Site categories All
#безпека
Компания Qualys выявила уявзвимость (CVE-2021-4034) в системном компоненте Polkit (бывший PolicyKit), используемом в дистрибутивах для организации выполнения непривилегированными пользователями действий, требующих повышенных прав доступа. Уязвимость позволяет непривилегированному локальному пользователю повысить свои привилегии до пользователя root и получить полный контроль за системой. Проблема получила кодовое имя PwnKit и примечательная подготовкой рабочего эксплоита, работающего в конфигурации по умолчанию в большинстве дистрибутивов Linux.

Проблема присутствует во входящей в состав PolKit утилите pkexec, поставляемой с флагом SUID root и предназначенной для запуска команд с привилегиями другого пользователя в соответствии с заданными правилами PolKit. Из-за некорректной обработки передаваемых в pkexec аргументов командной строки непривилегированный пользователь мог обойти аутентификацию и добиться запуска своего когда с правами root, независимо от установленных правил доступа. Для атаки не важно какие настройки и ограничения в PolKit заданы, достаточно чтобы для исполняемого файла с утилитой pkexec был выставлен признак SUID root.
VPN провайдер занимался предоставлением доступа к своей сети для анонимизации конечного потребителя. Это привлекало людей, которые занимались распространением вымогательского ПО или просто атаками в сети. Провайдер был закрыт совместными усилиями правоохранителей разных стран.
 
И это довольно интересно. Приземлили именно серверы у хостинговых площадок. Не запретили доступ через какой-то закон или список СНБО, а именно закрыли у хостера. Конечно, такое должно делаться сразу, если отсутствует реакция владельцев на выявленные угрозы и криминал, но тем не менее. Хотя, если бы серверы находились в странах, где нет юрисдикции, то что тогда? Как повлиять на хостеров?

Европол говорит, что 17 января обнаружили и отключили 15 серверов, которые использовались для проведения неправомерных действий в Германии, Нидерландах, Канаде, Чехии, Франции, Венгрии, Латвии, Украине, США и Великобритании.

Около 100 компаний были определены и уведомлены о том, что они могли стать жертвами действий, которые проводились через этого VPN провайдера.
В accel-ppp обнаружилась уязвимость на переполнение буффера с помощью пакета, прилетающего в порты radauth/radacct/CoA

До обновления советуют фильтровать трафик на этих портах, если вдруг еще нету этого.

На сколько я понимаю: в акселе нельзя указать интерфейс и src откуда должны приходить пакеты от радиуса.
Т.е. кто угодно может сформировать специальный пакет и, представивишись еще одним радиусом, сделать buffer overflow

CVE пока нету, но обещают.

Патч есть на гитхабе

This patch fixes buffer overflow if radius packet contains invalid atribute length
and attrubute type from the following list: ipv4addr, ipv6addr or ifid

Reported-by: Chloe Ong
Reported-by: Eugene Lim spaceraccoon@users.noreply.github.com
Signed-off-by: Sergey V. Lobanov sergey@lobanov.in

Опубликованы корректирующие выпуски пакета Samba 4.15.2, 4.14.10 и 4.13.14 с устранением 8 уязвимостей, большинство из которых могут привести к полной компрометации домена Active Directory. Примечательно, что одну из проблем исправляли с 2016 года, а пять - с 2020 года, тем не менее одно исправление привело к невозможности запустить winbindd при наличии настройки "allow trusted domains = no" (разработчики намерены оперативно опубликовать ещё одно обновление с исправлением). Выпуск обновлений пакетов в дистрибутивах можно проследить на страницах: Debian, Ubuntu, RHEL, SUSE, Fedora, Arch, FreeBSD.
Проблема получила оценку в 9,8 балла по шкале CVSS и затрагивает версии PAN-OS от 8.1. до 8.1.17.

В межсетевых экранах Palo Alto Networks, использующих GlobalProtect VPN, была обнаружена уязвимость, которая может быть проэксплуатирована неавторизованным злоумышленником для выполнения произвольного кода на уязвимых устройствах с привилегиями суперпользователя.

Проблема (CVE-2021-3064) получила оценку в 9,8 балла по шкале CVSS и затрагивает версии PAN-OS от 8.1. до 8.1.17.

«Цепочка уязвимостей состоит из метода обхода проверок, сделанных внешним web-сервером, и переполнения буфера на основе стека. Использование цепочки уязвимостей было доказано и позволяет удаленно выполнять код как на физических, так и на виртуальных межсетевых экранах», — пояснили эксперты из ИБ-фирмы Randori, обнаружившие уязвимость.
Самая опасная проблема позволяет удаленному неавторизованному злоумышленнику читать или записывать произвольные файлы.

Компания Cisco Systems исправила ряд критических и опасных уязвимостей сетевом оборудовании Cisco Nexus 9000 Series. Самая опасная проблема ( CVE-2021-1577 ) получила оценку в 9,1 балла из максимальных 10 по шкале CVSS. Ее эксплуатация может позволить удаленному неавторизованному злоумышленнику читать или записывать произвольные файлы в интерфейс протокола приложения, используемом в коммутаторах серии Cisco 9000 для управления программно-определяемыми сетевыми данными.

Критическая уязвимость затрагивает контроллеры Cisco Application Policy Infrastructure Controller (APIC) и Cisco Cloud Application Policy Infrastructure Controller (Cloud APIC). APIC — основной архитектурный компонент инфраструктуры Cisco, ориентированной на приложения, которые работает на узле Cisco Nexus 9000 Series.

«Уязвимость связана с некорректным контролем доступа. Злоумышленник может воспользоваться этой уязвимостью, используя определенную оконечную точку API для загрузки файла на уязвимое устройство», — сообщили эксперты.
Уязвимости могут затрагивать устройства AsusTEK, Belkin, D-Link, Edimax, Hama, Logitech и Netgear.

Тайваньский производитель чипов Realtek сообщил о четырех уязвимостях в трех SDK своих сопутствующих модулей Wi-Fi, использующихся почти в 200 продуктах от более полусотни поставщиков.

Уязвимости позволяют удаленному неавторизованному атакующему вызывать отказ в обслуживании, выводить из строя устройства и внедрять произвольные команды.

CVE-2021-35392 – переполнение буфера в стеке через UPnP в Wi-Fi Simple Config;

CVE-2021-35393 – переполнения кучи через SSDP в Wi-Fi Simple Config;

CVE-2021-35394 – внедрение команд в инструменте для диагностирования MP Daemon;

CVE-2021-35395 – множественные уязвимости в web-интерфейсе управления.
В сети зафиксирована массовая атака на домашние маршрутизаторы, в прошивках которых используется реализация http-сервера от компании Arcadyan. Для получения управления над устройствами применяется сочетание двух уязвимостей, позволяющих удалённо выполнить произвольный код с правами root. Проблема затрагивает достаточно большой спектр ADSL-маршрутизаторов от компаний Arcadyan, ASUS и Buffalo, а также устройств, поставляемых под брендами Билайн (проблема подтверждена в Smart Box Flash), Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone и других операторов связи. Отмечается, что проблема присутствует в прошивках Arcadyan уже более 10 лет и за это время успела перекочевать как минимум в 20 моделей устройств от 17 различных производителей.

Первая уязвимость CVE-2021-20090 даёт возможность обратиться к любому скрипту web-интерфейса без прохождения аутентификации. Суть уязвимость в том, что в web-интерфейсе некоторые каталоги, через которые отдаются картинки, CSS-файлы и сценарии JavaScript, доступны без аутентификации. При этом проверка каталогов, для которых разрешён доступ без аутентификации выполняется по начальной маске. Указание в путях символов "../" для перехода в родительский каталог блокируется прошивкой, но использование комбинации "..%2f" пропускается. Таким образом, имеется возможность открытия защищённых страниц при отправке запросов, подобных "http://192.168.1.1/images/..%2findex.htm".
Проблемы позволяют злоумышленнику взломать сервер web-почты организации и получить доступ ко всем сообщениям электронной почты сотрудников.

Уязвимости в корпоративном почтовом клиенте Zimbra могут позволить злоумышленнику получить неограниченный доступ к отправленным и полученным сообщениям электронной почты организации. По словам специалистов из компании SonarSource, эксплуатация проблем позволяет неавторизованному злоумышленнику взломать почтовый сервер организации и получить доступ ко всем сообщениям электронной почты сотрудников.
Специалисты компании Qualys сообщили о новой уязвимости в ОС Linux, которая позволяет получить права суперпользователя на большинстве дистрибутивов, в частности, Ubuntu, Debian и Fedora.

Проблема (CVE-2021-33909), получившая название Sequoia, содержится в файловой системе Linux и представляет собой уязвимость чтения за пределами буфера (out-of-bounds read). По словам экспертов, проблема связана с некорректной обработкой длины имени файла. С ее помощью непривилегированный локальный пользователь может запустить код с правами суперпользователя.

Экспертам удалось успешно проэксплуатировать проблему на системах с установленными дистрибутивами Ubuntu 20.04, Ubuntu 20.10, Ubuntu 21.04, Debian 11 и Fedora 34 Workstation. Отмечается, что и Linux другие дистрибутивы Linux, скорее всего, подвержены данной уязвимости.
Опытным путём в коммутаторе D-Link DGS-3000-10TC (Hardware Version: A2) обнаружена критическая ошибка, позволяющая инициировать отказ в обслуживании через отправку специально оформленного сетевого пакета. После обработки подобных пакетов коммутатор впадает в состояние со 100% нагрузкой на CPU, устранить которое может только перезагрузка.

На сообщение о проблеме служба поддержки D-Link ответила "Добрый день, после очередной проверки разработчики считают, что в DGS-3000-10TC нет проблемы. Проблема была из-за поломанного пакета, который отправлял DGS-3000-20L и после фикса с новой прошивкой проблем не наблюдается." Иными словами подтверждено, что коммутатор DGS-3000-20L (и другие из этой серии) ломает пакет от клиента PPP-over-Ethernet Discovery (pppoed), и данная проблема устранена в прошивке.
Эксплуатация уязвимостей позволяет злоумышленнику взломать IT-сети без вмешательства оператора.

Исследователи кибербезопасности из компании Skylight Cyber опубликовали подробности о 13 уязвимостях в программном обеспечении с открытым исходным кодом Nagios для мониторинга IT-сетей и компьютерных систем. Эксплуатация уязвимостей позволяет злоумышленнику взломать IT-сети без вмешательства оператора.

Самая опасная проблема (CVE-2020-28648) получила оценку в 8,8 балла по шкале CVSS и связана с некорректной проверкой вводимых данных в компоненте Auto-Discovery Nagios XI, который исследователи использовали в качестве отправной точки для запуска цепочки эксплоитов из пяти уязвимостей.
Опубликованы корректирующие обновления стабильных веток DNS-сервера BIND 9.11.31 и 9.16.15, а также находящейся в разработке экспериментальной ветки 9.17.12. В новых выпусках устранены три уязвимости, одна из которых (CVE-2021-25216) приводит к переполнению буфера. На 32-разрядных системах уязвимость может быть эксплуатирована для удалённого выполнения кода злоумышленника через отправку специально оформленного запроса GSS-TSIG. На 64-системах проблема ограничивается крахом процесса named.

Проблема проявляется только при включении механизма GSS-TSIG, активируемого при помощи настроек tkey-gssapi-keytab и tkey-gssapi-credential. GSS-TSIG отключён в конфигурации по умолчанию и обычно применяется в смешанных окружениях, в которых BIND сочетается с контроллерами домена Active Directory, или при интеграции с Samba.

Уязвимость вызвана ошибкой в реализации механизма SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism), применяемого в GSSAPI для согласования используемых клиентом и сервером методов защиты. GSSAPI используется в качестве высокоуровневого протокола для защищённого обмена ключами при помощи расширения GSS-TSIG, применяемого в процессе проверки подлинности динамических обновлений DNS-зон.
Програма-вимагач, яку використовують для кібератак, задіює архіватор 7-Zip для «шифрування» файлів. Надалі за відновлення доступу зловмисники вимагають гроші.

Потрапляючи в систему, шкідливе програмне забезпечення створює захищені паролем архіви 7-Zip розміром – 20МБ, у які «запаковує» файли, що містяться на пристрої.  Потерпілі при відкритті текстового файлу, створеного криптолокером «Qlocker», виявляють посилання на ресурс, розміщений у мережі TOR. Далі пропонується ввести персональний ID, який присвоюється пристрою вірусом-вимагачем, та у подальшому отримати електронний гаманець у криптовалюті.

Для дешифрування жертві потрібно ввести пароль, що відомий лише оператору «Qlocker». За відновлення доступу зловмисники вимагають у постраждалих гроші.

Кіберзлочинці використовують критичні вразливості в операційних системах QNAP, а саме  CVE-2020-2509 (вразливість дозволяє зловмисникам виконувати довільні команди в компрометованому додатку), CVE-2020-36195 (SQL-ін’єкція в QNAP Multimedia Console and Media Streaming Add-On).