Non classé

Cette semaine en sécurité: Sudo, violations de données et ransomwares – Bien monter son serveur

Le 29 janvier 2021


<img data-attachment-id = "459038" data-permalink = "https://hackaday.com/2021/01/29/this-week-in-security-sudo-database-breaches-and-ransomware/sandwich- 4 / "data-orig-file =" https://hackaday.com/wp-content/uploads/2021/01/sandwich.png "data-orig-size =" 360,299 "data-comments-opens =" ​​1 " data-image-meta = "" aperture ":" 0 "," credit ":" "," camera ":" "," caption ":" "," created_timestamp ":" 0 "," copyright ":" "," focale_length ":" 0 "," iso ":" 0 "," shutter_speed ":" 0 "," title ":" "," direction ":" 0 "" data-image-title = "sandwich "data-image-description ="

Obligatoire XKCD

"data-medium-file =" https://hackaday.com/wp-content/uploads/2021/01/sandwich.png?w=360 "data-large-file =" https://hackaday.com/wp -contenu / uploads / 2021/01 / sandwich.png? w = 360 "loading =" lat "class =" wp-image-459038 taille-moyenne "src =" https://hackaday.com/wp-content/uploads /2021/01/sandwich.png?w=360 " alt = "Nous n'avons pas pu résister OK? "Width =" 360 "height =" 299 "srcset =" https://hackaday.com/wp-content/ uploads / 2021/01 / sandwich.png 360w, https://hackaday.com/wp-content/uploads /2021/01/sandwich.png?resize=250,208 250w "tailles =" (largeur max: 360px) 100vw, 360px "/>

XKCD obligatoire

Sudo est un outil Linux très important, ainsi que la source d'innombrables blagues. Ce qui n'est pas une blague, c'est CVE-2021-3156, une vulnérabilité sérieuse autour de la mauvaise gestion des figures d'échappement. Ce bogue a été découvert par des chercheurs de Qualys et se trouve dans la base de code sudo depuis 2011. Si vous n'avez pas mis à jour votre ordinateur Linux depuis quelques jours, il se peut que vous exécutiez toujours le binaire sudo vulnérable. C'est un simple one-liner pour tester la vulnérabilité:

sudoedit -s & # 39; & # 39; `perl -e & # 39; affiche" A "x 65536 & # 39; & # 39;

En réponse à cette commande, ma machine lance cette erreur, ce qui signifie qu'elle est vulnérable:

malloc (): taille supérieure cassée
Annulé (core dumpé)

Pour comprendre le problème avec sudo, nous devons comprendre les figures d'échappement. Cela se résume vraiment à des espaces dans les noms de fichiers et de dossiers et à la façon de les gérer. Voulez-vous nommer votre dossier "Mes affaires"? C'est bien, mais comment interagissez-vous avec ce nom de répertoire sur la ligne de commande, lorsque les espaces sont le séparateur par défaut entre les arguments? Une alternative est de l'envelopper entre guillemets, mais ce sera occupé. La solution Unix consiste à utiliser le signe de recul comme une figure d'échappement. Par conséquent, vous pouvez faire référence à votre dossier de fantaisie comme Mes choses. Le shell voit le signe d'échappement et sait comment interpréter l'espace comme faisant partie du nom du dossier, plutôt que comme séparateur d'arguments. Les figures d'évasion sont une vulnérabilité courante, car il existe de nombreux problèmes de périphérie.

Sudo ne fait pas exception. Le problème du bord ici est une nouvelle erreur. le sudo La commande démarre sudo en mode édition et est censée être équivalente à sudo -e. En fait, sur de nombreux systèmes, sudoedit est un lien symbolique vers sudo. Le problème réside dans le code d'analyse de la ligne de commande. Si vous essayez d'invoquer sudo avec les indicateurs -e et -s, il traite la commande comme invalide et imprime des notes d'utilisation utiles. Cependant, quand sudo utilisé pour démarrer le mode d'édition, l'indicateur -s peut également être spécifié, et sudo est défini sur un état non intentionnel avec un comportement indéfini. Après avoir examiné la vulnérabilité, je suis convaincu que c'est la plus grave des deux failles. Il y a probablement pas mal d'autres vulnérabilités qui peuvent être trouvées en raison de la possibilité de mettre sudo dans deux modes de fonctionnement simultanément.

Le deuxième problème est de savoir comment sudo gère une figure d'échappement sans que le caractère suivant ne s'échappe. Le code ignore la fin de la chaîne nulle et continue de copier les caractères. Dans un mode d'utilisation normal, ce code est impossible à exécuter de cette manière étrange, mais en raison de l'étrange mode bi-mode, cette erreur peut être exploitée.

Des versions mises à jour de sudo ont été fournies dans les principales distributions, alors assurez-vous de mettre à jour! Heureusement, bien qu'il existe une preuve de concept à une seule ligne qui plantera sudo, aucun code d'exploitation réel n'a été publié. Cependant, il y aura probablement bientôt des POC à pleine utilisation.

Téléchargez une page Web, obtenez iPwned

Apple a publié un avis sur ce qui semble être une chaîne d'attaque trouvée dans la nature contre la plate-forme iOS. La chaîne est un trio de CVE, deux dans le kit Web et un dans le noyau. C'est probablement le travail d'un autre acteur parrainé par l'État, qui a mis en place la chaîne d'attaque pour recueillir des informations sur un groupe spécifique de personnes. Les deux CVE pour les webkits sont probablement un RCE initial et un échappement sandbox. Le loup du noyau est ensuite utilisé pour élever les privilèges système et exécuter le logiciel espion. Il est courant de voir ces packs de dommages uniquement s'exécuter en mémoire et ne pas apporter de modifications permanentes au système d'exploitation de l'appareil. Si le reste de l'histoire est publié, nous pouvons revenir et vérifier l'exactitude de mes suppositions.

Le Brésil divulgue toute la base de données des contribuables

Ce n'est peut-être pas la plus grande fuite de base de données pour la taille brute, mais cela doit établir un record par habitant. L'un des organes gouvernementaux brésiliens semble avoir laissé échapper la base de données (en portugais), jusqu'à 220 millions d'enregistrements avec des numéros CPF, des noms complets et des dates de naissance flottent du côté obscur d'Internet. Ce sont probablement les informations d'identification de tous les citoyens brésiliens vivants, et même de certains qui ne sont plus parmi nous, car leur population officielle n'est que de 213 millions d'habitants. Si l'utilisation immédiate du phishing ciblé et de la fraude est évidente, il sera intéressant de voir quels effets à long terme de l'édition correspondent au numéro de sécurité sociale de chacun.

Et pour ne pas être en reste, le site de rencontre MeetMindful a également divulgué l'intégralité de la base de données des utilisateurs. S'il y a une lueur d'espoir pour les utilisateurs du site, c'est qu'aucun message privé ou photo n'a fait partie de la fuite.

Dovecat. Attends quoi?

Récemment, un utilisateur Synology et un utilisateur QNAP en ont découvert un dukkatt processus qui connecte les processeurs de périphérique à 100%. Quel est ce processus étrange, qui essaie maladroitement de ressembler à un post-démon innocent?

Heureusement [Matthew Ruffel] a déjà fait une analyse de ce logiciel malveillant. Dovecat n'est rien de plus que des mines de crypto XMRig open source, avec une configuration codée en dur. Il est très possible que tout système doté d'un processus dovecat contienne également un malware «hy4». Ce qui est peut-être le plus fascinant dans cette petite campagne sur la crypto-monnaie, c'est qu'elle semble cibler les appareils NAS. Sinon, ciblez uniquement les serveurs SSH avec des mots de passe faibles.

Suppression de NetWalker

L'image de droite a attiré mon attention, car il n'y a eu qu'une poignée de prises de vue de pages TOR réussies comme celle-ci. L'infrastructure NetWalker a été saisie, ainsi que plus de 450000 $ en crypto-monnaie. Un citoyen canadien a été arrêté dans le cadre de l'opération.

Krebs a plus de détails sur cette histoire. NetWalker est un système de ransomware, et a été appelé «ransomware-as-a-service». Il reste à voir si la tête de ce serpent en particulier a été coupée, ou s'il s'agit plutôt d'une hydre, et réapparaîtra.

Les chances ne se terminent pas

VLC a publié la version 3.0.12. La plupart des journaux de modifications sont des correctifs de bogues normaux, avec la prise en charge des processeurs conçus par Apple comme nouvelle fonctionnalité importante. Veuillez noter que cette version a également résolu "certains problèmes de sécurité". Quels problèmes cela peut-il être? Bien que nous n'ayons pas épelé les détails, le bulletin de sécurité signale quelques dépassements de tampon et quelques pointeurs non valides auxquels il est fait référence. De toute évidence, ces erreurs peuvent probablement être utilisées pour créer un exploit qui se déclenche à la suite du visionnage d'une vidéo.

Les forums IObit ont été récemment interrompus et la base de données des utilisateurs est utilisée pour diffuser des ransomwares. Pour rendre l'ensemble du système encore plus légitime, l'attaquant a hébergé le programme d'installation malveillant sur le site compromis. Ici, l'histoire prend une tournure humoristique. Le processus de vol est également un schéma de ponzi de crypto-monnaie! Vous nous envoyez 200 pièces DERO pour décrypter vos fichiers, et lorsque DERO atteint 100 $ la pièce, nous vous envoyons la pièce d'une valeur de 500 $. C'est un retour sur investissement 5X!

Drupal vient de publier une mise à jour qui corrige une vulnérabilité potentiellement grave. le Archive_Tar la bibliothèque est utilisée dans le noyau Drupal et contenait une vulnérabilité croisée de répertoire, CVE-2020-36193. Cela signifie généralement que même si une archive est extraite dans un répertoire sécurisé, elle peut écraser des fichiers importants ailleurs sur le serveur. Dans tous les cas, Drupal considère qu'il s'agit d'un problème critique et recommande une mise à jour immédiate.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.