Tag Archives: haavatavus

Räpane lehm CVE-2016-5195

Riigi Infosüsteemi Ameti intsidentide käsitlemise osakond (CERT-EE) kirjutab haavatavusest Linuxi tuumas.

dirty-cow

Allikas: https://www.turnkeylinux.org/blog/dirty-cow-kernel-privilege-escalation-vulnerability

Räpane lehm edaspidi Dirty COW on privileegide eskaleerimise haavatavus Linuxi Kernelis.

Mis on CVE-2016-5195?

CVE-2016-5195 on ametlik viide haavatavusele. CVE (Common Vulnerabilities and Exposures) on infoturbe haavatavuste nimede standard, mida haldab MITRE.

Miks just Dirty COW?

Linuxi Kerneli mälu alamsüsteemist leiti trügimishaavatavus (sündmustevahelist siirdelist ajalõiku nõrkusena ärakasutav rünne), mis käsitles copy-on-write (COW) privaatlugemiseks ainult (read-only) mälu kaardistust (memory mapping). See võimaldab lokaalsel kasutajal mööduda standardsetest failisüsteemi pääsuõigustest ning muuta faile, millele muidu õigused puuduvad.

Mida saan teha?

Tutvu allolevate linkidega ning järgi oma operatsioonisüsteemile vastavaid tegutsemisjuhiseid!

Rohkem infot haavatavate süsteemide kohta leiab allolevatelt linkidelt:

Mis teeb Dirty COW haavatavuse nii eriliseks?

Dirty COW haavatavus on olnud süsteemides 9 aastat ning seda on paigatud ühe korra. Seda on tunnistanud ka Linuxi Kerneli looja ise, põhjendades, et 11 aastat tagasi jäi paikamine poolikuks IBM süsteemide ühilduvusprobleemide tõttu.

mm-remove-gup_flags

Kuvatõmmi

Seega võib spekuleerida, et kasutajatel on olnud võimalus kirjutada privileege eskaleerides ohvri masinasse faile/tagauksi. Samuti on Dirty COW just nüüd erilise tähelepanu all, sest varem paigati see “enam-vähem” põhimõttel, kuid praeguseks on süsteemid arenenenud tohutu kiirusega tehes trügimisründe (sündmustevahelist siirdelist ajalõiku nõrkusena ärakasutamise) võimalikuks.

Kuidas toimib Dirty COW haavatavus?

Idee tõestamisekood (PoC kood) kasutab haavatavuse ära kasutamiseks faili read-only (ainult lugemiseks) olekus.

read-only

Kuvatõmmis

Pärast faili avamist read-only olekus kutsutakse esile mmap funktsioon, mis kaardistab faili mälu kasutades järgnevaid lippe (flags): f (varem avatud fail), PROT_READ (ainult lugemiseks), MAP_PRIVATE (lubab copy-on-write kaardistamist).

map_private

Kuvatõmmis

Mmap lubab nüüd lugeda mälus olevat faili või kirjutada mälus olevale koopiale.

Järgnevalt on vajalik luua kaks lõimu paraleelselt kasutamaks ära trügimishaavatavust. Trügimine selles kontekstis tähendab kahe lõimu sündmustevahelise ajalõigu nõrkusena ära kasutamist.

two-threads

Kuvatõmmis

Selleks on meil loodud lõim nr1 madvise süsteemikutse aitamaks Kernelil leida sobiv ettelugemise ja puhvri loomise võimalus. See on kriitiline osa haavatavusest. Madvise lõimule antakse kaasa lipp, mis paigutab Kernelile antava teabe: kuidas kaardistada mälu nii, et see ei kasutaks ära 100 biti mäluaadressil.

madvise

Kuvatõmmis

Need 100 bitti, mille kasutamist ei oodata, võib üle laadida uue sisuga, juhul kui peaks toimuma bittide samasse mäluvähemikku sattumine.

madv_dontneed

Kuvatõmmis

Lühidalt on võimalik eirata mälukaardistamise häid tavasid ning kasutada trügimist, tekitamaks olukorda, kus kasutaja sisend kirjutatakse originaalfaili, mitte enam mälus olevasse koopiasse.

Kas on oodata Dirty COW paika?

Jah, see on juba valmis. Paik sisaldab endas ainult kolme rida koodi.

paik

Kuvatõmmis

Turvanõrkus nimega FREAK

Kaader seriaalist "IT-planeet".

Kaader seriaalist “IT-planeet”.

Mõned päevad tagasi ilmus avalikkuse ette teave turvanõrkusest koodnimega FREAK. Vaieldakse, kas ja kui tõsine see probleem on.
Avalikustatud nimekirjas tuvastas CERT-EE suurusjärgus 100 Eesti serverit, nende omanikud on teavitatud, nii mõnelgi on probleem juba ka lahendatud.

Viga koodnimetusega CVE-2015-0204 (OpenSSL) avalikustati teisipäeval mitme uurimistiimi koostööna, sh Microsoft, prantsuse INRIA ja hispaania MDEA Software. Tegemist on huvitava turvanõrkusega, mille juured ulatuvad eelmise külma sõja ajastusse. Tollane põhiline krüptograafiatootja USA nõudis, et tõsist, n-ö tugevat krüptograafiat tohiks kasutada vaid USA ning välisriikidele tuleks lubada vaid spetsiaalselt nõrgestatud (reeglina lihtsalt lühema võtmepikkusega) variante. 1990ndatest pärineb ka termin export-grade cryptography.
Vahepeal, seoses Interneti ja e-panganduse arenguga, nudimissoov vaibus.
Siiski on neid nn muule maailmale mõeldud võtmeid inertsist eristatud ning ajalooliselt on nad paljudes konfiguratsioonifailides nimetatud eraldi real.

Turvanõrkus seisneb selles, et teatud olukorras (kui klient läheb oma brauseriga SSL veebisaiti külastama, s.o siis säärast, mille aadress algab https://) lepitakse kliendi ja serveri vahel ikkagi kokku just need madala turvalisusega eksportvõtmed, ehkki kummalgi poolel polnud algselt plaanis neid kasutada. Protokolle, kus kõrgema turvataseme äralangemisel toimub automaatne tagasilangus kõige vanema ja vähemturvalise juurde, on infoturbes nähtud varemgi (Samba LANMAN, GSM A5.0).

Arusaadavalt on kirjeldused pisut tagasihoidlikumad selles osas, kuidas täpselt tuleb pealtkuulajal sekkuda, et kliendi ja serveri vahelist infovahetust talle sobivas suunas mõjutada. Oht seisneb selles, et just ühenduse võtmise hetkel suudab keegi sekkuda (MitM – Man in the Middle), tekitades olukorra, kus osapooled lepivad vea tõttu kokku plaanitust niruma krüptoprotokolli. Hästivarustatud vastasel on seejärel mõnevõrra kergem see sideseanss lahti murda. Niisiis on tegemist küllaltki spetsiifilise stsenaariumiga: see eeldab pühendunud vastast, kel on võimalik kliendi ja serveri vahelisele sidetrassile paigutuda, seal bitte võltsida ja teda huvitavat sideseanssi muust liiklusest eristada ning salvestada.

Üldiselt jääb väheks sellest, kui vaid serveril on FREAK küljes, kuid kui see on küljes ka kliendil, õnnestub trikk peaaegu alati.

Üks infoturbejuht selgitas meile olukorda nii: “On sarnasus inimeste omavahelise vestlusega: mina teatan, et räägime eesti või inglise keeles, Sina vastad mulle vene keeles (sest ründaja sosistas Sulle, et vene keel olla esimene eelistus) ja mina olengi oma esialgsest seisukohast hoolimata sellega nõus. Kui emb-kumb meist vene keelt ei oska või Sa ei allu ründaja sosistamisele, siis rünnak ebaõnnestub.”

Kaasajal ei saa säärast pealtkuulamise võimalust üldse mitte välistada (vt Snowdeni lekked), kuid tõenäosus, et see juhtub totaalselt, väljaspool sihitud rünnakuid, on erakordselt väike. Ning need, keda võimekas vastane pidevalt sihib, on pidevas ohuolukorras niikunii… kui täna midagi ei juhtunud, siis järgmisel nädalal, mõne järgmise turvaauguga taas.

Ühe 512-bitise RSA võtme murdmisajaks Amazoni pilves hinnatakse 7 tundi ja maksumuseks 104 USD.

Soovitused:

  • Kelle server on nimekirjas aadressil https://freakattack.com/, parandagu oma serverit. Sageli piisab mõne rea muutmisest konfiguratsioonifailis, et nõrku protokolle üldse välja ei pakutakski.
  • Kelle brauser (Chrome, IE11, Safari) on kahtlaste nimekirjas, uuendagu seda esimesel võimalusel (FireFox on üllataval kombel turvaline). Oma brauserit saab kontrollida samuti aadressilt https://freakattack.com/.
  • Kelle server pruugib TSL teeke, kontrolligu üle ka need ning vajadusel uuendagu. Apple väljastab paranduse järgmisel nädalal. Võimalik, et vanemad Androidid ja iOSid jäävadki selle probleemi suhtes paikamata.
  • Tuleb arvestada, et OpenSSL on vaid üks (kuigi kõige levinum) SSL pakett, kuid krüptoteeke on teisigi. Sama soojaga võiks oma konfiguratsioonifailidest välja visata kõik vanad krüptoprotokollid, mille kasutamine pole turvaline.

Meenutame, et viimase aasta jooksul on korduvalt esinenud turvanõrkusi seoses SSL/TSL protokollistiku ja selle implementatsioonidega (Poodle, HeartBleed).

Viited:

Anto Veldre
CERT-EE

Drupal PSA-2014-003 – avalik teavitus kriitilisest veast

NB! See on järg veateavitusele SA-CORE-2014-005 ning ei ole seotud uue haavatavusega.

15. oktoobril andis Drupal avalikult teada SQL injection haavatavusest Drupali tuumikkoodis (SA-CORE-2014-005). Automatiseeritud massilised ründed Drupali veebimootorit kasutavatele veebidele algasid paari tunni jooksul peale teavitust. Kui veebisaiti ei ole antud probleemi vastu paigatud enne kella 01:00-t 16. oktoobril – st 7 tunni jooksul peale teavitust, siis võiks veebilehe haldaja eeldada, et sissemurdmine on aset leidnud.

Drupali 7.32 versioonile uuendamine ei ole suure tõenäosusega enam piisav probleemist vabanemiseks. Siiski – kui Sa ei ole oma Drupalit kasutavat veebilehte veel uuendanud, siis mine tee seda kohe!

… ning peale seda jätka selle teate lugemist. Uuendamine parandas küll selle haavatavuse, kuid ei eemaldanud tagauksi nendes veebides, kuhu on juba sisse murtud.

Kuidas ära tunda seda, kas veebilehele on juba sisse murtud? Üks märk on see, et veebimootor on juba paigatud. Seega – kui paikamisel selgub, et seda on juba tehtud, aga seda ei teinud Teie, siis see on tunnus sissemurdmisest. Põhjus on see, et mõned ründajad on paiganud vea ohvri veebimootoris, et jääda ainukeseks sissemurdjaks.

Mõned võimalused tagauste tuvastamiseks (loetelu ei ole ammendav!):

  • otsi faile, mis on tekkinud peale 15. kuupäeva ning mille tekitamises sa ise kindlasti ei ole osalenud,
  • otsi faile, mis sisaldavad stringe “eval” ja/või “base64”, hinda nende sisu alusel, kas tegemist võib olla tagauksega,
  • seira logisid, kui sa seda juba ei tee. Lisaks veebiserveri logidele vaata regulaarselt üle ka muud, näiteks postiserveri logid.

Ennetavate meetmetena nii selle kui tulevaste turvavigade leidmiste ja sissemurdmiste varalt, tuleks üles seada jatkuv logide seire; võrguliikluse seire ja profileerimine; üle vaadata tulemüüri(de) reeglid ning lokaalsesse serverisse paigaldada sissemurdmist tuvastada abistavad vahendid (IDS). Kui serveril puudub korralik varundus, siis on viimane aeg sellega alustada.

Refereerime järgnevalt ka pisut Drupali loojate toodud juhendit.

Andmed ja kahjude hindamine

Ründajad võivad olla kopeerinud kõik teie saidis leiduvad andmed ning võivad seda ära kasutada mistahes viisil. Edasiseks tegevuseks soovitame lugeda Drupali dokumentatsiooni: ”Your Drupal site got hacked, now what”.

Taastamine

  • Ründajad võivad olla andmebaasi, failisüsteemi või muudesse kohtadesse tekitanud tagauksi.
  • Ründajad võivad olla ära kasutanud teisi teie veebiserveris jooksvaid või sellelt ligipääsetavaid veebisaite ning süsteeme.

Tagauste ülesleidmine on väga keeruline protsess mille 100% edukuses ei saa peaaegu kunagi kindel olla. Seetõttu soovitame oma saidi kogu mahus taastada enne 15. oktoobrit tehtud varukoopiast:

  1. Deaktiveerige veeb, asendades selle ajutise staatilise HTML leheküljega.
  2. Teavitage oma serverihaldurit ning rõhutage, et teised samas serveris olevad süsteemid võivad samuti olla kompromiteerunud.
  3. Tehke veebi hetkeseisust uus varukoopia.
  4. Parim lahendus on veeb enne 15. oktoobrit tehtud koopiast taastada täiesti uude serverikeskkonda, et olla kindel, et kusagil pole ründajate seatud tagauksi.
  5. Uuendage enne 15. oktoobrit tehtud varukoopiast taastatud veebimootor viimasele versioonile.
  6. Taasaktiveerige veeb.
  7. Vaadake põhjalikult üle kõik failid, kood või seaded, mida on vaja üle tuua veebi viimasest, nakatunud versioonist.

Põhjalikumalt saab lugeda siit: FAQ on SA-CORE-2014-005