Když vás ochránce pustí dovnitř
Tento týden byla zveřejněna závažná zranitelnost wordpressového pluginu Loginizer, který je jedním z nejpopulárnějších vůbec a je tak nainstalován na více než milionu webů, byla zveřejněna tento týden.
Plugin slouží k ochraně před útoky hrubou silou proti přihlašovacímu formuláři, při logování a případnému blacklistování útočících adres. Právě logování použitých přihlašovacích údajů se ukázalo jako zranitelné, protože plugin nedostatečně ošetřuje vstup a případné SQL příkazy mohou vést k úspěšnému útoku typu SQL Injection a tím pádem až ke kompletnímu převzetí kontroly nad webem.
Autoři samotného WordPressu považují zranitelnost za tak závažnou, že sáhli po vzácném opatření, kterým je nucená automatická aktualizace pluginu většiny wordpressových webů. Je však doporučeno zkontrolovat, že aktualizace proběhla a Loginizer běží v opravené verzi 1.6.4. V opačném případě je nutné provést aktualizaci manuálně.
Aktivně zneužívaná zranitelnost Google Chrome
Google Chrome (přesněji knihovna FreeType) obsahuje chybu CVE-2020–15999, která umožňuje vykonání kódu v kontextu uživatele a je již aktivně zneužívána. Aktualizujte Chrome na verzi 86.0.4240.111 volbou Help → About Google Chrome.
Zranitelnost se dále vyskytuje/vyskytovala i v Chromiu a jeho odvozeninách, jako jsou například Microsoft Edge, Brave, Vivaldi nebo Steam. Zranitelnost postihuje nejen Windows, ale také iOS, Android a Linux. Navíc je velmi pravděpodobné, že knihovnu FreeType používají i další open-source projekty. Knihovnu je tedy nutné aktualizovat na verzi 2.10.4.
Phishingová kampaň zneužívá Microsoft Teams
Pracovníci společnosti Abnormal Security objevili novou phishingovou kampaň, která využívá populární služby Microsoft Teams. Podle vyjádření společnosti útok mohl zasáhnout až padesát tisíc uživatelů. Útočníci se snaží získat přístupové údaje pro Office 365 a to tak, že na první pohled se e-mail tváří, že byl odeslán pomocí automatizovaného nástroje určeného pro Teams.
Ve phishingové zprávě je uživateli oznámeno, že v aplikaci Teams je nová aktivita, kterou si může vyzkoušet. V případě, že uživatel klikne na jeden ze tří odkazů v e-mailu, je přesměrován na falešné přihlašovací stránky pro Office 365.
Zranitelnosti VMware
Tento týden VMware odhalil šest zranitelností týkajících se jejich ESXi, Workstation, Fusion, Cloud Foundation a NSX-T produktů.
Nejkritičtější z nich, zranitelnost CVE-2020–3992 dosahuje skóre 9,8 z 10 na stupnici závažnosti. Jedná se o zranitelnost v ESXi hypervizoru, kterou lze zneužít prostřednictvím sítě ke spuštění škodlivého kódu na kompromitovaném stroji. Chyba byla objevena v rámci iniciativy Zero Day Initiative společností Trend Micro, která upozornila na to, že ke zneužití této chyby není vyžadováno žádné ověření.
Specifická chyba se vyskytuje při zpracování zpráv SLP. Problém vyplývá z nedostatečné validace existence objektu před provedením operací s objektem. To může útočník zneužít k provádění kódu skrze démona SLP.
Není URL jako URL
Některé mobilní prohlížeče jsou náchylné k podvržení adresního řádku. Chyba se týká prohlížečů Apple Safari, Opera Touch, UCWeb, Yandex Browser, Bolt Browser a RITS Browser. Pákistánský výzkumník ji objevil v srpnu a až nyní ji zveřejnil, aby měli výrobci čas na opravu (ne všichni zatím stihli).
Útok se realizuje tak, že JavaScript přemaže obsah stránky, zatímco rozkáže načítat jinou stránku. Panel adresy se změní hned, byť data z cílové stránky ještě nedorazila (nebo nikdy nedorazí). V demonstraci začne načítat neobsazený port prohlížeče bing.com (v nekonečném cyklu). Prohlížeč ochotně ihned ukáže v panelu adresu bing.com – ovšem pro úsporu místa, která je v tomto případě zcela kontraproduktivní, neukáže plné URL, bing.com:8081. Na tomto portu server Bingu nevrací žádný obsah, takže prohlížeč čeká a obsah stránky volně určuje útočník.
Chyba je o to závažnější, že kontrola domény v panelu adresy je pro uživatele jedním z hlavních bezpečnostních návyků.
Instagram má problém
Irský národní úřad pro ochranu osobních údajů (Data Protection Commissioner, DPC) vyšetřuje Instagram. Důvodem je způsob, jakým sociální síť nakládá s osobními daty nezletilých uživatelů. Pokud se ukáže, že se společnost skutečně porušila zákon, Facebook, kterému Instagram patří, může čelit vysoké pokutě. Facebook provinění odmítá a s úřadem spolupracuje.
DPC, coby celoevropský supervizor pro dodržování zákona o GDPR, prošetřuje, zda vůbec Facebook má zákonnou oporu pro nakládání s osobními daty dětí a zda má na Instagramu pro dětské uživatele nastaveny dostačující ochranné mechanismy. Dále se zajímá také o to, zda Facebook v souvislosti se zakládáním profilu a nastavením účtu na Instagramu dodržuje zákon o GDPR, a to s ohledem na skutečnost, že dětští uživatelé jsou považováni za zranitelné (minimální věk pro založení instagramového účtu je třináct let).
Závěry průzkumu Cybersecurity: The Human Challenge
IT manažeři v organizacích postižených ransomwarem se téměř trojnásobně častěji cítí „výrazně pozadu“, pokud jde o porozumění kybernetickým hrozbám, v porovnání s jejich kolegy v organizacích, které zatím napadeny nebyly (17 % oproti 6 %).
V České republice studie podobný rozdíl nezaznamenala – „výrazně pozadu“ za kyberhrozbami se cítí 16 % IT manažerů, bez ohledu na to, zdali již jejich organizace byla napadena či nikoli. Více než třetina (35 %) obětí ransomwaru uvedla, že nábor a udržení kvalifikovaných profesionálů v oblasti zabezpečení IT bylo jejich největší výzvou, pokud jde o kybernetickou bezpečnost, ve srovnání s pouhými 19 % těch, kteří dosud zasaženi nebyli. V České republice se tento údaj pro organizace napadené a nenapadené ransomwarem opět neliší a problém se získáním kvalifikovaných profesionálů na zabezpečení IT řeší 33 % organizací.
ADAM a hledání Nette frameworku
Na začátku června jsme v rámci projektu ADAM spustili nástroj DNS crawler, který periodicky prochází domény druhé úrovně pod TLD .cz, sbírá data z DNS, webových a mailových serverů a umožňuje nám získaná data analyzovat. Dnes bychom vás rádi seznámili s jedním z výstupů této aktivity, která přispěje celkové bezpečnosti českého Internetu.
Před dvěma týdny byla zveřejněna informace o závažné zranitelnosti (CVE-2020–15227) populárního webového PHP frameworku Nette, která může potenciálnímu útočníkovi umožnit tzv. vzdálené spuštění kódu (remote code execution), což je jeden z nejrizikovějších typů zranitelností a může vést až k převzetí kontroly nad serverem. Protože se tato zranitelnost nachází právě v kódu samotného frameworku, který je hojně využíván při tvorbě webových stránek, dotýká se tato zranitelnost opravdu velkého množství webů.
Ve zkratce
- Konference CyberSecurity zdarma a online
- Takový ten pocit, jako když náhodou uhádnete heslo prezidenta USA
- Aktivity ruských státních hackerských skupin na území USA
- NSA zveřejnila seznam bezpečnostních chyb v současné době zneužívaných čínskými, státem sponzorovanými skupinami
Pro pobavení
Cybersecurity talent crunch getting you down? We can relate! Funny stuff from John Klossner https://t.co/mjXp4UbvG6 pic.twitter.com/V17wlRWo1i
— DarkReading (@DarkReading) November 2, 2017
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…