Postřehy z bezpečnosti: WordPress je opět zranitelný

6. 2. 2017
Doba čtení: 3 minuty

Sdílet

V dnešním díle Postřehů si povíme o kritických zranitelnostech CMS WordPress, programu Tcpdump a o zranitelných tiskárnách oblíbených značek. K zamyšlení nás přiměje Etický kód počítačových zločinců.

Ve čtvrtek 26. ledna 2017 vyšla verze 4.7.2 CMS WordPress, která odstraňuje kritickou zranitelnost typu zero-day v REST API; toto API bylo přidáno do WordPressu ve verzi 4.7.0.

Zranitelnost umožňuje neautorizovaným uživatelům modifikovat webové stránky CMS a případně i spustit libovolný kód. Předešlá verze 4.7.1 byla zveřejněna jen krátce předtím; reagovala na osm jiných chyb. WordPress je jedním z nejrozšířenějších, ale i nejzranitelnějších CMS.

Kritické zranitelnosti tcpdumpu

V programu pro záznam packetů tcpdump verze 4.8.1 bylo zjištěno 32 různých zranitelností (CVE 2016–7922 až 2017–5486), z nichž některé lze zneužít ke spuštění libovolného kódu.

18. ledna 2017 byla zveřejněna opravená verze tcpdumpu 4.9.0. Libpcap verze 1.8.1 z 25.10.2016 se nemění.

Zranitelné tiskárny a multifunkční zařízení

Zranitelnosti v PostScriptu a v PJL (Printer Job Language) na tiskárnách Brother, Dell, HP, Konica, Kyocera, Lexmark, OKI, Samsung umožňují např.:

  • vytisknout vlastní text v souborech ostatních uživatelů
  • zaznamenat seznam úloh v tiskové frontě
  • vytisknout cizí soubory z tiskové fronty
  • zjistit heslo tiskárny pomocí PostScriptu a/nebo PJL
  • resetovat heslo pomocí SNMP a PML i bez znalosti SNMP community
  • způsobit DoS s využitím přetečení bufferu démona LPD na tiskárně
  • přečíst obsah paměti NVRAM tiskárny a tak zjistit její heslo
  • zničit paměť NVRAM velkým množstvím zápisů.

Výrobci byli informováni, ale zatím nereagovali, i když v řadě případů jde o známé problémy.

Ve zkratce

Dark web Kick Ass Marketplace zprostředkuje obchody s tajnými firemními informacemi

Pracovník Federálního reservního systému USA chycen při těžbě Bitcoinů

bitcoin_skoleni

DuckDuckGo: 10 miliard hledání

Neměnné pravdy o krádežích dat podle Briana Krebse a jeho čtenářů

Etický kód počítačových zločinců

  • Pokud něco připojíte k Internetu, pokusíme se tam nabourat.
  • Pokud vaše data na Internetu mají nějakou hodnotu, pokusíme se je ukrást.
  • I když to, co jsme ukradli, pro nás nemá cenu, nevadí. Prodáme to později a známe dost lidí, kterým se to může hodit.
  • Pokud se to nehodí ani našim známým, nevadí. Prostě to rozbijeme, zašifrujeme nebo vymažeme, aby vám to také nebylo k ničemu.
  • Možná za to, co jsme vám ukradli, nedostaneme plnou cenu, ale tu stanovují zákazníci, ne my. Buďte rádi, že jsme všechno nezveřejnili.
  • Pokud nemůžete nebo nechcete investovat do zabezpečení sítě ani zlomek ceny, kterou mají vaše data, netrapte se: patříte k našim oblíbeným zákazníkům.
  • Nedávejte na Internet data, která by nemohl znát každý. Nedávejte je ani do cloudů.
  • Pokud něco uložíte na cloud, už to nedokážete vymazat. Zůstane to tam i po „vymazání“.
  • Zabezpečení sítě není a nikdy nebude záležitostí typu „uděláš to jednou a máš pokoj“.
  • Naše zápasy nebudou nikdy vyrovnané. Pravidla stanovujeme a útočíme my. Pravidla měníme tak často, že se pokaždé opozdíte a budete mít méně prostředků než my.
  • Pokaždé budeme v přesile. I kdybyste měli dost peněz, nás bude vždycky víc. Na obranu před námi nedokážete najmout dost lidí; většina z nás nemá rodinu a nemusí pracovat v pevně stanovenou dobu.
  • Vždy budete v nevýhodě. Pokud nemáme proniknout do vaší sítě, musíte mít všechno v dokonalém pořádku. Nám stačí najít jedinou chybu, a jsme u vás. Máme větší motivaci najít a zneužít díry ve vašem zabezpečení než vaši pracovníci, kteří je mají najít a opravit.
  • Není na tom nic osobního. Automatizace je na naší straně. Najdeme každou bezpečnostní díru, nic nám neunikne.
  • Váš systém je lidské dílo, a proto se vždycky najde člověk, který se do něho nabourá.
ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

CESNET-CERTS je oficiální jméno bezpečnostního týmu sdružení CESNET, z. s. p. o. od ledna roku 2004. Jeho součástí je také Forenzní laboratoř FLAB. Články tvoří společně jednotliví členové týmu.