A Metasploit Unleashed kurzust kiszolgáló wikimotor egyik hibáját kihasználva ismeretlen támadók PHP shellt töltöttek fel az Offensive Security egyik webszerverére. A hivatalos álláspont szerint kritikus kárt nem okoztak és személyes adatok sem szivárogtak ki. A támadás nagyjából 28 órán keresztül maradt észrevétlen.
Nem sokkal a holland eset után, egy iKee nevű srác szabadon eresztette a világ első iPhone férgét, szerencsére csupán puszta kíváncsiságból. A kis C nyelven írt program az ausztrál 3G szolgáltatók IP tartományaiban, illetve 20 másik véletlenszerűen választott hálózatban kutat nyitott SSH portok után, és próbál bejelentkezni az alapértelmezett root jelszóval. Sikeres belépés esetén felmásol néhány fájlt a készülékre, megváltoztatja a háttérképet, majd az újonnan fertőzött készüléken is elindítja magát, és lelövi az SSH démont, hogy a "felülfertőződést" megakadályozza.
Egy IRC interjú tanúsága szerint iKee arra volt kíváncsi, hogy meddig terjedhet egy ilyen fertőzés, és hogy összesen hány darab, alapértelmezett jelszóval beállított készüléket fog találni. Bár pontos számok nem ismertek az elterjedtségről, de iKee telefonja egymaga több mint száz sebezhető készüléket talált, és már a szigetországon kívüli esetekről is hallani lehet annak ellenére, hogy a problémától már majd' egy hete hangos a web, a védekezés pedig nem kifejezetten bonyolult.
A féreg forrása elérhető innen. Védekezésül jelszóváltoztatás javallott az érintett iPhone-okon, erről egy jó útmutató olvasható itt.
Kiszivárgott a Microsoft korményügynökségeknek szánt bizonyítékgyűjtő programcsomagja, a COFEE. A cuccról már én is írtam annak idején, most még ugyan nem volt alkalmam kipróbálni, de már itt figyel a vinyón. Szükséges COFEEinadagjának megszerzéséhez, kérjük keresse fel kedvenc torrent trackerét!
Marsh Ray közzétett néhány olyan eljárást, melyek segítségével man-in-the-middle támadások válnak lehetővé különböző, TLS kliens hitelesítést használó HTTP szerverekkel szemben.
A probléma lényege a következő (remélem nem néztem be semmit kivételesen :P): egy MitM esetben a közbeékelődött támadó nyílt csatornán küldhet HTTP kérést a kliens hitelesítést elváró kiszolgáló felé, amit a kiszolgáló pufferel, majd TLS egyeztetést kezdeményez a klienst felé. Ezt a kérést a támadó továbbítja a valódi kliens felé, majd hagyja lezajlani az azonosítási folyamatot. A sikeres egyeztetés után pedig a kiszolgáló lefutattja az előzőleg pufferelt, támadó által küldött kérést...
Martin Rex IIS elleni sikeres támadásról adott hírt, a doksi ezen kívül az Apache HTTP szerver emeli ki támadható platformként.
Villámposzt volt, frissítés várható!
Frissítés: a G-Sec megerősítette a problémát
Earl Chew egy versenyhelyzetből adódó NULL pointer dereferencia sebezhetőséget fedezett fel a Linux kernel csővezeték-megvalósításában. A probléma akkor jelentkezik, mikor két folyamat egyszerre próbál elengedni és megnyitni egy pipe-ot: ugyan a kölcsönös hozzáférést mutex zárja ki, az elengedésnek sikerülhet mellbedobással kinulláznia a védett struktúra egyik pointerét, így a megnyitás ezen a NULL-ra mapelt pointeren kezd el dolgozni.
A hiba helyi root jogosultság szerzésére használható fel, PoC exploit megjelenése várható még ma. A nagyobb disztribútorok közül a Red Hat javítást adott ki, a Debian a mmap_min_address változó értékének 0-ról történő megemelését javasolja, míg az Ubuntuban ez már alapértelmezetten így van.
A problémát a 2.6.32 RC6-ban javították, az érintett verziókat a vonatkozó BID-ben találjátok meg felsorolva (jó közelítéssel az összes 2.6.*). Részletesebb leírás olvasható xorl-nél, valamint egy hibát triggerelő példakód is megtekinthető az eredeti jelentésben.
A Black Security értesülései szerint str0ke, a milw0rm gazdája helyi idő szerint tegnap hajnalban elhunyt. Str0ke gyerekkora óta szívelégtelenségtől szenvedett, halálát is valószínűleg ez okozta. Nyugodjon békében!
Frissítés: ööö...
Frissítés 2:
Na, szóval úgy néz ki, kamu volt a hír: egyrészt fent van belinkelve egy csirip str0ke Twitter accountjáról, másrészt számomra meggyőző erejű volt az Offensive Security - akik ugye (hír)nevüket adják a dolgaikhoz, és nem mellesleg általában elég jól tájokozottak - legutóbbi posztja, melyben hangsúlyozzák, hogy a milw0rm gazdája jól van. Szóval ez egy igen hülye tréfa volt a BS részéről, ennyire fogok adni a hitelességükre a jövőben...
Mindazonáltal nem érzem úgy, hogy hibáztam volna a hír közétételével, mivel egyedül a különböző hírportálokon és blogokon elhelyezett, a (jelenleg) fals(nak ítélt) hírt továbbadó, részvétnyilvánító bejegyzésekre támaszkodhattam. Utólag okoskodni persze baromi könnyű :P Abban azért bízom, hogy igaz lesz a mondás: akinek a halálhírét keltik, az 100 évig fog élni.
Ha már így benne vagyok az írásban: az Offensive-Security ígérete szerint - tekintettel a milw0rm-ön tapasztalható inaktivitásra - nemsokára egy új, nyílt sebezhetőség-adatbázist fog nyitni, ha esemény van, jelentkezem.
Interpooler küldte az infót, hogy szépen lehet listázni a BIX.hu adminjának hash-ét. Mivel az infó amúgy is nyilvános, ezúttal kivételesen csak abban bízom, hogy van illetékes a közelben, aki olvassa a blogot :)
Sokan szeretnének iPhone-jukon minden féle, az Apple által valamilyen okból jóvá nem hagyott szoftvert futtatni, ez a kívánság pedig az iPhone firmware-ének néhány hibáját kihasználva, az ún. jainbreak eljárás segítségével váltható valóra. Azt azonban a jelek szerint viszonylag kevés felhasználó tudja, hogy ez az eljárás kinyitja a készülék SSH portját, amin egy jól ismert, alapértelmezett jelszó van érvényben. Ez nem gonoszság, egyszerűen a "hivatalos" jailbreakgyártó Dev-Team így engedett utat azoknak, akik az okostelefon operációs rendszerébe is mélyebben be kívánnak tekinteni.
Egy holland hacker viszont gondolt egyet, és végigpásztázta a helyi T-Mobile IP hálózatát nyitott SSH portok után kutatva, a megtalált eszközökre pedig megpróbált bejutni az alapértelmezett jelszóval. Ha sikerrel járt, egy SMS-értesítőhöz hasonló üzenetet jelenített meg a készülék képernyőjén, ahol közölte, az adott iPhone feltörhető, de 5€ ellenében szívesen segít kijavítani a hibát. A behatolót ugyanakkor úgy tűnik, nem a rossz szándék vezérelte, hiszen az üzenet további részében azt is közli, hogy nem kötelező fizetni, ő semmilyen rossz dolgot nem tett, de mások nem biztos hogy ilyen kedvesen járnak majd el.
Szóval a kedves jailbreak-elt iPhone tulajdonosok lőjék le az SSH démont, vagy változtassanak jelszót!
Az előző gondolatébresztő folytatása, ismét Dave Schacklaford blogjából, ezúttal 1-1 fordításban. Most arról olvashatjuk el a tutit, hogy mire kell figyelnie az egyszeri IT biztonsággal foglalkozni kívánó kockának/menedzserjelöltnek, aki szeretne előbb vagy utóbb feljebb jutni a ranglétrán. Kicsit ájtíbiznisz szagú, de mond okosokat a fickó, olvassátok:
Tegnap söröztünk egy jót Aikonnal, és szóba került, hogy milyen jó is lenne, ha rámennék itt a blogon a "bitközelibb" sebezhetőségekre, pl. kernel bugokra és hasonlókra. Kivitelezési szempontból azonban van egy pár bökkenő:
Minden esetre a dolog nem hagyott nyugodni, úgyhogy ma csak azért is nekiálltam néhány vonatkozó bugreport átnyálazásának. A próbálkozások igazolták a fenti állításokat: rendszeres posztokat ilyen témában még egy darabig biztosan nem fogok tudni produkálni.
De! Arra gondoltam, mi lenne, ha megpróbálnánk ezeket a problémákat közös erővel megoldani? Tegyünk egy próbát:
Maksymilian Arciemowicz felfedezett egy problémát a NetBSD, az OpenBSD és még néhány gyártó printf megvalósításában, a probléma részleteit pedig viszonylag szűkszavúan dokumentálta itt. A trükkös kérdés a következő: miért kell a formátumsztringben string típust megadni, miért nem jó a float, illetve milyen más vezérlőkarakterrel képzelhető el az esi és az edi regiszterek felülírása?
A válaszokat kommentben várom, motiváció képpen az első helyes megfejtőnek felajánlok egy sört/tábla csokit, amit a következő sörözésen (vagy más eseményen ahol képviseltetem magam) behajthat!
Ja igen, egyebek mellett ez egy remek lehetőség arra, hogy buta falme-ek helyett mindenki, akinek szüksége van rá megmutassa, mennyire fasza gyerek :)
Dave Shackleford összehozott egy útmutatót az IT biztonság területén tevékenykedni kívánó újoncok, "n00b-ok" számára, és meg kell mondjam, szívemből beszélt a srác, úgyhogy most igyekszem átadni az általa megfogalmazott gondolatok lényegét (ez félig 1-1 fordítás lesz, félig összefoglaló):
Csendben folyik az élet fronton: összesen 640.000 webhelyet és mintegy 6 millió egyedi oldalt érint a legújabb tömeges webfertőzési hullám. A beillesztett kódok természetesen most is különböző böngészőkön keresztül kihasználható hibákat céloznak.
Közben megjelentek a Firefox és az Opera böngészők újabb verziói, melyek mindkét esetben kritikus besorolású sebezhetőségeket javítanak. Az Opera esetében speciális domainneveken keresztül lehet kódot futtatni - ez felteszem azt jelenti, hogy egy rossz linkre kattintva már ott is a gonosz a gépben -, a Firefox esetében pedig egy sor kisebb, de potenciálisan veszélyes stabilitási probléma mellett az OGG és GIF formátumok kezelésével, és a karakterláncok számmá alakításával voltak problémák.
Tehát frissítsetek, és kattintsatok minden linkre ami fénylik!
Davee-től értesültem, hogy online a NetAcademia által már rég óta ígérgetett magyar Ethical Hacking Wiki első verziója. A szabad információáramlás jegyében regisztrálni csak NetAcademia-s kóddal lehet, nagyon hálás lennék, ha lőne valaki egy meghívót :)
A hosszúhétvégét a civilizációtól elzárt területen tervezem tölteni, ezért nem lesz poszt, de remélem jövő héttől újult erővel vághatok bele a dolgokba! Legyetek jók!
A CNet két részes interjút készített Jeff Moss-szal, vagy ismertebb nevén Dark Tangent-tel, aki egyebekn mellett a Defcon és BlackHat konferenciák egyik alapítója, másrészt ma már az USA Honvédelmi Bizottságának tagjaként segít megvédeni az ország informatikai infrastruktúráját. Az alábbiakban az interjú második felét olvashatjátok.
Nem szeretnék átmenni üzleti újságíróba bloggerbe, de mivel napjaim jelentős részét mostanában a Metasploit keretrendszer boncolgatása teszi ki - sajnos el kell ismernem, hogy sokszor a blog rovására - , nem állhatom meg, hogy ne írjak pár szót a közelmúlt és közeljövő kapcsolódó eseményeiről:
Az elsőszámú hír az, hogy a Metasploit keretrendszert és központi fejlesztőcsapatot cakkumpakk megvette a Rapid7. A bejelentések szerint a keretrendszer továbbra is BSD licensz alatt marad, az egyetlen különbség az ígéretek szerint az lesz, hogy az eddigi "hobbiból" dolgozó fejlesztőgárda mostantól teljes munkaidőben a Metasploit fejlesztésére lesz állítva. Reméljük jól sül el a dolog!
Nem mellesleg, közeleg a 3.3-as verzió kiadása is, és higyjetek nekem, nem lesz kis piskóta az új játékszer! Aki szeretné, természetesen már most is letöltheti az aktuális revisiont a projekt SVN tárolóiból.
Mindezektől független, hogy a Metasploit csevegőcsatornája leköltözött SILC-ről IRC-re, méghozzá a FreeNode hálózatába. Tessék a #metasploit csatornát keresni!
Akinek nem volt világos, hogy előző néhány bekezdés miről is szólt, annak étvágygerjesztőnek tudom ajánlani az Offensive Security ingyenes Metasploit kurzusát. Ha pedig tetszettek az ott látottak, a Hackers for Charity segítségével lehet adakozni, hogy minél több rászoruló afrikai gyerekeket elindítsák az önellátó mezőgazdálkodás útján.
Ma reggel olvastam buksikutya levelét, miszerint éktelenkedik néhány csúnya biztonsági rés mindnyájunk kedvenc rootkitgyártója, a Sony Music magyar nyelvű weboldalán is. Mikor azonban ellenőriztem, miről is van szó, meglepve konstatálhattam, hogy török barátaink bizony megelőztek:
Külön jó, hogy sem a kapcsolati oldal, sem a WHOIS adatbázis nem tartalmaz használható e-mail-es elérhetőséget, de a biztonság kedvéért azért dobtam egy levelet az info@-ra, hátha...
Frissítés: szólhatna valaki az illetékeseknek, hogy az oldal még mindig szita :P
Még múlt héten kaptam sghctomától pár érdekességet a magyar netről. Megpróbáltam felvenni a kapcsolatot az Aliencomputers-szel is, sajnos sikertelenül...
... egy eleg ismert szamitogepbolt, toluk az ember azert minimum azt elvarna, hogy ne plaintext-ben legyenek tarolva a jelszavak...
http://aliencomputers.hu/
index.php?mit=30&t_kat1_id=1& t_kat2_id=0'+union+select+1,+ concat(loginnev,0x2d,email, 0x3a,jelszo), [...censored ;)...]
Frissítés: Az illetékesek közben léptek valamit az ügyben, de buksikutya felhívta a figyelmemet, hogy az admin felületen még mindig gyönyörűen be lehet mászni autentikáció nélkül :P
Az Adobe tegnap - a Microsofttal egy napon - kiadta rendszeres frissítéseinek legújabb csomagját, melyben számos kritikus sebezhetőséget orvosol, többek között ezt is. Mivel az Adobe PDF kezelő szoftverei gyakran válnak célpontjaivá különböző támadásoknak, sokan - köztük én is - javasolják az áttérést más gyártók termékeire, legalábbis arra az időre, amíg a megfelelő frissítések meg nem érkeznek.
Ez a hozzáállás azonban nem minden esetben célravezető: Bernard Jav-Wever közzétett néhány, az egyik javított sebezhetőséget bemutató példaállományt, mire a Full-Disclosure listán mrx megjegyezte, hogy a nyilvánosságra hozott kódok a Foxit Reader Firefoxba beépülő moduljának is kellemetlen perceket okoznak. Ennek az elméletileg kódfuttatásra is alkalmas sebezhetőségenk a kihasználásától tehát nem feltétlenül véd meg egy másik olvasó használata.
Mivel a Foxit Software a fenti sebezhetőségre még nem adott ki javítást, most az a helyzet állt elő, hogy az Adobe terméke védettebb az ilyen jellegű támadásokkal szemben.
Nehéz a dolga az egyszeri júzernek, nem igaz?
Frissítés: Majdnem kihagytam a McAfee remek kis összefoglalóját az egyik vadon növő, PDF-be ágyazott kártevőről, amit ez a frissítés gyilkolt le.
A Microsoft ehónapban rekord méretű frissítőcsomagot tett közzé, amely végre orvosolja a már sokat emlegetett, távoli kódfuttatásra alkalmas SMBv2 sebezhetőséget, és az FTP szolgáltatás hasonlóan veszélyes hibáját is.
Javításra került ezeken kívül négy kritikus besolorlású, Internet Explorer sebezhetőség, melyek a szoftver összes támogatott változatát érinti, és kódfutattást tesznek lehetővé speciális weboldalakon keresztül. A problémát a Windows Presentation Foundation hibája okozza, és mivel a .NET Framework 3.5 SP1 kérdés nélkül telepíti ezt a komponenst a Firefox-ba is, a Mozilla böngészője is sebezhetővé válik! Imádom, amikor a kedves gyártók jobban tudják, mit szeretnének a júzerek :)
Tovább gyűrűzik a .NET keretrendszer ATL-jei körül kialakult pánik is, újabb sebezhető vezérlőket találtak ugyanis a sablonkönyvtárban. A Microsoft a sebezhető kódok javításával, és a hibás vezérlők killbitjeinek beállításával igyekszik úrrá lenni a helyzeten. A keretrendszert ezen kívül több sandbox-kitörésre, pontosabban a Code Access Security által szabott határok átlépésére alkalmas probléma is súlytotta. Ezek a következő esetekben okozhatnak problémát:
Az utolsó javított kritikus sebezhetőségcsalád a GDI+ képmegjelenítőt érintette, és hatással volt többek között az Office különöbző váltoataira, a Visual Studiora és az SQL Serverre, sőt, a Forefront Client Security-ra is. A redmondiak az alapvető hibajavításokon túl ebben a hónapban egy már régebb óta opcionálisan telepíthető szolgáltatást is alapértelmezetté tettek, ennek segítségével a rendszergazdák fájltípusonként letilthatják a különböző formátumú képek megjelenítését.
A többi, kevésbé súlyos sebezhetőséggel kapcsolatos információkért forduljatok a Microsoft vonatkozó oldalához!
U.i.: Javították a NULL karakterrel bűvészkedős sebezhetőséget az X.509-es tanúsítványok feldolgozását végző CryptoAPI-ban is, jessz!
Nem kell csalódnia azoknak, akik esetleg hiányolták volna az elmúlt hónapok adatvesztési illetve adatlopási botrányaiból az USA talán legnagyobb üzletláncának, a Wall-Mart-nak a nevét.
A Wired birtokába került ugyanis egy halom belsős jelentés, melyek igen vészjósló képet festenek a vállalat belső infrastruktúrájának védelméről. Bár a Wall-Mart 2006-ban megfelelt a PCI biztonsági előírásainak, az ezt megelőző években - és ezt most hivatalosan is megerősítették - tetemes mennyiségű bizalmas adat került illetéktelenek kezébe.
Minderre a bolthálózat mérnökei 2006 novemberében figyeltek fel, mikor az egyik kiszolgáló a sok ezer közül egyszercsak összeomlott. A szoványos hibaelhárítási feladatok elvégzése során a szakembereknek feltűnt, hogy a problémát a gépre telepített L0phtCrack jelszótörő program okozta, melyet valaki egy már távozott munkatárs VPN hozzáférésén keresztül juttatott a kiszolgálóra. A kapcsolatot egy Minszk-beli gépről indították.
A Wall-Mart emberei természetesen a hivatalos szervekkel együttműködve azonnal nyomozásba kezdtek, és letiltották a komprommitált hozzáférést. A támadó azonban feltehetően észrevette, hogy felhívta magára a figyelmet, és rögtön bejelentkezett egy másik hozzáféréssel, majd egy harmadikkal is.
Mivel cég szerverei csak a sikertelen belépési próbálkozásokat naplózták, így a nyomozóknak nem volt könnyű dolguk a támadássorozat visszakövetésekor. Annyi azonban bizonyos, hogy az illetéktelen behatolások már legalább 2005 júniusa óta tartottak, és legalább 800 gépet érintettek, bár ezek közül valószínűleg nem mindegyikre sikerült ténylegesen bejutni.
További aggodalomra adhatott okot, hogy a támadók tevékenységét elemezve úgy tűnt, hogy a célpontok kifejezetten a Wall-Mart helybenfizetési rendszerét fejlesztő programozók voltak. A támadás tehát minden bizonnyal nem vaktában, hanem pontos terv szerint zajlott. A belső hálózatból kikerültek többek között a hitelkártyás tranzakciókat bonyolító programok és forráskódjaik egy része, egy sor, a fizetési tranzakciókat leíró fejlesztői dokumentáció egy része, hálózatiforgalom- és egyéb naplók, valamint egy szimulátor.
A cég szerint nincs bizonyíték arra, hogy bármilyen ügyféladat illetéktelen kezekbe került volna. Figyelemreméltó ugyanakkor, hogy ugyan a Visa a PCI szabályozás alapján 2004-től kezdve minden Wall-Mart kaliberű cégnek előírja ezen adatok titkosított tárolását, egy 2005 év végén kezdődött biztonsági elemzés jelentése ugyanakkor jelentős mennyiségű titkosítatlan ügyféladat jelenlétére hívja fel a figyelmet a vállalat belő hálózatában, és kiemeli, hogy egy észrevétlen behatolás során a személyiséglopáshoz szükséges ügyféladatok "gyakorlatilag kimeríthetetlen tárháza" nyílhat meg a támadók előtt.
A Wall-Mart azóta teljesítette PCI követelményeit, és a felügyeleti szervek - ügyféladat-szovárgásra utaló bizonyíték hiányában - sem találták szükségesnek az incidens nyilvánosságrahozatalát.
Érdekes lehet azonban összevetni az esetet a szintén Wall-Mart érdekeltségbe tartozó Sam's Clubot érintó adaszivárgási botránnyal, vagy az egyéb cégeket - pl. az ezek közül legnagyobb port kavart TJX-et - érintő, szintén a helybenfizetési rendszereket célzó támadásokkal. Ezekkel kapcsolatban azonban inkább visszaadnám a tollat a Wired szerzőinek :)
Kredit ezúttal is b3nsz4-é, elit.wanadoo.hu:
Adatbázis mentve.. a kb. 27000 user : ) meg gondolkodjon el..
B3nsz4 küldte, ajánlanám az ismeretlen üzemeltetők figyelmébe:
Csak gondoltam szólok.. hogy vigyázzon a nép a hazai warez oldalakkal.. hisz nem nehéz lementeni az adatbázisukat.. és a legtöbb IPB alapú warez külön menti a jelszót.. nem csak hash-be:P
ui: Kiszedtem a jelszavakat.. hogy nehogy gonosznak nézzetek..
Rég óta ismertek azok a kutatási eredmények, melyek megmutatták, hogy a gépelési stílusjegyek könnyen azonosíthatják a gépelő felhasználót. Az SMU hallgatóinak díjnyertes találmánya ezt az elméletet ülteti át a gyakorlatba.
A Safelock rendszer a jelszavas hitelesítések során nem csak a beírt jelszó helyességét vizsgálja, hanem azt is, hogy pl. mennyi ideig tartanak az egyes leütések, vagy hogy mekkora idő telik el két egymás utáni billentyű lenyomása között, és csak akkor teszi lehetővé a belépést, ha az így felismert minta összevág a valódi felhasználó előre rögzített gépelési sémájával. Sőt, a fejlesztők ennél is tovább mentek: néhány sikertelen próbálkozás után a Safelock rosszindulatónak bélyegzi a próbálkozót, és elkezd rátanulni a gépelési mintáira, és kizárja őt a rendszerből.
(via Hack-A-Day)
