Monthly Archives: September 2014

Shellshock saaga vahefinish

CERT-EE tegi pinnapealse skaneerimise riigivõrgule ja osale Eesti IP ruumile. Tulemus – ei leidunud sobilikke hoste, kes oleks päringus tehtud palumise peale soostunud saatma ICMP pakette. Kordame oma tegevust samas mahus sellel nädalavahetusel, aga pisut muudetud
päringuparameetritega.

Maailmas toimuvast on teada:

  • bash turvaviga kasutades on tekitatud botnette, seni teadaolevad “zombide” kontrollkeskuste IPd on 89.238.150.154, 162.253.66.76, 95.211.27.152, 46.16.170.158 ja 185.31.209.84;
  • haavatavaid servereid kasutatakse praegu rünnetes pastebin.com (Cloudflare) ja US kaitseministeeriumi vastu;
  • DHCP serveri kaudu on viga kasutades võimalik käivitada kliendi arvutis protsesse juurkasutaja õigustes;
  • päris paljud tarkvaratootjad ei ole veel turvapaiku ilmutanud. Mõned on suisa mitu paika järjest ilmutanud, sest esimene patch ei parandanud probleeme;
  • mida aeg edasi, seda rohkem leiavad pahatahlikud üha rohkem “auke”, mille kaudu teha rünnet bash’i viga ära kasutades.

Soovitusi infosüsteemide omanikele/haldajatele:

  • jälgige kasutatavate OSide uuenduste teateid
  • paigaldage turvapaiga ilmudes see niipea kui võimalik
  • vanade internetiga ühendatud süsteemide puhul üritage aru saada, kas bashi viga on võimalik ära kasutada iidamast-aadamast pärit veebirakenduse kaudu või mõnel muul moel
  • jälgige oma süsteemide perimeetril toimuvat, “tihendage” filtreid.

Jõudu!

CERT-EE

Oluline paik süsteemidele, milles kasutusel “/bin/bash”

Tähelepanu süsteemiadministraatorid!

Kui haldad serverit, millele paigaldatud pakett Unix “koorikuga” (shell) Bash versiooninumbriga 3.0 ja 4.3 vahel (k.a), siis paigalda turvauuendused sellele serverile KOHE!

Bug-Description:

Under certain circumstances, bash will execute user code while processing the
environment for exported function definitions.

Selle lakoonilise kirjelduse tagant on esmapilgul raske välja lugeda võimalust rünnata võrgu kaudu süsteeme, kus käivitatakse /bin/bash. Siiski, üle võrgu on kõnealuse shelli nõrkuse ärakasutamine siiski võimalik – olgu selleks siis SSH terminal või /cgi-bin/ kaudu serveeritavad veebilehed. Viimane meetod ongi hetkel ära märgitud suurima ohuna.

CVE andmebaasis on veale antud number CVE-2014-6271, selle märksõna järgi on ka lihtsam otsida lisainfot enda hallatava Linux distributsiooni turvateadete nimistust, mõned toon siin ka ära:

Teateid OS X uuenduste kohta ootame.

Jõudu!

CERT-EE

Pahavara levitamine elron.ee veebilehel

Kujutis on illustreeriv.

Kujutis on illustreeriv.

Pühapäeva pealelõunast esmaspäeva õhtuni jagati Elroni peamiselt veebilehelt www.elron.ee Astrum exploitkitiga “kingitusi” (pahavara). Kes kasutas pahavara jaoks sobilikku tarkvarakomplekti lehe külastamisel, osutus kvalifitseeruvaks ja sai sealt suunamise IP-le 46.105.233.200 porti 6219. Järgnes suure tõenäosusega nakatumine. Nakatavast tegelasest endast saab lugeda SIIT.

Tavakasutaja, kes külastas sel ajavahemikul Elroni veebilehte, võiks oma arvuti turvatarkvaraga täiendavalt üle kontrollida.

Pahavara levitamiseks kasutati neid haavatavusi:

  • Adobe Flash (CVE-2014-0515, CVE-2013-0634)
  • MS Silverlight (CVE-2013-0074, CVE-2013-3896)
  • Adobe PDF (CVE-2010-0188)
  • IE <= 9 (CVE-2013-2551)
  • IE 10 & Flash >= 13.0.0.214 (CVE-2014-0322)
  • Java (CVE-2012-0507, CVE-2013-2460, CVE-2013-2465)

Tuvastussoovitus süsteemiadministraatoritele: kui Sinu võrgus on arvuti, mis pöördus IP-aadressi 46.105.233.200 porti 6219,  tee sellele tööjaamale täiendav kontroll. Antud juhul ei ole võimalik kindlalt öelda, mis pahavara täpselt arvutisse sokutatakse.

Näpunäiteid veebilehe pidajatele, kuidas  sarnast juhtumit tulevikus vältida:

  • hoia lahus veebilehe admin osa veebilehest endast
  • haldamine peab toimuma krüpteeritud kanalite kaudu
  • haldusliidele ligipääs peab olema võimalik ainult asjakohastele IPdele ning keelatud teistele
  • varunda regulaarselt andmeid!