Postřehy z bezpečnosti: odhalena totožnost vývojáře LockBitu

13. 5. 2024
Doba čtení: 5 minut

Sdílet

 Autor: Root.cz s využitím DALL-E
Uplynulý týden byl opět bohatý na zranitelnosti, podíváme se tedy na problémy F5 Next Central, Tinyproxy či staronovou zranitelnost TunnelVision. Jednu starší, ale aktivně využívanou zranitelnost má také plugin pro WordPress.

Zranitelnosti v F5 Next Central

V produktu Next Central Manager společnosti F5 byly nalezeny zranitelnosti, které by mohl útočník využít k převzetí kontroly a vytvoření skrytých administrátorských účtů. Obě zranitelnosti (CVE-2024–21793 – OData injection a CVE-2024–26026 -SQL injection) jsou navíc zneužitelné vzdáleně.

Zranitelnosti se týkají verzí 20.0.1 až 20.1.0. Kromě výše uvedených zranitelností jsou v originálním článku společnosti Eclypsium popsány také další tři slabiny bez CVE, z nichž jedna, SSRF, umožňuje útočníkovi výše zmíněné vytvoření skrytých administrátorských účtů.

WordPress pod dalším útokem skrz zranitelný plugin

Útočníci aktivně zneužívají zranitelnost v LiteSpeed Cache pluginu ve WordPressu. Zranitelnost – stored XSS, je využívána k vytvoření admin účtů wpsupp‑user a wp‑configuser.

Ačkoliv byla zranitelnost opravena již v říjnu 2023 verzí 5.7.0.1, z 5 milionů aktivních instalací jich dosud 16,8 procent využívá starší verze.

TunnelVision – staronový únos provozu pomocí DHCP

Na blogu Leviathan Security Group vyšel článek o „odklánění“ síťové komunikace počítače. Útočník se tím může dostat k provozu, který by jinak šel přes VPN (tj. mimo jeho dosah). Zneužívá se k tomu DHCP, konkrétně Classless Static Route Option (121). Útočit se tím pádem musí tam, kde lze podvrhávat/falšovat DHCP zprávy od serveru, typicky ve stejné podsíti s obětí.

Pokud takovou upravenou zprávu přijme zranitelný klient, aktualizuje si podle ní svou směrovací tabulku. Jakmile je přijatá cesta více specifická než ta, která směruje provoz do VPN, bude mít přednost a dojde k „odklonu“.

I když popsaný útok není úplnou novinkou, jak si autoři původně mysleli (viz Hardening OpenVPN for DEF CON), přičemž sami polemizují o tom, zda jde o zranitelnost, rozhodně se zasazují o šíření povědomí o této technice. Ve spolupráci s CISA vzniklo CVE-2024–3661 a zranitelnost dostala i jméno – TunnelVision.

Zranitelná je většina OS běžných na klientech (vyjma Androidu, který DHCP Option 121 nepodporuje). Řešení autoři spatřují ve využití Linux Namespaces, což ale logicky nelze použít na všech platformách. Jako další opatření zmiňují (s výhradami) úpravu pravidel firewallu, ignorování DHCP Option 121 či použití vlastního hotspotu nebo VM.

Totožnost vývojáře LockBitu odhalena

Britská U.K. National Crime Agency (NCA) odhalila totožnost hlavního vývojáře LockBitu, Dmitry Yuryevich Khorosheva, 31letého programátora ruské národnosti. Khoroshev pracoval na vývoji LockBit ransomware od roku 2019 a službu nabízel jako Ransomware-as-a-Service s 20% provizí ze zisku nabytého vydíráním obětí. Khoroshev a jeho společníci si tímto přišli odhadem až na 100 milionů dolarů.

Službu se podařilo odstranit letos v únoru během koordinované operace Cronos a bylo zajištěno přes 2500 klíčů pro dešifrování dat. Podle zajištěných dat byl LockBit použit mezi červnem 2022 a únorem 2024 u více než 7000 případů. Mezi nejvíce zasažené země patří Spojené státy americké, Velká Británie, Francie, Německo a Čína.

Bug v Tinyproxy umožnující RCE a DoS

Malé sítě využívající Tinyproxy server mohou být vystaveny DoS útokům a remote code execution. Verze 1.11.1 a 1.10.0 totiž obsahují bug, který umožňuje útočníkovi poslat upravený http header request způsobující memory corruption.

Trnem v patě Tinyproxy je funkce remove_connection_headers(), sloužící k odstranění určitých HTTP hlaviček (headers) z předaného seznamu hlaviček, který je reprezentován jako uspořádaný seznam klíč-hodnota (orderedmap). Konkrétně tato funkce hledá hlavičky „Connection“ a „Proxy-Connection“ a odstraňuje je z tohoto seznamu.

Bug v této funkci umožňuje útočníkovi provést tzv. útok „Use-After-Free“, což je typ paměťové chyby, která může vést k narušení paměťového modelu a dokonce i ke spuštění kódu s privilegii. Chyba spočívá v tom, že funkce remove_connection_headers uvolňuje paměť pro hodnoty klíče „Connection“ a „Proxy-Connection“, ale následně opět používá tyto klíče, i když už jsou k dispozici jinému účelu. To může vést k situaci, kdy je uvolněná paměť opět použita, což může být zneužito útočníkem k provedení útoku.

Tato chyba může nastat i při použití jiných hodnot v hlavičce „Connection“, než je „Connection: Connection“, což může být využito k reprodukci problému. Cisco Talos publikoval proof-of-concept s detailním popisem.

FCC pokutuje hlavní americké mobilní operátory za prodej údajů o poloze zákazníků

Federální komunikační komise USA (FCC) uložila společnostem AT&T, Sprint, T-Mobile a Verizon pokuty v celkové výši téměř 200 milionů dolarů za nezákonné šíření údajů o poloze zákazníků bez jejich souhlasu, čímž uzavřela čtyřleté vyšetřování. Každý operátor prodával tyto informace agregátorům, kteří je následně prodávali třetím stranám.

FCC kritizuje operátory za přenesení odpovědnosti za získání souhlasu zákazníků na třetí strany a za pokračování v praxi přes vědomí o neúčinnosti bezpečnostních opatření. Pokuty, založené na délce trvání a počtu nezákonných dohod, tvořily malou část ročních příjmů společností, s nejvyšší pokutou pro T-Mobile ve výši 80 milionů dolarů a nejnižší pro Sprint — 12 milionů dolarů.

Hardwarový klíč nepomůže proti ukradené cookie

Ukradené přihlašovací údaje jsou faktorem průniku ve třetině úniků dat za posledních deset let, tak praví nedávná studie Verizonu. Jakmile se útočník dostane na systém, přihlašovací údaje jsou první věc, kterou hledá. To podnítilo zvýšený zájem o modernější metody autentizace (jako je FIDO2), které verifikují uživatele pomocí hardwaru k tomu určenému či biometrie. Nepotřebují tedy žádná hesla, která by bylo možné uživateli ukrást, nebo by je mohl neopatrně vyzradit skrze sociální inženýrství.

Nicméně bezheslový systém ještě napadení nevylučuje. Server cyberscoop.com v blogpostu shrnuje poznatky výzkumníků Silverforta Dor Segala a Yiftacha Kesheta o tom, že motivovaný útočník stále může překonat tyto moderní metody autentizace pomocí man-in-the-middle útoku, který replikuje uživatelské sezení. Autentizace pomocí hardwarového klíče je velmi odolná proti útoku, ale jestliže se do ní útočník prolomí, jestliže získá cookie, která slouží jako záruka bezpečného spojení, žádné další překážky už nemá. Aplikace cookie slepě důvěřují a neposkytují žádnou ochranu proti tomu, že cookie použije jiné zařízení nebo podezřelou geografickou lokalitu.

Pozor na konfiguraci veřejných AMI v AWS

Výzkum Eduarda Agavriloae ukázal, že z nevhodně nakonfigurovaných AMI (Amazon Machine Image) používaných v Amazon cloudu (AWS) mohou unikat citlivá data. Veřejné AMI z daného regionu lze poměrně snadno vypsat aws příkazem describe-images. Bylo nalezeno 3,1 milionu veřejných AMI. Po odfiltrování strojů, jejichž zkoumání nedávalo smysl jich zůstalo 26778. Analýzou dat na jejich discích bylo v konfiguračních souborech odhaleno 50 přístupových údajů do AWS (z toho 10 uživatelů z právy superuživatele).

ict ve školství 24

Dalších 100 uživatelských účtů a opět 10 superuživatelů bylo nalezeno Git depozitářích. V depozitářích bylo dále nalezeno 10 API klíčů, 10 GitLab/GitHub tokenů a jeden validní soubor přístupových klíču do Alibaby. V dalších konfiguračních souborech byly objeveny soukromé SSH klíče, gmail účty, účty do databází apod. Velmi podrobný popis toho, jak bylo výsledků dosaženo lze nalézt na securitycafe.ro.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.