NFsec Logo

Eskalacja uprawnień poprzez paczkę nginx w Debianie i Ubuntu

17/11/2016 (4 tygodnie temu) w Bezpieczeństwo Brak komentarzy.

P

akiet nginx w dystrybucjach Debian i Ubuntu systemu Linux jest podatny na eskalację uprawnień poprzez zastosowanie niebezpiecznych praw dostępu do katalogu, gdzie przechowywane są logi serwera WWW. Skutkiem błędnej konfiguracji może być uzyskanie praw administratora przez atakującego, który na przykład wcześniej zdołał skompromitować aplikację internetową uruchomioną na serwerze nginx i uzyskał dostęp do konta www-data lub taki dostęp został mu wcześniej przyznany, aby móc wdrażać aplikacje internetowe. Za pomocą odpowiedniego eksploita jest w stanie podnieść swoje uprawnienia w ciągu 24 godzin za pomocą narzędzia logrotate, które poddaje logi rotacji raz dziennie.

Więcej informacji: CVE-2016-1247, PoC Video

Omijanie uwierzytelniania w mechanizmie szyfrowania dysków LUKS

15/11/2016 (4 tygodnie temu) w Bezpieczeństwo Brak komentarzy.

B

łąd w implementacji narzędzia cryptsetup używanego do szyfrowania dysków w systemie Linux za pomocą LUKS pozwala atakującemu na ominięcie procedur uwierzytelniania za pomocą. Uwaga. Naciskania klawisza „ENTER” przez 70 sekund. Skutkiem jest otrzymanie powłoki uruchomionej z uprawnieniami administratora. Luka została odkryta przez Hektora Marco – tak, tego samego odpowiedzialnego za znalezienie błędu pozwalającego na ominięcie uwierzytelniania w bootloaderze GRUB2.
[ czytaj całość… ]

MySQL – eskalacja uprawnień poprzez sytuację wyścigu

02/11/2016 w Bezpieczeństwo Brak komentarzy.

D

awid Golunski w formie. Serwer MySQL oraz jego odmiany (MariaDB, Percona) są podatne na eskalację uprawnień poprzez możliwość wygrania sytuacji wyścigu. Podatność pozwala lokalnemu użytkownikowi systemu na eskalację uprawnień i dowolne wykonanie kodu jako użytkownik bazy danych – najczęściej „mysql” – za pomocą dostępu zwykłego konta do bazy danych z podstawowymi uprawnieniami (CREATE/INSERT/SELECT). Eksploatacja zakończona sukcesem pozwala atakującemu na uzyskanie dostępu do wszystkich baz danych przechowywanych na podatnym serwerze. Wraz z połączeniem z innymi błędami może dojść nawet do pełnej kompromitacji systemu poprzez uzyskanie praw administratora. Wystarczy, że atakujący stworzy bazę danych w tymczasowym katalogu i wykona na niej operację REPAIR, która pozwoli mu na wygranie wyścigu przed operacją chmod(). W oknie atakujący może zamienić plik bazy danych na symlink do katalogu /var/lib/mysql. W ten sposób wcześniej ustawione prawa dostępu bazy np. 777 zostaną przeniesione na katalog, na który wskazuje symlink. Inne wykorzystanie tej luki umożliwia uzyskanie powłoki systemowej z uprawnieniami użytkownika, z którymi został uruchomiony serwer MySQL. Podatne są wersje:

MariaDB: 
	< 5.5.52
	< 10.1.18
        < 10.0.28
MySQL:
	<= 5.5.51
	<= 5.6.32
	<= 5.7.14
Percona Server:
	< 5.5.51-38.2
	< 5.6.32-78-1
	< 5.7.14-8
Percona XtraDB Cluster:
	< 5.6.32-25.17
	< 5.7.14-26.17
	< 5.5.41-37.0

Więcej informacji: PoC oraz Exploit wraz z szczegółowym opisem podatności

POINTYFEATHER aka ominięcie ścieżki rozpakowania tar

31/10/2016 w Bezpieczeństwo Brak komentarzy.

B

łąd w programie tar umożliwia pomyślne wypakowanie plików i katalogów do dowolnej lokalizacji, gdy podsunie mu się odpowiednio spreparowany plik archiwum. W przypadku, gdy na systemie zostanie rozpakowane archiwum dostarczone przez atakującego podatność może zostać wykorzystania do nadpisania wrażliwych plików zwykłego użytkownika (np. .ssh/authorized_keys, .bashrc, .bash_logout, .profile, .subversion, czy .anyconnect), a w przypadku użycia tar przez administratora np. podmiany /etc/shadow, wpisów cron użytkownika root, plików binarnych na te zawierające tylną furtkę lub atrybut suid.
[ czytaj całość… ]

Pakiety Tomcat podatne na lokalne podniesienie uprawień w Debianowych dystrybucjach

01/10/2016 w Bezpieczeństwo 1 komentarz.

P

akiety zawierające serwer Tomcat (w wersji 6, 7, 8) dostępne w oficjalnych repozytoriach systemów Linux opartych o dystrybucje Debian (wliczając w to Ubuntu) dostarczały podatny skrypt init pozwalający osobom atakującym, które przeniknęły do systemu na konto użytkownika tomcat (na przykład wcześniej eksplorując podatność zdalnego wykonania kodu w hostowanej aplikacji java) na podniesienie uprawnień do użytkownika root i w pełni skompromitować atakowany system. Autor luki powiadomił Debian Security Team i zostały wydane już odpowiednie aktualizacje bezpieczeństwa.

Jeśli pozostajemy w obszarze serwera tomcat warto również zapoznać się z możliwością odczytywania źródłowego kodu za pomocą tego serwera wykorzystując znaki kodowane procentowo.

Więcej informacji: Szczegóły ataku oraz exploit wykorzystujący podatność

MySQL – Zdalne wykonanie kodu oraz eskalacja uprawnień

12/09/2016 w Bezpieczeństwo Brak komentarzy.

D

awid Glounski opublikował dzisiaj 0day na serwery bazodanowe oparte na silniku MySQL (dotyczy to również MariaDB oraz Percona). Błąd pozwala atakującym na wstrzyknięcie złośliwych ustawień do plików konfiguracyjnych serwera (my.cnf), które mogą prowadzić do poważnych konsekwencji. Podatność dotyka wszystkie serwery MySQL w podstawowej konfiguracji (wersje: 5.7, 5.6 oraz 5.5) wliczając w to najnowsze wersje. Eksploracja błędu może zostać przeprowadzona zarówno lokalnie, jak i zdanie (poprzez uwierzytelniony dostęp sieciowy / interfejs webowy w postaci PHPmyAdmin lub atak SQL Injection). Udane wykorzystanie luki może pozwolić agresorowi na wykonanie dowolnego kodu z uprawnieniami użytkownika root, czyli administratora – w konsekwencji może dojść do pełnej kompromitacji serwera, na którym został zaatakowany daemon MySQL, ponieważ wykorzystanie tej podatności jest możliwe nawet jeśli moduły zabezpieczeń w postaci AppArmor oraz SELinux są aktywowane z domyślnymi politykami dla różnych dystrybucji Linuksa.

Więcej informacji: Szczegóły ataku oraz dowód na słuszność koncepcji

sup – małe narzędzie do eskalacji uprawnień w systemach Unix

21/05/2016 w Bezpieczeństwo Brak komentarzy.

s

up jest małą i bezpieczną aplikacją napisaną w języku C. Przeznaczony do ułatwienia przekraczania uprawnień użytkowników przez uruchamianie niektórych programów jako administrator (root – z bitem suid). Wszystkie ustawienia dla programu sup są na sztywno wprowadzane w kodzie podczas kompilacji. Jego autor twierdzi, że jest wysoce przenośny oraz samowystarczalny (w środowiskach produkcyjnych może zostać użyty jako statyczny plik binarny – wymaga wówczas biblioteki musl-libc). Można powiedzieć, że stanowi alternatywę dla sudo w wbudowanych i skonteryzowanych systemach.
[ czytaj całość… ]