cestujících a reportovat případné pokusy o připojení neznámých kabelů do IFE (In Flight Entertainment) systémů, či neobvyklých částí sedaček, hlásit IFE systémy vykazující znaky pokusů o manipulaci, či snahy silou odstranit kryty síťových portů. Také je doporučováno procházení síťových logů letadla (On to do teď nikdo nedělal?) a hledání podezřelých aktivit, jako je skenování sítě či pokusy o průnik do systémů.

Naše postřehy

V uplynulém týdnu se objevila chyba v programu wpa_supplicant, který se používá v Linuxu, BSD, OS X i ve Windows. Chyba se týká způsobu, kterým wpa_supplicant používá SSID získané z management rámců upravujících informace o členech P2P. Chyba může vést k odhalení obsahu paměti, DoS a pravděpodobně i ke spuštění libovolného kódu. K dispozici je již záplata, případně lze jako první pomoc vypnout podporu P2P.

U Wi-Fi ještě chvíli zůstaneme. V iOS 8 byla nalezena zranitelnost nultého dne, která způsobuje opakované pády aplikací či celého systému, pokud se tento systém připojí k zlovolnému hotspotu. Jedná se v podstatě o klasický DoS. Pokud už se uživatel k takovémuto přístupovému bodu připojí, nemá jinou možnost, jak problém odstranit, než se vzdálit z jeho dosahu tak, aby se zařízení nemohlo po restartu k dané Wi-Fi znovu připojit.

„Spy in the sandbox“ je útok, při němž se pomocí javascriptu nahraného v prohlížeči sleduje L3 cache procesoru, respektive doba potřebná k přístupu k těmto datům. Útočníkovi tedy stačí, pokud oběť přistoupí na stránky, jejichž obsah má pod kontrolou. Podle analytiků, kteří útok objevili, funguje útok zhruba na 80 procentech dnes používaných desktopů. Analytici zatím nezveřejnili přesný kód exploitu, aby měli výrobci prohlížečů čas vytvořit potřebné záplaty. Zatím doporučují uživatelům zavírat nepotřebné záložky v prohlížeči, pokud se chystají dělat na svém PC cokoliv citlivého.

Vyšla nová verze oblíbeného CMS WordPress 4.1.2. Je to v podstatě kritická bezpečnostní záplata pro všechny předchozí verze, proto se doporučuje ihned updatovat. Kromě XSS zranitelnosti opravuje také chyby jako SQLi, či možnost uploadu souborů s nevalidními názvy. Kromě nové verze WordPressu vyšlo také několik bezpečnostních záplat pro různé pluginy.

V oblíbené platformě Magento pro provozování online e-shopů byla nalezena bezpečnostní díra, která ohrožuje milióny uživatelů, kteří nakupují na některém z e-shopů postavených na této platformě. Nezáplatovaná verze obsahuje řetězec několika zranitelností, které ve svém důsledku umožňují útočníkovi spustit na serveru vlastní PHP kód. Díky tomu získá útočník kompletní kontrolu nad obchodem i jeho databází. To může být útočníkem využito k získání přístupu k informacím o kreditních kartách a dalších osobních informací zákazníků nakupujících na zranitelných stránkách. To, co by mohlo provozovatele e-shopů na této platformě trochu znervózňovat, je fakt, že netrvalo ani 24 hodin, než se objevily pokusy o zneužití těchto zranitelností. Dvě IP adresy alokované v Rusku se pokouší vytvořit v Magento databázi nového admin uživatele. Kdo nezáplatoval hned, už je pravděpodobně kompromitován, nebo brzy bude. V pozorovaném útoku se vytvářeli uživatelé vpwq či defaultmanager, jejich nález v databázi je tedy potvrzením úspěšné kompromitace spravovaného systému.

bitcoin_skoleni

Společnost Trend Micro zaznamenala prodej již dříve pozorovaného fileless malware Phasebot, tedy malware, který na počítači nevytváří žádné vlastní soubory. Ke svému uložení používá registry Windows. Co je ovšem zajímavé, pro spuštění jednotlivých komponent z registru používá PowerShell, který je od Windows 7 nedílnou součástí výchozí instalace. Společnost Trend Micro předpokládá, že se k podobným technikám bude přiklánět stále více tvůrců malware. Ostatně i Phasebot je pravděpodobně jen vylepšenou verzí dřívějšího malware Solarbot.

Ve zkratce

Pro pobavení

TSA rozšířila svá doporučení ohledně bezpečnosti

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Pavel Bašta pracuje ve sdružení CZ.NIC jako team leader a bezpečnostní analytik CZ.NIC CSIRT a CSIRT.CZ.