A német Friedrich-Alexander Egyetem kutatói belemásztak kicsit az Apple kütyük hotspot funkciójába: ezzel a lehetőséggel a mobil-internet kapcsolattal rendelkező készülékek WiFi-n tudják tovább osztani a sávszélességüket, a rendszer pedig emberbarátságból igyekszik kimondható/megjegyezhető jelszavakat generálni a kiépítendő WPA2 kapcsolatokhoz. 

A kulcs természetesen a "kimondható/megjegyezhető" részen van. A kutatók statikus és dinamikus analízis segítségével feltárták, hogy a jelszavak egy 250.000 szót tartalmazó listából kerülnek kiválasztásra, melyekhez a szoftver hozzáad még négy számjegyet. A poén az, hogy a jelszógenerátor csak 4-6 karakter hosszú szavakat választ, így a gyakorlatban mindössze 1842 kiinduló szón alapulhat a hotspot jelszava.

Feltehetően a híres német rendszeretet vette rá a FAU szakértőit, hogy az egyedi, jog által védett szólista formátum visszafejtése helyett más módon nyerjék ki a szólistát: szerencséjükre az iOS gépelést könnyítő API-ja is ugyanezt a listát használja, így néhány megfelelő beviteli mező illetve beviteli esemény generálása után az okoskészülék maga hányja ki a szóadatbázis megfelelő részét - a PoC app letölthető a projekt oldaláról.

Egy támadónak tehát legfeljebb 18420000 próbálkozásra van szüksége a WPA2 kézfogás lehallgatása után, néhány jó videókártyával, vagy egy népszerű felhő szolgáltatással mindez egy percen belül végigpörgethető.

Microsoft

MS13-047: Az ehavi Internet Explorer frissítés 9 hibajavítást tartalmaz a böngésző összes támogatott verziójához, a sérülékenységek szokásosan kódfuttatást tehetnek lehetővé, frissíteni muszáj.

MS13-048: Kernelmemóra-tartalom olvasható userek által x86 rendszereken, a probléma jogosultságkiterjesztéshez nyújthat segítséget.

MS13-049: Egy integer túlcsordulás a TCP/IP stackben DoS-ra adhat lehetőséget. A gyártó megjegyzi, hogy a probléma kihasználásához nem elég egyetlen csomag, valamint a sikeres kihasználás esélyét növeli, ha a támadó be tud jelentkezni a célgépre, így a probléma gyakorlati jelentősége nem tűnik túl nagynak.

MS13-050: Mindannyiunk kedvenc Printer Spooler szolgáltatása "helytelenül szabadítja fel a memóriát" nyomtató csatlakozások törlésekor, ami helyi privilégiumemelésre adhat lehetőséget.

MS13-051: Az Office 2003 és a Mac 2011 PNG feldolgozójában található hiba kódfuttatásra ad lehetőséget. A problémát célzott támadások során már kihasználták, így jó lesz sietni a frissítés telepítésével. Szerk: Technikai részletek itt.

A fentieken túl a Microsoft ma közzétett egy FixIt csomagot, melynek segítségével megtiltható a Java bővítmény használata az Internet Explorerben, így a Java-függők anélkül tudják használni asztali Java alkalmazásaikat, hogy a telepített futtatókörnyezet aplletek futtatásával veszélyeztetni a munkaállomások biztonságát.

Adobe

Az Adobe immár szokásosan kézenfogva frissít a Microsofttal, az új Flash lejátszót mindenki igyekezzen letölteni, az IE10-be illetve a Chrome-ba automatikusan lecsorog a frissítés. 

Apple

Az Apple az új kütyük illetve az iOS 7 bejelentése mellet frissítette az OS X-et és a Safarit is, a javítások nagy része még tavalyi patchek backportolása pl. Ruby-hoz, OpenSSL-hez illetve a WebKit-hez. Kis színesként a Core Security oldalán oldalán eposzba illő történet bontakozik ki a DirectoryService egy hibájának bejelentéséről illetve javításáról. Szerk: ez a QuickTime hiba meg szimplán vicces (via).

Apache Struts

A múlt hét sztárja az Apache Struts keretrendszere volt, ami rövid idő alatt 3 kiadást is megért mire az összes, fejlesztől nyakába szakadt, magas kockázatú problémát sikeresen javították. A problémák most is az OGNL feldolgozással voltak, a hibák távoli kódfuttatást tesznek lehetővé speciális HTTP kérésekkel, a Struts-t használ, sürgősen frissítsen!

PHP

Ha már web, a PHP is kapott egy rakat foltot az 5.4.16-os kiadásban, biztonsági vonzata a quoted_printable_encode() heap overflow hibájának van.

BIND

A népszerű névszerver 9-es főverziójában DoS-ra alkalmat adó problémát javítottak.

VMware

Az ESX szerver sudo-jába néhány régebbi, jogosultságkiterjesztésre alkalmat adó sudo hibát javítottak. Éééés a poszt élesítésének pillanatában érkezett meg a következő csomag, ami egy távoli autentikálatlan kódfuttatás hibát javít a vCenter Chargeback Managerben - hát igen, a fájlfeltöltés kezelése nehéz...

A napokban Kingcope egy Plesk exploitot tett közzé a Full-Disclosure listán. A szakértő szerint a problémát az okozza, hogy a Plesk egyes változataiban a /usr/bin könyvtár a ScriptAlias beállítással ki van lógatva a nyilvános webes interfészre, így azonnali parancsvégrehajtás érhető el.

A bejelentést többen szkeptikusan fogadták, mivel a problémát nem tudták reprodukálni, egy ilyen méretű szarvashiba a konfigurációban pedig igen valószínűtlennek tűnt. Mára azonban többen is megerősítették, hogy a probléma valós, bár egyesek szerint nem az Apache beállítás okozza a problémát, hanem a Pleskkel szállított PHP motor sérülékeny a CVE-2012-1823 hibára (ezt egyébként Kingcope az eredeti release-ben cáfolta). A RepoCERT szerint ráadásul egy nagyjából 900 hosztot számláló, IRC-n vezérelt botnet is kiépült a hiba kihasználásával mely óránként további 40 hoszttal bővül.

A probléma tehát valósnak tűnik, de az érintett Plesk verziók illetve konfigurációk köre egyelőre nem tisztázott. A SANS ISC a Google-s User-Agenttel érkező POST-ok figyelését javasolja, ami nyilván hülyeség, nézzétek meg az exploitot, és figyeljetek oda a Plesk installációkra!

A Google biztonsági csapatának néhány prominens tagja blogbejegyzésben fejti ki ajánlását, miszerint a gyártóknak illene minden tudomásukra jutott kritikus sérülékenységet 60 napon belül javítani, a hibák felfedezőit pedig arra bátorítják, hogy tegyék közzé a problémák részleteit, ha ennél hosszabb ideig kellene várakozni. Aktív kihasználás alatt lévő sérülékenységek esetében ugyanakkor a keresőóriás szakértői a 7 napos reakcióidőt tartanák megfelelőnek, ami bár kétségtelenül rövid egy javítás elkészítéséhez, kiteszteléséhez, publikálásához és telepítéséhez, arra azonban a szerzők szerint elegendő, hogy a gyártók tájékoztassák ügyfeleiket a problémáról és lehetséges elkerülő illetve kockázatcsökkentő megoldásokról.

Összehasonlítás képpen mai hír, hogy a Schneider Electric egyik ipari vezérlő szoftveréből mostanra sikerült kikapálni egy beégetett hozzáférést, amiről már 2011 decemberében nyilvánosságra került.

A bejegyzés születését egyébként egy újabb, a Google által észlelt 0-day fegyegetés indukálta, mellyel kapcsolatban a cég szakértői már a fent részletezett módon fognak eljárni...

...vagy már el is jártak? Tavis Ormandy múlt hónapban közzétett win32k.sys bugjára a napokban teljesértékű (bár elég megbízhatatlan - nekem még nem sikerült triggerelni) exploit született, a szintén a Google-nél dolgozó szakértő kapcsolódó blogposztjában pedig élesen bírálja a Microsoft biztonsági-kutatásokkal kapcsolatos hozzáállását. A Microsofttól eddig nem érkezett reakció az ügyben.

Szerk: Kapcsolódó flame :)

A szürkekalapos projekt nem állt meg, csak kicsit dilemmában voltam az elmúlt időszakban egy eddig fel nem merült részletkérdést illetően. Az unalmas részletek kifejtését nélkülözve álljon itt a megoldás:

Mindenféle emberi aggyal támogatott ellenőrzést nélkülöző scanner kimeneteket se lehetőségem se akaratom nincs végigbogarászni. Egy tetszőlegesen fura bug vagy akár felettéb gyanús hibaüzenet sem jelenti azt, hogy egy adott hiba biztonsági kockázatot jelent, ezt mindig érdemes szem előtt tartani!

Persze a tonnányi sqlmap kimenet mellett azért érkeztek értékes darabok is, lássuk mit hozott az elúlt bő hat hónap!

Megjelent a John the Ripper jelszótörő 1.8-as változata, az alverzió-ugrás több izgalmas újdonságot hozott.

A Rapid7 Magnificient7 programjának keretében fejlesztésre került az inkrementális törési mód: Ebben a módban a program minden lehetséges jelszót kipróbál egy adott karakterkészleten illetve maximális hosszon belül, karakterpozíciónként figyelembe véve a jellemző karaktergyakoriságokat. A mostani fejlesztés egyebek mellett lehetővé teszi, hogy a John karakterpozíciónként eltérő karakterkészlettel dolgozzon, így megfelelő adatokkal tréningezve adott idő alatt akár 91%-kal több jelszó is kipöröghet (ez persze egy szélsőséges eset, de kellően nagy hash-lista esetén a jellemzőbb 1%-os növekedés is értékes jelszavakat eredményezhet).

A másik igen hasznosnak tűnő újítás a --fork illetve --node kapcsolók bevezetése a párhuzamos és elosztott munka  támogatására. Előbbi kapcsolóval megadhatjuk, hogy a John hány példában forkolja magát, így egyszerűen kihasználhatók a többprocesszoros rendszerek erőforrásai, utóbbi opció segítségével pedig egyszerűen szétoszthatjuk a feladatokat több számítógép között is, bár hálózati kapcsolat híján ez a fajta triviális feladatmegosztás bizonyos esetekben nem hatékony. A kifinomultabb MPI párhuzamosítás, az OpenMP-vel támogatott multiprocessing, illetve az OpenCL-es GPU támogatás továbbra is fejlesztés alatt van, a mostani újítások az egyszerűbb konfigurációk létrehozását könnyítik meg. 

Az új verzió a fentieken túl számos optimalizációt és új parancssori interfészt is hoz, részletek a hivatalos bejelentésben.

A múlt heti Open Academy-n bemutattam a Ghost in the Shell Control Box játék néhány lehetséges megoldását, az akkor lejátszott videó most már nyilvános:

A videó mellé ajánlható a "végigjátszás" képregényesített formája, ami némi betekintést enged a megoldás gondolatmenetébe (klikk a képre):

Bukovinai jóvoltából azt is megnézhetitek, milyen volt a játék egy játékos szemével, videók itt és itt. További élménybeszámolókat szívesen fogadunk kommentekben!

Most esett be a hír (thx @domi007), hogy illetéktelenek fértek hozzá a népszerű portálmotor, a Drupal infrastruktúrájához. A támadók több mint valószínű, hogy az nginx webszerver legutóbbi stack túlcsordulást okozó hibáját kihasználva jutottak be az association.drupal.org-ra [szerk. egy bennfentes kollega szerint nem nginx volt, de további részletek egyelőre nem nyilvánosak], ahonnan a www.drupal.org és groups.drupal.org hosztokra is kiterjesztették hatalmukat. A nyomozás még tart, egyelőre annyi biztos, hogy felhasználónevek, e-mail címek, hash-elt jelszavak kerültek illetéktelen kezekbe - jelszócsere ajánlott (szerk. A Drupal egyébként elég erős algoritmussal hasheli jelszavakat.). 

Nmap scan report for association.drupal.org (140.211.10.16)
Host is up (0.21s latency).
rDNS record for 140.211.10.16: master.drupal.org
PORT    STATE SERVICE VERSION
443/tcp open  http    nginx 1.4.1

A további incidensek megelőzése érdekében a Drupal csapata grsec-es kernelt telepített az infrastruktúra nagy részére, folyamatos integritásellenőrzést vezetnek be a kritikus fájlokra, valamint az archív oldalakat ezen túl statikus tartalomként fogják kiszolgálni.

+++

Eközben Ruby földön egy év eleji Rails hibát használnak ki tömegesen. A behódított gépeket botnetbe sorozzák, melyet egy orosz IRC szerverről írányítanak. Figyeljetek a gyanús crontab bejegyzésekre, és nem utolsó sorban frissítsétek a Railst (hello dependency hell ;)!

James Forshaw, a Context Pwn2Own nyertes kutatója részletes leírást tett közzé a HP legutóbbi bugvadászatában kihasznált, és nem rég foltozott CVE-2013-1488 jelű hibával kapcsolatban. A probléma és a kihasználás módja amellett, hogy szépen bemutat néhány elterjedt Java exploit technikát, arra is példával szolgál, hogy milyen mély tudás, és speciális gondolkodásmód szükséges a menedzselt környezetek biztonsági hibáinak feltárásához.

Az alábbi leírás jórészt axt munkáját dícséri, aki vette a fáradságot, és a Contexis anyaga alapján reprodukálta az exploitot, és segített annak értelmezésében, ezúton is hatalmas köszönet neki ezért!

Kelet-közép Európa legnagyobb hackerkonferenciája tizedik alkalommal kerül megrendezésre 2013. október 11. és 12. között. A konferencia hagyományosan az információbiztonsági szakma hivatalos és alternatív képviselőit hozza össze a terület iránt érdeklődőkkel, kötetlen, egyúttal ismeretterjesztő és néha mélyen technikai formában.

A következő kategróiákban lehet pályázni:

• Hagyományos előadás - A szervezőka  következő területeket emelik ki: mobil eszközök sérülékenységei, hardver hacking, telekommunikációs hálózatok támadási vektorai, hálózatbiztonság, operációs rendszerek biztonsága, böngésző alapú támadások, visszaélés közkedvelt alkalmazásokkal, adatbázis biztonsága, szerver hibáinak kihasználása, üzleti alkalmazásokból információgyűjtés, rosszindulatú mobil kódok, hacking eszközök, információs háború, hacker szubkultúra, social engineering, digitális kriminalisztika, adatvédelem, szellemi tulajdonnal összefüggő kérdések 
• Hello Workshop - Bevezető előadás, amely 20+20 percben mutatja be valamilyen gyakori IT-biztonsághoz kötődő (offenzív vagy defenzív) feladat elméletét és gyakorlatát.
• Termékbemutató - Ez gondolom nem komoly...

A CFP-re június 14-ig van lehetőségetek pályázni, további részletekért mindenki forduljon az eredeti kiíráshoz.

Amíg a srácok a GitSCB-n randalíroztak, ax beleszaladt egy cuki kis infóleakbe a linkedin.com -on: tetszőleges felhasználó email címét lehetett megtudni egy requestből. Ehhez mindössze  MemberID-re volt szükség. A leaket reportolta a linkedinnek, akik nem egészen egy nap alatt begyógyították, majd megköszönték szépen a reportot, és elkérték a pólóméretét. A hihetetlenül bonyolult sploitról kiszivárgott egy screenshot. :)

Microsoft

MS13-037: 11 frissítés az Internet Explorerhez. A csomag nem tartalmazza a 0-day CVE-2013-1347 javítását (az külön csomagot kapott), de befoltozza a VUPEN által Pwn2Own-on kihasznált két sérülékenységet, de a Chrome exploithoz használt Windows kernel problémát és az IE9 broker folyamatának hibáját csak később fogják javítani. 

MS13-038: Az aktuális Internet Explorer 0-day javítása.

MS13-039: DoS-re alkalmas sérülékenység a HTTP.sys-ben. Egy speciális HTTP fejléccel a Windows 8 és Server 2012 HTTP stackje végtelen ciklusba kergethető. A figyelmeztető sajnos nem tesz említést arról, hogy IIS vagy más szoftver esetében milyenek a kihasználás esélyei.

MS13-040: Két hibajavítás a .NET frameworkhöz. Az egyik probléma az XML szignatúrák hamisítását, a másik az autentikáció megkerülését teszi lehetővé WCF alkalmazásokban - egyik sem hangzik túl jól.

MS13-041: A Lync kliens use-after-free sérülékenysége távoli kódfuttatást tesz lehetővé, amennyiben egy támadó speciális tartalmat oszt meg, és ennek megtekintésére az áldozat elfogadja a meghívást.

MS13-042: Tizenegy hibajavítás a Microsoft Publisherhez, melyek mindegyike a szoftver saját fájlformátumának helytelen kezeléséből fakad, és kódfuttatást tesz lehetővé

MS13-043: Egy Office 2003 SP3-at érintő sérülékenység javítása. A probléma a Word Shape objektumainak helytelen kezeléséből ered, és elméletileg bármely Office komponensben triggerelhető.

MS13-044: Egy XML External Entity-ket használó fájl információszivárgást idézhet elő Visio-ban. Kódfuttatásra itt nincs lehetőség, de az XEE-kkel érdemes máshol is vigyázni ;)

MS13-045: A Windows Essentials Writer komponense helytelenül kezeli az URI-kat, ami lehetőséget ad egy támadónak fájlok felülírására illetve a proxy beállítások módosítására, ha az áldozat egy speciális linkre kattint. 

MS13-046: Három jogosultságkiterjesztésre alkalmat adó probléma javítása a Windows összes támogatott változatához. 

Linux

Az utóbbi napokban két helyi Linux kernel exploit is napvilágot látott. Az egyik kihasznált sérülékenység állítólag már három éve ismert, most csendben javították. A másik esetében is hasonló a helyzet.

Mozilla

A Mozillánál is javították a Firefox Pwn2Own sérülékenységeit még a 20-as verziónál, a most megjelent 21-es további 8 biztonsági problémát orvosol, míg a Thunderbird e-mail kliensben 6 sérülékenységet javítottak.

Adobe

A Micrososft frissítésekkel párhuzamosan immár szokásosan frissült a Flash Player is - az Adobe összesen 13 memóriakorrupciós sérülékenységet javított. Érdemesnek tartom kiemelni, hogy a VUPEN a most még javítatlan IE9 broker sérülékenységet egy Flash expoloitból kiindulva használta ki, szóval a sandboxingra egyelőre nem érdemes hagyatkozni Flash+IE kombináció esetén. Az IE10 és a Chrome automatikusan frissíti a lejátszót.

Friss: Most látom, hogy az Adobe végre kiadott egy hotfixet a szintén 0-day-el fenyegetett Cold Fusion-höz, valamint 27 hibát javított az Acrobatban és a Readerben.

A múlt hét egyik nyertese a Reputation.com, ahonnan neveket, email címeket, telefonszámokat, lakcímeket, születési dátumokat és jelszóhasheket sikerült zsebrevágniuk ismeretleneknek. A reputation.com személyes és céges brand építésre specializálódott SEO szolgáltatásokat nyújt. A cég levélben értesítette felhasználóit a betörtésről, miszerint a hálózatbiztonsági illetékes a támadás észlelése után izolálta a hálózatot és megváltoztatta a felhasználók jelszavát. Nincs infó arról, hogy hány rekord érintett, viszont érdekes megjegyzés hogy kizárólag az észak-dakotai felhasználók nem érintettek.

A LivingSocial.com durván 50 millió felhasználója adatát vesztette el. Ők ajánlatokat tesznek a felhasználóik érdeklődésének és városának megfelelően, hogy mit hol lehet olcsóbban megkapni. A támadás módjáról itt sincsenek infók, de szerencsére itt is saltolt és hashelt jelszavak voltak, és kártyaadatokat sem sikerült szerezni.

Jót derültem amikor olvastam hogy az nrcc.org (National Republican Congressional Committee, Országos Republikánus Kongresszusi Bizottság) nyitólapjára valaki viagra és cialis reklámokat helyezett el. Amerikai demokrata szemmel ez valószínűleg fölöttébb szórakoztató

Kedves olvasók: kapcsoljátok ki a számítógépeiteket, és menjetek ki szaladgálni a friss levegőre, az utóbbi napokban váratlan mennyiségű 0-day érkezett.

Ugyebár itt van a jövő kedden kijavuló Internet Explorer 0-day - erre az exploit mellett már elérhető egy FixIt is. 

Majdnem megfeledkeztem ezen kívül a kiváló Lotus Notesról, ami egészen a legutóbbi verziók megjelenéséig automatikusan lefuttatta az e-mailekbe ágyazott Java appleteket, ráadásul az alkalmazás a futtatókörnyezet elavult (sérülékeny) verziójával települt alapértelmezetten.

Szerver oldalon egy stack korrupcióhoz vezető integer túlcsordulást javítottak az Nginx-ben. A probléma a chunked HTTP kérések feldolgozását érinti, exploitot egyelőre nem láttam, de a patch alapján nem tűnik túlzottan trükkösnek a dolog (bár a stack protector bekavarhat). A probléma a kiszolgáló 1.3.9-1.4.0 változatait érinti, a javítás az 1.4.1-ben és az 1.5.0-ban érhetők el.

Kevésbé jó a helyzet a Cold Fusion háza táján: a nem rég megjelent Hack The Planet e-zine 5. kiadásában a kiszolgáló 9-10 verzióit érintő 0-day exploitot tettek közzé, az Adobe egyelőre egy figyelmeztetővel reagált a problémára. Úgy tűnik, hogy ezt az exploitot használták a Linode illetve a NVD megtörésére is - a HTP-nek a jelek szerint teljes hozzáférése volt az Nmap.org-hoz, és még egy halom más "hivatalos forráshoz" is a Linode-on keresztül... 

Andre Nestor (41) és John Kane (54) még valamikor 2011-ben kerültek a hírekbe, miszerint több mint 400.000 USD-val sikerült megvágniuk néhány Vegasi kaszinóban bizonyos pókergépeket. Hallotunk már ilyeneket, de a mostani eset azért lóg ki a sorból, mert a nyereséget pusztán glitcheléssel sikerült összehozni. Most ismét sikerült címlapra kerülni ugyanis a számítógépes csalás (CFAA) vádja nem állta meg a helyét, ezért ejtették.

A glitch nem biztos hogy mindenkinek megvan, - de a gamerek azok vágják - külső eszköz vagy szoftver nélkül, pusztán a játék lehetőségein belül, többnyire egy hiba kihasználása, ezáltal valamiféle előnyhöz jutás. (Aki még emlékszik a GTA első részére: abban volt egy olyan bug, hogy ha a fal mellé álltál egy busszal, és megpróbáltál alatta átbújni akkor átestél a fal másik oldalára. Asszem így lehetett megpukkantani egy tankot.)

Történetünk főhőse Kane, még 2009-ben találta a hibát az IGT Game King Double Bonus Poker nevű játékában. A hiba kihasználása a következőképpen történt: kis téten játszott amíg el nem ért egy nyerő lapkombót, ekkor megemelte a maximumra ($10), és a glitch segítségével a már nyertes lapokat újra el tudta sütni az emelt téten, és mindezt úgy hogy csak a rendelkezésre álló gombokat nyomkodta.

Végülis, a tech hackelés is arról szól hogy a rendelkezésre álló gombokat nyomogatom, és a másik oldalon is valami hibát használok ki. Vajon hol lehet meghúzni ezt a vonalat? Létezik ez a vonal? Érdemes elolvasni a kommenteket, ennek a cikknek az alján, ahol arról megy a vita hogy kié a felelősség: a játékgép gyártójáé, vagy a játékosoké akik a hibát kihasználták. Szerintem a gyártóé, lehet köpködni. -_-

Az idei Ethical Hacking konferencia után hagyományosan megyünk sörözni. Mivel a konferencia helyszíne változott, az ivást is át kellett helyezni - hosszas rágódás után végül No Name Pub-ra (1094. Tompa utca 8. - A Mester utcai villamosmegállónál) esett a választás, itt van foglalva asztalunk 17:30-tól Buhera fedőnéven. 

Nagyobb térképre váltás

A kínaiak Ismeretlen támadók ismét nagyon akarnak valamit az amerikaiaktól: Az Invincea szerdán számolt be arról, hogy kompromittálták az USA Munkaügyi Hivatalának weboldalát, hogy kártékony kódokat szolgáljanak ki róla. Az első hírek szerint az oldalra feltöltött exploit egy 2012-ben javított Internet Explorer sérülékenységet célzott, de most kiderült, hogy a támadók egy IE 6-8 között működő 0-day-t vetettek be - a Microsoft nem rég adott ki figyelmeztetést a problémával kapcsolatban.

A támadás az utóbbi időben divatba jött watering hole akciók tipikus példája: a támadók valójában nem a feltört honlap mögött álló minisztériumot célozták, hanem a nukleáris technológiával foglalkozó munkavállalók megbetegedéseivel foglalkozó cikkeken keresztül feltehetően az Energiaügyi Hivatal nukleáris kutatásokkal foglalkozó alkalmazottainak munkaállomásaira pályáztak.

A táma, illetve a 0-day elfüstöltetése azt jelzi, hogy komoly szándékok állnak a háttérben, az exploit által szállított Poison Ivy RAT-t úgy módosították, hogy csak 2/46-os arányt produkáljon VirusTotal-on. Az AlienVault elemzése szerint az egyik felderített C&C szervert korábban a Kínához köthető DeepPanda APT csoport használta.

A 0-day sérülékenység miatt javasolt frissíteni IE9-re vagy 10-re, illetve alternatív böngészőre váltani.

Friss (201305062109): A 0-day exploit bekerült a Metasploit Framework-be.

Az elmúlt néhány hétben a biztonságpolitikával foglalkozó szakértők fél szemüket folyamatosan a Koreai-félszigeten tartják, kíváncsian várva, vajon a legifjabbik Kim hoz-e valamilyen új színt az évtizedek óta tartó "húzd meg, ereszd meg" játékba. A blogunk számára talán az a legérdekesebb, hogy előkerül-e a kalapból az északi kiberfegyver - már ha létezik egyáltalán.

Ez most esett be Full-Disclosure-re a RedTeam Pentesting jóvoltából:

A népszerű Dovecot POP3/IMAP szerver online wiki-jében többek között arról is olvashatunk, hogyan kell megoldani a helyi kézbesítést Eximmel karöltve, ezt a mankót pedig minden bizonnyal sok rendszergazda használta már - a hivatalos dokumentáció csak nem téved! 

Nos, ez így is van, a konfig működőképes, csak éppen korábbi változatában távoli kódfuttatásra adott lehetőséget:

dovecot_deliver:
  debug_print = "T: Dovecot_deliver for $local_part () $domain"
  driver = pipe
  # ...
  command = /usr/lib/dovecot/deliver -e -k -s \
      -f "$sender_address" -a "$original_local_part () $original_domain"
  use_shell
  

A probléma a fenti néhány sorral az, hogy a use_shell beállítás hatására a command paraméter értéke a megfelelő változók behelyettesítése után átadódik a shellnek, a $sender_address-t pedig a támadó (a beérkező e-mail küldője) kontrollálja - bumm, távoli kódfuttatás!

Vajon hány kiszolgáló lehet ehhez hasonlóan konfigurálva? Ha Dovecot-t üzemeltettek, nézzétek át a beállításokat!

Friss (20130504): Az Immunity közölt egy statisztkát a Dovecot+Exim konfigurációk elterjedtségéről.

A McAfee kutatói egy egyszerű de nagyszerű problémára lettek figyelmesek az Adobe Reader JavaScript API-jában: Normál esetben távoli erőforrásokhoz történő hozzáférési kísérletek esetén az olvasó figyelmeztető ablakot dob fel, melyen keresztül a felhasználó megtilthatja a kapcsolódást. Néhány spam könyvtárba landolt PDF dokumentum elemzésekor azonban a szakértők arra lettek figyelmesek, hogy az egyik API megfelelő paraméterezés mellett nem dob fel ablakot, ha a távoli erőforrás nem létezik, de a kapcsolat ettől függetlenül kiépül és a távoli kiszolgálón naplózható. 

A probléma kihasználásával remekül lehet monitorozni, hogy mikor, milyen hálózatban nyitottak meg egy adott dokumentumot. Bár a McAfee blogposztja nem említi a konkrét API nevét, de a referencia viszonylag kevés WebDAV-ot támogató interfészt említ ;)

Friss (20130503 12:00): Az Adobe reagált, közleményük szerint a probléma kihasználásához felhasználói interakció is szükséges. Az információszivárgást május 14-én, az előre kitűzött frissítés keretében javítják.

Nemzetközi összefogással Spanyolországban sikerült elfogni azt a holland állampolgárságú férfit, akit a Spamhaus elleni történelmi túlterheléses támadás megszervezésével vádolnak. Sven Kamphuis - aki a PirateBay és WikiLeaks által is használt Cyber Bunker valamint CP3ROB hoszting szolgáltatók üzemeltetője is volt - a hírek szerint egy furgonba pakolt mobil irodából irányította az akciót, így az ország bármely pontján megtámadhatott vezetéknélküli hálózatokat. A DDoS java részét adó DNS-erősítés mellett Kamphuis az Anonymous segítségét is megpróbálta igénybe venni, egy "zsaroló cenzúra projektnek beállítva" a Spamhaust - nem lepődnék meg, ha nevenincsék jelentős részét meg lehetne vezetni egy ilyen szöveggel... 

Kamphuist a közeljövőben feltehetően ki fogják adni Hollandiának, a tárgyalásra tehát majd ott fog sor kerülni.

Az Ausztrál hatóságok emellett elfogtak egy 24 éves srácot, akit a LulzSec akcióiban történő részvétellel gyanúsítanak. Matthew 'Aush0k' Flannery pontos szerepe a csoport tevékenységében egyelőre nem tisztázott, a LulzSec egy másik tagja szerint Aush0k csak egy "pattogó egor*banc szkriptsuttyó" ("raging egowhore skid"). A csoport többi tagját már korábban lekapcsolták.

HD Moore ismét nekiállt az Internet végigbogarászásának, célpontjai ezúttal az ún. serial serverek voltak. Ezek a kevéssé ismert kütyük arra jók, hogy soros portokat tegyenek távolról elérhetővé TCP/IP-n keresztül - a tapasztaltabbak itt már fogják is a fejüket...

A kutatás szerint a kommunikáció ezekkel az eszközökkel alapvetően három módon valósul meg:

1. A serial server valamilyen hagyományos távoli terminált adó protokollt - Telnet, SSH, HTTP(S) - kínál az IP hálózat felé, ezen pedig általában elvár valamiféle autentikációt
2. A TCP port azonnali proxy-zása a soros portra
3. Saját protokoll

Az első eset talán a legjobb - feltéve, hogy a kapcsolat legalább titkosított (a hitelesítéssel kapcsolatban senkinek ne legyenek illúziói), és a jelszót nem hagyták alapértelmezetten. A harmadik esetben, bár a protokollok néhány esetben megvalósítanak autentikációt, illetve a kapcsolatot titkosítják, de sok gyártó esetében ez sincs így (nem beszélve az egyedi protokoll-megvalósítások jópofa hibáiról). A középső megoldás viszont mindenképpen komoly kockázatot hordoz:

Azon túl, hogy a soros kapcsolat a legritkább esetben titkosított, az ilyen interfészt nyújtó eszközök általában feltételezik, hogy a hozzájuk kapcsolódó felhasználó fizikailag is a közelükben tartózkodik, ezért sok esetben nem kérnek hitelesítést, de ha kérnek is, kilépési funkció hiányában egy nyitva hagyott, már nem használt konzol felett simán átvehető az irányítás!

A globális felderítés egyrészt SNMP használatával (public community), HTTP illetve FTP bannerek azonosításával, valamint az egyik gyártó saját felderítő protokollja segítségével történt, így összesen több mint 130.000 eszközt sikerült azonosításítani, 10%-ukon pedig autentikáció nélkül vagy alapértelmezett jelszóval konzolos hozzáférést lehetett szerezni. A felderített rendszerek között vannak üzemanyagtöltés-szabályzók, forgalmi hibamonitorozó eszközök és POS terminálok - a serial serverek jellemző felhasználási területei bizonyos támadók számára tehát igen vonzóak lehetnek.

Az utóbbi időben sok helyen felmerültek a szeparált/légrés mögött tartott rendszerek - az ilyen kutatások jól példázzák, hogy az egykor védett környezetbe szánt eszközök könnyen a nagyközönség szeme elé kerülhetnek (a témában ajánlom a Practical Oracle Security bevezetőjét is), ami igen kellemetlen következményekkel járhat.  

Index:

Közös hekkerversenyt hirdetett hálózatbiztonsággal foglalkozó BalaBit IT Security, az etikus hekkeléssel foglalkozó Silent Signal és a legismertebb kiberbiztonsági blog, a Buherablog. A verseny célja, hogy játékos tanulási lehetőséget biztosítsanak az érdeklődőknek, a szárnyaikat próbálgató hekkerpalántáknak és a nagy tapasztalattal rendelkező, akár etikus hekkerként dolgozó profiknak is, hiszen ahhoz, hogy a nemrég elfogadott magyar információbiztonsági törvény elérje a célját, nagyszámú, hozzáértő szakemberre lesz szükség.

A „Ghost in the Shell Control Box: The Ultimate Hacker Playground” elnevezésű játékban a cél eléréséhez szinte minden eszköz bevethető, az egyetlen szempont az idő – regisztrálni május 12-ig lehet, és a pályák csupán egyetlen hétig lesznek elérhetők.

A hivatalos honlap itt van, Twittert is érdemes követni. Nagyszájúaknak nevezni kötelező!

Oracle

A tegnapi nap legnagyobb száma az Oracle első negyedéves CPU-ja, valamint az ezzel együtt megjelentetett Java biztonsági frissítőcsomag volt. A figyelmeztetők szokásosan szűkszavúak, azt azonban érdemes megjegyezni, hogy az Oracle Database Workload Managert illetve a JRockit JVM-et it 10.0-ás CVSS besorolású (távolról, autentikáció nélkül, könnyen kihasználható, teljes rendszerkomprommittációhoz vezető) problémák sújtják. Részletesebb leírást egyelőre csak egy kevésbé veszélyes HTTP header injection/cache poisoning problémáról találtam a SEC Consult jóvoltából.

A Java esetében a független kutatóknak köszönhetően valamivel talán jobb a helyzet - már ami a sérülékenységek jellegének megismerését illeti. A 42 foltozott sérülékenység jelzi, hogy bár a Java-t célzó támadások - feltehetően a gyártó által bevezetett (végre működőképes) biztonsági szinteknek illetve a böngészőgyártók click-to-play megvalósításainak köszönhetően - az utóbbi időben alábbhagytak, a futtatókörnyezet továbbra is számos lehetőséget ad a támadásra. 

A sérülékenységek dokumentálásában természetesen most is élen jár a Security Explorations: A mostani frissítés hét darab, a cég által bejelentett problémát orvosol, melyek kihasználására készített PoC kódok elérhetők az SE jól ismert projekt oldalán. A csapat ezen túl nyilvánosságra hozott egy, az Oracle által 6 hete figyelmen kívül hagyott problémát a bytecode verifierben, valamint arra is felhívta a figyelmet, hogy egy, az Oracle által most új biztonsági fejlesztésként aposztrofált konfigurációs módosítás valójában egy nyolc éve ismert probléma megoldása:

A Java világ távoli eljáráshívást megvalósító RMI protokollja eddig alapértelmezetten lehetővé tette ún távoli kódbázisok használatát. Ezzel lényegében rá lehetett venni az RMI kiszolgálókat, hogy az RMI kliens által megadott osztályokat töltsenek be, így a kliens-oldali sandbox-kitörések szerver-oldalra is kiterjeszthetővé váltak. Bár a most javított 42 sérülékenység közül a hivatalos figyelmeztető csak 2-t említ szerver-oldalon  is kihasználhatónak, ilyen vagy hasonló módszerrel a maradék is hasznot hajthat a támadónak. Az Update 21 a távoli kódbázisok használatát letiltja a konfigurációban. 

Bár nem közvetlenül a Java platformot érinti a SEC Consult egy, az Internet Explorerbe történő intergrációt elősegítő ActiveX vezérlőt érintő probléma részleteit is közzé tette - a most megjelent frissítés ezt a problémát is orvosolja.

Apple felhasználóknak ezt a posztot érdemes elolvasni a frissítésről.

Cisco

Bár ez már mai hír, azért felhívnám a figyelmet, hogy a Cisco egy tetszőleges kódfuttatásra alkalmat adó SQL injection problémát javított a Network Admission Control Managerben, valamint a TelePresence szolgáltatás lelövésére alkalmat adó hibát is orvosolt.

Google Chrome

Frissült a Google böngészője is: külön érdekesség, hogy a gyártó Ralf-Philipp Weinmannt 31337-1 dollárral jutalmazta három maga által felfedezett bug együttes kihasználására készített PoC exploitért illetve leírásért. A problémák elsősorban a WebGL interfészeléséért felelős O3D komponenst érintették (thx @Balo).

Van egy olyan érzésem, hogy az MSF modulkészlete szépen fog bővülni az elkövetkező napokban :)

A Linode friss információkat tett közzé az április 12-én felfedezett incidensükkel kapcsolatban. A közlemény szerint egy magát HTP-nek nevező csoportnak sikerült hozzáférést szereznie a virtuális Linux szervereket kínáló szolgáltató webszerveréhez, forráskódjai egy részéhez, valamint adatbázisához is. Utóbbiban a hashelt felhasználói jelszavak mellett titkosított bankkártya-adatok is szerepeltek. A felhasználók Linode Shellhez tartozó jelszavai bizonyos esetekben titkosítatlanul szerepelhettek az adatbázisban, ezt a problémát most javították, a felhasználók jelszavait lejáratták, és rövid időn belül az API kulcsok is érvénytelenítésre kerülnek majd.

A támadók vélhetően az április 9-én javított ColdFusion hibát használták ki - bár az első incidens időpontja nem ismert, a Linode itt valószínűleg tévesen beszél 0-day exploitról, ha ugyanis a HTP korábban ismerte volna a kihasznált bugot, már rég végigtörték volna vele a fél világot, a patch ugyanakkor jó kiindulási pontot jelenthetett egy exploit elkészítéséhez.

Friss: Néhány érdekes újdonság olvasható a Registeren a sztorival kapcsolatban. A HTP azt állítja például, hogy a kártyaadatok megfejtéséhez szükséges kulcsokat is a webszereveren tárolták, de a Linode még mindig cáfol, a black-hatek pedig egyelőre nem szolgáltattak valódi bizonyítékot állításukra.