Chyby v softwaru

Apache Struts 2 - vysoce kritická zranitelnost

Týká se verzí: Apache Struts 2.3.14.1 a nižší

Javovský Apache framework Struts 2 ve verzi 2.3.14 obsahuje kritickou zranitelnost, která umožní vzdálenému útočníkovi provést libovolný příkaz. Detaily zranitelnosti zveřejnila Apache foundation na svém webu.

Situace se trochu zdramatizovala, když firma Square Security zveřejnila důkazy nefunkčnosti aktualizace 2.3.14.1. Útočník se podle nich velmi jednoduše a efektivně dostane ke vzdálenému shellu, firma proto doporučuje v systému pečlivě hledat indikátory kompromitace (IOC).

Fungující exploit pro verzi 2.3.14.1 (kód zneužívající zranitelnost) umístila firma do svého placeného web exploit frameworku D2 Elliot, jehož licenci pořídíte za roční poplatek cca 120 000,- Lze předpokládat šíření exploitu po internetu a potenciální útoky, Apache naštěstí vydal přes víkend aktualizaci na 2.3.14.2, která by již měla chybu konečně záplatovat.

Apache Struts 2 je open-source řešení distribuované zdarma pro vývoj Java aplikací. Využívá architekturu Model-View-Controler (MVC) a podporuje klasické REST aplikace i nové technologie jako SOAP a AJAX.

Novinky a Události

Zloději platebních karet nově perou peníze přes hotely

Krádež a zneužití informací o platebních kartách je v současné době asi vůbec nejvýnosnější byznys v internetovém podsvětí. Z rozhovoru s profesionálním hackerem nedávno publikovaném na webu plyne, že šikovná skupinka pár lidí si ročně přišla i na několik milionů dolarů (viz níže). S informacemi o kreditní/debetní kartě sice často máte přímý přístup k penězům oběti, ale nemůžete je zcela beztrestně vybrat - výběry z bankomatů jsou vystopovatelné stejně tak jako většina plateb přes internet. Zloděj tak musí zapojit trochu fištrónu a vymyslet si jiný postup.

Analytici laboratoří antivirové společnosti Kaspersky zaznamenali novou metodu praní peněz právě ze zmiňovaných krádeží karet. První fáze zahrnuje rozesílání žádostí o rezervaci pobytu na veřejně dostupné maily.

Pokud se ozve v odpovědi nějaká pověřená osoba pro registrace z reálného hotelu, přichází druhá část schématu. Útočník vydávající se za turistu popíše počet osob, data pobytu a způsob platby a přislíbí částku navýšenou o platbu údajnému cestovnímu agentovi. Žádá hotel, aby přeposlal přidanou částku na údajný účet cestovního agenta jako poplatek za poskytnuté cestovní služby.

Pokud je útočník úspěšný, hotelový personál přijme platbu z kradené karty a přepošle určitý obnos v této chvíli již vypraných peněz na účet zloděje. Ten obvykle následně rezervaci zruší, zamete stopy a dokončí celou operaci s čistými penězi na účtu.

Pokud se setkáte s podobným postupem, doporučujeme postupovat s největší opatrností a při podezření na podvodné jednání kontaktovat Policii ČR.

Rozhovor s profesionálním hackerem - platební karty, botnety a vydírání

Robertu Hansenovi z WhiteHat Security se naskytla unikátní příležitost vyzpovídat fulltime hackera s nickem Adam, který se rozhodl pověsit svou kriminální kariéru na hřebík a začít žít legitimně. Některé názory nám mohou připadat kontroverzní, ale s největší pravděpodobností jsou pravdivé. Vybral jsem nejzajímavější témata, celý rozhovor si můžete přečíst zde [EN].

Patří mezi nejtvrdší sortu kriminálních hackerů. Svou práci dělá pro peníze, které by si v legální profesi prý zdaleka nevydělal. Mezi jeho schopnosti vypilované k dokonalosti patří zejména sociální inženýrství, tedy schopnost manipulace s lidmi, která mu umožňuje ve většině případů dosáhnout svého cíle. Do prvního systému se dostal už ve 14 letech a většinu dnešních znalostí se naučil z knih, hledání na Googlu a z rozhovorů s ostatními hackery na IRC.

"Vydělávat peníze s botnetem je jednodušší, než si ráno vyčistit zuby."

Vydělávat peníze prodejem informací o platebních kartách a pronájem botnetů je prý jako každý jiný byznys. Jeho skupina obsahuje i obchodníka, který se stará o prodeje a nákupy. Po 11. září 2001 si prý skupina přišla na několik milionů dolarů. Finanční výsledky za minulý rok komentuje Adam pesimisticky - lidé se stali opatrnějšími, aktualizace vycházely častěji. "Kolik jsme vydělali takhle z hlavy? Asi 400 - 500 tisíc dolarů. Letos už máme 3/4 z té částky teď."

Chce to prý reagovat na trh a situaci. "Řekněme, že nějaká firma najednou rychle vyletí vzhůru v online prodejích, pak se stane cílem. Většina takových webů má za sebou administrátory, kteří nemají žádnou zkušenost s tím být hacker nebo jak hackeři uvažují. To je nechá silně zranitelnými," říká v rozhovoru.

V dalším komentáři naráží na rozdíl mezi zkušenostmi z reálného světa hackingu a na neutěšenou situaci ve většině firem: "Kdybych byl ředitel firmy, mnohem radši bych zaměstnal na administrátorskou pozici člověka s kriminálním záznamem za hacking, než absolventa univerzity. Firmy také nechávají netrénované hloupé pracovníky zvedat telefony. Třetím problémem je, že firmy neimplementují žádnou DDoS ochranu. Například Cloudflare nabízí neuvěřitelně silnou DDoS ochranu za 200 dolarů měsíčně. Když vás budu vydírat [hrozit DDoS útoky] za 200 dolarů za den, proč si nepořídit levné řešení?"

Zajímavě komentuje také antivirovou ochranu: "Antivirus je naprosto k ničemu - ano, mohou vás ochránit od dětiček, které nemají nedetekovatelné binárky, ale to je všechno. Každý prodávaný botnet přichází ve výchozí konfiguraci na trh plně nedetekovatelný antiviry. Lidé to dělají zadarmo, tak je to lehké."

I když investují hodně energie do utajení a "černý trh nikdy nezůstane na stejné doméně déle než týden, jinak je to nastrčený trh FBI," prý mívá často obavy z odhalení a raději spí ve dne a pracuje v noci. Pokud to situace vyžaduje, nespí dva dny v kuse klidně i několikrát za sebou s krátkými přestávkami k odpočinku. "Nakonec je to práce jako každá jiná. :)," dodává.

Nesouhlasí s tím, že jsou podobní hackeři napojeni na mafii a že všichni hackeři jsou Rusové. "90 % carderů [zlodějů platebních karet] dává velké částky na charitu (80-90 tisíc dolarů ročně)." Dodává, že "Když někdo umírá na rakovinu a vy máte lék, vsadím se, že za něj budete chtít peníze - je to stejná mentalita, zneužívání situace jednoho pro své vlastní dobro."

Na otázku, kteří lidé jsou na internetu nejnebezpečnější, však odpovídá: "Zdaleka nejnebezpečnější jsou drogoví magnáti. Kdokoliv respektovaný jim odmítne pomoc. Jsou brutální. Jednoho docela známého člověka, který se proslavil svými protidrogovými útoky, našli a zabili. Nejspíš pozabíjeli i celou jeho rodinu."

Zbytek příběhu rozděleného do tří kapitol čtěte zde [EN].

Čtete týdenní bezpečnostní bulletin internetového magazínu CDR. Moderní trendy počítačové bezpečnosti a hlídací pes nově objevených kritických chyb ve vašem softwaru na jednom místě. 

To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.

Minulé díly CDR Security Update

• Čína hrozí kyberútoky, Česko připravilo zákon o kyberbezpečnosti

• Na Facebooku se objevuje nebezpečí pod identitou důvěryhodných aplikací

• Velká bankovní loupež - hackeři ukradli 45 milionů dolarů

Díly CDR Security Update SPECIÁL

• Laboratoř hackera - vaše lokální síť nemusí být bezpečná

• Jak se dostat k citlivým datům iPhonu za pár sekund

• Chraňte lépe svůj Google účet pomocí dvouúrovňové autentifikace