LINUXTALKS.CO

Новости «Безопасность»

Сбой в Windows на ПК и серверах после обновления CrowdStrike затронул IT-инфраструктуру компаний, банков и аэропортов

Группа Безопасность

18 и 19 июля 2024 года системные администраторы и корпоративные пользователи столкнулись с нерабочими ПК и серверами на Windows, на которых начал возникать синий экран смерти (BSOD) и они начали уходить в бесконечную перезагрузку (Boot Loop). Оказалось, что инцидент произошёл глобально после некорректного обновления ИБ-приложения CrowdStrike и затронул IT-инфраструктуру многих компаний, банков и аэропортов по всему миру. Глава CrowdStrike Джордж Куртц заявил СМИ, что проблема была «выявлена, изолирована и исправлена», запущен процесс устранения неполадок.

( читать дальше... )

>>> Подробности

 , , ,

cocucka ()

В библиотеке xz/liblzma выявлен бэкдор, организующий вход через sshd

Группа Безопасность

В пакете XZ Utils, включающем библиотеку liblzma и утилиты для работы со сжатыми данными в формате ".xz", выявлен бэкдор (CVE-2024-3094), позволяющий перехватывать и модифицировать данные, обрабатываемые приложениями, связанными с библиотекой liblzma. Основной целью бэкдора является сервер OpenSSH, в некоторых дистрибутивах связанный с библиотекой libsystemd, которая, в свою очередь, использует liblzma. Связывание sshd с уязвимой библиотекой позволяет злоумышленникам получить доступ к SSH-серверу без аутентификации.

( читать дальше... )

>>> Подробности

 , ,

TheAnonymous ()

Уязвимость в glibc, позволяющая получить root-доступ в системе

Группа Безопасность

Компания Qualys выявила опасную уязвимость (CVE-2023-6246) в стандартной Си-библиотеке Glibc, позволяющую через манипуляции с запуском SUID-приложений добиться выполнения своего кода с повышенными привилегиями. Исследователи смогли разработать рабочий эксплоит, позволяющий получить права root через манипуляцию с аргументами командной строки при запуске утилиты su.

Уязвимость вызвана переполнением буфера в функций __vsyslog_internal(), используемой при вызове функций syslog() и vsyslog(). Проблема возникает из-за ошибки при попытке вывода через макрос SYSLOG_HEADER слишком длинного имени приложения. При попытке расширения буфера с учётом длинного имени возникает сбой, после которого данные записываются в старый буфер изначального меньшего размера.

При организации атаки через утилиту su атакующий может изменить имя процесса при запуске приложения через замену значения argv[0], которое используется для получения информации об имени программы при выводе в лог, и добиться контролируемой перезаписи данных за пределами выделенного буфера. Далее переполнение можно использовать для перезаписи структуры nss_module в библиотеке nss для создания разделяемой библиотеки и её загрузки с правами root.

Проблема проявляется начиная с выпуска glibc 2.37, опубликованного в августе 2022 года и включающего изменение, обрабатывающее ситуацию с попыткой записи слишком больших сообщений. Вносящее уязвимость исправление было бэкпортировано в ветку glibc 2.36 и пакеты дистрибутивов с более старыми версиями glibc, так как отмеченное исправление устраняло уязвимость CVE-2022-39046, приводящую к утечке данных из кучи. Получилось так, что исправление неопасной уязвимости привело к появлению критической проблемы. Примечательно, что о похожей уязвимости в функции vsyslog() из состава библиотеки libc 5.4.3 сообщалось ещё в 1997 году.

Наличие уязвимости подтверждено в Debian 12/13, Ubuntu 23.04/23.10 и Fedora 37-39. Работа эксплоита для получения непривилегированным пользователем прав root продемонстрирована в полностью обновлённом окружении Fedora 38 со всеми включёнными в конфигурации по умолчанию механизмами защиты. Уязвимость может быть эксплуатирована только локально, так как требует передачи более 1024 байт через параметр argv[0] или аргумент ident в функции openlog().

Исправление уязвимости включено несколько часов назад в кодовую базу Glibc и войдёт в состав завтрашнего обновления Glibc 2.39, наряду с исправлением ещё двух уязвимостей (CVE-2023-6779, CVE-2023-6780) , также затрагивающих код __vsyslog_internal() и приводящих к переполнению буфера. Более того, компания Qualys предупредила о выявлении переполнения буфера в реализации функции qsort(), которое не было отнесено разработчиками Glibc к числу уязвимостей, так как эксплуатация подразумевает использование в качестве аргумента при вызове qsort нетипичной функции сравнения, возвращающей разницу сравниваемых параметров.

Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE, RHEL, Fedora, Arch Linux, Gentoo, Slackware. Протестировать подверженность системы уязвимости можно следующей командой:

   $ (exec -a "`printf '%0128000x' 1`" /usr/bin/su < /dev/null)

>>> Подробности

 , ,

cocucka ()
Новости: Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSEC (1 комментарий)

Orange España взломали из-за того, что пароль у пользователя admin учетной записи RIPE NCC был ripeadmin

Группа Безопасность

Orange España, второй по величине мобильный оператор Испании, столкнулся с серьезным сбоем в среду после того, как неизвестная сторона получила доступ к учетной записи для управления глобальной таблицей маршрутизации с помощью «смехотворно слабого» пароля. Начиная с 9:28 UTC, лицо под ником Snow вошло в учетную запись Orange в RIPE NCC, используя пароль ripeadmin. RIPE NCC отвечает за управление и распределение IP-адресов и обслуживает 75 стран Европы, Ближнего Востока и Центральной Азии.

Snow сначала добавил новые ROAs (Route Origin Authorizations) к глобальной таблице маршрутизации, которые изначально не вызвали сбоев. Однако позже Snow добавил ROAs с «фальшивыми источниками», что привело к существенному сокращению действительных маршрутов Orange, что, в свою очередь, стало причиной сбоя в обслуживании. Проблема была усугублена использованием системы RPKI (Resource Public Key Infrastructure), предназначенной для предотвращения неправомерного перехвата маршрутов, что эффективно сделало сеть Orange нефункционирующей.

Компания Hudson Rock обнаружила учетные данные на продажу в онлайн-магазинах, которые были украдены с помощью вредоносного ПО, установленного на компьютере Orange с сентября. Исследователи также обратили внимание на тысячи других учетных данных, защищающих учетные записи RIPE, доступных в таких маркетплейсах.

Этот инцидент подчеркивает хрупкость системы BGP и выявляет серьезные проблемы с безопасностью в Orange. Использование слабого пароля и отсутствие многофакторной аутентификации, а также установленное вредоносное ПО на компьютере сотрудника, которое оставалось незамеченным в течение четырех месяцев, являются серьезными просчетами, которых никогда не должно было произойти в организации с таким масштабом деятельности, как Orange. Исследователи надеются, что этот инцидент послужит тревожным звонком для других поставщиков услуг и побудит их усилить меры безопасности.

>>> Подробности

 , ,

cocucka ()
Новости: Эксперимент с созданием NPM-пакета, зависимого от всех пакетов в репозитории (5 комментариев)

Свежие уязвимости в процессорах Intel и AMD

Группа Безопасность

Тэвис Орманди (Tavis Ormandy), исследователь безопасности из компании Google, выявил новую уязвимость (CVE-2023-23583) в процессорах Intel, получившую кодовое имя Reptar и в основном представляющую опасность для облачных систем, в которых выполняются виртуальные машины разных пользователей. Уязвимость позволяет вызвать зависание или аварийную остановку работы системы при выполнении в непривилегированных гостевых системах определённых операций. Для тестирования своих систем опубликована утилита, создающая условия для проявления уязвимости.

Исследователи Центра Гельмгольца по информационной безопасности (CISPA) опубликовали новый метод атаки CacheWarp, позволяющий скомпрометировать механизм защиты AMD SEV (Secure Encrypted Virtualization), применяемый в системах виртуализации для защиты виртуальных машин от вмешательства со стороны гипервизора или администратора хост-системы. Предложенный метод позволяет злоумышленнику, имеющему доступ к гипервизору, добиться выполнения стороннего кода и повышения привилегий в виртуальной машине, защищённой при помощи AMD SEV.

( читать дальше... )

>>> Подробности

 , ,

cocucka ()

Админ jabber.ru выявил MITM-атаку, проводимую на сервис в сетях немецких хостинг-провайдеров Hetzner и Linode

Группа Безопасность

20 октября 2023 года администратор jabber.ru (xmpp.ru) сообщил о выявлении атаки по расшифровке трафика пользователей (MITM), проводимой в течение нескольких месяцев в сетях немецких хостинг-провайдеров Hetzner и Linode. На этих IT-ресурсах размещён сервер проекта и вспомогательные VPS-окружения. Атака была организована через перенаправление трафика на транзитный узел, подменяющий TLS-сертификат для XMPP-соединений, шифруемых с использованием расширения STARTTLS.

Неизвестные участники этой атаки выпустили отдельный SSL сертификат и проксировали коннекты к TCP:5222.

( читать дальше... )

>>> Подробности

 ,

cocucka ()

Удалённо эксплуатируемая уязвимость в драйвере NVMe-oF/TCP из состава ядра Linux

Группа Безопасность

В Linux-подсистеме nvmet-tcp (NVMe-oF/TCP), позволяющей обращаться к NVMe-накопителям по сети (NVM Express over Fabrics), используя протокол TCP, выявлена уязвимость (CVE-2023-5178), потенциально позволяющая удалённо выполнить свой код на уровне ядра или, при наличии локального доступа, поднять свои привилегии в системе. Исправление пока доступно в виде патча. Проблема проявляется с самой первой версии драйвера NVMe-oF/TCP (в отчёте об уязвимости упоминается ядро Linux 5.15, но поддержка NVMe-oF/TCP была добавлена в ядро 5.0). Уязвимости подвержены системы с включённым сервером NVMe-oF/TCP (NVME_TARGET_TCP), который по умолчанию принимает соединения на сетевом порту 4420.

Уязвимость вызвана логической ошибкой, из-за которой функция nvmet_tcp_free_crypto вызывалась два раза и два раза освобождала некоторые указатели, а также разыменовывала освобождённые адреса. Подобное поведение приводит к обращению к уже освобождённой области памяти (use-after-free) и двойному освобождению памяти (double-free) при обработке сервером NVMe-oF/TCP специально оформленного сообщения от клиента, который может находиться как в локальной, так и в глобальной сети.

>>> Подробности

 ,

cocucka ()
Новости: Рейтинг из 20 самых эксплуатируемых уязвимостей (2 комментария)
Новости: Большой урон понесли линуксоиды в Уругвае (2 комментария)
Новости: Обсуждается переработка механизма перенаправления портов в Docker-контейнеры (4 комментария)

Эксперты призывают к приостановке разработки мощных AI-систем на 6 месяцев

Группа Безопасность

Группа ученых и исследователей искусственного интеллекта (AI) опубликовала петицию, в которой призывает к временной приостановке разработки AI-систем, превосходящих мощность GPT-4. Согласно петиции, целью такой паузы на 6 месяцев является разработка и внедрение общих протоколов безопасности для AI, чтобы избежать возможных негативных последствий и опасностей.

Авторы петиции отмечают, что современные AI-системы все ближе подходят к уровню человеческого интеллекта, и поэтому существует необходимость осознанного подхода к их разработке. В ходе шестимесячной паузы эксперты должны совместно разработать набор безопасных стандартов и протоколов, которые будут контролироваться независимыми организациями.

Параллельно с этим, петиция предлагает сосредоточить усилия на совершенствовании существующих AI-систем, делая их более безопасными, прозрачными и предсказуемыми. Кроме того, призывается ускорить разработку систем управления и контроля над AI на государственном уровне.

Авторы петиции выразили уверенность, что такой подход позволит обеспечить безопасное развитие искусственного интеллекта и перейти к «лету AI», когда человечество сможет наслаждаться преимуществами этой технологии без опасения катастрофических последствий.

В список подписантов петиции входят известные ученые, предприниматели и представители технологического сообщества, такие как Йошуа Бенджио (основатель и научный руководитель Mila, лауреат премии Тьюринга, профессор Университета Монреаля), Стюарт Рассел (профессор информатики в Беркли, директор Центра интеллектуальных систем и соавтор учебника «Искусственный интеллект: современный подход»), Илон Маск (генеральный директор SpaceX, Tesla и Twitter), Стив Возняк (соучредитель Apple), Юваль Ной Харари (писатель и профессор Еврейского университета Иерусалима) и Эндрю Янг (сопредседатель партии Forward, кандидат в президенты США 2020 года, автор бестселлера The New York Times, посол предпринимательства). Среди подписантов также значатся представители мировых AI-лабораторий и научных организаций, таких как DeepMind, Centre for the Study of Existential Risk и Future of Life Institute.

>>> Подробности

 ,

cocucka ()
Новости: Раскрыта информация о нескольких взломах крупных компаний, приведших к утечке конфиденциальных данных:
Новости: Выпуск криптографической библиотеки LibreSSL 3.7.0
Новости: Уязвимости в ядре Linux, удалённо эксплуатируемые через Bluetooth (1 комментарий)
Новости: В стеке протоколов AppleTalk и Apple Filing Protocol (AFP) выявлено шесть удалённо эксплуатируемых уязвимостей

АНБ рекомендует переходить на языки программирования, безопасно работающие с памятью

Группа Безопасность

Агентство национальной безопасности США опубликовало отчёт с анализом рисков появления уязвимостей, вызванных ошибками при работе с памятью, такими как обращение к области памяти после её освобождения и выход за границы буфера. Организациям рекомендовано по возможности уйти от использования языков программирования, таких как Си и Си++, перекладывающих управление памятью на разработчика, в пользу языков, обеспечивающих автоматическое управление памятью или выполняющих проверки безопасной работы с памятью во время компиляции.

( читать дальше... )

>>> Подробности

 

crypt ()

Уязвимость в маршрутизаторах Netgear, приводящая к удалённому выполнению кода

Группа Безопасность

В устройствах Netgear выявлена уязвимость, позволяющая без прохождения аутентификации добиться выполнения своего кода с правами root через манипуляции во внешней сети на стороне WAN-интерфейса. Наличие уязвимости подтверждено в беспроводных маршрутизаторах R6900P, R7000P, R7960P и R8000P, а также в сетевых устройствах для развёртывания mesh-сетей MR60 и MS60. Компания Netgear уже выпустила обновление прошивки с устранением уязвимости.

( читать дальше... )

>>> Подробности

 ,

crypt ()
Новости: Уязвимость в Android, позволяющая обойти блокировку экрана (4 комментария)