Postřehy z bezpečnosti: velká úroda malwaru i zranitelností

Malware Capoae napadá linuxové servery

Výzkumník Larry Cashdollar z firmy Akamai publikoval zprávu o novém malwaru Capoae (znaky ASCII z ruského Сканирование  – scanování, což malware v určitou chvíli hlásí) napadajícím linuxové servery, na kterých jsou provozovány systémy CMS WordPress se slabými administrátorskými hesly.

Na hacknutém serveru je nainstalován trojský kůň – wordpressový plugin download-monitor, který stáhne do adresáře /tmp 3MB program napsaný v jazyce Golang. To je další malware, který umí nejen dekódovat stažené soubory, ale také na hacknutý server nainstaluje webshelly, které umožňují neoprávněný přístup.

Mimoto se snaží šířit tak, že hledá další zranitelné systémy – Oracle WebLogic Server, ThinkPHP, WordPress, Jenkins a slabá hesla v SSH. Také si zajistí persistenci: bezprostředně po každém spuštění se program překopíruje pod novým názvem do adresáře se systémovými programy, v  crontab u si vytvoří příslušný záznam, který má onen zkopírovaný soubor spustit během minuty, a z disku se vymaže. Jeho odstranění je tedy velmi obtížné.

Konečným cílem tohoto malwaru je spustit na ovládnutých strojích XMRig nebo jiný software pro těžbu kryptoměn – např. Bitcoin, Monero, Dashcoin nebo DarkNetCoin.

Zpráva obsahuje i seznam indikátorů kompromitace a IP adres, s nimiž malware komunikuje.

Proti tomuto malwaru je třeba se bránit standardními prostředky:

• neužívat slabých nebo implicitních hesel
• včas instalovat bezpečnostní záplaty
• kontrolovat logy, zda neobsahují podezřelé záznamy
• kontrolovat běžící procesy a spotřebu systémových prostředků.

Nové zranitelnosti CMS Drupal…

Letos již šestou sadu zranitelností odhalili vývojáři CMS Drupal 15. září 2021: je jich pět, z nichž tři umožňují neoprávněný přístup do systému a dvě Cross-Site Request Forgery. Tyto zranitelnosti jsou opravené ve verzích Drupalu 9.2.6 (podpora systému zaručena do 15. června 2022), 9.1.13 (podpora do 8. prosince 2021) a 8.9.19 (podpora skončí už 2. listopadu 2021).

… a také Apache OpenOffice …

Singapurský etický hacker Eugene Lim (spaceraccoon) odhalil v Apache OpenOffice včetně nejnovější oficiálně dostupné verze 4.1.10 ze 4.5.2021 závažnou zranitelnost CVE-2021–33035 – spuštění libovolného kódu prostřednictvím vhodně upraveného databázového souboru. Lim ohlásil tuto zranitelnost už v květnu; Apache Software Foundation ji zatím opravila 17. září 2021 pouze ve zdrojové verzi na GitHubu a v beta verzích, ale nikoli na oficiálním úložišti. Lze tedy oprávněně předpokládat, že všichni uživatelé Apache OpenOffice teď používají zranitelnou verzi programu.

Lim se s Apache Foundation domluvil, že zranitelnost zveřejní 30. srpna; nakonec ji zveřejnil 18. září na on-line konferenci HackerOne H@cktivityCon a na Twitteru. Zranitelnost je tedy dobře známa a je podrobně popsána např. v článku na TheRegister.

… a také v Nagiosu!

V systému Nagios často používaném pro správu rozsáhlých počítačových sítí nalezl Noam Moshe, pracovník bezpečnostní firmy Claroty, jedenáct zranitelností, které umožňují neautentizovaným útočníkům spustit libovolný kód s nejvyšším oprávněním, ukrást přihlašovací údaje a/nebo provádět phishingové útoky. Jsou to:

• CVE-2021–37343 (CVSS skóre: 8.8)
• CVE-2021–37344 (CVSS skóre: 9.8)
• CVE-2021–37345 (CVSS skóre: 7.8)
• CVE-2021–37346 (CVSS skóre: 9.8)
• CVE-2021–37347 (CVSS skóre: 7.8)
• CVE-2021–37348 (CVSS skóre: 7.5)
• CVE-2021–37349 (CVSS skóre: 7.8)
• CVE-2021–37350 (CVSS skóre: 9.8)
• CVE-2021–37351 (CVSS skóre: 5.3)
• CVE-2021–37352 (CVSS skóre: 6.1)
• CVE-2021–37353 (CVSS skóre: 9.8)

Verze 5.8.6 programu Nagios XI z 2. září 2021 i příslušné verze programů Nagios XI Docker Wizard, Nagios XI WatchGuard Wizard a Nagios XI Switch Wizard už jsou opravené.

Autor zprávy upozorňuje, že zneužití těchto zranitelností Nagiosu by mohlo způsobit podobně dalekosáhlé škody jako nedávné útoky na SolarWinds Network Performance Monitor (NPM).

Malware OpenSUpdater je velmi rafinovaný

Program Adware:Win32/OpenSUpdater, který firma Microsoft klasifikuje jako vysoce nebezpečný Adware (v prohlížeči zobrazuje nevyžádané reklamy a na počítačích instaluje další malware), při své činnosti zneužívá toho, že kontrola certifikátů rozesílaného malwaru funguje jinak pod MS Windows a jinak pod OpenSSL. Zjistili to pracovníci Google Threat Analysis Group a publikovali to 23. září 2021. Autoři OpenSUpdateru tedy generují certifikáty, které Windows považují za platné, ale bezpečnostní scannery, které často používají OpenSSL, nedokáží ověřit jejich platnost a propustí je tedy také jako platné.

OpenSUpdater se často používá ke stažení „šedého“ softwaru, jako jsou např. cracknuté hry a „cheaty“. Uživatelé si ale kromě programů, které už tak bývají často zavirované, mohou způsobit ještě další nečekané problémy.

Ve zkratce

• Malware napadá MS Windows skrze WSL a linuxové programy 
• Stručný popis funkce Private Relay v iOS 15 firmy Apple
• Google zakáže přístup k neužívaným aplikacím i na starších Androidech
• Europol pozatýkal 106 italských mafiánů řádících na Internetu
• Provozovatel DDoSových serverů downthem[.]org a ampnode[.]com odsouzen

Pro pobavení

Autor: D. Fletcher

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…