Tag Archives: paik

Räpane lehm CVE-2016-5195

Riigi Infosüsteemi Ameti intsidentide käsitlemise osakond (CERT-EE) kirjutab haavatavusest Linuxi tuumas.

dirty-cow

Allikas: https://www.turnkeylinux.org/blog/dirty-cow-kernel-privilege-escalation-vulnerability

Räpane lehm edaspidi Dirty COW on privileegide eskaleerimise haavatavus Linuxi Kernelis.

Mis on CVE-2016-5195?

CVE-2016-5195 on ametlik viide haavatavusele. CVE (Common Vulnerabilities and Exposures) on infoturbe haavatavuste nimede standard, mida haldab MITRE.

Miks just Dirty COW?

Linuxi Kerneli mälu alamsüsteemist leiti trügimishaavatavus (sündmustevahelist siirdelist ajalõiku nõrkusena ärakasutav rünne), mis käsitles copy-on-write (COW) privaatlugemiseks ainult (read-only) mälu kaardistust (memory mapping). See võimaldab lokaalsel kasutajal mööduda standardsetest failisüsteemi pääsuõigustest ning muuta faile, millele muidu õigused puuduvad.

Mida saan teha?

Tutvu allolevate linkidega ning järgi oma operatsioonisüsteemile vastavaid tegutsemisjuhiseid!

Rohkem infot haavatavate süsteemide kohta leiab allolevatelt linkidelt:

Mis teeb Dirty COW haavatavuse nii eriliseks?

Dirty COW haavatavus on olnud süsteemides 9 aastat ning seda on paigatud ühe korra. Seda on tunnistanud ka Linuxi Kerneli looja ise, põhjendades, et 11 aastat tagasi jäi paikamine poolikuks IBM süsteemide ühilduvusprobleemide tõttu.

mm-remove-gup_flags

Kuvatõmmi

Seega võib spekuleerida, et kasutajatel on olnud võimalus kirjutada privileege eskaleerides ohvri masinasse faile/tagauksi. Samuti on Dirty COW just nüüd erilise tähelepanu all, sest varem paigati see “enam-vähem” põhimõttel, kuid praeguseks on süsteemid arenenenud tohutu kiirusega tehes trügimisründe (sündmustevahelist siirdelist ajalõiku nõrkusena ärakasutamise) võimalikuks.

Kuidas toimib Dirty COW haavatavus?

Idee tõestamisekood (PoC kood) kasutab haavatavuse ära kasutamiseks faili read-only (ainult lugemiseks) olekus.

read-only

Kuvatõmmis

Pärast faili avamist read-only olekus kutsutakse esile mmap funktsioon, mis kaardistab faili mälu kasutades järgnevaid lippe (flags): f (varem avatud fail), PROT_READ (ainult lugemiseks), MAP_PRIVATE (lubab copy-on-write kaardistamist).

map_private

Kuvatõmmis

Mmap lubab nüüd lugeda mälus olevat faili või kirjutada mälus olevale koopiale.

Järgnevalt on vajalik luua kaks lõimu paraleelselt kasutamaks ära trügimishaavatavust. Trügimine selles kontekstis tähendab kahe lõimu sündmustevahelise ajalõigu nõrkusena ära kasutamist.

two-threads

Kuvatõmmis

Selleks on meil loodud lõim nr1 madvise süsteemikutse aitamaks Kernelil leida sobiv ettelugemise ja puhvri loomise võimalus. See on kriitiline osa haavatavusest. Madvise lõimule antakse kaasa lipp, mis paigutab Kernelile antava teabe: kuidas kaardistada mälu nii, et see ei kasutaks ära 100 biti mäluaadressil.

madvise

Kuvatõmmis

Need 100 bitti, mille kasutamist ei oodata, võib üle laadida uue sisuga, juhul kui peaks toimuma bittide samasse mäluvähemikku sattumine.

madv_dontneed

Kuvatõmmis

Lühidalt on võimalik eirata mälukaardistamise häid tavasid ning kasutada trügimist, tekitamaks olukorda, kus kasutaja sisend kirjutatakse originaalfaili, mitte enam mälus olevasse koopiasse.

Kas on oodata Dirty COW paika?

Jah, see on juba valmis. Paik sisaldab endas ainult kolme rida koodi.

paik

Kuvatõmmis

Turvaoht: WordPress vajab kohest paikamist

wordpress-logo-hoz-rgb

Anto Veldre, RIA analüütik

Kui Sinul, Sinu firmal või asutusel on püsti pandud WordPressi tehnoloogias veebisait, siis täna on vältimatu hetk WordPressi uuendamiseks. Sest eile avalikustati WordPressi järjekordne turvaparandus, mis kõrvaldab tervelt kümme viga – neist kuus on seotud turvalisusega.

Kust üldse tulevad turvavead? Nagu autodel avastatakse vahel mõni tootjapoolne viga: kas pidur ei pea või saavad häkkerid neti kaudu auto tarkvara uuendada, nii on lugu ka netiportaalidega. Häkkerid ja turvauurijad leiavad uusi vigu pidevalt – keeruka tehnoloogia puhul on see vältimatu hind.

Ning kuigi me täna keskendume WordPressile, mitte Drupalile või Joomlale, siis ka need sisuhaldussüsteemid vajavad pidevat uuendamist!

xlontz

Mis üldse on näotustamine? Kui Sinu veebiserveris on turvaviga ja häkker oma riistakohvriga sinna sisse murrab, siis on tal valik: kas hakata Sinu kulul viirust levitama, tablette müüma või riputada üles kahtlasi loosungeid. Näotustamine on neist see variant, kui veebilehelt paistab “Zdes’ byl Vasja” või “Hacked by ÜberHaxor”. Tegu võiks võrrelda võõra kuulutustetulbaga, millele kleebitakse omaenda reklaam.

Näotustamine tundub veebiomanikule suhteliselt õnneliku juhtumina: kuigi häbi on küll kõigile avalikult nähtav, siis veebisaidi abil pole veel sooritatud kriminaalkuritegu (viiruse või lapsporno levitamist).

Samas, “õnn” on ajutine ja oht suur, sest kui kellelgi juba on õnnestunud Sinu veebisaiti sisse murda, siis kindlasti õnnestub see ka teistel üritajatel. Järgmiste ründajate valikud võivad aga olla oluliselt kriminaalsemad – mäletame ISISe reklaame, mis kvalifitseeruvad terroriorganisatsiooni toetamiseks 🙁

Häkkeritel on omad kekkamis-saidid, kus nad oma saavutustega hooplevad. Need võiks ju kinni panna, kuid siis oleks ebaturvalisi veebisaite veelgi raskem avastada.

deface

WordPress 4.2.4 turvauuendus parandab järgmised vead:

  • kolm murdskriptimise viga (XSS),
  • üks SQL injektsioon, mille abil pääseb serverisse “päris sisse”,
  • olukorra, kus häkker sai kommentaariumi lukku panna.

Uuendamine on lihtne: Kui veebisaidis on midagigi väärtuslikku, siis tuleks esmalt teha järjekordne varukoopia, seejärel aga valida Admin-menüüst: Dashboard -> Updates -> “Update Now”.

Küsimused ja vastused CERT-EE materjalide põhjal

junglefeverstyle.ee

Kui Sinu veebisaiti ongi juba sisse murtud, siis mida teha?!

  1. Näotustamistest, ammugi siis hullematest rünnakutest tuleb teavitada politseid ja CERT-EE-d.
    Miks politseid? Tegu võib olla suurema või rahvusvahelisema rünnakuga, kus vaid politseil on päringuteks vajalikud õigused. Politsei ongi selleks, et kuritegudest teada anda. Avalduse saab esitada ka digitaalselt, vt www.politsei.ee.
    Miks CERT-EE-d. Sest hädalisi võib olla teisigi. CERT-EE oskab õigeid inimesi üles leida, hinnata intsidendi ulatust ning anda ravinõuandeid. Muidu võib tunduda, et tegu on üksik-intsidendiga, kuigi ka paljud teised veebid on jätkuvalt ohustatud.
  2. Tuleb oma veebisaidis leida sissemurdmise koht ning see parandada. Arvestada tuleb ka võimalusega, et sisse on murtud korduvalt ning et Sinu veebis elab mitu pesakonda häkkereid.
  3. Taastada turvaline olukord, isegi kui selleks tuleb veeb vahepeal sulgeda.
    Üha rohkem on juhtumeid, kus nakkus on nii sügaval, et lihtne lappimine enam ei aita. Sel juhul tuleb uuesti (nullist) paigaldada sisuhaldustarkvara, uuesti lisada oma spetsiifilised kujundused ja andmed. Sedasi on küll rohkem tööd, kuid saab kindel olla, et häkkerid pole tuumiksüsteeme muutnud. Lihtsa lappimise korral, kui ei saadud aru, kus kurivara tegelikult pesitseb, võivad probleemid pärast uuendust tagasi tulla.
  4. Avalikkusel on kindlasti õigus teada, mis laias maailmas toimub, kuid ülevõetud saidi reklaamimisel peaks piiri pidama. Miks? Sest kuniks pole päris kindel, et veebisait on lõplikult ja korralikult välja ravitud, võib iga uus kasutaja saada sealt pahavara.

Kuidas tagada, et minu enda sisuhaldussüsteem oleks turvaline?

  1. Automaatne uuendamine: vahel teeb mõni uuendus veebilehel küll midagi katki, ent katkise koha parandamine on ikkagi lihtsam, kui hakata taastama oma mainet pärast seda, kui Sinu veebisait on levitanud pahavara ning sellega külastajatele kahju põhjustanud.
  2. Hoia ennast kursis konkreetse sisuhaldussüsteemi (WordPress, Drupal, Joomla) uuendustega ning sääraste ilmumisel paigalda need viivitamatult!
  3. Kindlasti uuenda ka kõik lisad (pluginad). Näiteks WordPressi populaarse lisa Slider Revolution vananenud versioon võib jätta lehekülje haavatavaks isegi siis, kui CMS tarkvara ise on ajakohane. Kui veeb osteti sisse, siis tüüpiliselt on makstud kas ainult paigaldus ilma toeta või on makstud plugina aastane uuendus ning pärast seda ongi pahandus käes.
  4. Turvaline paroolipoliitika ja regulaarne paroolivahetus. Muuda ära administraatori vaikimisi kasutajanimi. Paroole teadku inimesed, kes neid tõesti vajavad.
  5. Korrektne paigaldus. Jälgi hoolikalt sisuhaldussüsteemi paigaldusjuhist. Foorumid ja üleslaadimised on kõige eksimusterikkamad paigad.
  6. [Lisatud lugejate palvel 10.8.2015]: WordPressi lahendust käitavalt administraatorilt võiks ühtlasi nõuda, et nähtav poleks readme.html fail (sealt saab liiga palju lisainfot, aitäh @petskratt) ning et administreerimiskataloogile ja utiliitidele oleks võimalusel seatud IP-aadressi piirang (siis ei saa kahtlased tüübid näppimas käia).

Kuidas saan kinnitust kahtlusele, et veebiserverisse on sisse murtud või seda nakatud?

Üks mugav testimisteenus on SiteCheck (https://sitecheck.sucuri.net), teine VirusTotal (http://www.virustotal.com). Sisesta sinna kahtlase saidi nimi (URL) ning oota ära kontrolli tulemused. Sucuri Sitecheck on isegi võimeline hindama, kas serveri tarkvaraversioon on piisavalt ajakohane.

Shellshock saaga vahefinish

CERT-EE tegi pinnapealse skaneerimise riigivõrgule ja osale Eesti IP ruumile. Tulemus – ei leidunud sobilikke hoste, kes oleks päringus tehtud palumise peale soostunud saatma ICMP pakette. Kordame oma tegevust samas mahus sellel nädalavahetusel, aga pisut muudetud
päringuparameetritega.

Maailmas toimuvast on teada:

  • bash turvaviga kasutades on tekitatud botnette, seni teadaolevad “zombide” kontrollkeskuste IPd on 89.238.150.154, 162.253.66.76, 95.211.27.152, 46.16.170.158 ja 185.31.209.84;
  • haavatavaid servereid kasutatakse praegu rünnetes pastebin.com (Cloudflare) ja US kaitseministeeriumi vastu;
  • DHCP serveri kaudu on viga kasutades võimalik käivitada kliendi arvutis protsesse juurkasutaja õigustes;
  • päris paljud tarkvaratootjad ei ole veel turvapaiku ilmutanud. Mõned on suisa mitu paika järjest ilmutanud, sest esimene patch ei parandanud probleeme;
  • mida aeg edasi, seda rohkem leiavad pahatahlikud üha rohkem “auke”, mille kaudu teha rünnet bash’i viga ära kasutades.

Soovitusi infosüsteemide omanikele/haldajatele:

  • jälgige kasutatavate OSide uuenduste teateid
  • paigaldage turvapaiga ilmudes see niipea kui võimalik
  • vanade internetiga ühendatud süsteemide puhul üritage aru saada, kas bashi viga on võimalik ära kasutada iidamast-aadamast pärit veebirakenduse kaudu või mõnel muul moel
  • jälgige oma süsteemide perimeetril toimuvat, “tihendage” filtreid.

Jõudu!

CERT-EE