Security for all - #27 - 5 октября 2018
Новости - VPNFilter
Сегодня
Ботнет Hide ‘N Seek атакует Android устройства; две уязвимости в ядре Linux, приводящие к локальному повышению привилегий; взлом аккаунтов пользователей Facebook; новая активность ботнета VPNFilter.
Новости
Ботнет Hide ‘N Seek атакует Android устройства
В январе 2018 специалисты компании Bitdefender обнаружили новый ботнет, нацеленный на устройства IoT. Выявлен он был при помощи honeypot серверов. “ханипотами” (honey - мед и pot - горшок), дословно “горшочками меда”, называют специально сконфигурированные сервера-приманки, которые используются для анализа активности в сети. С помощью таких серверов можно, например, узнать, какие машины сканируют сеть, как они это делают, какие логины и пароли используются для переборов, какие уязвимости пытаются эксплуатировать.
Изначально ботнет был действительно направлен только на устройства IoT, но вскоре он уже нацеливался на сервера баз данных и различные сетевые устройства. Теперь же специалисты Bitdefender выяснили, что у ботнета появилась еще одна цель - устройства на платформе Android.
Проникновение происходит через отладочную функциональность Android Debug Bridge (ADB), доступную через Wi-Fi. Обычно ADB используется разработчиками для отладки. Чаще всего эта функциональность выключена, но некоторые производители оставляют ее включенной, по сути предоставляя возможность удаленного подключения к устройству через TCP порт 5555. Сами понимаете, выставлять такую функциональность без аутентификации в интернет черевато.
https://xakep.ru/2018/09/27/hns-android/
Уязвимость в Linux: cache invalidation (UAF)
Дженн Хорн (Jann Horn) из Google Project Zero опубликовал детали и пример эксплуатации уязвимости в ядре Linux. Проблеме подвержены версии от 3.16 до 4.18.8. Проблема относится к классу use-after-free - буквально использование после освобождения. Возникает в случае, когда программа использует память, которую она уже вернула системе. Такая память считается неиспользуемой и может быть отдана другим программам. Результатом эксплуатации уязвимости может быть порча памяти, отказ в обслуживании или даже повышение прав до администратора системы.
По словам исследователя эксплуатация занимает примерно час времени. О проблеме он сообщил разработчикам ядра 12 сентября. В последних версиях ядра ошибка была исправлена уже на следующий день. Но дистрибутивам нужно еще какое-то время, чтобы патч попал в последние пакеты обновлений и стал доступен пользователям.
https://thehackernews.com/2018/09/linux-kernel-exploit.html https://googleprojectzero.blogspot.com/2018/09/a-cache-invalidation-bug-in-linux.html
Уязвимость в Linux: integer overflow (LPE)
Специалисты компании Qualys обнаружили в ядре Linux уязвимость, связанную с переполнением целочисленной переменной. На уязвимых системах локальный атакующий имеет возможность повысить привилегии до администратора системы.
Уязвимость была внесена в ядро в июле 2007 года, а в июле 2017 был добавлен патч, в котором уязвимость устранялась. Большинство дистрибутивов портировали прошлогодний патч и их ядра уязвимости не подвержены. Однако в дистрибутивах Red Hat, CentOS и Debian 8 нужный патч отсутствовал и они оставались уязвимыми до недавнего времени.
Проблема затрагивает только 64 битные системы. Примеры эксплуатации опубликованы и желающие могут проверить, уязвима ли их система.
https://thehackernews.com/2018/09/linux-kernel-vulnerability.html
Взлом аккаунтов пользователей Facebook
Одна из самых шумных новостей прошлой недели связана с социальной сетью Facebook. В пятницу 90 миллионов пользователей были вынуждены логиниться заново, потому что для защиты аккаунтов социальной сети пришлось сбросить токены доступа.
Причиной стала атака, которая продолжалась как минимум с 16 сентября. Заметили ее из-за необычного всплеска трафика. Атакующие пытались получить доступ к аккаунтам пользователей, возможно параллельно из профилей доставалась информация.
Как выяснили сотрудники команды безопасности, атакующие эксплуатировали три отдельные ошибки.
Первая проблема связана с функцией “Посмотреть как”. С ее помощью можно взглянуть на свой аккаунт от имени другого пользователя. Данная функция не должна была позволять какие-либо действия, но из-за ошибки оставалась возможность загрузить видео в качестве поздравления с днем рождения.
Вторая проблема связана с генерацией специального значения, токена доступа, при загрузке видео. По задумке этот токен должен был иметь ограниченные возможности, но из-за ошибки он позволял логин через мобильное приложение
Также этот токен должен был генерироваться от имени текущего пользователя, но из-за другой ошибки он генерировался для пользователя, от имени которого идет просмотр.
Комбинация этих ошибок привела к уязвимости, которую и эксплуатировали атакующие. Поэтому при разработке продукта не стоит игнорировать проблемы, даже если они кажутся незначительными.
https://thehackernews.com/2018/09/facebook-account-hacked.html https://newsroom.fb.com/news/2018/09/security-update/
Ботнет VPNFilter снова активен
В 9 выпуске я упоминал ботнет под названием VPNFilter. Тогда не было особо деталей, была только информация о том, что ФБР взяло под контроль командные сервера, с которых осуществлялось управление ботнетом. Тогда ФБР рекомендовало просто перезагрузить роутер, чтобы избавиться от вредоносной функциональности. Сегодня мы рассмотрим, почему была такая рекомендация и почему ее оказалось недостаточно.
Начнем с командных серверов. В английской терминологии они называются С&C - Command and Control. Зараженные устройства обращаются к серверу, чтобы получить задание или загрузить новый модуль. По команде с сервера все боты могут начать выполнять какую-то функцию, например, подключаться к одному ресурсу. Тем самым они могут осуществить атаку отказ в обслуживании, если сервер не будет справляться с наплывом ботов. Если нейтрализовать командный сервер, то ботам неоткуда будет получать команды и загружать новую функциональность. Поэтому ботнет станет менее опасным или вовсе перестанет функционировать.
Очень часто ботнеты создаются из роутеров и других маломощных сетевых устройств. Модули бота находятся только в оперативной памяти устройства. Во-первых так проще, во-вторых для многофункциональных модулей бота может банально не хватать места на накопителе. Раз вредоносный код находится только в оперативной памяти устройства, то при перезагрузке он теряется и ботнету нужно заражать устройство заново. Именно поэтому после ликвидации командного сервера ФБР советовало всем пользователям перезагрузить их роутеры.
Но разработчики ботнета VPNFilter пошли не совсем стандартным путем. Они разбили вредонос на несколько компонентов. Первый сделали очень маленьким, поэтому появилась возможность его сохранять на накопителе, чтобы он мог пережить перезагрузку. В нем нет как таковой вредоносной функциональности и его единственное предназначение - загрузить компонент второго уровня с командного сервера. Именно во втором модуле находится полезная для злоумышленников нагрузка.
Авторы вредоносного ПО тоже иногда находят хорошие решения. Еще бы они применяли свои навыки и умения в мирных целях…
https://thehackernews.com/2018/09/vpnfilter-router-hacking.html
На сегодня все. Не забывайте обновлять роутеры и менять пароли по умолчанию. До следующей недели.