NAS My Cloud od Western Digital mají otevřený backdoor, který nelze vypnout

firmware backdoorVe firmware celkem 12 zařízení se nachází povolený vzdálený administrátorský přístup, ke kterému se může kdokoli přihlásit předem nadefinovaným přihlašovacím jménem a heslem, to je přitom pro všechny přístroje společné a nelze změnit.

Přihlašovací údaje jsou dnes veřejně známé (login: „mydlinkBRionyg“ a heslo: „abc12345cba“) a samotný login bohužel není možné zakázat nebo alespoň přihlašovací údaje změnit. Zařízení tak otevírají dokořán svou náruč útočníkům prakticky bez nutnosti nějakých pokročilých technických znalostí.

Login slouží primárně k přístupu na disk pro čtení, ale analytik James Bercegay z Gulftech, který chybu odhalil, nakonec získal také root přístup. Samotný útok je tak banální, že jej lze bez problému algoritmizovat a provádět třeba prostřednictvím síťového červa. Na zařízení je možné útočit dokonce i když jsou jen na místní síti a to přes web. Stačí na stánky umístit patřičně upravený obrázek v HTML a iFrame tagy k odesílání požadavku na zařízení na místní síti.

Problém mají produkty z řad My Cloud a My Cloud Mirror. Konkrétně se jedná o modely My Cloud Gen 2, My Cloud EX2, My Cloud EX2 Ultra, My Cloud PR2100, My Cloud PR4100, My Cloud EX4, My Cloud EX2100, My Cloud EX4100, My Cloud DL2100, My Cloud DL4100 a MyCloudMirror (pouze s firmwarem do verze 2.30.165 včetně).

Zajímavostí je, že se backdoor do NAS od WD dostal skrze zařízení D-Linku (chyba byla vystopována v softwaru ShareCenter u NAS D-Link DNS-320L). Firma totiž využívala jejich upravený software, samotný D-Link ale chybu opravil již v roce 2014.

KW

Rok 2017 patřil hackerům: přehled největších průlomů a útoků ransomwaru

Zranitelná kritická infrastruktura, špatně zabezpečené databáze, úniky dat v naprosto bezprecedentním množství (ukradená data milionů lidí), přesně tak by se dal shrnout uplynulý rok z pohledu bezpečnosti.

security ransomwareCrash Override a Triton

Že se kybernetická nebezpečí nevyhýbají ani kritické infrastruktuře nás již před lety přesvědčil červ Stuxnet. Přesto zabezpečení SCADA systémů vzhledem k poměrně nízkému množství známých hrozeb poněkud pokulhává. To by se ale mohlo nyní změnit, hrozeb totiž rychle přibývá. První signál proto představuje objev hackerského nástroje pro napadení energetických gridů s výstižným názvem Crash Override (někdy též označovaný jako Industroyer). Ten byl poprvé úspěšně nasazen již koncem roku 2016 na Ukrajině, jednalo se o útok na energetickou síť Ukrenergo a výsledkem byl blackout celého Kyjeva. V roce 2017 se na scéně objevil také další podobný nástroj – malware Triton objevený společnostmi FireEye a Dragos. Také ten stál za několika úspěšnými útoky na průmyslové systémy. Oba hackerské nástroje mají obdobné schéma a řadu společných dílčích prvků.

WannaCry a Shadow Brokers

Loni o sobě dal také vědět hackerský tým Shadow Brokers, ten nejprve prohlásil, že disponuje výzvědnými nástroji NSA, což později potvrdila vlna nové generace sofistikovaných malwarů jako EternalBlue. Ta byla založena na zranitelnostech, které tým Shadow Brokers uvolnil.

Mediální pozornost na sebe upoutal zejména kmen zvaný WannaCry (vycházející právě z EternalBlue), který se rozšířil po celém světě. Ransomware šifroval data na počítačích se systémy Microsoft Windows a žádal platbu (300, po doběhnutí konečného termínu dokonce 2000 USD) v BTC na odblokování souborů. Virus se šířil od 12. května a hned první den zasáhl statisíce cílů včetně veřejných služeb a velkých korporací, jako jsou nemocnice a objekty National Health Service ve Velké Británii.

Virus měl naštěstí chybu v designu a tak se poměrně rychle podařilo objevit „kill switch“, který alespoň zastavil jeho další šíření.

Nová vlna ransomwaru

WannaCry to ale rozhodně nekončí. Brzy následovala celá nová vlna infekcí vylepšenými ransomwary, které vycházejí z rodiny Petya (starší generace z roku 2016). Ty úspěšně útočily na různé cíle po celém světě. I zde bylo využito poznatků a nástrojů od Shadow Brokers.

Pro novou generaci ransomwaru se vžilo označení NotPetya a připsala si takové zásahy, jako např. americkou farmaceutickou společnost Merck, dánskou lodní společnost Maersk a ruský ropný gigant Rosněfť. Vzhledem k úzkému zacílení se stále vedou spekulace o tom, že ransomware maskoval cílený kybernetický útok proti Ukrajině.

Čestnou zmínku si zaslouží také destruktivní ransomware BadRabbit, který se v říjnu šířil po Rusku a velké části centrální Evropy.

Equifax

Asi nejvýraznější událostí roku byl případ úniku dat téměř poloviny populace USA (145,5 milionů lidí), data přitom byla takového charakteru, že by bohatě stačila k úspěšné krádeži identity (data narození, čísla kreditních karet, social security identifikátory). Za historicky bezprecedentní situaci mohlo zanedbání bezpečnostní politiky firmou Equifax. Přitom by bývalo stačilo, aby společnost včas provedla aplikaci nejnovějších bezpečnostních záplat.

V daném případě se jednalo o průnik skrze MVC framework Apache Struts, ten totiž zůstal napadnutelný ještě dlouho poté, co byla odhalena chyba označovaná jako CVE-2017-5638 týkající se nahrávání souborů. Chyba umožnila, aby útočník pomocí řetězce „#cmd=“ mohl vzdáleně provádět příkazy. Situace je o to pikantnější, že se jedná o společnost fungující jako registr dlužníků, tedy poskytující odhad úvěrových rizik. V tomto oboru navíc patří ve Spojených státech mezi tržní trojku. Únik dat měl zajímavou dohru, společnost nejprve pro oběti útoku vytvořila web, kde bylo možné prostřednictvím posledních šesti čísel ze social security number ověřit, zdali se jich útok týká, později ale vyšlo najevo, že samotný web byl opět zranitelný a došlo tak pravděpodobně k dalšímu úniku dat. Laxní přístup k bezpečnosti nakonec stál místo jejího tehdejšího ředitele – Richarda Smitha. Jako perlička se při vyšetřování ukázalo, že digitální platforma využívána zaměstnanci Equifaxu v Argentině má správcovský účet s přihlašovacím jménem „admin“ a překvapivě i stejným heslem.

Čestnou zmínku na konec si určitě zaslouží ještě hacknutí firemní sítě Uberu. Útočníkům se díky průlomu podařilo získat kompletní data 57 milionů cestujících a 600 000 řidičů. Útok samotný pochází sice již z roku 2016, najevo ale vyšel až v listopadu roku 2017, kdy společnost hackerům zaplatila poměrně směšné (100 000 USD) výkupné za smazání dat.

KW

TOP 5 InfoSec: Předpovědi na rok 2018

F5Je opět začátek roku a lidé jako já zkoušejí své štěstí, zdali se jim povede správně předpovědět, jakou bezpečnostní nadílku si pro nás Santa na kybernetickou bezpečnost přichystal na 2018.

Poslední predikce byla vinou Internet Engineering Task Force poněkud jednotvárná, letos by to ale mohlo vypadat trochu jinak.

 

1. Zabezpečení webových aplikací bude hrát letos prim. V návaznosti na regulaci a astronomické pokuty, které hrozí za úniky uživatelských dat (GDPR), začínají organizace poprvé v rozsáhlém měřítku přijímat nástroje, služby a postupy pro zabezpečení aplikací pomocí Web Aplikačního FW (WAF). Rozmach také v nejbližší době zaznamená koncept RASP (Runtime Application Self-Protection) a automatická detekce botů. Bude růst obliba cloudových WAF coby služby s přidanou hodnotou, které znamenají větší bezpečnost díky outsourcingu včetně SOCu. Důvod je jednoduchý, množství aplikací rychle roste, zranitelnosti zde budou vždy a pouhé ruční patchování není ani praktické ani dostatečně škálovatelné řešení.

2. DDoS útoky budou dále narůstat. V roce 2017 jsme byli prvně svědky doslova internetového zatmění vinou DDoS útoku o síle 1 Tbps. Také se ukázalo, že je na trhu množství IoT zařízení s tak banálními zranitelnostmi, jako jsou výchozí správcovská hesla. Ta se stala snadným cílem řady botnetů jako Mirai, Persirai či Reaper. IoT zařízení jsou krásnou ukázkou, proč pouhé záplatování nestačí a je třeba postupovat proaktivně. Letos se také nejspíše dočkáme prvního více jak 2Tbps DDoS útoku.

3. Masivní úniky dat i stoupající síla DDoS útoků, obojí se bude letos ještě zintenzivňovat. Průniky a DDoS útoky se rychle adaptují a obcházejí poslední bezpečnostní vymoženosti. Organizace tak budou spíše než produkty vyžadovat záruky a garance bezpečnosti. Rodící se produkty cyber pojištění se tak stanou mnohem žádanějšími, než tomu bylo doposud.

4. Adopce DevOps praktik a automatizace infrastruktury nastartovaná v předchozím roce bude pokračovat i letos. Čekají nás ale trochu nepředvídané důsledky tohoto procesu – výpadky některých služeb právě v důsledku selhání automatizovaných procesů bohatě nahradí leckterý útok. Také se mi líbila slova Teda Dunninga z MapR Technologies and the Apache Software Foundation: „Automatizací si můžete zajistit cestu k menšímu množství práce, ale nemůžete automatizovat nalezení a implementaci řešení provozních potíží.“

5. Pokračovat bude také adopce kontejnerových technologií a s tím spojených technologií pro správu kontejnerů. Obojí doslova vystřelí do oblak ve snaze učinit infrastrukturu snáze „záplatovatelnou“ s cílem zajistit rychlou nápravu. Opravování zranitelností je velmi obtížné kvůli komplexním závislostem mezi hostitelským operačním systémem, platformou aplikačního serveru a kódem aplikace. Kontejnery jsou nejvhodnějším způsobem, jak tyto závislosti oddělit a zpřístupnit opravy jednoduchým způsobem.

Dokud vše nějak funguje, je snadné se nechat od náročných změn odradit, ale stojí za to připomenout, že pokusy o průnik a DDoS útoky, které selhaly, se nikdy nedostanou na titulku časopisů. Nesmíme usnout na vavřínech a nové technologie a postupy je potřeba zavádět kontinuálně, abychom zajistili stále bezpečnější internet každý nový den. Moje novoroční InfoSec rozhodnutí je setkávat se ještě více na malých komunitních konferencích a sdílet zkušenosti a nápady s více vrstevníky. Ať již jde o schůze ISSA či OWASP nebo o nejbližší Security BSides, které nám pomáhají udržet si pozitivní pohled na bezpečnost a zůstat v obraze.

Brian A McHenryAutorem článku je Brian A McHenry, Senior Security Solutions Architect ve společnosti F5 Networks, jehož hlavní doménou je zabezpečení webových aplikací a bezpečnost sítí. Na daná témata také přednáší na odborných konferencích a pravidelně přispívá do odborných médií. V oblasti security je dále aktivní také na twitteru: @bamchenry

arrow ecs alef