NFsec Logo

Audytujemy algorytmy szyfrowania SSH

17/10/2016 w Bezpieczeństwo Możliwość komentowania Audytujemy algorytmy szyfrowania SSH została wyłączona

K

onfiguracja SSH oprócz: zezwolenia wybranych użytkowników; wyłączenia / podkręcenia niektórych funkcji; zastanawiania się czy hasłem, czy kluczem i którym portem – przede wszystkim powinna się skupić na rodzajach algorytmów, które oferują nam bezpieczną, szyfrowaną transmisję. Od strony manualnej możemy skorzystać z dobrego przewodnika Mozilli lub zaprząc do tego automat, który podpowie nam, jakie algorytmy są już przestarzałe i nie powinny być już oferowane od strony serwera w naszej wersji:
[ czytaj całość… ]

Charlie Foxtrot Tango SSHnowDowN

17/10/2016 w Bezpieczeństwo Możliwość komentowania Charlie Foxtrot Tango SSHnowDowN została wyłączona

K

to śledzi treści publikowane o Internet of Things (IoT) ten wie, że produkty te są skromnie zabezpieczone, iż większość tych urządzeń, może posłużyć jako węzły w botnetach wykonujących ataki DDoS. Niestety, to nie pełny zasób możliwości, jaki niosą ze sobą te urządzenia. Nowe badanie przeprowadzone przez Akamai Threat Research udowadnia, że brak bieżących aktualizacji oprogramowania, spowodowało podatność około dwóch milionów różnego rodzaju urządzeń (SAN, CCTV, NVR, DVR, routerów Wi-Fi, ADSL, itd.) na – nienowy, bo dwunastoletni – błąd w usłudze OpenSSH. Wobec tego, do żartobliwej nazwy „Internet of Threats”, często dodaje się określenie „Internet of Unpatchable Things”.
[ czytaj całość… ]

Powrót do przyszłości: *niksowe wieloznaczniki oszalały

12/10/2016 w Bezpieczeństwo, Pen Test Możliwość komentowania Powrót do przyszłości: *niksowe wieloznaczniki oszalały została wyłączona

P

o pierwsze ten artykuł nie ma nic wspólnego z współczesnymi technikami hackingu jak obejście ASLR, eksploracją ROP, zdalnym 0day lub łańcuchem 14 różnych błędów, aby złamać Chrome. Nic z tych rzeczy. Omówimy jednak jedną technikę hackingu starej szkoły Uniksa, która działa nawet w dzisiejszych czasach. Technikę, o której (ku mojemu zdziwieniu) wiele osób związanych z bezpieczeństwem nigdy nie słyszało. Prawdopodobnie dlatego, że nikt wcześniej tak naprawdę o niej nie mówił. Dlatego postanowiłem opisać ten temat bo jest on dla mnie osobiście całkiem zabawny, aby przekonać się, co można zrobić za pomocą prostych sztuczek zatrucia wildcardów w Uniksie. Więc w dalszej części możnemy spodziewać się zbioru schludnych hacków na ten temat. Jeśli zastanawiasz się, jak podstawowe narzędzia Uniksa, jak „tar” lub „chown” mogą doprowadzić do kompromitacji systemu – czytaj dalej.
[ czytaj całość… ]

Narzędzie do Content Security Policy od Google

12/10/2016 w Bezpieczeństwo Możliwość komentowania Narzędzie do Content Security Policy od Google została wyłączona

G

oogle wydało narzędzie o nazwie CSP Evaluator. Jak sama nazwa wskazuje służy ono do oceny przyjętej polityki CSP (ang. Content Security Policy). Pozwala na wskazanie błędnych konfiguracji oraz stwierdzenie, czy przyjęte reguły są w stanie powstrzymać ataki XSS, Clickjacking i inne złośliwe skrypty. Aktualnie XSS jest najczęściej wybieranym wektorem ataku na aplikacje webowe.
[ czytaj całość… ]

National Checklist Program Repository

07/10/2016 w Bezpieczeństwo Możliwość komentowania National Checklist Program Repository została wyłączona

N

ational Checklist Program Repository (NCP) jest rządowym repozytorium, publicznie dostępnych list kontrolnych oraz benchmarków, które dostarczają nisko poziomowe wskazówki na temat ustawień gwarantujących bezpieczeństwo systemów operacyjnych oraz aplikacji. NCP działa w ramach NIST i został powołany na mocy Cyber Security Research and Development Act z 2002 roku, aby rozwijać tego typu publikacje, które minimalizują ryzyko dla bezpieczeństwa sprzętu oraz oprogramowania, który jest lub może stać się powszechnie stosowany w obrębie rządu federalnego. Twórcy NCP wierzą, że takie wskazówki mogą znacząco przyczynić się do zmniejszenia narażenia na podatności różnego rodzaju organizację. Jest to prawie identyczna inicjatywa, jak wcześniej opisany CIS. Oprócz wykorzystania NCP jako dobrych praktyk w konfiguracji różnych systemów i aplikacji warto systematycznie przeglądać publikacje udostępniane w ramach Cybersecurity NIST oraz Computer Security Resource Center np. Vulnerability Description Ontology lub Dramatically Reducing Software Vulnerabilities.

Więcej informacji: NCPR

Szybka analiza php.ini

05/10/2016 w Administracja, Bezpieczeństwo Możliwość komentowania Szybka analiza php.ini została wyłączona

D

la każdego początkującego administratora / developera / devops’a przychodzi moment, gdy następuje faza skonfigurowania PHP po stronie serwera. W procesie tym zazwyczaj ustawiane są podstawowe opcje, które mają na celu jak najszybsze doprowadzenie do stanu: działa. Nie zawsze idzie to w parze: działa bezpiecznie. W tym celu powstało narzędzie iniscan mające na uwadze wprowadzenie najlepszych praktyk konfiguracji PHP, aby zminimalizować ryzyko przedostania się do serwera WWW szkodliwego kodu lub nawet uzyskania do niego pełnego dostępu.
[ czytaj całość… ]

Pakiety Tomcat podatne na lokalne podniesienie uprawień w Debianowych dystrybucjach

01/10/2016 w Bezpieczeństwo 1 komentarz.

P

akiety zawierające serwer Tomcat (w wersji 6, 7, 8) dostępne w oficjalnych repozytoriach systemów Linux opartych o dystrybucje Debian (wliczając w to Ubuntu) dostarczały podatny skrypt init pozwalający osobom atakującym, które przeniknęły do systemu na konto użytkownika tomcat (na przykład wcześniej eksplorując podatność zdalnego wykonania kodu w hostowanej aplikacji java) na podniesienie uprawnień do użytkownika root i w pełni skompromitować atakowany system. Autor luki powiadomił Debian Security Team i zostały wydane już odpowiednie aktualizacje bezpieczeństwa.

Jeśli pozostajemy w obszarze serwera tomcat warto również zapoznać się z możliwością odczytywania źródłowego kodu za pomocą tego serwera wykorzystując znaki kodowane procentowo.

Więcej informacji: Szczegóły ataku oraz exploit wykorzystujący podatność

Lista wrażliwych pakietów dla Arch Linux

29/09/2016 w Administracja, Bezpieczeństwo Możliwość komentowania Lista wrażliwych pakietów dla Arch Linux została wyłączona

J

ak wiemy zdezaktualizowane i podatne pakiety zdarzają się dość często w życiu cyklu oprogramowania. W dystrybucji Arch aktualizacje pojawiają się na bieżąco, ponieważ wykorzystywane są najnowsze wersje pakietów oprogramowania z kanału upstream. Gdy pojawia się aktualizacja, to nie potrwa to długo, że staje się ona dostępna i może być zainstalowana za pomocą menedżera pakietów packman. Jednym z problemów było brak możliwości szybkiego sprawdzenia, czy w naszym systemie znajdują się jakieś wrażliwe pakiety. Dopóki nie pojawiło się narzędzie arch-audit, które korzysta z danych udostępnionych przez zespół Arch CVE Monitoring Team i w prosty sposób potrafi przedstawić listę niebezpiecznych paczek wraz z numerami CVE.

Więcej informacji: arch-audit

OpenSSL Denial of Service – CVE-2016-6304

23/09/2016 w Bezpieczeństwo Możliwość komentowania OpenSSL Denial of Service – CVE-2016-6304 została wyłączona

F

undacja OpenSSL wydała tuzin poprawek na wykryte podatności w swojej kryptograficznej bibliotece wliczając w to drastyczne błędy, które mogą prowadzić do przeprowadzenia ataków Denial-of-Service (DoS). Podatności istnieją w wersjach: 1.0.1, 1.0.2, 1.1.0 i zostały odpowiednio poprawione w: 1.0.1u, 1.0.2i oraz 1.1.0a. Pierwszy błąd zgłosił Shi Lei z chińskiej firmy ds. bezpieczeństwa Qihoo 360 – polega on na możliwości wysłania obszernych żądań typu „status” do rozszerzenia OCSP podczas negocjacji połączenia, co może spowodować wyczerpanie się pamięci na atakowanym serwerze. Drugą luką, która również umożliwia atak DoS jest przesłanie pustego rekordu do funkcji SSL_peek(), co spowoduje jej zawieszenie. Poza tym naprawiono dwanaście innych problemów niskiego ryzyka. Warto odnotować sobie, że wsparcie dla OpenSSL 1.0.1 kończy się 31 grudnia 2016 roku dlatego użytkownicy powinni zaktualizować swoje systemy do wyższej wersji w celu uniknięcia jakichkolwiek problemów z bezpieczeństwem w przyszłości.

Więcej informacji: OpenSSL OCSP Status Request extension unbounded memory growth (CVE-2016-6304), OpenSSL Security Advisory [22 Sep 2016]

To nie są pliki i katalogi, których szukasz

22/09/2016 w Ataki Internetowe, Bezpieczeństwo, Pen Test Możliwość komentowania To nie są pliki i katalogi, których szukasz została wyłączona

W

iele serwerów WWW posiada katalogi, których zawartość jest ukierunkowana na konkretne pliki. Oznacza to, że dany /katalog/ nie posiada standardowych plików typu index serwujących treść (lub posiada je puste) oraz nie pozwala na wyświetlenie zawartości całego katalogu często zwracając komunikat o kodzie 403. Mimo to pozwala na dostęp do bezpośrednich zasobów np. /katalog/install.exe. Analogicznie odnieść możemy się do katalogów, w których wdrażane są aplikacje. Są one (powinny być) ograniczane dostępem do konkretnych zasobów. Niestety bardzo często razem z kodem różnych aplikacji lub błędnym działaniem ludzkim przedostają się różnego rodzaju meta informacje, odsłaniające słabe strony tych rozwiązań.
[ czytaj całość… ]