Z

memfd_create() spotkaliśmy się przy okazji omawiania obchodzenia flagi montowania noexec. Nie jest to jedyny przypadek, gdzie pomysł bezplikowej metody jest stosowany. Złośliwe oprogramowanie również stosuje bezplikową technikę do wstrzykiwania się w ramach działającego systemu Linux, aby nie pozostawić żadnych śladów na dysku. Przypomnijmy szybko, co robi wywołanie memfd_create(): pozwala na utworzenie pliku, który rezyduje w części pamięci RAM. Strona manualna opisuje to jako:
[ czytaj całość… ]

Z

amieszanie w zależnościach pakietów (ang. dependency confusion) jest nowatorką metodą ataku na łańcuch dostaw (ang. supply chain attack). Atak na łańcuch dostaw (zwany także atakiem od trzeciej strony) ma miejsce, gdy ktoś infiltruje Twój system za pośrednictwem zewnętrznego partnera lub dostawcy, który ma dostęp do Twoich systemów i danych. Na przykład Twoja firma korzysta z jego oprogramowania lub usług, które dają mu dostęp do Twojej sieci. Gdy dochodzi do przełamania zabezpieczeń u partnera – atakujący jest w stanie rozprzestrzenić wektor ataku na wszystkich klientów danej firmy. Znaczenie tego ataku dla typowego przedsiębiorstwa w ciągu ostatnich kilku lat znacznie się zmieniło, ponieważ coraz więcej dostawców i usługodawców się integruje i dotyka wzajemnie wrażliwych danych. Ryzyko związane z łańcuchem dostaw nigdy nie było wyższe ze względu na nowe rodzaje ataków, co pokazuje zamieszanie w zależnościach pakietów. Rosnąca świadomość społeczna na temat zagrożeń powoli spycha napastników na nowy kierunek masowego rażenia. Dobrym przykładem jest niedawny atak SolarWinds.
[ czytaj całość… ]

M

apy Google używane są w miejscach, w których serwisy przeszukują lokalizacje wprowadzone przez użytkowników lub zaznaczają swoje obiekty. Większość z tych integracji ujawnia swoje klucze API za pośrednictwem kodu źródłowego lub w jednym z żądań wysyłanych z ich aplikacji mobilnych. Pozyskanie tych kluczy nie jest uważane za poważny problem, ponieważ osoba atakująca może “tylko” wysyłać żądania do punktów końcowych Google Maps API przy użyciu zdobytych kluczy. Wiele raportów odnośnie zgłaszania tego typu błędów można zobaczyć na platformach bugbounty oznaczonych jako informacyjne lub w zakresie akceptowalnego ryzyka.
[ czytaj całość… ]

E

cha odkrycia ataku Kaminsky’ego z 2008 roku wciąż odbijają się po internecie. Badacze z JSOF odkryli 7 luk znalezionych w powszechnie używanym oprogramowaniu (około 40 producentów urządzeń sieciowych, jak również w głównych dystrybucjach Linuksa) do przekazywania zapytań DNS i przechowywaniu w pamięci podręcznej ich odpowiedzi – Dnsmasq. Od prawie dekady bardzo duża część internetu nadal polega na DNS jako źródle integralności dlatego ataki na tą usługę zagrażają dużym segmentom sieci. Luki w DNSpooq obejmują podatności związane z zatruwaniem pamięci podręcznej DNS, a także potencjalnej możliwości wykonania kodu. Lista urządzeń korzystających z Dnsmasq jest długa i zróżnicowana. Zgodnie z przeprowadzonymi badaniami użytkownikami tego rozwiązania są takie firmy jak: Cisco, Android, Aruba, Technicolor, Siemens, Ubiquiti, Comcast i inne. W zależności od tego jak używają Dnsmasq urządzenia te mogą być bardziej lub mniej dotknięte odkrytymi podatnościami.
[ czytaj całość… ]

Zespół badawczy Qualys odkrył lukę przepełnienia sterty w sudo – prawie wszechobecnym narzędziu dostępnym w głównych systemach operacyjnych typu *nix. Każdy nieuprzywilejowany użytkownik posiadający dostęp do powłoki systemowej może uzyskać uprawnienia administratora (root) na hoście, którego dotyczy luka (przy domyślnej konfiguracji sudo). Sudo to potężne narzędzie, które jest zawarte w większości, jeśli nie we wszystkich systemach operacyjnych na systemach Unix i Linux. Umożliwia użytkownikom uruchamianie programów z uprawnieniami innego użytkownika. Luka sama w sobie ukrywała się na widoku prawie od 10 lat. W lipcu 2011 roku została wprowadzona zmiana (commit 8255ed69) i dotyczy ona wszystkich starszych wersji od 1.8.2 do 1.8.31p2 oraz wszystkich stabilnych wersji od 1.9.0 do 1.9.5p1 w ich domyślnej konfiguracji.
[ czytaj całość… ]

W

iele firm zamiast wystawiać w internecie swoje usługi na przypisanych do nich blokach IP (ASN) w coraz większym stopniu polegają na usługach chmur publicznych, takich jak Amazon AWS, Microsoft Azure czy Google Cloud Platform. Ponieważ infrastruktura chmury publicznej szybko staje się normą, podczas rozpoznawania zasobów danej firmy można stracić wiele obiektów skanując tylko zakresy sieci tej organizacji. Jeśli chcemy osiągnąć szybkie i najczystsze wyniki możemy połączyć ze sobą narzędzia: masscan oraz tls-scan. Oto jak hipotetycznie przeskanować zakres adresów IP i certyfikaty największych dostawców chmury publicznej w celu identyfikacji ich zasobów.
[ czytaj całość… ]

while read x; do echo -e "$x\n`aptitude why $x`" | grep 'Manually installed' -B1 |\
grep -v '^Manually installed\|^--'; done <<< $(apt-mark showmanual)

S

erwery API serwisu NordVPN stoją za Cloudflare. Jeśli wejdziemy na jeden z adresów API otrzymamy w formacie JSON geo informację o swoim adresie IP z zaznaczeniem czy jest on chroniony przez wspomnianą usługę, czy nie: "protected": false. Jeśli z ciekawości do metody insights dodamy parametr ?ip=$IP okazuje się, że możemy taką informację otrzymać o dowolnym (poprawnym) adresie IP w internecie. Na przykład: 1.1.1.1. W praktyce oznacza to, że oprócz VPN możemy gratis dostać usługę GeoIP znaną z Maxmind. W celach testowych zebrałem sobie 1000 adresów IP, dla których chciałbym sprawdzić informacje geo. Skoro północny serwis mi to oferuje za darmo to wystarczy uruchomić prosty skrypt:
[ czytaj całość… ]

J

eśli interesuje nas sprawdzenie daty utworzenia danego adresu e-mail (nie mylić z datą stworzenia konta) w protonmail – wystarczy skorzystać z API:

curl -q 'https://api.protonmail.ch/pks/lookup?op=index&search=admin@protonmail.com'

Odpowiedź typu:

info:1:1
pub:747752ef11868e4bfb4c0c3e9f832cbb57f25faa:1:2048:1461078056::
uid:admin@protonmail.com <admin@protonmail.com>:1461078056::

– oznacza, że dany adres e-mail istnieje, a 1461078056 znacznik czasu w formacie daty epoch. Wystarczy teraz wydać polecenie, które zamieni nam je na czas przyjazny człowiekowi: date -r 1461078056 (*BSD) / date -d @1461078056 (Linux) – Tue Apr 19 17:00:56 CEST 2016 / wtorek, 19 kwietnia 2016 17:00:56 GMT+02:00.

Odpowiedź typu:

info:1:0

– oznacza, że dany adres e-mail nie istnieje.

Jeśli zamienimy teraz operację “index”, na “get” będziemy w stanie pobrać publiczny klucz PGP konta e-mail:

curl -q 'https://api.protonmail.ch/pks/lookup?op=get&search=admin@protonmail.com' \ 
-o key.pgp

root@darkstar:~# gpg --list-packets key.pgp

# off=0 ctb=c6 tag=6 hlen=3 plen=269 new-ctb
:public key packet:
	version 4, algo 1, created 1461078056, expires 0
	pkey[0]: [2048 bits]
	pkey[1]: [17 bits]
	keyid: 9F832CBB57F25FAA
# off=272 ctb=cd tag=13 hlen=2 plen=43 new-ctb
:user ID packet: "admin@protonmail.com "

Lista serwerów ProtonVPN.Więcej informacji: ProtOSINT

P

omimo upłynięcia 7 lat od ataków DDoS (ang. Distributed Denial of Service) za pomocą protokołu XMLRPC CMS WordPress – ilość podatnych serwerów nadal stanowi zagrożenie. Badacz bezpieczeństwa Andrea Menin przeszukując na początku top listę stron według rankingu Alexa, a później archiwum Common Crawl uzyskał dostęp do 7.500 instalacji, które aktywnie odpowiadają na metodę pingback.ping. Umożliwia to stworzenie botnetu, który będzie w stanie przeprowadzać wzmocnione ataki DDoS. W dodatku utrzymując stronę opartą o WordPress – jeśli nie posiadamy ograniczonej komunikacji do tego protokołu lub przynajmniej metody pingback:

add_filter( 'xmlrpc_methods', function( $methods ) {
   unset( $methods['pingback.ping'] );
   return $methods;
} );

a nasz serwer znajduje się za dostawcą typu Cloudflare – musimy mieć świadomość że otwarta komunikacja za pomocą XMLRPC może doprowadzić do wycieku oryginalnego adresu IP serwera i ominięcia warstwy ochronnej serwisu (jeśli dopuszczamy do ruchu inne serwery niż te, z których pochodzi ruch przefiltrowany przez WAF). Jeśli nie prowadzisz witryny opartej o WordPress lub nie jesteś zainteresowany otrzymywaniem komunikatów typu pingback od innych webaplikacji WordPress (a ponadto chcesz zapobiec atakom typu DDoS) – możesz zablokować żądania pochodzące z funkcji WordPress, filtrując nagłówek aplikacji klienckiej np.:

RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} "^WordPress.*verifying pingback" [NC]
RewriteRule . - [F,L]

lub

if ($http_user_agent ~* "^WordPress.*verifying pingback") {
    return 403
}

Więcej informacji: Make WordPress Pingback Great Again, WordPress Pingback Attacks and our WAF