Postřehy z bezpečnosti: Máte Wi-Fi router? Máte možná backdoor

21. 10. 2013
Doba čtení: 6 minut

Sdílet

V tomto díle se podíváme na bezpečnost wifi routerů a co vše můžete jejich analýzou zjistit, něco o defacu webu spoz.cz, poslední zářezy Syrian Electronic Army, hack několika webů antivirových společností, jak to je s bezpečností iMessage protokolu, o plánované analýze TrueCryptu a spoustě dalšího.

Craig Heffner, specialista na bezpečnost embedded zařízení, objevil vážnou bezpečnostní chybu/backdoor v některých routerech společnosti D-Link umožňující přístup do administrační části bez jakékoliv autentizace. Chyba byla objevena ve firmwaru verze 1.13 pro DIR-100 revize A. Po rozbalení SquashFS ji objevil v procesu /bin/webs (konkrétněji /bin/xmlsetc), který uživateli nabídl webové administrační rozhraní (thttpd-alphanetworks/2.23). Zjistil, že změnou HTTP headeru User-Agent na „xmlset_roodkcableoj28840ybtide” je možné obejít autentizaci. Co že to je za podivný řetězec? Zkuste ho přečíst pozpátku “Edit by 04882 Joel: Backdoor”. Informace o tomto řetězci se však již před několika lety (2010) objevila na jenom ruském fóru.

Tento backdoor byl nalezen v těchto modelech, ale může být i v některých dalších: DIR-100, DI-524, DI-524UP, DI-604S, DI-604UP, DI-604+ a TM-G5240.

Podle posledních zpráv D-Link již pracuje na opravném balíčku.

Ten samý vývojář publikoval článek “From China, With Love” ve kterém zmiňuje, že D-Link není jediná společnost, která vložila backdoor do svých produktů. Píše zde o společnosti Tenda Technology (známý výrobce wifi routerů), která také obsahuje backdoor ve svých produktech. Konkretněji se jedná o modifikaci v komponentě HTTP služby (GoAhead) funkce MfgThread(), která poslouchá příchozí zprávy na UDP portu 7329 začínající řetězcem “w302r_mfg” a spustí příkazy s právy roota na daném zařízení. Tímto příkazem můžete spustit např. Telnet službu:

echo -ne "w302r_mfg\x00x/bin/busybox telnetd" | nc -q 5 -u 7329 192.168.0.1

To, že tento výzkumník nenapsal zprávu o WiFi routeru, který máte doma vy, ještě neznamená, že tam backdoor nemáte. Analýza těchto embedded zařízení a jejich binárních souborů je poměrně zajímavá a zábavná činnost.

Kde to půjde, asi bude bezpečnější přepsat firmware výrobce např. OpenWRTem, co říkáte?

Naše postřehy

Byl defacnut web SPOZ.cz (Strana Práv Občanů Zemanovci) a navíc i umožněn directory listing všech adresářů s read právy na serveru. Mohli jste si tak zobrazit adresáře jako /etc, /home, /var apod. a dostat se k zálohám databází, redakčního systému WordPress a ke kompletní konfiguraci serveru. Všechna tato data mohla být stažena. Jak poznamenal někdo v komentáři u článku, mohlo jít o chybnou konfiguraci Apache administrátorem.

Syrian Electronic Army (SEA), hacktivistická skupina známá především nabouráním takových webů, jako jsou Financial Times, The Guardian, Washington Post, katarská odnož Googlu, Facebooku, Al-Jazeera a vládní či vojenské weby, má na svém kontu další zářez. Okolo 05:30 GMT dala skupina SEA na svůj Twitter účet zprávu “Qatar is #down”. Čímž bylo míněno, že se dostali na servery registrátora domény .qa (Katarské ministrerstvo informatiky) a přesměrovali všechny domény na servery útočníků, kde bylo logo skupiny a obrázek prezidenta Sýrie Bashar Al-Assada.

Apple iMessage protokol možná není tak bezpečný, jak si myslíte. I když se jedná o end-to-end šifrování, komunikace jde šifrovaně přes servery Applu a pomocí PUSH notifikace dorazí k příjemci. Odesílatel i příjemce mají vygenerované veřejné i soukromé klíče. Do této doby to zní poměrně bezpečně, ale infrastrukturu klíčů spravuje Apple a nepoužívají se certifikáty. A protože Apple vlastní infrastrukturu klíčů a může nepozorovaně měnit používané klíče, je tu možnost, že může číst i zprávy. Dva výzkumníci známí pod přezdívkami Pod2g a GG byli schopni na testovacích iOS zařízeních provést Man-in-the-Middle útok a číst tak přenášené zprávy.

Weby antivirových společností Avira, AVG, ESET, BitDefender atd. byly defacnuty palestinskými příslušníky Anonymous (alespoň to o sobě tvrdí). “Napadeni” byli registrátoři domén Network Solutions a Register.com a změněny autoritativní servery pro dané zóny (na NS2316 a NS2317 DIZINC.COM). TTL bylo nastaveno na 2 dny a například AVG.com směrovalo na IP 66.7.220.7 která sídlí v datacentru DimeNOC. Podle tiskové zprávy společnosti Avira útočníci zažádali o reset hesla pro správu jejich domény. Domény u registrátora Register.com (Metasploit, Rapid7) byly změněny zasláním faxu.

Vyhledávání Googlu posloužilo botnetu k identifikaci mnoha serverů používající CMS vBulletin pro fórum, aby tak útočníci mohli využít chybu k jejich napadení. Proč k tomu byl použit zrovna botnet a ne jen nějaký script? Protože Google má ochranu proti těmto dotazům a po určitém počtu začne od uživatelů vyžadovat ověření pomocí CAPTCHA. Pokud je k tomuto vyhledávání použito několik stovek/tisíc počítačů, tak se tomu dá takto vyhnout. Pokud provozujete vBulletin na svých stránkách a chtěli byste vědět, zda-li je i váš server napaden, upravte si toto vyhledávání pro svou doménu: www.google.com/se­arch?q=%22supportvb%22+vbu­lletin+administrator+%22vi­ew+profile

Případně projděte databázi a vypište si všechny administrátory fóra. V každém případě updatujte na poslední verzi.

Sophos Labs upozornili na méně obvyklou formu phishingu, kdy přílohou mailu není dokument, obrázek ani archiv, ale html stránka obsahující javascript, který dekóduje tělo stránky po zadání hesla. Nic nového pod sluncem. Heslem chráněné ZIP/RAR soubory se posílají několik let, ale je dobré si ověřit, že váš anti-phishingový software vás dokáže ochránit i proti tomuto vektoru útoku.

Poslední update Javy opravuje 51 bezpečnostních chyb. Z toho 50 je vzdáleně zneužitelných. Už ani nebudeme radit mít zapnutou Javu jen v prohlížeči, který primárně nepoužíváte. Prostě všechny její verze ze systému odinstalujte (Start → Control Panel → Java (pravý klik) Odinstalovat).

Bylo vybráno přes 40 000 USD na bezpečnostní audit kódu TrueCryptu. Hlavními důvody byla netransparentnost lidí/společností za tímto produktem a rozdílnost v chování kódu na různých platformách a i binárnímu balíčku na Windows oproti tomu zkompilovanému ze zdrojových kódů. Na wikipedii jsou náznaky, že se jedná původně o produkt z české dílny.

První malware pro Firefox OS je na světě. Firefox OS je operační systém pro mobilní telefony a již dnes je možné si ho v některých zemích koupit nainstalovaný v telefonu. 17letý výzkumník ho představí na konferenci The Ground Zero (G0S), která se koná od 7. do 10. listopadu v Naí Dillí.

VMware uvolnila opravné balíčky na několik svých produktů, kdy závažnější chyby postihuje vCenter Server 5.0 a 5.1. Za určitých okolností je možné se přihlásit na vCenter s prázdným heslem uživatele, i když má v doméně platné heslo.

ict ve školství 24

Ransomware CryptoLocker zašifruje data na vašem počítači pomocí RSA klíče o délce 2048 bitů a vyžaduje po vás zaplacení 100 USD nebo EUR, jinak smaže privátní klíč na vašem počítači a vy už se k datům nikdy nedostanete. V novější verzi už je to 300 USD, či EUR, nebo dokonce 2 BTC/Bitcoiny (s jídlem holt roste chuť). Antivirové společnosti mají problém se zvrácením tohoto procesu a vzhledem k tomu, že je použití tohoto programu čím dál častější, tak by se uživatelé měli mít více na pozoru. Tento program se většinou šíří jako příloha phishingových emailů od společností jako Fedex, UPS, DHS atd.

Ve zkratce

Závěr

Tento seriál vychází za pomoci konzultantů firmy Datasys, příznivců a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, napište nám na FB stránku, případně na Twitter. Děkujeme.

Autor článku

Security Architect, šéfredaktor serveru Security-Portal.cz, spoluorganizátor konference Security Session a hlavní vývojář distribuce Securix GNU/Linux.