Letos se už jednou provalil velký bezpečnostní lapsus u firmy Asus, když na server její služby LiveUpdate pronikli hackeři a několik měsíců z něj uživatelům produktů Asus distribuovali aktualizace nakažené malwarem. Navíc ani reakce firmy nebyla příliš dobře zvládnutá. Vypadá to, že zabezpečení podobné infrastruktury Asusu nebylo ideální ve více případech, protože po několika týdnech je hlášený další incident, kdy opět byla služba firmy zkompromitována a zákazníci byli vystaveni ohrožení.
Asus WebStorage stahovalo a šířilo malware Plead
Bezpečnostní výzkumníci ze společnosti Eset (stojící za antivirem NOD32) zjistili, že počítače od Asusu byly napadány malwarem Plead, který se do nich dostával z legitimního zdroje – skrze službu Asus WebStorage. Výskyty byly nalezeny zejména na Tchajwanu. Malware Plead se považuje za prostředek cílených útoků provádějících kyberšpionáž ze strany hackerské skupiny BlackTech, která si většinou vybírá oběti v Asii, Pleadem byl nejvíce postižen právě Tchajwan.
Útoky spojené s Asusem byly detekovány v dubnu, kdy Eset zjistil, že malware Plead do některých počítačů počítačů zanáší a spouští legitimní proces, a to nainstalovaný klient cloudového úložiště Asus Web Storage – proces AsusWSPanel.exe. Tento viník byl i digitálně podepsán od Asusu a tedy na první pohled v pořádku, ovšem pokoušel se nainstalovat backdoor Plead prostřednictvím binárky nazvané „Asus Webstorage Upate.exe“ (včetně překlepu v názvu).
Pravděpodobně šlo útok typu o Man in the Middle
Podle Esetu pravděpodobně nebyl zkompromitovaný úplný zdroj updatů u Asusu, protože infekce nebyla přímo v klientu WebStorage, ale v separátním souboru. Pravděpodobně šlo buď o tzv. Supply Chain Attack (kdy je kompromitován nějaký subdodavatel softwaru nebo hardwaru nebo jiný článek v řetězci), nebo tzv. Man-in-the-Middle útok, což je prý pravděpodobnější varianta. V takovém případě dojde k tomu, že Asus uživatelům má ze své strany server čistý a posílá jen legitimní soubory, ale ty jsou „na cestě“ útočníkem infikovány či nahrazeny. Pro tuto variantu svědčí například to, že ze stejné infrastruktury Asusu byly distribuovány i legitimní soubory.
MitM útok mohl být podniknut například infikovaným routerem (a skupina stojící za Plead napdá podle analytiků z Trend Micro routery), případně kompromitováním v rámci nějakého poskytovatele přípojení. Služba Asusu je na tuto hrozbu zranitelná kvůli špatnému zabezpečení. Používá totiž pro stažení aktualizací nešifrované připojení HTTP a navíc po stažení soubor s aktualizací nekontroluje.
Aktualizační server posílá XML soubor s identifikátorem a odkazem na stažení aktualizace, útočníkovi tedy stačí, aby v tomto souboru nahradil odkaz za svůj vlastní. Tím se snadno podaří zaměnit binárku, kterou Asus klientu WebStorage posílá, a ten infikovaný soubor automaticky nainstaluje. Přímým viníkem infekce je tedy toto chybějící zabezpečení.
Asus servery odstavil a slibuje opravu
Eset před publikováním této zprávy Asus kontaktoval a varoval ho o zranitelnosti WebStorage a tomu, že je přes něj distribuován malware Plead. Asus v reakci deaktivoval aktualizační servery do doby, než bude problém vyřešen. Firma sdělila, že údajně zlepšila zabezpečení a provedla změny, který by snad měly podobnému útoku v budoucnu zabránit. Uživatelém, kteří WebStorage mají nainstalovaný na PC, pak doporučuje spustit na počítači co nejdříve antivirový test.
Je ovšem poměrně varovné, že slabina s HTTP stahováním aktualizací nebyla odstraněna v rámci nějakého auditu bezpečnosti po předchozím průšvihu, který by správně asi měl vést k tomu, že se zkontroluje zabezpečení i ostatních služeb. Asus přitom byl za nezabezpečené připojení už předtím kritizován. Vzhledem k předchozímu průšvihu to tedy budí podezření, že na zabezpečení infrastruktury a služeb před napadením se v Asusu nedává dostatečný pozor a chybí kontrola. Doufejme ovšem, že publikování těchto problémů vyburcuje (nebo vyburcovalo) správnou reakci.