Na kurzech o bezpečnosti, které vedu v rámci Akademie CZ.NIC, jsem až doposud říkal, že persistentní XSS dnes už na webech jen tak nepotkáte. Ale přestávám si tím být tak docela jistý, protože tento týden se objevilo persistentní XSS v pluginu WP-Super-Cache pro WordPress a v březnu byla ta samá chyba nalezena v rozšíření Google Analytics by Yoast, opět pro WordPress. Nikdo se pak nemůže divit, že jsou stránky na WordPressu často, ale opravdu často využívány k útokům přesměrovávajícím nebohé návštěvníky na různé exploit kity. Svůj podíl na tom mají jistě i někteří správci, kteří k záplatování přistupují řekněme laxně. Že v tomto směru není něco v pořádku, si všimla už i FBI, která tento týden vyzvala administrátory k záplatování stránek běžících na… WordPressu.
Ostatně FBI musí ležet CMS systémy pěkně v žaludku. Je to asi dva roky zpět, co jsme od této organizace, respektive od US-CERT, který je s FBI úzce propojen, každý týden dostávali seznam serverů z ČR, které se v rámci operace Ababil podílely na útocích na banky v USA. Většina z těchto serverů běžela na nějakém tom CMS a přes různé zranitelnosti tam útočník dostával své PHP skripty, které pak použil k DDoS útokům. Když uvážíme, že webové servery obvykle leží na rychlých linkách, tak to byl od útočníků chytrý tah.
Naše postřehy
Útočníci hlásící se k hnutí Islámský stát napadli síť francouzské televizní stanice TV5Monde. Útočníkům se podařilo na několik hodin vyřadit z provozu vysílání této stanice a zároveň napadnout její internetové stránky a profily na sociálních sítích. Poslední verze událostí hovoří o útoku s pomocí Kjw0rm RAT. Otázkou je, jestli to nutně musel být sofistikovaný útok, jak o něm hovoří vedení tohoto kanálu. Při jednom z rozhovorů se zaměstnanci televize se podařilo nevědomky zabrat nástěnku zaměstnanců, na které byly lístečky s různými hesly. Například heslo k Youtube prý znělo „lemotdepassedeyoutube“, přeloženo do češtiny něco jako „heslokYoutube“. Na jiném záběru této televize se zase objevil „klasický“ žlutý papírek se jménem a heslem přilepený na monitoru. Televize se hájí tím, že lístečky s hesly se na nástěnce objevily až po útoku, kvůli potřebě rychle vyřešit dočasné přístupové kódy. Jenže tady nejde jen o politiku nakládání s hesly, ale zjevně také o jejich kvalitu.
Když jsme u té kvality hesel, minulý týden útočníci napadli účty klientů společnosti Lufthansa. Konkrétně účty v rámci programu pro sbírání nalétaných mílí, které mohou zákazníci následně směnit za různé hmotné i nehmotné odměny. Útočníkům se skutečně podařilo do některých účtů dostat. Přitom použili „jenom“ starý dobrý brute-force útok, tedy vyzkoušeli velké množství kombinací jmen a hesel.
Fortinet publikoval krátký blogpost, ve kterém popisuje, jakým způsobem jím analyzovaný malware ukrýval komunikaci do statutu HTTP/1.1 404 Not Found. Ač by se na první pohled mohlo zdát, že malwaru na druhé straně nic neodpovídá, opak je pravdou. V komunikaci jsou ukryty jak zprávy zjišťující stav C&C serveru, tak také data a příkazy.
Po třech týdnech tu máme další způsob, kterým lze shodit prohlížeč Chrome. Tentokrát k tomu stačí speciálně upravený a/nebo dlouhý odkaz.
Turecká vláda nechala zablokovat přístup k Youtube, Facebooku a Twitteru kvůli fotografiím státního zástupce, který byl minulý týden zajat levicovými extrémisty a následně zemřel. Turecká vláda tvrdí, že se tak stalo na základě soudního rozhodnutí a až po té, co neúspěšně požádali dotčené strany o odstranění „závadných“ fotografií. Osobně mi podobné cenzurování internetu ze strany vlád připadá naprosto nepřípustné a ačkoliv chápu, že kolování fotek oběti po Internetu musí být pro pozůstalé drásající, není možné tímto způsobem vyvíjet nátlak na provozovatele jednotlivých služeb, jako tomu bylo v tomto případě.
Herní platforma Steam se stává čím dál častějším vektorem různých útoků. Ten z minulého týdne spočíval v ukrytí malware do demo verze hry. Útočníci vzali demo reálné nové hry Octopus City Blues a přidali jej do sekce Greenlight na stránkách služby Steam. Falešná stránka vypadala velmi přesvědčivě a obsahovala videa, screenshoty a popis samotné hry.
Na konci opět něco pozitivního. DARPA (Defense Advanced Research Projects Agency) vyvíjí nový slibný nástroj pro detekci Malware na platformě Android. Jedním z cílů projektu je minimalizovat potřebnou lidskou práci při provádění detekce. Nástroj při testech úspěšně detekoval 85,7 procent zlovolných aplikací vytvořených druhým týmem.
Ve zkratce
- NBÚ získal přístup k prohlížení zdrojových kódů MS
- Společnost Apple záplatovala přes 80 bezpečnostních problémů
- Systémy FAA byly zasaženy malware
- Google Ads smětovaly uživatele na Nuclear exploit kit
- #OpIsrael
- Vzdálené spuštění kódu v BitTorrent Sync
- Zranitelnost Schneider Electric VAMPSET
- Mozilla Firefox 37.0.1. opravuje MITM chybu
- Bílý dům – loňský útok nekompromitoval klasifikované systémy
- Hackovací nástroje v Pythonu
- Cisco záplatuje několik zranitelností ASA
- Mezinárodní operace ukončila Beebone Botnet
- 122 online diskuzních fór přesměrovávalo na Fiesta kit
- Uživatelé by měli rychle migrovat na OS X Yosemite 10.10.3
- Spotřebitelé necítí důvěru k novým top-level doménám
- Siemens záplatuje zranitelnosti SIMATIC HMI
- Nový červ se snaží šířit s pomocí Shellshocku
Závěr
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.