Архив рубрики: Уязвимость

Принципиальная уязвимость Open Source, которую демонстрирует кейс с бэкдором в XZ Utils, вовсе не техническая

1 комментарий

Принципиальная уязвимость Open Source, которую демонстрирует кейс с бэкдором в XZ Utils, вовсе не техническая

Принципиальная уязвимость Open Source, которую демонстрирует кейс с бэкдором в XZ Utils, вовсе не техническая. Она в том, что работа сообществ, отвечающих за написание повсеместно используемого кода, строится на более инфантильных принципах, чем у детишек, которые строят замок в песочнице на детской площадке. За детишками в песочнице хотя бы приглядывают взрослые.

А здесь какие-то гики-бессребреники в каком-то листе рассылки как-то самоорганизауются и решают чудовищно замороченные технические вопросы, которые аффектят сотни миллионов людей. 🤷‍♂️ Кто эти гики, какая у них мотивация, насколько адекватны выбранные ими руководители сообществ? 🤔

Как пишут на OpenNetRu, бэкдор в XZ Utils предположительно внедрил разработчик, который за 2 года постепенно влился в проект, стал его мейнтейнером и основным контрибьютором. 😎 А предыдущего мейнтейнера загазлайтили с помощью троллей-виртуалов и он слился. 🤷‍♂️ В итоге бэкдор случайно нашёл сотрудник Microsoft и забил тревогу.

Для январской Elevation of Privilege (Local Privilege Escalation) - Linux Kernel (CVE-2024-1086) 26 марта вышел write-up и PoC

1 комментарий

Для январской Elevation of Privilege (Local Privilege Escalation) - Linux Kernel (CVE-2024-1086) 26 марта вышел write-up и PoC
Для январской Elevation of Privilege (Local Privilege Escalation) - Linux Kernel (CVE-2024-1086) 26 марта вышел write-up и PoC

Для январской Elevation of Privilege (Local Privilege Escalation) - Linux Kernel (CVE-2024-1086) 26 марта вышел write-up и PoC. Видео демка работы скрипта выглядит эффектно: запускают скрипт от обычного пользователя и через пару секунд получают рутовый шелл. ⚡️ По заявлениям автора эксплоит работает с большинством ядер Linux между версиями 5.14 и 6.6, включая Debian, Ubuntu и KernelCTF.

🔻 Эксплойт требует kconfig CONFIG_USER_NS=y; sh command sysctl kernel.unprivileged_userns_clone = 1; kconfig CONFIG_NF_TABLES=y. Автор пишет, что это по дефолту выполняется для Debian, Ubuntu, and KernelCTF, а для других дистрибов нужно тестить.
🔹 Эксплойт не работает на ядрах v6.4> с kconfig CONFIG_INIT_ON_ALLOC_DEFAULT_ON=y (включая Ubuntu v6.5)

NSFOCUS пишет, что Redhat тоже подвержен уязвимости. 🤷‍♂️

Обновление по бэкдору в XZ Utils (CVE-2024-3094)

1 комментарий

Обновление по бэкдору в XZ Utils (CVE-2024-3094)

Обновление по бэкдору в XZ Utils (CVE-2024-3094).

В постах Tenable и Qualys обновился список уязвимых дистрибов:

🔻 Fedora Rawhide
🔻 Fedora 40 Beta
🔻 Fedora 41
🔻 Debian testing, unstable and experimental distributions versions 5.5.1alpha-0.1 to 5.6.1-1.
🔻 openSUSE Tumbleweed and openSUSE MicroOS (забэкдоренный пакет был включен между 7 и 28 марта)
🔻 Kali Linux (xz-utils 5.6.0-0.2 между 26 и 28 марта)
🔻 Alpine (5.6.0 5.6.0-r0 5.6.0-r1 5.6.1 5.6.1-r0 5.6.1-r1)
🔻 Arch Linux (details)

И список неуязвимых дистрибов:

🔹 Fedora Linux 40
🔹 Red Hat Enterprise Linux (RHEL)
🔹 Debian Stable
🔹 Amazon Linux
🔹 SUSE Linux Enterprise and Leap
🔹 Gentoo Linux
🔹 Ubuntu

Есть YARA правило для детекта.

upd. 0704

Прочитал прикольный FAQ от Tenable про бэкдор в XZ Utils (CVE-2024-3094)

1 комментарий

Прочитал прикольный FAQ от Tenable про бэкдор в XZ Utils (CVE-2024-3094)

Прочитал прикольный FAQ от Tenable про бэкдор в XZ Utils (CVE-2024-3094).

"По мнению Red Hat, вредоносный код изменяет функции кода liblzma, который является частью пакета XZ Utils. Этот модифицированный код затем может использоваться любым программным обеспечением, связанным с библиотекой XZ, и позволяет перехватывать и изменять данные, используемые с библиотекой. В примере, рассмотренном Фройндом [исследователь, который нашёл бэкдор], при определенных условиях этот бэкдор может позволить злоумышленнику «нарушить аутентификацию sshd», позволяя злоумышленнику получить доступ к уязвимой системе." 😱

Пока известно, что эти дистрибы точно уязвимы:

🔻 Fedora Rawhide
🔻 Fedora 41
🔻 Debian testing, unstable and experimental distributions versions 5.5.1alpha-0.1 to 5.6.1-1.

А эти точно неуязвимы:

🔹 Fedora Linux 40
🔹 Red Hat Enterprise Linux (RHEL)
🔹 Debian Stable

Ссылка на исходное сообщение исследователя.

Встроенный вредоносный код был обнаружен в XZ Utils версий 5.6.0 и 5.6.1 (CVE-2024-3094)

1 комментарий

Встроенный вредоносный код был обнаружен в XZ Utils версий 5.6.0 и 5.6.1 (CVE-2024-3094)

Встроенный вредоносный код был обнаружен в XZ Utils версий 5.6.0 и 5.6.1 (CVE-2024-3094). XZ Utils - это набор утилит-архиваторов, который может присутствовать в дистрибутивах Linux. Вредоносный код может обеспечить несанкционированный доступ к затронутым системам. 🤷‍♂️ Норм так ушли на выходные называется. 😅

CISA рекомендует откатываться на 5.4.6 Stable.

Проверил на своей Ubuntu 23.10, что xz-utils здесь древнючие, версии 5.4.1-0.2. Живём. 🙂 RHEL-ы тоже не задеты.

Стоит ли такие инциденты заводить как CVE? Наверное всё же да. Потому что "Common Vulnerabilities and Exposures". Может это и не уязвимость, но точно экспозиция.

Интересно сколько подобных бэкдоров остаются незамеченными… 🙄

Хорошая новость, что Gartner относит Vulnerability Management к "Top Strategic Technology Trends 2024"

Добавить комментарий

Хорошая новость, что Gartner относит Vulnerability Management к Top Strategic Technology Trends 2024Хорошая новость, что Gartner относит Vulnerability Management к Top Strategic Technology Trends 2024

Хорошая новость, что Gartner относит Vulnerability Management к "Top Strategic Technology Trends 2024". Плохо, что они придумали для него очередную дурацкую четырехбуквенную аббревиатуру, которая плохо объясняется на английском и плохо переводится на русский.

С "Exposure Management" я определился, что это "Управление Экспозициями", но что тогда такое "Continuous Threat Exposure Management"? Непрерывное Управление Экспозициями Угроз (НУЭУ)? Какие-то звуки студента перед экзаменатором. 😅 Алексею Лукацкому понравится.

На самом деле это то же Управление Уязвимостями, с поправкой на то, что "уязвимость" это не только CVE, но и мисконфигурация. А при приоритизации неплохо бы учитывать реальную эксплуатабельность и импакт (что и ёжику понятно 🦔). Остальное маркетинговый туман.

Особенно забавляет, когда стартапчик называет себя CTEM-вендором. Десяток уязвимостей продетектить не могут, кроме лендоса и экрана с дашбордами ничего за душой нет, а туда же "Экспозиции Угроз" мерить. 🤡

NIST передаст управление базой NVD отраслевому консорциуму

2 комментария

NIST передаст управление базой NVD отраслевому консорциуму

NIST передаст управление базой NVD отраслевому консорциуму. Заявление сделала Tanya Brewer, руководитель программы NIST NVD, на VulnCon. У меня туда доступа нет, читаю пересказы и реакции. Письменное заявление обещают опубликовать на сайте NVD до 29 марта.

Среди причин, приведших к кризиcу NVD, озвучили следующее:

🔻Годовой бюджет NIST сократили на 12%. До жалких $1,46 млрд. 😅 Интересно сколько из этого уходило на NVD.
🔻Заканчивается контракт с подрядчиком, который работал над NVD вместе с NIST. Предположительно это Huntington Ingalls Industries. Почему-то компания, которая строит военные корабли. 🤷‍♂️
🔻Внутренние дискуссии по отказу от одних стандартов (CPE) и внедрению других (Package URLs)
🔻И вообще "за этим стоит история, она длинная, запутанная и очень административная".

Но после передачи дел новому консорциуму всё попрёт:

"Мы не собираемся закрывать NVD; мы находимся в процессе решения текущей проблемы. А затем мы снова сделаем NVD надёжным и заставим его расти". 😏