Postřehy z bezpečnosti: nebezpečně zranitelné TCP/IP stacky

AMNESIA:33 – kritické zranitelnosti TCP/IP stacků

Pracovníci Daniel dos Santos, Stanislav Dashevskyi, Jos Wetzels a Amine Amri z Forescout Research Labs v rámci bezpečnostního projektu Memoria zveřejnili technickou zprávu How TCP/IP Stacks Breed Critical Vulnerabilities in IoT, OT and IT Devices, která varuje, že některé open-source TCP/IP stacky celosvětově používané v zařízeních Internetu věcí, řídících a výpočetních systémech obsahují celkem 33 závažných zranitelností souhrnně pojmenovaných AMNESIA:33.

Většinu problémů způsobují chybějící kontroly formátů a délek jednotlivých polí v paketech, které tak umožňují neomezené čtení nebo zápis do paměti. Nejzávažnější zranitelnosti mají CVSS skóre 9,8 z 10 a umožňují vzdálené spuštění libovolného kódu; ostatní umožňují Denial of Service, DNS Cache Poisoning a Information Leak.

Zranitelné jsou TCP/IP stacky v těchto operačních systémech:

• uIP-Contiki-OS (end-of-life [EOL]), verse 3.0 a starší
• uIP-Contiki-NG, verse 4.5 a starší; opravená verse je 4.6 a novější
• uIP (EOL), verse 1.0 a starší
• open-iscsi, verse 2.1.12 a starší
• picoTCP-NG, verse 1.7.0 a starší
• picoTCP (EOL), verse 1.7.0 a starší
• FNET, verse 4.6.3; opravená verse je 4.7.0 a novější
• Nut/Net, verse 5.1 a starší

Počty prodejců zranitelných součástí a zařízení:

Stack       Total vendors Component vendors Device vendors
uIP              125                26             99
Nut/Net           24                 1             23
picoFTP           10                 8              2
FNET               5                 2              3
Total unique     158                36            122

Lze předpokládat, že zranitelný software je obsažen v desítkách až stovkách milionů zařízení, z nichž pravděpodobně velká část nikdy nebude aktualizována.

Kritické zranitelnosti ve VPN routerech firmy D-Link

Pracovnící firmy Digital Defense odhalili v srpnu 2020 zranitelnosti VPN routerů firmy D-Link; nacházejí se v routerech DSR-150, DSR-250, DSR-500 a DSR-1000AC, které obsahují firmware 3.17 a starší. První zranitelnost umožňuje, aby se neautentizovaný útočník připojil k webovému rozhraní routeru prostřednictvím LAN nebo WAN a zadal libovolné příkazy, které budou vykonány s oprávněním root; tím může VPN router zcela ovládnout, spustit další útoky, způsobit Denial of Service atd.

I druhá zranitelnost umožňuje zadání a vykonání libovolných příkazů s oprávněním root; tentokrát ale musí být útočník autentizovaný.

Třetí zranitelnost spočívá v tom, že autentizovaný uživatel může do CRONu zadat libovolné příkazy, které budou opět vykonány s oprávněním root; firma to ale za chybu nepovažuje.

Dne 9.12.2020 zveřejnila firma D-Link dokument s popisem zranitelností a s odkazy na nově dostupné verze firmwaru v3.17B, které odstraňují první dva problémy.

Hackeři ukradli útočné nástroje firmy FireEye

Proslulá bezpečnostní firma FireEye, jejímž heslem je „FireEye knows more about cyber security than anyone“, ohlásila 8. prosince 2020, že na ni zaútočil vysoce rafinovaný útočník, pravděpodobně sponzorovaný státem, s velmi vysokými útočnými schopnostmi, s nimiž se dosud nesetkala tato firma ani její partneři.

Útočník ukradl nástroje, které používá FireEye k penetračnímu testování pro potřeby tzv. Červených týmů; údajně se v nich nevyužívají žádné zranitelnosti typu 0-day. Firma neví, jestli budou tyto nástroje zveřejněny nebo jen využívány; jako protiopatření proti těmto svým útočným nástrojům zveřejnila seznam problémových CVE, které je třeba co nejdříve zkontrolovat a odstranit.

Malware Adrozek vkládá reklamy do prohlížečů a krade přihlašovací údaje

Přibližně od května 2020 je ve světě rozšířený malware Adrozek, jehož účelem je maximalizovat počet kliknutí na odkazy na ty webové stránky, na nichž má hacker zájem a za které je placen. Tyto odkazy se zobrazují ve výsledcích hledání prostřednictvím vyhledávačů např. takto:

Podle zjištění Microsoftu tento malware, prozatím rozšířený zejména v Evropě, Indii a JV Asii, využívá rozsáhlou infrastrukturu se 159 unikátními doménami, z nichž každá obsahuje přes 17 tisíc unikátních URL s více než 15 tisíci unikátními polymorfickými vzorky malwaru. Zdá se, že vkládané odkazy zatím nesměřují na servery obsahující malware, ale to mohou útočníci kdykoli změnit.

Na prohlížeči Mozilla Firefox, který je často považován za bezpečnější než jiné, umí Adrozek také krást přihlašovací údaje a odesílat je útočníkům.

Ve zkratce

• Malware Trickbot už umí scanovat zranitelnosti firmwaru UEFI/BIOS
• Za útok DDoS pomocí botnetu Mirai mohl i tehdejší nezletilec; teď se přiznal. Pro osvěžení paměti uvádíme i původní informace (1), (2) o útoku.
• Ruský hacker odsouzen na 5 let za praní špinavých bitcoinů
• Vyhrožoval bombovými útoky a provozoval útoky DDoS, odsouzen k 8 letům vězení
• Hacker odsouzený na 20 let za pomoc Islámskému státu propuštěn po 4 letech díky astmatu, obezitě a obavám z koronaviru

Pro pobavení

Formulář pro hlášení problémů s počítačem:

1. Popište problém: _________________________­________________________
2. Problém popište přesně: _________________________­________________________
3. Uveďte svou teorii, proč k problému došlo: _________________________­________________________
4. Závažnost problému: A. Nízká ___ B. Nízká ___ C. Nízká ___ D. Triviální ___
5. Podstata problému: A. Nejde to odemknout ___ B. Zamrzlo to ___ C. Kouslo se to ___ D. Chcíplo to ___ E. Divně to smrdí
6. Je počítač zapojen do el. sítě? Ano ___ Ne ___
7. Je počítač zapnut? Ano ___ Ne ___
8. Snažil jste se to spravit sám? Ano ___ Ne ___
9. Vrátil jste všechno do původního stavu? Ano ___ Ne ___
10. Je to teď ještě horší? Ano ___
11. Požádal jste kamaráda, který se vyzná v počítačích, aby to opravil? Ano ___ Ne___
12. Je to teď ještě podstatně horší? Ano ___
13. Četl jste manuál? Ano ___ Ne ___
14. Určitě jste četl manuál? Možná ___ Ne ___
15. Jste si zcela jist, že jste četl manuál? Možná ___ Ne ___
16. Myslíte, že jste pochopil obsah manuálu? Ano ___ Ne ___
17. Pokud ano, proč nedokážete problém odstranit sám? _________________________­________________________
18. Restartoval jste počítač? Ano ___ Ne ___
19. Co jste dělal na počítači, když se problém objevil? _________________________­________________________
20. Pokud „nic“, vysvětlete, proč jste na něm byl přihlášen: _________________________­________________________
21. Jste si jist, že jste si problém jen nevymyslel? Ano ___ Ne ___
22. Ukazují u vás nějaké hodiny čas 12:00 a blikají? Ano ___ Ne ___
23. Máte nějaké fungující elektronické zařízení? Ano ___ Ne ___
24. Praštil jste důkladně do počítače? Ano ___ Ne ___
25. Hoří počítač? Ano ___ Ještě ne ___
26. Jaké pocity ve vás tento problém vyvolává? _________________________­________________________
27. Napište, jaké jste měl dětství: _________________________­________________________
28. Viděl tento problém nějaký nezávislý svědek? _________________________­________________________
29. Šlo by problém svést na někoho jiného? Ano ___ Ne ___

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…