Napadené weby ruských věznic
Během několika hodin po úmrtí ruského opozičního vůdce Alexeje Navalného v ruské věznici využila skupina hacktivistů získaný přístup k počítačové síti propojené se systémem věznic, napadla webové stránky jednoho z dodavatelů vězeňských služeb a servery komisariátu vězeňského systému.
Na stránkách umístili fotografii Navalného a jeho manželky, spolu s vzkazem podporujícím zesnulého politika. Z vězeňského systému se jim podařilo odcizit databázi obsahující informace o cca 800 000 ruských vězňů a jejich blízkých. CNN bylo schopno několik údajů ze zveřejněných screenshotů ověřit.
Kromě toho hackeři provedli manipulace v online komisariátu vězeňského systému, kde zvýhodnili ceny některých potravin na pouhý rubl (kompletní náprava trvala zhruba tři dny). Tato akce měla zřejmě za cíl vyvolat rozruch a upoutat pozornost na situaci ruských vězňů a jejich podmínky.
Hackeři tvrdí, že sdílejí ukradená data, aby přispěli k objasnění smrti Navalného a vyvinuli tlak na vyšetřování.
Únik dat z OWASP
Organizaci OWASP, unikla v únoru starší resumé členů (zejména z období let mezi 2006 a 2014), obsahující citlivé osobní informace. U Open Web Application Security Project jde o poněkud ironickou situaci, neb se tak stalo díky chybné konfiguraci starého wiki serveru.
Dokumenty obsahovaly jména, e-mailové adresy, telefonní čísla, adresy a další. Kromě lokálních oprav a vyčištění se OWASP postarala i o vyčištění mezipaměti Cloudflare, požádala o vymazání dat z Web Archive, a pokusila se zkontaktovat všechny dotčené osoby (což se ne vždy podařilo, vzhledem k neaktuálnosti dat a tomu, že řada z nich už s organizací dlouho nespolupracuje).
Rozsáhlý únik dat AT&T postihl miliony uživatelů
AT&T nedávno zaznamenal rozsáhlý únik dat postihující 73 milionů uživatelů (přibližně 7,6 milionu současných a 65,4 milionu bývalých účtů). Únik dat, zahrnující citlivé informace jako jména, e-mailové adresy, sociální pojištění a hesla, byl podle AT&T původně objeven na dark webu, fórum má ale i zcela veřejnou variantu. Informace údajně obsahují 49 102 176 unikátních emailových adres a podobné množství amerických čísel sociálního zabezpečení.
Přestože existuje nejistota ohledně zdroje dat – zda z systémů AT&T nebo dodavatele – společnost podnikla kroky jako je resetování hesel a nabídla monitorování úvěru postiženým uživatelům, ovšem uvedla, že nemá důkazy o neoprávněném přístupu k vlastním systémům.
WordPress a nepoučitelní tvůrci pluginů
Během druhé Wordfence Bug Bounty Extravaganza byla objevena kritická zranitelnost v pluginu WP-Members Membership, který je nainstalován na více než 60 000 instancích WordPressu. Tato zranitelnost umožňuje útočníkům vkládat JS kód prostřednictvím záhlaví X-Forwarded-For (používaného pro logování). Pokud na stránku přistoupí administrátor, kód běží v jeho kontextu a umožňuje provádět veškeré akce, které administrátoři rádi provádějí – změny práv, nastavení, vytváření zajímavých uživatelských účtů, etc. Zranitelnost je opravena ve verzi 3.4.9.2.
Další kritická zranitelnost je v populárním pluginu LayerSlider a může být zneužita k extrakci informací z databáze (kupříkladu i hašů hesel). Chyba je označena jako CVE-2024–2879. Aktualizace byla vydána ve verzi 7.10.1. Jedná se o oblíbenou SQL injection, neb LayerSlider nepoužívá prepare().
PostgreSQL JDBC SQL a kreativní SQL injection
CVE-2024–1597 je kritická SQL injection v JDBC driveru pro PostgreSQL, zneužitelná pokud je použita volba PreferQueryMode=SIMPLE (což není defaultní konfigurace). Použití je trochu specifické – musí být použity dva placeholdery, první pro číslo, a před prvním placeholderem musí být mínus.
Pak lze využitím záporné hodnoty z mínusů poskládat komentář části dotazu a do druhého placeholderu vložit svůj. Postiženy jsou verze před 42.7.2, 42.6.1, 42.5.5, 42.4.4, 42.3.9 a 42.2.28.
Curl zapomíná zapomínat
Vyšel oblíbený nástroj curl ve verzi 8.7.0 a opravuje dvě středně a dvě mírně závažné zranitelnosti.
- CVE-2024–2398 – útočníkovi je umožněno vyvolat únik paměti v knihovně libcurl tím, že při povoleném server push HTTP/2 překročí limit 1000 hlaviček, což vede k neuvolnění paměti alokované pro tyto hlavičky po ukončení push operace.
- CVE-2024–2379 – útočníkovi je umožněno obejít ověření certifikátu pro QUIC spojení v libcurl, pokud je knihovna sestavena s využitím wolfSSL a konfigurována se symbolem OPENSSL_COMPATIBLE_DEFAULTS.
- CVE-2024–2466 – útočníkovi je umožněno provést neověřené TLS spojení se serverem, který je specifikován jako IP adresa, pokud je knihovna libcurl sestavena pro použití s mbedTLS.
- CVE-2024–2004 – útočníkovi je umožněno provést požadavek pomocí nešifrovaného protokolu, který byl explicitně zakázán.
Apache a komplikovaná práce s protokoly
Nová verze HTTP serveru Apache ve verzi 2.4.59 opravuje dvě středně závažné a jednu méně závažnou zranitelnost.
- CVE-2024–27316 – neautentizovaný vzdálený útočník může soustavným tokem HTTP/2 hlaviček způsobit neomezený růst vyrovnávací paměti, což vede k vyčerpání prostředků a odepření služby.
- CVE-2023–38709 napadnutelná či zlomyslná aplikace na backendu může kvůli nedostatečné kontrole vstupu způsobit rozdělení HTTP odpovědi.
- CVE-2024–24795 – autentizovaný vzdálený útočník může injektování hlaviček odpovědí do backendové aplikace způsobit desynchronizaci HTTP přenosu.
Pro poučení: elektronická pošta není jednoduchá
Google a Yahoo zveřejnili požadavky na příchozí poštu – nesplníte-li, nejspíš skončíte ve spamové složce, nebo fasujete pět set padesátku. Pěkné shrnutí je třeba na XOMedia.
Pro trochu smutné pobavení…
… několik relevantních citací k nedávnému pokusu o sabotáž skrz XZ.
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
