Güvenlikte Bu Hafta: UClibc ve DNS Zehirlenmesi, Şifreleme Zor ve Keçi


DNS sahtekarlığı/zehirlenmesi, tarafından keşfedilen saldırıdır. [Dan Kaminski] 2008’e geri dönmeyi reddeden. Bu hafta uClibc ve uClibc-ng’de bir güvenlik açığı duyuruldu standart kütüphaneler, bir DNS zehirlenmesi saldırısını bir kez daha pratik hale getiriyor.

Bu nedenle, hızlı bir tazeleme için, DNS aramaları genellikle şifrelenmemiş UDP bağlantıları üzerinden gerçekleşir ve UDP durumsuz bir bağlantıdır, bu da sahtekarlığı kolaylaştırır. DNS başlangıçta DNS yanıtlarını doğrulamak için yalnızca 16 bitlik bir işlem kimliği (TXID) kullandı, ancak [Kaminski] yeterli olmadığını anladı büyük miktarda DNS trafiği oluşturan bir teknikle birleştirildiğinde. Bu saldırı, genel DNS sunucuları tarafından önbelleğe alınan DNS kayıtlarını zehirleyerek etkiyi büyük ölçüde artırabilir. Çözüm, UDP istekleri gönderilirken kullanılan UDP kaynak bağlantı noktasını rastgele hale getirmek ve sahte bir paketle “piyangoyu kazanmayı” çok daha zor hale getirmekti, çünkü sahtekarlığın çalışması için hem TXID hem de kaynak bağlantı noktasının eşleşmesi gerekirdi.

uClibc ve uClibc-ng, gömülü sistemler için tasarlanan C standart kitaplığının minyatür uygulamalarıdır. Bu standart kitaplığın sağladığı şeylerden biri bir DNS arama işlevidir ve bu işlevin bazı tuhaf davranışları vardır. DNS istekleri oluştururken, TXID artımlı olur – tahmin edilebilir ve rastgele değildir. Ek olarak, TXID periyodik olarak başlangıç ​​değerine sıfırlanır, böylece 16 bitlik anahtar alanının tamamı bile kullanılmaz. Harika değil.

OpenWRT’nizin savunmasız olması için bu kadar eski olması gerekir.

Büküm, uClibc’nin tarihine baktığımızda ortaya çıkıyor. Başlangıçta mikrodenetleyiciler için bir Linux bağlantı noktası olan μClinux için yazılmıştır. Linksys, WRT54G için kaynak yayınladığında, bu kod düşüşü etrafında ortaya çıkan bazı projeler, kaynağı uClibc kitaplığı ve buildroot ile birleştirdi. OpenWRT dikkate değer kullanıcılardan biriydi ve uClibc geliştirmesi durduğunda OpenWRT geliştiricileri onu uClibc-ng olarak çatalladı. OpenWRT popülerlik kazandı ve Qualcomm gibi birkaç satıcı bunu SDK’ları olarak benimsedi. Böyle şeyleri böyle elde ederiz Starlink yönlendirici üzerinde çalışan OpenWRT 15.05.

Güvenlik açığı ifşası (ilk bağlantı, orada ^) OpenWRT’yi uClibc-ng kullanıyor olarak kontrol eder. LEDE sürümünün daha iyi korunan musl standart kitaplığına taşındığı 2017 yılına kadar durum böyleydi. OpenWRT’nin hiçbir bakımlı sürümünde bu güvenlik açığı yoktur. Sorun, eski bir OpenWRT çatalını çalıştırdığı için savunmasız olabilecek Starlink yönlendiricisi gibi cihazlardır.

Zor Yoldan Kod İnceleme

Dolos Group’tan araştırmacılar basit bir görev için işe alındı, robot kodu için kod incelemesi. Burada Robot, Automation Anywhere’den RPA Robotları anlamına gelir – Robotik Proses Otomasyonu kodunun parçacıkları. Bunlar, verileri bir formdan diğerine kopyalamak gibi bir işlemi otomatikleştirmek için GUI’lere sahip komut dosyalarıdır. Sorun, bu komut dosyalarının denetlenmesinin kolay olmamasıdır. Base64 ile kodlanmış verileri içeren, XML dosyalarını içeren bir zip idi. Base64 verilerinin kodunu çözün ve sonuç… rastgele gürültü. Olasılıklar, aslında ikili veri olması, sıkıştırılmış olması veya şifrelenmiş olmasıdır. kullanarak hızlı bir test ent neredeyse tamamen rastgele olduğunu ortaya koyuyor – şifreli. Şifreli kodu denetleme konusunda nasıl bir yol izliyorsunuz? Daha iyi soru, uygulama şifreli kodu nasıl çalıştırıyor olabilir?

Cevap basittir: çerçeve yükleyici, sabit kodlanmış AES anahtarları içerir. Anahtar herkese açık olduğunda, önceden paylaşılan anahtar şifrelemenin amacının ne olduğunu sorabiliriz. Biraz yorgun olmamıza izin verirsek, bu komut dosyalarının yalnızca şirketin web sitelerinde “Banka düzeyinde şifreleme” reklamı yapabilmesi için şifrelendiği sonucuna varabiliriz – bunun kesinlikle hiçbir güvenlik avantajı yoktur. Dolos Group araştırmacıları biraz daha yardımseverler, sadece anahtarları yönetmenin kriptografinin kendisinden çok daha zor bir problem olduğunu gözlemliyorlar.

Banka Hackleme Kolaylaştı

[Hussein Daher] ve [Shubham Shah] Assetnote, bir bankanın hata ödül programının zorluğunu üstlendi ve dotCMS’nin incelemek için en ilginç cadde. Niye ya? Açık kaynak olduğundan, kara kutu araştırması yerine kod denetimi yapıyorlardı. Ve denetim gerçekten de ilginç bir şey buldu. DotCMS, dizin geçiş hatası olan bir dosya yükleme işlevine sahipti. Bu teorik olarak kolay bir RCE anlamına gelir – sadece bir web kabuğu yükleyin ve url’yi açın. Gerçek sistemde durum biraz daha karmaşıktır. İlk olarak, kolay bir iş değil, hedef sistemin dizin yapısını haritalamak zorunda kaldılar. Düzgün bir numara kullansa bile, /proc/self/cwd/ doğru dizine ulaşmak için gerçek webroot sıkı bir şekilde kilitlendi. İşe yarayan asıl PoC, bu komut dosyalarının üzerine yazılabileceğinden JavaScript konumuna saldırmaktı. Oldukça ciddi bir problem bulmanın eğlenceli bir hikayesi. Bu böcek ödül aramasında kendileri için oldukça iyi yapmışlar gibi görünüyor.

Kubernetes Keçisi

Bir platformun güvenliği hakkında bilgi edinmenin en iyi yolu, dalıp ellerinizi kirletmektir. Görünüşe göre bu görüş [Madhu Akula]kim Kubernetes Keçisini kasıtlı olarak güvensiz bir oyun alanı olarak inşa etti Kubernet’ler için. Docker görüntüleri kümesi, keşfetmeniz ve öğrenmeniz için kılavuzlu güvenlik açıkları olan bir dizi senaryoyla birlikte gelir. Docker veya Kubernetes güvenliği kulağa ilginç geliyorsa, Keçiyi boynuzlarından yakalayın ve dalın.

UNC3524 Kimdir?

Mandiant, özellikle sinsi bir APT grubu keşfetti, onları UNC3524 olarak adlandırın. Bunu bir yer tutucu olarak düşünün, çünkü bunun her ikisi de Rus kökenli gruplar olan Fancy Bear ve Cozy Bear gibi eski arkadaşlarımızdan biri olma ihtimali oldukça yüksek. Olumlu bir tanımlama yapmak için yeterli hediye yok ve tüm göstergeler herkesin bildiği teknikler olduğu için tamamen farklı bir grup olabilir – kullanımı gibi. reGeorg proxy bağlantıları için. Bu, açık kaynaklı yazılım ve açık kaynaklı zekadır.

Ne olursa olsun, bu adamlar bazı durumlarda 18 ay boyunca bir ağda fark edilmeden kalmak gibi bazı etkileyici başarılar başardılar. Farklı bir teknik, IP kameralar gibi ağdaki IoT cihazlarını tehlikeye atmak ve bunları yerel komuta ve kontrol sunucuları olarak kullanmaktır. Dedikleri gibi, IoT’deki S, güvenliği temsil eder. Ağ ayrımı sizin arkadaşınızdır.

Bir dayanak oluşturulduğunda, grup BT ve üst düzey çalışanları hedefler ve e-posta hesaplarına erişmeye çalışır. BT hesaplarının, enfeksiyonun ne zaman keşfedildiğini bilmeyi hedeflediğini öne sürdü. Yönetici hesabına erişim, saldırganların birleşme ve satın almalar gibi kurumsal haberleri önceden bildirmeye çalıştıklarına dair kanıtlar gösterdi. Bu tür planları önceden bilmek, bir yatırımcıya ticarette büyük bir avantaj sağlayabilir, ancak gelişmiş teknikler, devlet destekli bir aktörün varlığını düşündürür. Belki Rusya ya da başka bir devlet yeni bir gelir akışı geliştiriyor. Dikkat edilmesi gereken birkaç Uzlaşma Göstergesi vardır. Tespit edilmesi en kolay olanlardan biri, standart olmayan bağlantı noktalarındaki SSH trafiğidir. Bilinen birkaç DNS adı da vardır.

Ars Technica aracılığıyla


Kaynak : https://hackaday.com/2022/05/06/this-week-in-security-uclibc-and-dns-poisoning-encryption-is-hard-and-the-goat/

Yorum yapın