OpenAI a opletačky s GDPR
V minulém vydání Postřehů jsme se dozvěděli, že zranitelnost v ChatGPT mohla odhalit citlivé údaje předplatitelů. Týden se ani nestihl uzavřít a italský úřad „Garante Privacy“ (dohledový úřad pro GDPR) nařídil společnosti OpenAI omezení zpracovávání osobních dat uživatelů v Itálii s odkazem na tento incident, což v této chvíli OpenAI vyřešilo blokaci přístupu k ChatGPT. O tomto již Root psal ve zprávičce.
Blokace mezitím v Itálii vedla ke zvýšenému zájmu o VPN. OpenAI předložila italskému úřadu návrhy k nápravě, které úřad v těchto dnech zkoumá. Bing Chatu ani Midjourney se tato kauza, zdá se, zatím nedotkla, ale dočkejme času.
Objevujeme staré zranitelnosti
O útoku na dodavatele komunikačního VoIP softwaru 3CX jste se mohli dočíst již v minulých Postřezích. Jednou ze zranitelností, které byly při útoku využity, je tato 10 let stará – CVE-2013–3900 – kterou Microsoft sám vyhodnotil jako kritickou. Spočívá v tom, že je možné do prostoru PKCS7 podpisu uložit další informace, které neovlivní platnost samotného podpisu aplikace, a podpisový hash zůstává stejný. Takto je možné dopravit do jinak legitimně vypadající binárky i kus dalšího kódu. Jen pak musíte vymyslet mechanismus spuštění, ale jelikož takto můžete upravit i legitimní systémový soubor Windows (v tomto případě d3dcompiler_47.dll), dá se tak obejít některé ochrany. Krásnou ukázku publikoval na Twitteru Will Dormann.
Zmíněnou vlastnost využívá i řada legitimních aplikací (kupř. instalátor Google Chrome si do podpisu ukládá parametr, zda mu uživatelé dali souhlas k odesílání dat) a Microsoft se tudíž zachoval jako chytrá horákyně: opravu distribuoval v záplatě všem, ale každý (administrátor) si ji musí zapnout sám v registrech. A při upgradu z Windows 10 na 11 se to musí udělat znovu, jelikož se oprava deaktivuje. A právě tento kompromis je důvodem, proč je zranitelnost stále zneužívána. Před rokem ji použil např. bankovní malware Zloader.
Zneužívané zranitelnosti v zálohovacím software
Americká agentura CISA nepravidelně zveřejňuje seznam nově zjištěných zneužívaných zranitelností. Federální úřady v USA mají poté povinnost urychleně záplatovat své systémy.
V pondělním přehledu nalezneme pouze jednu zranitelnost Zimbry typu Reflected XSS pod CVE-2022–27926. V pátečním přehledu se už ale objevuje zejména zálohovací software Veritas Backup Exec. Důvodem je zneužití již opravených zranitelností z roku 2021 ransomwarem ALPHV (BlackCat). Detaily popsal Mandiant ve svém článku. Dle nich je na Internetu zpřístupněno přes 8500 instancí tohoto software. Další uvedenou zranitelností je CVE-2019–1388 ve Windows, která se týká dialogu certifikátu a umožňuje eskalaci práv, a nakonec CVE-2023–26083, což je únik paměti postihující jaderný driver GPU Mali.
Wi-Fi AP: Prozradím ti tajemství
Výzkumníci z Belgie a USA publikovali paper o několika útocích na bezdrátové sítě Wi-Fi s názvem Framing Frames: Bypassing Wi-Fi encryption by manipulating transmit queues, ke kterému budou mít prezentaci na konferenci USENIX 2023. Na blogu Sophosu se poté objevil výtah z paperu, který shrnuje nejdůležitější nálezy.
Při útocích se využívá funkce protokolu Wi-Fi, kdy připojené zařízení může říct přístupovému bodu (krátce AP), že na chvíli přestane vysílat. Je pak běžnou praxí, že AP si začne do fronty ukládat data, která jsou určena spícímu zařízení, a to v nešifrované podobě, protože při dalším připojení se může šifrovací klíč změnit.
Jenže jak pokyn k uspání, tak pokyn k probuzení může zfalšovat neautorizovaný útočník. Útok pak může spočívat v jednoduchém denial-of-service, kdy tyto „uspávací“ rámce může útočník odesílat stále dokola, nebo se může pokusit o extrakci dat ve frontě. Při obnovení spojení pak některým AP vůbec nevadí, že je zařízení žádá o nešifrovaný přenos, přestože bylo spojení na začátku šifrováno, a AP tak pošle obsah svojí fronty. Druhý útok je obdobný, má však podobu zneužití race condition a je již třeba k němu znát sdílený klíč Wi-Fi sítě. Ten lze ale v mnoha případech snadno zjistit. Důsledkem je opět odhalení některých dat původně směřovaných klientovi.
Tvůrci AP se mohou zneužití bránit aktualizací linuxového jádra na verzi 5.6 či novější a vyprázdněním fronty při změně šifrovacího klíče. Uživatelé pak mohou používat protokoly, které jsou šifrované na aplikační vrstvě TCP/IP, kupř. HTTPS či SSH, a tím riziko omezit. Omezení rizika DoS by pak vyžadovalo změnu návrhu protokolu, což si vyžádá čas.
Můj WD cloud? Náš WD cloud!
Uživatelé online služeb od Western Digital, kteří používají produkty My Cloud (v různých variantách) a SanDisk ibi, se nyní nemohou dostat ke svým úložištím na Internetu, ale někteří ani v lokální síti, jelikož jejich online služby se v neděli 2. dubna staly nedostupnými. Dle vyjádření firmy se útočníci již 26. března dostali do korporátní sítě a exfiltrovali blíže neurčené množství blíže neurčených dat. Western Digital se nyní snaží zjistit rozsah úniku a co přesně uniklo, a dále zprovoznit své cloudové služby. Jak jsme již viděli na případu LastPass, takové vyšetřování může trvat poměrně dlouho. V mezidobí si můžete alespoň zapnout přístup ke svým datům na úložišti v místní síti.
Ačkoliv to ve Western Digital zatím neoznámili, incident velmi připomíná jiné případy napadení ransomwarem, a to i vzhledem k dosavadní délce trvání obnovy.
Open vSwitch a DoS upraveným paketem
V Open vSwitch, virtuálním paketovém přepínači, byla objevena a opravena zranitelnost s označením CVE-2023–1668 způsobující pád při zpracování paketu s IP protokolem nastaveným na 0 a tudíž umožňujícím odepření služby vzdáleným útočníkem. Postiženy jsou prakticky všechny verze od 1.5.0. Větve 2.13 až 2.17, 3.0 a 3.1 dostaly opravy.
Jelikož zranitelnost CVE-2023–1668 zatím není zpřístupněná v databázích MITRE a NVD, momentálně nejpodrobnější technické informace naleznete v popisu změny s opravou, např. pro verzi 3.1.1.
Vzhledem k mechanismu zpracování není možné zranitelnost ošetřit firewallem přímo na zařízení. Dočasným řešením je nastavení explicitních pravidel s nejvyšší prioritou pro zahození postižených toků:
table=0 priority=65535,ip,nw_proto=0,actions=drop table=0 priority=65535,ipv6,nw_proto=0,actions=drop table=0 priority=65535,arp,arp_op=0,actions=drop
Verze s opravami jsou jmenovitě: 3.1.1, 3.0.4, 2.17.6, 2.16.7, 2.15.8, 2.14.9, 2.13.11,
Distribuce a další uživatelé opravy plánují a vzhledem k závažnosti se dají očekávat v průběhu následujícího týdne (např. Debian už zranitelnost eviduje, obdobně Red Hat).
Krátce
- Apple záplatoval dvě aktivně zneužívané zranitelnosti v iOS a macOS (Safari)
- Cisco záplatuje Expressway a TelePresence VCS
- TP-Link AX21 trpí RCE na lokální síti, vydán opravený firmware
- Microsoft a Fortra chtějí zabránit útočníkům zneužívat cracknutý Cobalt Strike, získali na to soudní příkaz v USA
- Telegram se stává populárním prostředkem phisherů, informuje Kaspersky
- Kybergang vydírá MSI, chce 4 miliony, jinak prý zveřejní privátní klíče a zdrojové kódy. MSI potvrdila průnik a varuje uživatele
- Amazon zablokoval prodej Flipper Zero. Údajně umožňuje skimming platebních karet
- Pracovníci Tesly si mezi sebou sdíleli nahraná videa z automobilů, včetně citlivých záběrů
Pro pobavení
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
ČLÁNKY DO MAILU