Архив за месяц: Март 2024

А проприетарное лучше?

Добавить комментарий

А проприетарное лучше?

А проприетарное лучше? Несмотря на то, что я сам Lin­ux-оид и мне эта ОС наиболее комфортна, я не особо рад, что у нас импортозамещение идёт в сторону использования Linux‑а. Парадокс. 🤷‍♂️ Использование Lin­ux подразумевает доверие к коду, который написан непонятно кем и непонятно как. И любой коммерческий Lin­ux-вендор контролирует его постольку-поскольку, даже если это Canon­i­cal, Red­Hat и Suse. Эффективного способа препятствовать там закладкам не наблюдается. Всё на доверии. 😏 И даже в случае обнаружения закладки спросить-то не с кого: крайним будет очередной мутный Jia Tan. 🤡

Имхо, было бы гораздо лучше, если бы в России доминировала "российская macOS". Т.е. проприетарная POSIX-овая ОС от отечественной компании, которая несла бы ответственность за весь её код. Ближе всего к этому выглядит Kasper­skyOS. Амбиции сделать универсальную ОС у компании были. Будем ждать.

Но пока вероятнее, что будем лететь на более-менее стандартном Lin­ux со всеми сопутствующими рисками.

Принципиальная уязвимость Open Source, которую демонстрирует кейс с бэкдором в XZ Utils, вовсе не техническая

Добавить комментарий

Принципиальная уязвимость Open Source, которую демонстрирует кейс с бэкдором в XZ Utils, вовсе не техническая

Принципиальная уязвимость Open Source, которую демонстрирует кейс с бэкдором в XZ Utils, вовсе не техническая. Она в том, что работа сообществ, отвечающих за написание повсеместно используемого кода, строится на более инфантильных принципах, чем у детишек, которые строят замок в песочнице на детской площадке. За детишками в песочнице хотя бы приглядывают взрослые.

А здесь какие-то гики-бессребреники в каком-то листе рассылки как-то самоорганизауются и решают чудовищно замороченные технические вопросы, которые аффектят сотни миллионов людей. 🤷‍♂️ Кто эти гики, какая у них мотивация, насколько адекватны выбранные ими руководители сообществ? 🤔

Как пишут на Open­NetRu, бэкдор в XZ Utils предположительно внедрил разработчик, который за 2 года постепенно влился в проект, стал его мантейнером и основным контрибьютором. 😎 А предыдущего мантейнера загазлайтили с помощью троллей-виртуалов и он слился. 🤷‍♂️ В итоге бэкдор случайно нашёл сотрудник Microsoft и забил тревогу.

Для январской Elevation of Privilege (Local Privilege Escalation) — Linux Kernel (CVE-2024–1086) 26 марта вышел write-up и PoC

Добавить комментарий

Для январской Elevation of Privilege (Local Privilege Escalation) - Linux Kernel (CVE-2024-1086) 26 марта вышел write-up и PoC
Для январской Elevation of Privilege (Local Privilege Escalation) - Linux Kernel (CVE-2024-1086) 26 марта вышел write-up и PoC

Для январской Ele­va­tion of Priv­i­lege (Local Priv­i­lege Esca­la­tion) — Lin­ux Ker­nel (CVE-2024–1086) 26 марта вышел write-up и PoC. Видео демка работы скрипта выглядит эффектно: запускают скрипт от обычного пользователя и через пару секунд получают рутовый шелл. ⚡️ По заявлениям автора эксплоит работает с большинством ядер Lin­ux между версиями 5.14 и 6.6, включая Debian, Ubun­tu и Ker­nelCTF.

🔻 Эксплойт требует kcon­fig CONFIG_USER_NS=y; sh com­mand sysctl kernel.unprivileged_userns_clone = 1; kcon­fig CONFIG_NF_TABLES=y. Автор пишет, что это по дефолту выполняется для Debian, Ubun­tu, and Ker­nelCTF, а для других дистрибов нужно тестить.
🔹 Эксплойт не работает на ядрах v6.4> с kcon­fig CONFIG_INIT_ON_ALLOC_DEFAULT_ON=y (включая Ubun­tu v6.5)

NSFOCUS пишет, что Red­hat тоже подвержен уязвимости. 🤷‍♂️

Обновление по бэкдору в XZ Utils (CVE-2024–3094)

Добавить комментарий

Обновление по бэкдору в XZ Utils (CVE-2024-3094)

Обновление по бэкдору в XZ Utils (CVE-2024–3094).

В постах Ten­able и Qualys обновился список уязвимых дистрибов:

🔻 Fedo­ra Rawhide
🔻 Fedo­ra 40 Beta
🔻 Fedo­ra 41
🔻 Debian test­ing, unsta­ble and exper­i­men­tal dis­tri­b­u­tions ver­sions 5.5.1alpha‑0.1 to 5.6.1–1.
🔻 open­SUSE Tum­ble­weed and open­SUSE MicroOS (забэкдоренный пакет был включен между 7 и 28 марта)
🔻 Kali Lin­ux (xz-utils 5.6.0–0.2 между 26 и 28 марта)
🔻 Alpine (5.6.0 5.6.0‑r0 5.6.0‑r1 5.6.1 5.6.1‑r0 5.6.1‑r1)
🔻 Arch Lin­ux (details)

И список неуязвимых дистрибов:

🔹 Fedo­ra Lin­ux 40
🔹 Red Hat Enter­prise Lin­ux (RHEL)
🔹 Debian Sta­ble
🔹 Ama­zon Lin­ux
🔹 SUSE Lin­ux Enter­prise and Leap
🔹 Gen­too Lin­ux
🔹 Ubun­tu

Есть YARA правило для детекта.

upd. 0704

Скинули мою лекцию по VM‑у распознанную нейронкой: довольно забавные каламбуры выдаёт, ошибаясь в терминах

Добавить комментарий

Скинули мою лекцию по VM-у распознанную нейронкой: довольно забавные каламбуры выдаёт, ошибаясь в терминах

Скинули мою лекцию по VM‑у распознанную нейронкой: довольно забавные каламбуры выдаёт, ошибаясь в терминах. 😆

🔸 4 место. "СПЕшки" вместо "CPE-шки"
🔸 3 место: "в лабиринте Man­age­ment" вместо "Vul­ner­a­bil­i­ty Man­age­ment"
🔸 2 место: "CISO Non-Exploit­ed Vul­ner­a­bil­i­ty Cat­a­log" вместо "CISA Known Exploit­ed Vul­ner­a­bil­i­ties Cat­a­log"
🔸 1 место: "BDOF-стек" вместо "БДУ ФСТЭК".

Прочитал прикольный FAQ от Tenable про бэкдор в XZ Utils (CVE-2024–3094)

Добавить комментарий

Прочитал прикольный FAQ от Tenable про бэкдор в XZ Utils (CVE-2024-3094)

Прочитал прикольный FAQ от Ten­able про бэкдор в XZ Utils (CVE-2024–3094).

"По мнению Red Hat, вредоносный код изменяет функции кода liblz­ma, который является частью пакета XZ Utils. Этот модифицированный код затем может использоваться любым программным обеспечением, связанным с библиотекой XZ, и позволяет перехватывать и изменять данные, используемые с библиотекой. В примере, рассмотренном Фройндом [исследователь, который нашёл бэкдор], при определенных условиях этот бэкдор может позволить злоумышленнику «нарушить аутентификацию sshd», позволяя злоумышленнику получить доступ к уязвимой системе." 😱

Пока известно, что эти дистрибы точно уязвимы:

🔻 Fedo­ra Rawhide
🔻 Fedo­ra 41
🔻 Debian test­ing, unsta­ble and exper­i­men­tal dis­tri­b­u­tions ver­sions 5.5.1alpha‑0.1 to 5.6.1–1.

А эти точно неуязвимы:

🔹 Fedo­ra Lin­ux 40
🔹 Red Hat Enter­prise Lin­ux (RHEL)
🔹 Debian Sta­ble

Ссылка на исходное сообщение исследователя.

Встроенный вредоносный код был обнаружен в XZ Utils версий 5.6.0 и 5.6.1 (CVE-2024–3094)

Добавить комментарий

Встроенный вредоносный код был обнаружен в XZ Utils версий 5.6.0 и 5.6.1 (CVE-2024-3094)

Встроенный вредоносный код был обнаружен в XZ Utils версий 5.6.0 и 5.6.1 (CVE-2024–3094). XZ Utils — это набор утилит-архиваторов, который может присутствовать в дистрибутивах Lin­ux. Вредоносный код может обеспечить несанкционированный доступ к затронутым системам. 🤷‍♂️ Норм так ушли на выходные называется. 😅

CISA рекомендует откатываться на 5.4.6 Sta­ble.

Проверил на своей Ubun­tu 23.10, что xz-utils здесь древнючие, версии 5.4.1–0.2. Живём. 🙂 RHEL‑ы тоже не задеты.

Стоит ли такие инциденты заводить как CVE? Наверное всё же да. Потому что "Com­mon Vul­ner­a­bil­i­ties and Expo­sures". Может это и не уязвимость, но точно экспозиция.

Интересно сколько подобных бэкдоров остаются незамеченными… 🙄