Archive | September 2014

ShellShock: Уязвимость Bash [CVE-2014-6271 & CVE-2014-7169]

shellshock_bash

25/09/14 была обнаружена уязвимость в оболочке GNU Bash, позволяющая удаленно выполнять произвольный код на уязвимой системе. Уязвимости подвержены версии оболочки 1.14 (вышла в 1994)  – 4.3. В зоне риска оказались различные NIX системы: Mac OS, Android, Linux дистрибутивы. Это значит, что уязвимы сервера/ВМ, различное сетевое оборудование, чья прошивка построена на базе nix/linux.

Пример реализации уязвимости [ http request > cgi script > bash = remote code exploration ]

В примере используется обработка CGI скриптов с помощью оболочки bash.

Потенциальные векторы эксплуатации: DHCP, SSH, Telnet..

Внимание! Первый выпущенный фикс (CVE-2014-7169) не исправляет уязвимость полностью.

Проверить наличие уязвимости:

Exploit 1 (CVE-2014-6271)

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Exploit 2 (CVE-2014-7169)

env X='() { (shellshocker.net)=>\' bash -c "echo date"; cat echo ; rm -f echo

Получить инструкции по исправлению.

###

Информация для заказчиков McAfee:

Получив информацию об уязвимости разработчики начали комплексную проверку решений на предмет уязвимости. Результаты проверки, перечень уязвимых продуктов и инструкции по исправлению доступны в отдельном бюллетене, который будет пополняться по мере проверки: Security Bulletin SB10085 Кроме того, уже 26/09 была выпущена сигнатура для McAfee Vulnerability Manager, позволяющая обнаруживать уязвимые системы в корпоративной сети. В скором времени ожидается релиз сигнатур для NSP и Firewall, которые позволят блокировать попытку эксплуатации уязвимости по сети.

p.s.

Немного аналитики:

Ситуация осложняется тем, что на многих серверах/виртуальных машинах, сетевом оборудовании, а в особенности на встроенных решениях компоненты ОС, как правило, обновляются весьма редко. В сухом остатке имеем огромное кол-во уязвимых систем, которые подключены к Интернету и доступ к которым не всегда фильтруется IPS/Firewall`ом. Справедливости ради стоит отметить, что пока в “паблике” официально не было зафиксировано инцидентов с участием данной уязвимости. Тем не менее, установку патчей на сервера и сетевое “железо” это не отменяет. Некоторые исследователи уже сравнивают ShellShock с Heartbleed. Несмотря на отличия в механизме эксплуатации, обе уязвимости имеют как минимум две общих черты:

  • затрагивают “Интернет вещей” (серверов/оборудования)
  • обнаружены недавно, но существовали давно

Последнее сходство заставляет задуматься почему такие серьезные “дыры” не были обнаружены ранее, несмотря на самоотверженные усилия со стороны open source сообщества и отдельных исследователей безопасности?

Воображение услужливо предлагает следующую гипотезу:

Некто, чьи мотивы не известны, “помогает” ИТ/ИБ сообществу “находить” очень серьезные “дыры”, которые организации вроде АНБ, не без помощи компании типа Vupen, могли бы еще долгое время использовать с целью компрометации различных систем. “Дыра” в баше или SSL страшнее чем непропатченный виндовс, хотя бы потому что львиная доля Инфраструктуры Интернета построена на NIX системах.

Если отбросить скепсис и поразмыслить над этой идеей свободного ума возникают такие вопросы:

> Кто и почему “помогает” нам? (помогает ли или отвлекает внимание экспертов от еще более серьезных уязвимостей)

> Участившиеся случаи обнаружения уязвимостей в фундаментальных механизмах Сети это следствие повышения компетентности исследователей безопасности или просто кто-то сливает “отработанный материал”?

> Использовался ли ShellShock для реального взлома на протяжении жизненного цикла?

Пока ответов на эти вопросы нет.

Нам остается патчить свои сервера и внимательно наблюдать за развитием событий дальше.

Будьте осторожны при использовании высоких технологий.

p.p.s.

Попытка объяснить такое количество “дыр”, просто интересная точка зрения на проблемы ИБ из под пера журналистки Quinn Norton

Everything Is Broken [EN]

Русский перевод [RU]

Advertisements

Уязвимость BERserk в библиотеках Mozilla NSS

firefox_patch4-680x400

Обнаружена серьезная уязвимость в библиотеках Mozilla Network Security Services (NSS) позволяющая осуществлять атаки с подменой цифровой подписи. Библиотеки NSS используются в таких приложениях как Firefox, Thunderbird, Seamonkey а также Google Chrome и ChromeOS. Уязвимость позволяет атакующему подделывать цифровую подпись и обходить встроенную проверку легитимности сертификатов. Обнаруженная уязвимость является вариацией известной ранее Bleichenbacher PKCS#1 RSA (2006).

Анализ уязвимости был проведен специалистами Intel Security Advanced Threat Research Team.

Для устранения уязвимости необходимо обновить ПО до актуальных версий:

– Mozilla mfsa2014-73

– Google

Пример обхода проверки сертификата:

nss-1024x686

Сканер уязвимости McAfee Vulnerability Manager (MVM) а ближайшее время получит обновление, позволяющее обнаруживать системы с уязвимым ПО.

p.s.

Стоит отметить, что атаки на браузер, в особенности с подменой/кражей сертификатов набирают все большую популярность. Потенциал таких атак очевиден – Интернетом пользуются 90% потребителей ИТ технологий (закрытые промышленные сети и затворники не в счет). Вопрос доверия к сертификатам SSL/TLS подымался и раньше, но сейчас на волне развития Web технологий и массовой миграции сервисов в “облака” он становиться жизненно важным. До тех пор, пока каждый браузер использует свои механизмы проверки, а разработчики популярных приложений устраняют проблемы в одиночку – защита будет отставать. Необходима консолидация усилий разработчиков (чьи решения стали де-факто стандартном для ПК и BYOD) совместно с исследователями и вендорами, которые специализируются на решениях ИБ.

iOS8 и EMM

emm_ios8

Короткая заметка на тему McAfee ЕММ (MDM) и новой мобильной платформой от Apple.

Не важно, являетесь ли Вы счастливым обладателем iPhone 6 и заинтересованы в защите данных, которые хранятся на вашем устройстве, либо вы отвечаете за безопасность BYOD в компании и ваши сотрудники обновились до 8-й версии iOS – в любом случае вам полезно будет знать, что:

Регистрация (provisioning) устройств на iOS8 обеспечивается соответствующим патчем:

•    EMM 12.0 Patch 3 (описание)
•    EMM 11.0 Patch 5 (описание)
•    EMM 10.2 Patch 9 (описание)

Важно!

Патч необходимо установить _до_ регистрации новых устройств на iOS8 либо обновления уже зарегистрированных.

If your EMM system is not patched to support iOS 8, devices will experience the following issues:
•    Previously provisioned iOS devices that upgrade to iOS 8 will lose email sync.
•    Newly provisioned iOS 8 devices will not sync email after provisioning is complete.

Для корректного сопровождения iPhone6 понадобиться установить Device Catalogs 55225 and 55228.

Таким образом, по состоянию на 23/09/2014 McAfee EMM полноценно поддерживает iOS8 и iPhone6 (Plus).

p.s.

McAfee EMM представляет собой MDM консоль, которая позволяет эффективно контролировать защиту корпоративных данных на смартфонах и планшетах. EMM с одной стороны выполняет функцию ActiveSync Proxy, допуская к синхронизации с почтой только те устройства, которые прошли проверку соответствия, а с другой стороны позволяет принудительно применять к устройствам профиля и настройки, которые определены политикой ИБ. EMM обеспечивает контроль шифрования BYOD, а для платформы Android предоставляет управляемый антивирусный сканер и крипто-защищенный почтовый клиент.

Следите за новостями.

mail_ru и yandex_ru _ делаем выводы

Почему нужно шифровать переписку или хотя бы пользоваться привязкой к телефону.

Нижеизложенная информация рекомендуется к прочтению не только техническим специалистам ИТ/ИБ отраслей но и простым пользователям. Это особенно важно если у Вас есть почтовые ящики на этих серверах.

email-thief-284x300И так, на выходных произошло два крупных слива. В сеть утекла база учеток:паролей mail.ru и yandex.ru

ТОП 200 паролей

Проверить свою почту по базе «слитых»

Несмотря на то, что сотрудники yandex`а, а в след за ними их коллеги из mail.ru поспешили уверить, что “от них ничего не уходило и во всем виноваты трояны и любители простых паролей”, достаточно большой процент ИТ-образованных людей, обнаружили свои ящики в базе слитых, что само по себе исключают возможность подбора пароля либо его кражу трояном.

Yandex также заверил, что “85% скомпрометированных аккаунтов из этой базы нам уже было известно через анализ их поведения или другими способами. Мы предупреждали их владельцев и отправили их на смену пароля, но они этого не сделали.Однако уведомление получили не все.

Проанализировав доступную информацию можно сделать вывод, что база собиралась на протяжении нескольких лет из разных источников. Были там и пароли подобранные bruteforce, и перехваченные кейлогерами. Но, там были обнаружены и достаточно сложные/свежие. Пока рано говорить о том, что часть паролей могла утечь через SSL Heartbleed или же механизмы аутентификации на сервисах, которые являются партнерами вышеуказанных компаний (Яндекс деньги, например).

Если бы пользователи придумывали пароли, которые сложно подобрать brute-force – процент “утекших” утечек был бы меньше. А если бы еще пользовались привязкой к телефону – кража пароля не давала бы злоумышленнику контроль над ящиком.

К чему я это пишу.

К сожалению, очень часто пользователи предпочитают использовать 1 пароль для всем (ну или почти всех) сервисов.

К еще большему сожалению, я точно знаю, что среди моих соотечественников эти два почтовых сервиса, не смотря на их репутацию, пользуются популярностью.

По этому если у Вас была зарегистрирована почта на mail.ru/yandex.ru и Вы, не дай Бог, использовали ее не только для переписки, но и для регистрации на различных ресурсах, покупок в Интернете, для Skype/Steam и аналогичных сервисов…

Убедительная просьба – смените пароль, предварительно убедившись, что не используете один из тех, которые уже все видели и по возможности привяжите один из своих (не основной) мобильный номер как средство аутентификации/восстановления доступа (если ресурс это позволяет).

Это простая рекомендация которая лежит на поверхности.

А теперь главное:

Учитывая военную агрессию (фактически подлую войну) со стороны РФ, а также попытки силовых структур РФ контролировать работу Интернет сервисов, я призываю всех сознательных пользователей вообще отказаться от использования mail.ru / yandex.ru из соображений безопасности. Эти каналы передачи априори не могут считаться безопасными, т.к. принадлежат компаниям, чья деятельность регламентируется российским законодательством. Фактически это компании, которые подконтрольны стране-агрессору, которая не гнушается экспортировать терроризм в промышленных масштабах на территорию Украины.

это важный момент, учитывая нездоровую “любовь” многих ИТшников, особенно из ГОС сектора использовать mail.ru/yandex.ru для передачи всего, в том числе и тех. документации и другой информации, которая подпадает под определение конфиденциальной информации…

Что делать?

В качестве _комфортной_ (не безопасной) замены могу посоветовать широко используемый Gmail. Да, если верить господину Сноудену, он тоже не безгрешен, но АНБ я опасаюсь гораздо меньше чем представителей силовых структур РФ. Для параноиков (зачеркнуто) людей, которые пекутся о конфиденциальности переписки могу посоветовать шифровать само тело письма с помощью GPG или аналогичного софта. Я советую гулопочту исключительно из-за ее широкого распространения (в том числе на мобильных устройствах) и нормально работающей СМС-аутентификации. Мои рекомендации в первую очередь исходят из соображения оптимальной защиты доступа к _бесплатному_ ящику. Стоит ли криптовать содержимое ящика – каждый должен сам для себя ответить на этот вопрос. Вопросы защиты контекста почты – тема для отдельного разговора.

Отмечу лишь, что использование _бесплатных_ почтовых ящиков для личного пользования – это одно, но использование бесплатной почты для ГОС структур в качестве основы кустарного документооборота не приемлемо.

Итоги

Обычным пользователям – если были ящики на yandex/mail – сменить пароли и убрать с этих ящиков привязанные к ним ресурсы. При регистрации новых ящиков на не-РФ почтовых сервисах не повторять ошибок, использовать привязку к мобильному.

Организациям – нанять админа, дать денег на покупку домена и железа для почтового сервера.

ps

Это далеко не первый подобный “слив”, а главное, что в теневой зоне Интернета краденные/подобранные пароли продаются уже давно. Так что, если вы не нашли себя по этой базе, это еще не повод расслабляться.

Спасибо за внимание.