Az Eindbazen csapata a Nullcon CTF versenyén fedezett fel egy távoli kódfuttatásra alkalmas hibát a PHP CGI burkolójában. A problémát jelentették a PHP biztonsági csapatának, a hibajegy azonban véletlenül még a javítás előtt nyilvánosságra került. 

A probléma egy 2004-es módosításból adódik, ami a CGI specifikációnak nem megfelelő módon dolgozza fel az "=" nélküli URL paramétereket. Amennyiben nem történik értékadás, a '?' utáni sztringek gyakorlatilag egy az egyben a php-cgi szkript parancssori argumentumaiként kerülnek átadásra, innentől pedig nem tűnik nagyon nehéznek a kódfuttatás elérése, annak ellenére, hogy a -r kapcsoló és társai a környezeti változók beállításai miatt nem használhatók. PoC egyelőre nem került ki - nekem pedig még nem volt időm a problémával foglalkozni - ha fejlemény van, frissítem a posztot. 

Workaround/patch az Eindbazen oldalán található.

Friss: Metasploit modul elkészült. A PHP által kiadott 5.4.2/5.3.12 nem javítja a problémát! A frissítéssel célszerű megvárnia  következő, várhatóan még a nap folyamán megérkező 5.4.3/5.3.13-at. Elkerülő megoldás Apache-hoz:

    RewriteCond %{QUERY_STRING} ^(%2d|-)[^=]+$ [NC]
    RewriteRule ^(.*) $1? [L]

Friss2: jogosnak tűnő kérdés, hogy 2012-ben mégis hol használnak ilyen konfigurációt? Nos, például a Sony-nál... (via Tyra3l)

Friss (május 8.): Végre valahára megjelent a hivatalos javított verzió.

Krasznay Csabának pedig gratulálunk doktori védéséhez :)

Jobb később, mint soha, itt vannak az előző hét fontosabb hírei:

Bukták

Két hazai rajtaütés is történt a múlt héten: Csongrádban 83 millió forintos kárt okozó számítógépes bűntények miatt fogtak el három férfit, a IX. kerületben pedig "egy nagy látogatottságú oldalt" feltörő személynél még egy marihuánaültetvényt is találtak. Utóbbi ügyben az NNI nyomozott, érdekes lenne tudni, melyik oldalról volt szó...

Nissan

Kémprogram segítségével felhasználói azonosítókat és hashelt jelszvakat szereztek meg a Nissan hálózatából.

Helyesbítések

A Microsoft kiterjesztette MS12-027 figyelmeztetőjét az SQL Server 2008-at futtató rendszerekre. A sérülékenység egy ActiveX vezérlőt érint, a kihasználáshoz használható exploit pedig már meg is jelent.

Az Oracle kiadott egy soron kívüli figyelmeztetőt a TNS Poisoning sebezhetőséggel kapcsolatban, melyben az elkerülő megoldásokat ajánlanak a problémára. A cég ezen kívül engedélyezte az SSL/TLS használatát az Advanced Security csomaggal nem rendelkező, Real Application Clustereket üzemeltető ügyfelek számára.

Hardcore Charlie legutóbb a China Electronics Import and Export Corporationtől (CEIEC) nyúlt doksikkal keltett feltűnést, néhány napja pedig ugyanebből a forrásból származó VMware forráskódokat tett közzé, valamint IRC-s sajtótájékoztatót is tartott, ahol újra felhívta a figyelmet arra, hogy kínai nagyvállalatokon keresztül biztalmas amerikai ipari és katonai dokumentumok szivárognak a Taliban és keleti szervezett bűnözői csoportok felé. 

Charlie állítása szerint a sina.com levelező szolgáltatás megtörése után szerzett hozzáférést a CEIEC-en kívül a Norinco, a WanBao Mining, az Ivanho és a PertolVietnam rendszerébe is. Az akcióba több társát, köztül a Symantec forrásokat szivárogtató Yama Though-t is bevonta. A megszerzett zsákmány kiteszi az 1TB-t, melyet május 5-én publikálni is fognak. 

Jeffrey Carr biztonsági szakértő az eddig kiadott dokumentumokban az USA exportszabályzatának megszegésére utaló nyomokat talált, ennek ellenére az amerikai hatóságok eddig nem vették fel a kapcsolatot a hackercsoporttal. 

HC az Anonymous tagjának is vallotta magát, de ezt a kijelentést megfelelő szkepszissel célszerű kezelni.

Tegnap "futótűz szerűen" terjedt el egy módszer, melynek segítségével tetszőleges Hotmail fiók felett át lehetett venni az irányítást. A problémát a jelszóemlékeztető funkció problémája okozta, és a jelszócserére vonatkozó kérések nem megfelelő autorizációjából adódott - sajnos a konkrét kiváltó okokról keveset tudni. A problémát a Vulnerability Lab jelentette a Microsoftnak, akik órákon belül intézkedtek a javításról. Ez azonban már késő volt, az ArsTechnica április 6-tól kezdve talált a módzsert demonstráló YouTube videókat, élelmes blackhatek pedig darabonként 20 dolcsiért törték sorba a fiókokat. A jelentések szerint számos PayPalt és más online fizetési szolgáltatást használó felhasználó fiókját feltörték, és rosszul jártak azok is, akik felhasználóneve 2-3 karakter hosszú volt - ezekre robotokat állítottak. 

Az Oracle legutóbbi CPU-ja kapcsán számoltam be Joxean Koret TNS mérgezéses felfedezéséről, azt állítva, hogy a problémát a negyedéves javítás megoldotta. Nos, úgy tűnik ez nem igaz, Koret mai levelében ugyanis kifejti, hogy az Oracle a hibát nem javította, de azért ügy4esen mellébeszélt.

A gyanú a gyártó és a felfedező között zajló levelezés egyik mondata miatt merült fel, amit valahogy úgy lehetne fordítani, hogy a hiba a termék egy jövőbeni kiadásában volt kijavítva ("was fixed in future releases of the product").

Miután Koret magyarázatot kért a tér-idő görbületre, az Oracle kifejtette, hogy a TNS mérgezés megoldása igen bonyolult, és megjósolhatatlan problémákat okozna termelési környezetben, ezért a javítás csak az RDBMS valamelyik eljövendő kiadásában lesz elérhető (hogy melyikben, azt a gyártó a felhasználók érdekeire hivatkozva nem árulja el), a CPU viszon nem oldja meg a problémát. Ennek ellenére a CPU egyértelműen a TNS Poinsoningre vonatkozó hibajegyre hivatkozik, és hibát értékesítő iSightPartners felé is az lett kommunikálva, hogy a CPU ezt a hibát javítja. 

Következmény: Legalább az Oracle RDBMS következő verziójának megjelenéséig, a 8i-től kezdve működik a TNS mérgezés, a CPU helyett elkerülő megoldások alkalmazandók.

Friss: Az Oracle figyelmeztetést adott ki az esettel kapcsolatban, a problémához a CVE-2012-1675 azonosítót rendelték

 A JC Crew hátsó kaput fedezett fel a RuggedCom nagyipari környezetbe szánt, strapabíró hálózati eszközeiben. Az eszközök tartalmaznak egy letilthatatlan factory nevű felhasználót, melynek jelszava a MAC címből származtatható. A csapat a jelszógeneráláshoz szükséges Perl szkriptet is közzétette.

A közleményből kiderült, hogy bár a RuggedCom - akit idén majdnem 400 millió dollárért vásárolt fel a Siemens - elismerte a hibát és ígéretet tett a javításra, frissítés nem, csak időhúzás történt. 

A US-CERT közlése szerint a problémára ideiglenes megoldást jelenthet a Telnet és RSH szolgáltatások letiltása, arról azonban nem szól az értesítő, hogy az SSH-n illetve HTTPS-en elérhető adminisztrációs felületeken is működik-e a hátsó kaput biztosító hozzáférés.

A Google kiterjeszti és egyúttal fókuszálja is nem rég első évét betöltött bugvadász programját. Az megújuló rendszerben akár 20.000 dollárt is kifizet a cég azoknak a kutatóknak, akik a Google valamelyik szolgáltatásában a szolgáltató számítógépein történő kódfuttatásra alkalmas hibát fedeznek fel. A szintén súlyos, de nem közvetlenül rendszer szintű webes hibákért, amilyen az SQL injection vagy autentikációmegkerülést lehetővé tevő problémák a felső határ 10.000 dollár, míg az elterjedtebb, XSS-hez CSRF-hez hasonló problémák felfedezőinek a már megszokott 3113,7 dollárt ajánlja a cég.

A bejelentésben kiemelik, hogy a jutalmazást a fenti kategóriák mellett első sorban az érintett szolgáltatás elterjedtsége és minősége fogja meghatározni, egy Google Wallet hiba például értelem szerűen többet fog érni, mint a Google Art Projectben talált hasonló sérülékenység. 

Michal Zalewski a Google részéről egy személyesebb hangvételű üzenetben kifejtette, hogy a biztonsági kutatók támogatása meglepő sikert aratott a vállalatnál, és hogy az ilyen jellegű programok érdemben csökkenthetik a fekete ileltve szürke piacok hatékonyságát.

Reméljük, a jó példát ismét sokan követik majd!

Én már csak egy kávét kérek!

A magyar anonok úgy gondolták, hogy a szép-új világ megteremtéséhez a legjobb út a Jobbik.hu és a kapcsolódó oldalak DDoS-olása lesz, a kis buták pedig rövidebb időre tényleg okoztak kisebb fennakadásokat a jobbik.hu és a magyargarda.hu működésében. Ez persze nem tetszett a kuruc.info-soknak, akik szintén a világot szeretnék megváltani, csak másképp - ők a judapest.hu-t deface-elték, illetve szokásos stílusukkal alázzák az Anonokat ahol lehet.

Üdítő adalék a fentiekhez, hogy a hét elején az Élet Menetét megzavaró Új Hajnal Rend blogját dekorálták ki, méghozzá (dobpergés) nem az Anonymous nevében. Persze ennek az akciónak is annyi volt az értelme, hogy nagy nyilvánosságot kaptak ezek a bohócok is.

3 millió 

Ennyi iráni banki adatait hozta nyilvánosságra Khosrow Zarefarid - a banki rendszereket fejlesztő Eniak egykor alkalmazottja -, miután egy 22 iráni bankot érintő biztonsági rést fedezett fel egy pénzügyi rendszerben. Zarefarid először megpróbálta értesíteni az érintett bankokat, de jelentéseit figyelmen kívül hagyták, jelentéktelennek tartva a felfedezést. Az incidens megrázta az iráni hitelintézeteket, sok ATM nem működik, egyes bankok blokkolják az ügyfelek számláit, az állami TV figyelmeztető anyagokat sugároz. Zarefarid valószínűleg elhagyta az országot.

Bukták

A bukták rovatban elsősorban a Breach Blogot tudom ajánlani. A barátnője fotójával lebukó CabinCr3w-s arc ártatlannak vallotta magát, az észtek kiadtak egy botpásztort az Egyesült Államoknak. Egy anont két év nyolc hónapra ítéltek, miután feltörte egy abortusz klinika oldalát, és a regisztrált felhasználók (nagyrészt kiszolgáltatott helyzetben lévő nők) személyes adatainak nyilvánosságrahozatalával fenyegetőzött. 

Kódfuttatásra alkalmas heap korrupciós hibát javítottak a megszámlálhatatlan helyen használt OpenSSL könyvtárban. A probléma a rengeteg esetben fejtörést okozó ASN.1 implementációt érinti, és egy integer kezelési problémából fakad. A hiba triggereléséhez a támadónak egy nagy méretű objektumot kell megadnia, melynek mérete negatívként értelmeződik egy méretellenőrzés során, majd pozitívként az ellenőrzést indokló memcpy() esetében, így a támadó túl írhat a neki szánt puffer határán.

A hibát Tavis Ormandy jelentette be, de mint kiderült, a sérülékenység 2006 óta(!) nyilvános volt Mark Dowdnak köszönhetően, aki a problémát leírta a The Art of Software Security Assessment című könyvben, csak éppen elfelejtette megemlíteni, hogy egy 0-dayről van szó :)

A hiba az OpenSSH-t nem érinti, a szoftver az állandó problémák miatt 2002 óta nem támogatja az ASN.1 formátumot.

Ahogy arról a múlt heti összefoglalóban is írtam, az Oracle kiadta szokásos negyedéves biztonsági frissítőcsomagját. Sajnos a gyártó még mindig csekély mennyiségű információt közöl a javított sérülékenységekről, de a Full-Disclosure listára befutott egy üzenet, melyben Joxean Koret egy általa négy éve felfedezett, valószínűleg az RDBMS 8i verziója óta (több mint egy évtizede) jelen lévő, az Oracle által most javított sérülékenység részleteit írja le, valamint a probléma kihasználásához szükséges PoC-t is közzétesz.

A sérülékenység a felhasználókat az adatbázispéldányokhoz irányító TNS szolgáltatást érinti. Mint kiderült, ez a szolgáltatás bármiféle hitelesítés nélkül elfogad távolról érkező adatbázis regisztrációkat*, így egy támadó minden további nélkül regisztrálhatja önmagát egy már létező példány nevével. Ekkor a TNS lényegében terheléselosztóvá válik, a csatlakozó klienseket vagy a valódi példányhoz, vagy a támadóhoz irányítja, aki közbeékelődve lehallgathatja az éppen felé irányított kliens által bevitt ill. lekérdezett adatokat, az átmenő SQL utasítások módosításával pedig elméletileg tetszőleges saját parancsot szúrhat az adatfolyamba.

* A leírás alapján számomra nem egyértelmű, hogy egyfajta konkurencia probléma is szerepet játszik-e, vagy Koret egyszerűen lusta volt lekódolni a protokoll további részét. Remélem az Oracle guruk majd megmondják a tutit! 

+++

A MySQL is kapott frissítést, de az új kiadás tesztesetei között véletlenül ott maradt egy (megfelelő DB jogosultság birtokában kihasználható) DoS sérülékenység tesztelésére szolgáló parancsfájl, lényegében egy PoC exploit.

Phrack #68

Megjelent mindnyájunk kedvenc underground e-zine-jének legújabb kiadása, a Phrack #68. A tartalomból: FX profil, a jemalloc() exploitálás elmélete és gyakorlata, az MS11-004 kihasználása, Domain Controller post-exploitation, és sok minden más. Jó olvasgatást!

Flashback

Néhány újdonság a Flashback-kel kapcsolatban: Miközben a fertőzött gépek száma folyamatosan esik, a flashbackcheck.com statisztikái szerint a látogatók fele még mindig elavult Java verziót futtat. Az Apple közben kiadta a harmadik Java javítást, ez már tartalmazza a hivatalos detektáló és eltávolító eszközt, valamint alapértelmezetten tiltja a Java appletek futtatását Safariban. A kisalkalmazások futása természetesen újra engedélyezhető, de a Lion felhasználók rendszere automatikusan újra tilt, ha a plugint nem használják 35 napon keresztül, ami egy remek ötletnek tűnik, a Mozilla is tervezi követni a példát.

Idő közben megjelent egy új kártevő, ami ugyanazt a Java hibát veszi célba, mint a Flashback. A SabPub vagy Sabpab néven emlegetett jószágot a hírek szerint célzott támadásokhoz használják.

Adobe biztonsági frissítések

Az Adobe 4 sérülékenységet javított PDF kezelő szoftvereiben, valamint több architekturális változást is bevezetett. A legfontosabb ezek közül, hogy a Reader illetve Acrobat termékek 9-es főverziói ezen túl az operációs rendszerre telepített Flash Playert használják a PDF-be ágyazott Flash tartalmak lejátszására (ezt felteszem egy nélkülözhetetlen funkciónak gondolták eredetileg) a saját authplay.dll helyett. Így egy új Flash sérülékenység megjelenésekor nem kell a PDF olvasót is frissíteni, azok pedig, akik nem tartanak igényt Flash tartalmakra, szimplán kihagyhatják a lejátszó telepítését. A Flash foltozatlan sérülékenységei természetesen ugyanúgy kihasználhatóak maradnak, ezen kívül a megerősítés az X sorozatban még nem érhető el. 

További újdonság a szintén sok fejtörést okozó 3D tartalmak megjelenítésének alapértelmezett kikapcsolása, ami szintén nem fog nagy törést okozni az átlag felhasználó életében. 

Telefonbetyárok

Már el is kaptak néhányat azok közül a csibászek közül, akik kb. 700 hivással igyekeztek megbénítani a Scotland Yard terrorellenes forródrótját. A történetre azért vesztegetek biteket, mert néhány firkász úgy értelmezte a történteket, hogy a TeaMpOisoN bejutott a hatóság telefonos rendszerébe, és a belső hívásokat rögzítették, miközben a YouTube-ra posztolt videók alapján is egyértelmű, hogy a hívó oldalon rögzített beszélgetések kerültek nyilvánosságra. Erről ennyit.

Bukta

Az Anonymous tagok ismét magasra tették a lécet: egyiküket egy EXIF információkkal jócskán teletűzdelt fénykép buktatott le. A képen állítólag a delikvens barátnője látható, aki remélhetőleg kitart a srác mellett, amíg az passzív felet játszik valamelyik börtönben. Hát igen, van, amikor nem elég az sqlmap paraméterezését ismerni...

wicd sérülékenység

A wicd linuxos hálózatmenedzser szkript hibája jogosultságkiterjesztést tehet lehetővé. A probléma azért kapott komolyabb visszhangot, mert a hiba felfedezője az InfoSec Institute  egyik kurzusa során vette észre a problémát, a szervezet pedig a wicd-t is tartalmazó Backtrack linux disztribúció hibájaként próbálta beállítani a felfedezést, ami azért különösen érdekes, mert a BT alapértelmezetten rootot ad a felhasználónak. Az InfoSec Institute egyébként korábban a corelan.be ingyenes anyagait plagizálta saját tréningjeihez. 

Mercedes Software Update

A Mercedes új informatikai rendszere automatikusan, vezeték nélkül fogja frissíteni az autókban futó szoftvereket. Ez nem biztos, hogy egy nagyon jó ötlet...

Oracle frissítések jövő héten

Az Oracle jövő héten tervezi kiadni szokásos negyedéves CPU-it, az üzemeltetők készüljenek!

Idén is megrendezésre kerül a BME Simonyi Szakkollégiumának konferenciája, ami ezúttal is számos IT biztonságot érintő témával jelentkezik. A rendezvényt április 17-én, 13:00-tól tartják meg, a Műegyetem I épületében, a belépés ingyenes. Programajánló:

IB026 - 13:15: Felhő és biztonság

IB026 - 13:50: Biztonságkritikus szoftverek fejlesztése az autóiparban
IB019 - 13:50: Weboldalak biztonsága - Mekkora lavinát indíthat egy kis hiba?

IB019 - 14:35: Honeypot - Óvatosan a mézesbödönnel

IB028 - 18:00: Social Engineering - Amikor a hackert hackelik

Részletes programért látogassatok el a konferencia hivatalos oldalára!

A HP figyelmeztetőt adott ki, melyben leírják, hogy egyes HP ProCurve 5400 zl márkájú switcheikkel szállított compact flash kártyák vírussal fertőzöttek. A probléma nem okoz fennakadást a hálózati eszköz működésében, azonban ha a flash tárolót egy desktopon kezdik használni, a fertőzés aktiválódhat. 

Az érintett eszközök sorszáma megtalálható a figyelmeztetőben. A probléma megszüntethető a beépített Software Purge funkció használatával, ami nem okoz kiesést az érintett eszköz működésében, a gyártó ezen kívül kérésre cseréli a switcheket.

Hunger írta:

Samba csapat kiadta a 3.6.4, 3.5.14 and 3.4.16 verziókat, amelyek javítanak egy biztonsági hibát, amely a korábbi Samba verzióiban authentikáció nélküli (anonymous connection) kódvégrehajtást tesz lehetővé távolról a sambát futtató (root) jogosultságaival.

Rossz nyelvek szerint erre a hibára már 3 éve létezik privát exploit. A gyanút erősíti, hogy most is egy neve elhallgatását kérő jelentette a sebezhetőséget a HP/ZDI-nek.

Az RDP exploit még mindig nem publiks (a 30 napos becslés pesszimistának bizonyult), de azért tojt a nyúl néhány kritikus foltot a Microsoftnak:

MS12-23: Az ehavi Internet Explorer frissítés öt sérülékenységet orvosol. A böngésző összes támogatott változata érintett, a különböző operációs-rendszer változatok alapértelmezett biztonsági beállításai korlátozhatják a sérülékenységek kihasználhatóságát. A javítás besorolása kritikus, hiszen a javított sérülékenységek mindegyike távoli kódfuttatást tesz lehetővé a böngésző felhasználók nevében.

MS12-24: Ez a javítás egy igen érdekes sérülékenységet orvosol. A probléma lehetővé teszi, hogy aláírt PE binárisok hitelesítetlen részeit úgy módosítsa egy rosszindulatú támadó, hogy a futtatható állomány az eredeti példánytól eltérően viselkedjen. Ennek kihasználásával egy látszólag megbízható cégtől (pl. Microsoft) származó aláírt állománya is rosszindulatú kód juttatható.

 MS12-25: Ismét egy XBAP alkalmazásokon keresztül kihasználható .NET sebezhetőség, ami az egyszerű böngésző felhasználókat drive-by támadásoknak, a hoszing szolgáltatókat pedig jogosultságkiterjesztésből adódó távoli kódfuttatásnak teszi ki. Előbbi eset hatását mérsékelheti az MS11-044-ben bevezetett intézkedés, ami csak felhasználói megerősítéssel engedi XBAP alkalmazások futását - csak azt nem tudom, erről eddig miért nem írtak?

 MS12-26: Könnyűsúlyú problémák javítása a Forefront UAG-ban. Az folt egyik fele megtiltja az alapértelmezett webes menedzsment felület egyes részeinek autentikálatlan megtekintését, a másik pedig egy ellenőrizetlen átirányítást orvosol.

 MS12-27: A hónap legfontosabb frissítéseként aposztrofált javítás egy egyszerű, ActiveX-en keresztül kihasználható hibát javít a több MS termék (pl. Office) által is telepített Common Controls csomagban. A frissítés azért fontos mert ezt a sérülékenységet szűk körű, célzott támadások során már ki is használják (netán új DuQu variánsok terjesztéséhez?). A célpontok Office dokumentumokba ágyazott ActiveX vezérlőket kaptak e-mailben (igen, a 21. század technológiája ezt is lehetővé teszi!), melyeket engedélyezve (miért is ne engedélyezték volna őket?) máris sikerült bepoloskázni a munkaállomásokat. Kihangsúlyozandó, hogy nem Office problémáról van szó, a hibás vezérlő pl. SQL Serverrel is települ, a hiba pedig WordPad-del is triggerelhető.

 MS12-28: Az Office 2007-ben és a Works 6-9-ben található WPS Converter javítása. A probléma kódfuttatást tesz lehetővé, ha valaki éppen át szeretne konvertálni egy megbízhatatlan forrásból származó fájlt.

Bónusz: Pár hete jött ki a VMware rendszeres javítócsomagja, az ezzel javítottott CVE-2012-1515 jelű sebezhetőség sérülékeny VMware hosztokon futó Windows-okon tesz lehetővé helyi jogosultságkiterjesztést. A részletes leírást nem találom hirtelen, linkeljétek be kommentbe lécci :)

Az Ethical Hacking konf örömére már-már hagyományosan csapunk egy sörözést az Óbesterben (térkép alul). A konferencia zárása után valószínűleg csoportos átvonulásra kerül sor, 18:00 körül már biztosan megérkezünk, asztalunk is ekkorra van foglalva, Buhera névre.

View Larger Map

Az elmúlt hónapokban 14 hibajelzést küldtetek különböző magyar vonatkozású weboldalakkal kapcsolatban, ebből 2 nem volt kihasználható, 5-tel kapcsolatban kaptam visszajelzést az üzemeltetőtől, 2 esetet jelentettem a CERT-nek. 

Az érintettek nevében is köszönöm Márton, GHost, Domi, Csiszi, Da Metts, Deviance, ScottAnyo, Detritus, Ventax és Kardhal munkáját!

Sajnos vannak, akik úgy érzik, nincs szükségük segítségre:

Márton a kavefutar.hu-n talált SQLi-t:

Bár XSS-el általában nem foglalkozom Ventax találata a Honfoglalón azért említést érdemel:

Kardhal újabb példát talált arra, hogyan lehet egy alapvetően biztonságos Drupal portált elrontani egy nem megfelelően megválasztott modullal:

Detritus pedig egy régi ismerőst mutatott be újra:

Kepten megoldotta a Hackito Ergo Sum idei első kriptó feladványát, és arra is vette a fáradtságot, hogy készítsen belőle egy szép összefoglalót. Fogadjátok szeretettel! Ha kedvet kaptatok, már neki lehet esni a második szintnek is.

Kellemes egghuntingot mindenkinek! :)

China National Import & Export Corp

Egy Hardcore Charlie nevű figura állítólag bejutott a China National Import & Export Corp (CEIEC) kínai haditechnikai beszállító rendszerébe, ahonnan több ezer dokumentumot zsákmányolt. Extra érdekesség a történetben, hogy a kínaiaktól megszerzett doksik között állítólag amerikai cégektől származó, fegyverszállítmányokra vonatkozó dokumentumok is megtalálhatóak. Kínai oldalról persze cáfolják a sztorit. Pastebin itt és itt. Doksik itt, itt és itt.

NRSZH deface

Az Anonoknak megint összejött egy deface, ezúttal a Nemzeti Rehabilitációs és Szociális Hivatal nevű top célpontot sikerült leszedni. Az oldalon ezt a szívgyönyörködtető üzenetet hagyták:

HELLO ADMIN HELLO MO
we own ur security : sh@kty & r0ll3r frm p@n0ns3c
Hungarian hackers & Anons
Számítunk nektek ,amikor szavazunk, számítunk, amikor adózunk és számítunk, amikor vétkezünk. De nem számítunk többé, amikor nekünk van szükségünk rátok. Akkor nincs, kire számítsunk.
A szociális háló nem minket szolgál,a rendszer szolgája.
A weboldalatokat mi tartjuk fenn. A költségét szánnánk inkább a szánandóknak,a rászorulóknak.
Ne kelljen soha támogatásra szorulnunk. De ha igen, állampolgárként legyen elég kérnünk. Ne kelljen könyörögnünk. Az állam ne kegyet gyakoroljon, hanem törlesszen.
Sokkal tartoztok nekünk.
Nem bocsájtjuk meg,nem felejtjük el,számíthattok ránk!
A Névtelenek nevében: Anonymous

Az oldalt vasárnap este lekapcsolták.

Medicaid

181.000 egészségügyi rekordot zsákmányoltak a Utah államban működő Medicaid egészségügyi rendszerből. Az információk gyermekek egészségbiztosításaival kapcsolatosak és részben tertelmazzáka páciensek USA-ban joker infónak számító társadalombiztosítási számát is.

Appla Java 2012-002

Valami hiba csúszott az Apple Java javításába, a gyártó ugyanis néhány napon belül kiadott egy új, a 2012-001-et helyettesítő frissítést. Arról természetesen egy büdös szót nem írnak, hogy mi volt baj az előzővel. A 600.000-es becsült fertőzésszám valószínűleg elég pontos, mivel a Dr.Web-nél a botok által a C&C-nek visszaküldött egyedi hardverazonosítókat számolják (kereshető adatbázis itt) - ez a szám a Mac-ek elterjedtségére vetítve súlyosabb, mint a Conficker volt. Pszichológus vénával rendelkezőknek ajánlom az Appleblog vonatkozó posztjait.

LulzSec

Nem bírt magával Ryan Cleary, akit a LulzSec IRC csatornáinak üzemeltetése miatt fogtak el, majd ítélethírdetésig szabadlábra helyezték. Cleary megszegte a szabadlábra helyezés feltételeit azzal, hogy használta az internetet. Közben recursion bűnösnek vallotta magát a Sony-t ért SQL injection támadás ügyében, melynek során nagyjából egymillió felhasználói rekordot szívtak le az adatbázisból, melynek egy részét nyilvánosságra is hozták.

Google Chrome biztonsági frissítések

A Google kisebb bugok mellett hét súlyos problémát javított a Chrome böngésző stabil és béta ágaiban. A hibák felfedezőinek - köztük a Pwniumon is sikert arató Sergey Glazunovnak - összesen 6000$-t osztott ki a vállalat.

Szabadlábon a Facebook hacker

Glen Mangham-ről másfél hónapja írtam, akkor azt, hogy 8 hónapot kapott a srác, de a londoni feljebbviteli bíróságnak köszönhetően már ki is engedték. 

Bár többségük feltehetően nem tud róla, az OS X felhasználók izgalmas napokat élnek mostanában. A Lamadai/Flashback kártevő kifejezetten almás gépekbe próbálja berágni magát Javán keresztül, ami még nem is lenne akkora baj, ha lenne elérhető folt a problémára, de sajnos nincs már van, tegnap (laza 7 héttel a hivatalos folt megjelenése után), mikor kezdtem írni a posztot még nem volt...

A sebezhetőség minden támogatott platformot érint, Windowst, Linuxos ugyanúgy borítani lehet vele, de a frissítés ezekre a rendszerekre február 14-én már elérhető volt. Közben az exploit március 25-én bekerült a zombitoborzó-tisztek közkedvelt BlackHole csomagjába is.

A kihasznált sebezhetőség a CVE-2012-0507 azonosítót kapta, és nagy örömünkre rengeteg információ fellelhető róla a neten. Ezek közül a leginformatívabbak a Metasploit Project vonatkozó commitja (erre lesznek hivatkozások, nyissátok ki új lapon!), valamint a felfedező Jeroen Frijters saját leírása, a hibás típusegyeztetésből adódó Java sérülékenységeket pedig remekül összegzi ez az oldal.

A sebezhetőség lényege az, hogy az AtomicReferenceArray objektumokban el lehet tárolni A típusú elemeket, majd ki lehet olvasni ezeket B típusúként, anélkül, hogy a futtatókörnyezet értesülne a csalásról. Frijters példájával:

AtomicReferenceArray ara = new AtomicReferenceArray(new Integer[1]);
ara.set(0, "foo");
Integer value = (Integer)ara.get(0);

A value ekkor egy Integer típusú(nak hitt) String objektumot tartalmaz. 

Az Exploit osztályban található as tömb egy szerializált Java objektum, ami a 39-40. sorban deszerializálódik. Ha rámegyünk debuggerrel erre a részre, ezt kapjuk:

Amint látható, egy objektum tömbről van szó melyben egy AtomicReferenceArray és egy Help objektum (tömb) szerepel. A Help a támadó által definiált osztály, a ClassLoader leszármazottja. A ClassLoader osztály védett defineClass() metódusa lehetővé teszi tetszőleges jogosultsággal rendelkező osztályok létrehozását, mivel azonban ezt a metódust nem lehet megbízhatatlan kódból hívni, vagy az osztályt példányosítani, ezért ezzel egyelőre nem sokra megyünk. 

A 42. sorban példányosítjuk az AtomicReferenceArray osztályt, méghozzá a fent említett szerializált állapotból. Erre azért van szükség, mert az AtomicReferenceArray-ba kerülő objektumok egy Object[] típusú attributumban kerülnek tárolásra alap esetben, a szerializáció azonban lehetővé teszi, hogy ennek az adattagnak más típust, ebben az esetben Help[]-et adjunk, másrészt a tárolt tömb referenciájára még szükségünk lesz a későbbiekben. Az as-ból visszahozott aobj tömb első AtomicReferenceArray típusú eleme valójában a nulladik Help[] objektumra hivatkozik vissza az array adattaggal.

A trükk a 44. sorban következik, amikor is az atomicreferencearray nulladik (Help típusú) elemének az Exploit osztály Applet ősétől kapott ClassLoader-ét allítjuk be. Erre az objektumra van egy referenciánk ahelp néven, amiről a futtatókörnyezet azt hiszi, hogy Help típusú, de valójában egy ClassLoadert tartalmaz. Ezt a referenciát átadhatjuk a Help.doWork() statikus metódusnak. Mivel a futtatókörnyezet azt hiszi, hogy a Help.doWork() egy Help típusú objektummal dolgozik, meg fogja engedni a védett defineClass() hívását, ami azonban nem egy Help, hanem az Applettől kapott ClassLoaderen fog lefutni, jogosultan tetszőleges biztonsági beállítások meghatározására. Ezzel vége a játéknak.

Friss: A Dr.Web eddig 600.000 fertőzött Mac-et számolt össze, ebből 274-et Cupertinoban

Idén tavasszal is lesz Ethical Hacking konferencia, a tartalomból:

A konferencián többek között előad Dr. Bencsáth Boldizsár, a BME HIT CrySyS Lab vezetője, a Duqu-férget felfedező magyar kutatócsoport vezetője, aki egy igen trükkös behatolási technikát mutat be az ártalmatlannak tűnő, tehát minden tűzfalon átengedett DNS-lekérdezések átalakításával. Idén először foglalkozunk a böngészők bővítményeinek biztonsági szerepével, mely egy olyan terület, ahol a kártékony kódok egyelőre szabadon terjedhetnek. Balázs Zoltán, a Deloitte vezető tanácsadója saját fejlesztésű kártékony böngészőbővítményeken mutatja be az eddig fel nem ismert biztonsági sérülékenység erejét.

Az egyre inkább teret nyerő mobil eszközök biztonságos használatát illetően Kovács Zsombor mutat majd egy elgondolkodtató iPades példát, hogy lássuk, hogyan kerülhető meg egy alapvetően minden szempontból megbízhatónak hitt alkalmazás, míg Veres-Szentkirályi András, a Silent Signal IT biztonsági szakértője a rövidesen mindent elborító RFID-lapkák biztonsági határait feszegeti. 

Időpont: 2012. május 10., csütörtök, 9:00-17:00
Helyszín: Cinema City Aréna, 1087 Budapest, Kerepesi út 9.

Részletes program és jelentkezési lap a Netacademia hivatalos oldalán található.

Frissítettem a linkeket, a NetAcademiás URL-ek végéről vegyétek ki a /-t és minden duplapluszjó lesz.

Rég óta adós vagyok MarkKxldOR felfedezésével. Ennek oka, hogy sajnos a Picasa-Google+ páros használatához kevésnek bizonyult a türelmem/tehetségem, így nem tudtam kipróbálni a dolgot, de bárki előtt nyitva áll a lehetőség:

A sebezhetőség (jobbára kellemetlenségnek nevezném) tulajdonképp annyi, amennyit címnek adnék neki és a mellékletekből kitűnhet:

"'Egy link birtokában bárki' = minden 'egy link' birtokában."

Tehát, ha egy galériához egy "rejtett", bizonyos körnek szóló linket kapsz, akkor a hasonló prioritásúakat simán el lehet érni, függetlenül attól, hogy azok már nem neked szólnak.

Nekem nemrég segített is, ezért merült fel. Egy friss barátnőjelölt küldött valami kedves galériához linket csak nekem,

viszont én reflexszerűen(?) kikattintottam az "összes" nézetbe (mint a sajátomnál általában). Érdekes dolgokkal találtam szembe magam..., a "bimbódzásnak" azonmód vége szakadt. :D

Sőt, ha valaki netán nekiáll és brute-mód generálgatni (ld. ".../authkey/") vagy bemászni az adott publikus oldal alá..., nem kizárt, hogy kijönnek valahogy a privátok is, ha már ezt a "view"-t elérte.

Őszintén szólva egyáltalán nem lepődök meg a dolgon, Facebookon már láttunk ilyet.

Global Payments Inc.

Több mint 10 millió kártyaszámot érinthet az amerikai Global Payments Inc-et ért dupla incidens, melyekre év elején került sor. A cég online fizetési tarnzakciók lebonyolításáért felel, az adatvesztés a remények szerint nem éri el az iugyanezt a tevékenységet végző Heartland-nél mért rekordot. További infók a Breach-en.

CyberLympics

A kancellár.hu csapata harmadik helyezést ért el az EC-Council nemzetközi CyberLympics versenyén, gratulálunk nekik!

KPN

A holland hatóságok őrizetve vettek egy 17 éves srácot, akit több más rendszer kompromittálásán, és egy lopott kártyaadatok adásvételére szakosodott fórum üzemeltetésén túl a KPN mobil szolgáltató több száz szerverének ownolásával is gyanúsítanak. A történet azért különösen érdekes, mert a KPN-ről nem most hallunk először - igen, ilyen cégek osztják az SSL tanúsítványainkat...

OSVDB

Az Open-Source Vulnerability Database kétségbeesett hangvételű blogposztott tett közzé, melyben arra panaszkodnak, hogy a szolgáltatás léte veszélybe került a közösség munkában kifejezett illetve anyagi támogatásának hiánya miatt. A szerző szerint bár sok cég profitál a nyílt módon közzétett sebezhetőség-információkból, csak nagyon kevesen adnak vissza a projektnek. Bár az OSVDB egyelőre nem zár be, az egyelőre technikai okok miatt szünetelő adatexport szolgáltatást korlátozni fogják, a HTTP-s felület továbbra is elérhető marad. A projektet önkéntes munkával - hibajegyek ellenőrzése és karbantartása - , vagy adományokkal bárki segítheti, én már nekiálltam, tegyetek hasonlóan ti is!

A szerdai meetupon a Hacktionről tartok kiselőadást, mindenkit szeretettel várunk :)

Tegnap kimaradt - Rails 3.2.3

Megjelent a Ruby on Rails keretrendszer legújabb verziója, melyben módosították a GitHub incidensnek táptalajul szolgáló mass assignment alapértelmezett viselkedését. A fejlesztőknek ettől kezdve fehérlistázni kell azokat az osztályattributumokat, melyeket a HTTP kérésekből közvetlenül manipulálni szeretnék.

"Egy törvénytisztelő állampolgár" mókás üzenetet küldött a Full-Disclosure listára, melyben arra kéri annak olvasótáborát, hogy ne tegyék tönkre a peerek száma alapján több AV által is top helyre sorolt Sality botnetet. A szerző ezután hosszas fejtegetésbe kezd arról, hogy hogyan lehet a botnet kártevője által is kihasznált webes sérülékenységeken keresztül kicserélni a zombik frissítéséhez használt csomagot egy eltávolító eszközre, ezzel gyakorlatilag saját fegyverével támadva a hálózatra. 

A levélhez mellékeltek (tükör1, tükör2) egy, az aktuálisan frissítésre használt hosztokat felderítő szkriptet, egy Sality számára megfelelően összeállított eltávolító készletet, valamint a kártevő egy mintáját is, mellyel az előzőeket tesztelni lehet. 

Az akció hatásáról egyelőre nincs információ, remélem valamelyik AV-gyár rárepül a témára és látunk majd néhány szép statisztikát!

 A napokban az Adobe, a Cisco és a VMware is kihozott biztonsági frissítéseket.

A Flash Playerben két kritikus biztonsági problémát javítottak, melyek távoli kódfuttatásra adnak lehetőséget. Az egyik hiba csak Windows Vistán és 7-en jelentkezik, a másik viszont minden támogatott platformot érint. A 11.2-es verzióban ezen kívül megjelent az automatikus frissítés funkció is, ami egy üdvözlendő újítás.

A Cisco kilenc sérülékenységet javított az IOS-ben, ezek közül egy 8.5-ös CVSS-t érdemlő távoli kódfuttatásra alkalmas sérülékenység, a többi DoS-ra ad lehetőséget. 

A VMware-nél hat sérülékenységet javítottak. Az egyik a régi típusú Windows Guesteken tesz lehetővé privilégiumemelést (részletek itt), frissítésre került a Console Operating System kernele és javították a több helyre is becsúszott kódfuttatás problémát az ESX telnet démonában.