Správně parsovat XML není hračka
Velmi nepříjemná zranitelnost typu „signature wrapping“ byla objevena v knihovně Ruby-SAML, kterou skrze omniauth-saml používá např. Gitlab pro implementaci jednotného přihlašování (Single Sign-On) přes SAML. Jde o velmi rozšířený způsob přihlašování v akademických a korporátních prostředích, kde je zcela běžné, že se člověk nejprve přihlásí ke své univerzitě či organizaci a ta poté službě předá údaje o uživateli potřebné k přihlášení.
SAML je standard postavený nad XML, jakožto nosičem dat, a HTTP/S, jakožto přenosovým kanálem, pro bezpečné předávání autorizačních dat mezi poskytovatelem identity a službou. Velmi zjednodušeně lze postup přihlášení popsat tak, že uživatel na službě (v tomto případě Gitlabu) zvolí svého poskytovatele identity (tzv. Identity Provider), ke kterému se uživatel přihlásí svými údaji.
Vezměme si jako případ účet u Googlu. Pokud je přihlášení úspěšné, Google připraví podepsaný SAML dokument, tzv. SAML assertion, který prokazuje identitu uživatele a další údaje. Tento dokument je pak předán Gitlabu, ke kterému se uživatel pokouší přihlásit (tzv. Service Provider). Ten ověří autoritu poskytovatele, podpis odpovědi a poskytnuté údaje, a pokud jsou korektní, uživatele do služby přihlásí. Ruby-SAML implementuje jak zahájení komunikace s poskytovatelem identity, tak ověření přijatého SAML dokumentu právě na straně Gitlabu.
Postup útoku bude vypadat přibližně tak, že útočník musí nejprve získat SAML dokument podepsaný poskytovatelem identity, kterého aplikace uznává, a poté pozmění obsah odpovědi tak, aby obsahoval jak původní, podepsanou a platnou informaci, tak zfalšované informace o uživateli. Takto upravený dokument poté předá Gitlabu v přihlašovacím procesu. V případě správného provedení útočník dosáhne stavu, kdy se kryptografický podpis ověří vůči původním, korektním hodnotám, ale pro přihlášení se nakonec použijí útočníkem přidané údaje. Patch ukazuje, že zneužití umožnilo použití nesprávných selektorů XPath při zpracování SAML odpovědi. Zranitelný kód je 12 let starý a velmi jistě používaný i v dalších projektech.
Zranitelnost dostala CVE-2024–45409 (CVSS 3.1 Base: 10.0) a je opravena ve verzích Ruby-SAML 1.17.0 a 1.12.3. Pro Gitlab CE a EE byla vydána oprava ve verzích 17.3.3, 17.2.7, 17.1.8, 17.0.8 a 16.11.10. Pro hostované instance Gitlab také zpřístupnil postup ke kontrole možných pokusů o zneužití (IoC), ať už úspěšných či neúspěšných; naznačuje však zároveň, že reálné zneužití nemusí být vždy až tak triviální, vzhledem k informacím o uživateli, které je nutné získat a které se liší případ od případu.
VMware opravuje zranitelnosti ve vCenter
Společnost Broadcom vydala upozornění na dvě závažné zranitelnosti ve VMware vCenter, která je součástí VMware vSphere a VMware Cloud Foundation. Obě se týkají špatně ošetřené práce s pamětí.
CVE-2024–38812 (CVSS 3 Base: 9.8) umožňuje neautentizovanému vzdálenému útočníkovi s přístupem k vCenter Serveru způsobit přetečení na haldě, což může potenciálně vést ke spuštění kódu. Zranitelnost se nachází v implementaci protokolu DCERPC.
CVE-2024–38813 (CVSS 3 Base: 7.5) pak umožňuje přihlášenému vzdálenému útočníkovi eskalaci práv na roota.
Obě zranitelnosti byly opraveny ve vCenter Server verze 7.0 U3s a 8.0 U3b, a v Cloud Formation ve verzích 7.0 U3s a 8.0 U3b. Je tedy doporučeno s aktualizací neotálet. Broadcom k tomuto upozornění také vydal vysvětlující dokument s dalšími detaily.
Bezpečnostní vylepšení Androidu 15 a sideloading aplikací
S každou novou verzí Androidu přicházejí různá bezpečnostní vylepšení, avšak velká vlastnost – a pro mnohé i velká výhoda celého ekosystému, – tedy sideloading aplikací, zůstala více či méně nezměněna. To se pomalu, ale postupně, mění.
Již dlouho existuje bezpečnostní omezení, že běžné aplikace nemohou instalovat další aplikace; toto však může uživatel poměrně snadno změnit. Android od verze 13 však omezuje dostupná práva aplikacím, které nebyly nainstalovány z obchodů s aplikacemi, resp. byly nainstalovány přímo z APK souboru – tato omezení jsou souhrnně nazvána Restricted Settings. Pro takto nahrané aplikace je ve výchozím stavu zakázáno API pro přístupnost, jelikož toto API má plný přístup k obsahu obrazovky uživatele a bylo často zneužíváno pro krádež citlivých dat.
V Androidu 15 se toto omezení rozšiřuje o další oprávnění, např. kreslení nad ostatními aplikacemi, přístup k celé databázi SMS, přístup k notifikacím či práva správce zařízení (pro uzamčení či smazání obsahu zařízení). Uživatel však může vždy ručně omezení pro konkrétní aplikace obejít, a to prostřednictvím volby “Allow restricted settings” v informacích o aplikaci v nastavení systému. Uživatel musí akci potvrdit ověřením PIN či biometrikou, což brání náhodnému povolení.
Lze předpokládat, že primárním důvodem pro tyto změny není snaha Googlu o monopolizaci svého obchodu – aplikace z ostatních obchodů jsou těchto omezení taktéž ušetřeny, – ale spíše zvýšení bariéry, kterou musí útočník překonat, aby donutil uživatele, který si už nahrál do zařízení škodlivý APK soubor z neznámého zdroje (či např. zaslaný e-mailem), povolit takové aplikaci snadný přístup k citlivým datům ve svém telefonu.
Plánováno bylo také zahrnutí „Enhanced Confirmation Mode“, který by uzavřel jednu z mála možností instalace APK souboru, která povoluje použití „omezených“ API, a to je instalace skrze „obchodové“ relační API, které je však dostupné všem aplikacím a je tudíž zneužíváno také malwarem. Nově by toto API bylo dostupné pouze vyjmenovaným aplikacím a obchodům. Je však nejisté, zda tento režim v Androidu 15 nakonec bude zapnutý či ne.
Z ostatních vylepšení stojí za zmínku automatický zámek telefonu v případě detekce krádeže (pomocí akcelerometru), automatické skrývání obsahu notifikací při nahrávání či streamingu obrazovky, a také detekce oken, které obsahují OTP tokeny (primárně tedy zřejmě SMS), které automaticky při nahrávání či streamování skryje. Dále je zajímavá detekce a upozornění na mobilní sítě bez šifrování, falešné vysílače či IMSI catchery. Tato však zřejmě bude záviset na podpoře v hardwaru a nebude dostupná pro starší modely.
Německá policie vs. Tor
Pokusy o deanonymizaci uživatelů sítě Tor (The Onion Router – česky cibulové směrování – pozn. redakce) nejsou zdaleka ojedinělé a často se připisují také různým bezpečnostním složkám. Do této kategorie nyní přispěla německá policie, která údajně v roce 2021 dokázala plně deanonymizovat uživatele sítě Tor. Investigace německých pořadů Panorama a STRG_F přinesla zjištění založená na soudním spisu a dokumentaci k případu „Boystown“, fóra sloužícího pro sdílení dětské pornografie, umístěného v tzv. darknetu. Provozovatele Boystown se v roce 2021 podařilo policii identifikovat a zadržet. Případ byl v Německu poměrně známý a mediálně pokrytý, nicméně hlavní otázka – jakým způsobem se policii podařilo provozovatele, skrývajícího se v anonymitě, dosledovat a identifikovat – zůstávala nezodpovězená.
Policistům se podařilo zjistit, že podezřelý používá peer-to-peer messenger Ricochet, a podařilo se jim ve dvou případech identifikovat vstupní bod, tzv „guard relay“, který uživatel použil pro přístup k Tor síti. Mělo by jít o první potvrzený případ, kdy se prostřednictvím statistické analýzy šifrovaného provozu podařilo – v reálném světě – identifikovat vstupní uzel, který konkrétní uživatel použil pro připojení k síti Tor; dle STRG_F to vyšetřovatelům trvalo rok a půl. Poté policie požádala soud, aby přikázal ISP poskytnout součinnost s vyhledáním všech přípojek, které se k danému vstupnímu bodu (resp. IP adrese) v daném čase připojovaly.
Časová analýza provozu v síti Tor jakožto demaskovací vektor byla všeobecně považována za nepraktickou, jelikož by útočník musel mít kontrolu nad dostatečným množstvím uzlů sítě, aby provoz vůbec měl reálnou šanci protéci uzly, které ovládá. Což se však zde zřejmě stalo, a dle tohoto článku se to dá připisovat i zvýšené mezinárodní spolupráci s autoritami napříč Evropou i v USA, jelikož potřebné informace němečtí policisté obdrželi z Nizozemska.
Projekt Tor ve vyjádření uvedl, že daný uživatel pravděpodobně používal Ricochet bez dodatečné ochrany (Vanguards), která by tento druh útoku značně ztížila či znemožnila. Ricochet-Refresh, aktuální fork, tyto ochrany obsahuje od verze 3.0.12. Tor však také považoval za nutné ujistit, že síť je stále zdravá a bezpečná, a upozornil, že ačkoliv reportéři požádali projekt Tor o vyjádření, od reportérů nedostal ani přístup k dokumentům, ani dodatečné informace, které by jim pomohly útok lépe pochopit a přijmout potřebná opatření.
Bezpečnost sítě Tor z velké části stojí a padá nejen na počtu provozovaných Tor nodů, ale také na dostatečné rozmanitosti sítě, a to může být do budoucna problém, jelikož dle investigace existující servery spravuje stále méně lidí. Podle Gero Kühna, předsedy spolku Artikel 5, který také provozuje Tor exit nody, představuje 10 největších provozovatelů exit nodů přibližně 50 % celkové kapacity sítě.
Přestože Tor relay node může provozovat prakticky kdokoliv a v mnoha státech je jejich provoz legální, je rozdíl, zda správce provozuje jen relay, nebo také výstupní bod, tzv. exit node. Druhý jmenovaný se téměř jistě stane prostředníkem pro provádění různých nežádoucích aktivit, za které mohou být jejich provozovatelé popotahováni, přestože je nezpůsobili, jelikož se v záznamech objeví právě jejich IP adresa.
Stručně
- Ivanti opravuje zranitelnosti v CSA a také v EPM; již je dostupný PoC exploitu pro CVE-2024–29847
- Zranitelnost Wi-Fi čipsetů od MediaTeku, opravená v březnu, má dostupný PoC funkčního exploitu
- Uživatelé některých VPN či EDR SentinelOne, CrowdStrike, ESET na macOS hlásí nefunkční síťování po upgradu na macOS 15 Sequoia
- Transport for London resetuje hesla všem svým 30 tisícům zaměstnancům v osobní přítomnosti; oznámila únik dat; NCA zadržela teenagera podezřelého z účasti na útoku
- Apple stahuje svoji žalobu na NSO Group, mj. kvůli riziku nutnosti veřejného vystavení threat intelligence
- Ukrajinský NCCC zakázal používání Telegramu ve vládních institucích, armádě a kritické infrastruktuře
Pro zasmání
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…