W

iele serwerów WWW posiada katalogi, których zawartość jest ukierunkowana na konkretne pliki. Oznacza to, że dany /katalog/ nie posiada standardowych plików typu index serwujących treść (lub posiada je puste) oraz nie pozwala na wyświetlenie zawartości całego katalogu często zwracając komunikat o kodzie 403. Mimo to pozwala na dostęp do bezpośrednich zasobów np. /katalog/install.exe. Analogicznie odnieść możemy się do katalogów, w których wdrażane są aplikacje. Są one (powinny być) ograniczane dostępem do konkretnych zasobów. Niestety bardzo często razem z kodem różnych aplikacji lub błędnym działaniem ludzkim przedostają się różnego rodzaju meta informacje, odsłaniające słabe strony tych rozwiązań.
[ czytaj całość… ]

P

rotokół UDP nie jest jedynym, który umożliwia “ukrytą” komunikację. Równie popularnym, jak i rzadko blokowanym jest ICMP. Niestety i on może zostać wykorzystany przez napastników do kontroli nad skompromitowanym systemem. Idea enkapsulacji danych oraz poleceń w ruchu sieciowym za pomocą ICMP w celu stworzenia niewidzialnych kanałów komunikacji została spopularyzowana przez narzędzie Loki opisane w 49 wydaniu Magazynu Phrack z 1996 roku. W 1999’tym botnet Tribe Flood Network (TFN) służący do ataków DDoS po analizie Davida Dittricha ujawnił badaczowi, że używał podobnego schematu komunikacji do zdalnego kontrolowania zainfekowanych systemów. Wśród nowszych narzędzi można wymienić backdoora icmpsh. Tunelowanie ICMP jest możliwe, ponieważ w RFC 792, czyli dokumencie regulującym pakiety ICMP przewiduje się możliwość zawarcia dodatkowych danych dla każdego komunikatu typu 0 (echo replay) oraz 8 (echo request). Zresztą inne komunikaty ICMP mogą również służyć do infiltracji sieci. Standardowym postępowaniem jest ograniczenie łączności tylko do zaufanych (monitorujących) serwerów.

Więcej informacji: Wyciek przez ping, ICMPsh, ICMP Tunnel, Bypassing Firewalls Using ICMP-Tunnel

N

ie ważne, jak bardzo skręcimy dostęp sieciowy do i z naszych serwerów – to zawsze zezwolimy na ruch DNS, aby móc rozwiązywać nazwy domenowe na adresy IP i na odwrót. Osoba, która dokonała skutecznego ataku na nasze maszyny może wykorzystać tą “lukę” w zaporze ogniowej i potajemnie wyprowadzić dane za pomocą połączeń do C&C, które trudno zablokować. Aby bliżej zrozumieć tunelowanie poleceń i danych za pomocą DNS do serwerów Command and Control spójrzmy na narzędzie autorstwa Rona Bowsesa o nazwie dnscat2.
[ czytaj całość… ]

D

o pliku net/ipv4/tcp_input.c w jądrze Linuksa od wersji 3.6 wprowadzono patch mający na celu poprawienie odporności stosu TCP przed atakiem Blind In-Window. Niestety spowodował on zupełnie odwrotne działanie i w rzeczywistości ułatwia przechwytywanie sesji TCP poprzez wyciek informacji bocznym kanałem. Podatne są wszystkie systemy Linux z zakresu 3.6 – 4.7 (do przeprowadzenia ataku wystarczy, że tylko jedna strona w komunikacji klient – serwer jest podatna). Jak twierdzą autorzy będący m.in. członkami Cyber Security Group Uniwersytetu w Kalifornii atak zajmuje od 40 do 60 sekund i posiada od 88% do 97% skuteczności. Pierwsza prezentacja odkrycia odbyła się w maju 2016 roku na konferencji GeekPwn, a w ciągu dwóch dni na konferencji Usenix Security Symposium zostaną przedstawione pełne wyniki badań. Na YouTube dostępy jest film prezentujący przeprowadzenie ataku z wstrzyknięciem treści w trwającą sesję TCP. Tymczasowym rozwiązaniem do czasu pojawienia się oficjalnych poprawek jest podniesienie limitu ilości wysyłanych segmentów ACK służących do kwestionowania pakietów SYN z niezgodnymi numerami sekwencyjnymi.

sysctl -w net.ipv4.tcp_challenge_ack_limit=999999999

Warto wspomnieć, że pierwszy tego rodzaju atak przeprowadził Kevin Mitnick.

Więcej informacji: Fixing an Internet Security Threat, CVE-2016-5696

P

oważna podatność została wykryta, a raczej powróciła po 15 latach (pierwsze błędy tego typu zostały odkryte i naprawione w bibliotece Perla w marcu oraz Curla w kwietniu 2001 roku). Głównie dotyka aplikacje oraz serwery działające z interfejsami CGI lub podobnymi. Wszystko sprowadza się do prostego konfliktu w nazwach zmiennych. Według RFC 3875 aplikacja CGI pobiera wartość nagłówka HTTP o nazwie Proxy (który może zostać wysłany w dowolnym żądaniu użytkownika) i zapisuje ją pod zmienną środowiskową HTTP_PROXY. Problem w tym, że ta zmienna środowiskowa jest używana do konfiguracji serwera proxy przy łączeniu się aplikacji i serwerów WWW z Internetem.
[ czytaj całość… ]

K

olejny atak na jedno z narzędzi Linuksowych. Tym razem ofiarą mogą paść użytkownicy korzystający z programu wget do ściągania różnych plików z niezaufanych źródeł. Podatność polega na wykorzystaniu sposobu w jaki narzędzie to radzi sobie z przekierowaniami. Atakujący, który kontroluje serwer lub jest w stanie przechwycić sesję użytkownika może spowodować wykonanie dowolnego polecenia po stronie klienta.
[ czytaj całość… ]

W

rozwoju oprogramowania termin time of check to time of use (TOCTTOU lub TOCTOU) jest klasą błędów typu race conditions spowodowanych zmianami w systemie, które występują pomiędzy czynnościami: sprawdzeniem warunku (np. poświadczeniem bezpieczeństwa), a wykorzystaniem wyników tego sprawdzenia. Przykład: wyobraźmy sobie aplikację webową, która pozwala użytkownikom na edycję wybranych stron oraz administratorom na blokowanie takich modyfikacji. Użytkownik wysyła żądanie do aplikacji o edycję strony i otrzymuje formularz umożliwiający mu przeprowadzenie tej operacji. Po edycji treści, ale przed wysłaniem formularza do aplikacji przez użytkownika – administrator blokuje stronę, co powinno zapobiec jej edycji. Ze względu na fakt, że proces edycji już się zaczął, gdy użytkownik wyślę zawartość formularza (razem z zmienioną treścią) to zostanie ona zaakceptowania. Dlaczego? Gdy użytkownik rozpoczął edycję aplikacja sprawdziła jego uprawnienia i rzeczywiście mógł edytować stronę. Zezwolenie zostało cofnięte później, już po sprawdzeniu autoryzacji dlatego modyfikacje zostały dopuszczone.
[ czytaj całość… ]

K

ażda instalacja pakietów z nieznanego źródła, czy ślepe kopiowanie i wklejanie poleceń do terminala jest ewidentnie złym pomysłem. Ostatnio bardzo modne stało się instalowanie różnego rodzaju pluginów, aplikacji, rozwiązań wirtualizacji i innych tworów startapowych poprzez polecenie typu curl http://startup.io/install.sh | bash, co w założeniu ma znacznie upraszczać proces instalacji i konfiguracji dla użytkownika. Wykrywany jest system, instalowane zależności, ściągane dodatkowe instalatory itd. – wszystko szybko i automatycznie, ale czy bezpiecznie?
[ czytaj całość… ]

Security Losses from Obsolete and Truncated Transcript Hashes – jeśli jesteś zwolennikiem teorii, że ataki kolizji nie są jeszcze możliwe przeciwko takim funkcją skrótu, jak SHA-1 lub MD5 – to powinieneś zapoznać się z pracą dwóch badaczy z INRIA (The French Institute for Research in Computer Science and Automation), którzy przedstawili nowy rodzaj ataku przyśpieszającego pilną potrzebę odejścia od tych algorytmów kryptograficznych.
[ czytaj całość… ]

P

erception Point ujawnił nową lukę bezpieczeństwa typu zero-day w jądrze systemu Linux, która umożliwia nieuprawnione podniesienie praw użytkownika do roli administratora (root). Luka istniała od 2012 roku, a aktualnie dotyka każdą maszynę wyposażoną w jądro Linux w wersji 3.8 i wyższej (oprócz dziesiątek milionów serwerów i komputerów podatne są także telefony z systemem Android KitKat i nowsze). Wykorzystując tą podatność atakujący są w stanie kasować i wyświetlać prywatne dane oraz instalować szkodliwe oprogramowanie. Kernel security team zostało już powiadomione i dzięki Red Hat Security team poprawki powinny zacząć pojawiać się w najbliższym czasie. Zalecamy jak najszybszą aktualizację.

Więcej informacji: Analysis and Exploitation of a Linux Kernel Vulnerability (CVE-2016-0728)