Exim пусна актуализация на защитата за отстраняване на множество уязвимости във версиите си преди 4.94.2.

Exim е популрен мейл сървър, достъпен за големи Unix-подобни операционни системи и се предлага предварително инсталиран на Linux дистрибуции като Debian. Според скорошно проучване, около 60% от интернет сървърите работят на Exim.

Още през есента на 2020 г. изследователите Qualys откриха множество критични уязвимости в мейл сървъра. Някои от тях, свързани заедно, могат да позволят дистанционно изпълнение на код и да предоставят root права на недоброжелатели.

Препоръчително е да приложите корекции за тези уязвимости възможно най-скоро.

Ransomware тормози потребителите на Windows от години. В последно време той се променя и адаптира, за да може да компрометира и Linux сървъри. А вече е регистриран криптовирус, който прескача от Windows на Linux.

Засечен е нов троянец, наречен RansomEXX, който първоначално заразява Windows система и след това я използва за вход към набелязана Linux машина. Става дума за изключително таргетирани атаки: Всяка проба от кода, която изследователи от Касперски са проучили, е съдържала името на атакуваната организация. Сред жертвите е и Konica Minolta.

RansomEXX не е непознат – той атакува Windows от лятото на 2020 г. Еволюцията на зловредния код обаче е новост: Това е може би първият случай, при който криптовирус прескача между различни операционни системи.

Ransomware е изключително печеливш бизнес. Твърди се, че операторите на Ryuk заплахи са спечелили 34 млн. USD само от една успешна атака. Kиберпрестъпната група REvil казва, че прави над 100 млн. USD годишно от платени откупи. При това положение е най-логично да очакваме, че „пазарното развитие“ на криптовирусите ще продължи.

Препоръки:

• Провеждайте редовни обучения на целия персонал, с фокус върху киберсигурността
• Въведете в организацията си най-подходящата комбинация от решения за киберзащита, по възможност, основана на препоръка от професионалист
• Прилагайте редовно ъпдейти на системите, за да елиминирате налични уязвимости, които могат да се окажат входна точка за кибератака
• Прилагайте принципа най-необходимия достъп (least privilege)
• Управлявайте паролите си, като, по възможност, използвате мениджъри на пароли и двуфакторна автентикация

Нов червей атакува Linux-базирани x86 сървъри и IoT (Internet of Things) устройства (с ARM и MIPS процесори). Наречен е Gitpaste-12, защото използва 12 различни модула за атака. Разпространява се скрит в GitHub и Pastebin. Изследователите смятат, че в момента над 3,5 млн. сървъра са изложени на риск.

Кодът експлоатира съществуващи уязвимости, за да компрометира системата. Сред тях са грешките в: Apache Struts (CVE-2017-5638), рутери Asus (CVE-2013-5948), Webadmin плъгин за opendreambox (CVE-2017-14135) и рутери Tenda (CVE-2020-10987).

Как действа зловредният код

Веднъж качен на устройството на жертвата, той започва да разгръща други компоненти на Gitpaste-12. Последователно изтегля и изпълнява различни скриптове, които целят да деактивират наличните защитни системи, които Linux-устройството има, включително решенията за облачна сигурност.

Прочетете още: Ловци на митове: за Linux няма вируси, ама друг път

Gitpaste-12 разполага с команди, с които: пречи на администраторите да събират информация за изпълнявани процеси, може да инсталира криптомайнери за валутата Monero, изтегля и изпълнява файлове, които хостват допълнителен злонамерен код.

Заразата се разпространява

Като един истински червей, Gitpaste-12 съдържа и скрипт, който стартира атаки срещу други устройства, с цел да репликира и разпространи злонамерения софтуер. Първоначално избира произволен CIDR за атака и оттам се насочва към всички IP адреси в обхвата му.

Версия на скрипта отваря портове 30004 и 30005 за reverse shell команди, чрез които практически може да завладее цялата система на жертвата.

Съвети за системни администратори

Как да се предпазите, ако сървърът ви работи под Linux? От ESET дават следните предложения:

• Обновявайте системата редовно
• Използвайте ключове, а не пароли, за автентикация
• Изключете отдалечения административен достъп
• Изполвайте решение за многофакторна автентикация за SSH

Отдавна се е наложило мнението, че всекидневното използване на Linux за работа или забавление изисква значителни познания и умения – не само по отношение на архитектурата на операционната система, но и при боравенето с командния ред. В наши дни обаче, съвременните Linux дистрибуции (напр. Ubuntu/Fedora/Mint/Solus и мн. др.) предоставят лесен и интуитивен графичен интерфейс . Чрез него вече можем  успешно да изпълним почти всички ежедневни  задачи така, както го правим с Windows OS.

Затова е разбираемо, че се забелязва повишен интерес и ръст в използването на Linux като операционна система и от крайни потребители. Тенденцията се засилва и от наблюдаваната метаморфоза на гейминг индустрията, която все повече предпочита Linux.

В тази обстановка, на преден план излиза въпросът: „Нужен ли ни е антивирусен софтуер при използването на Linux OS?” Не е новина, че в интернет пространството е често срещано твърдението: „Използваш ли Linux – нямаш нужда от допълнителна защита“. По-долу ще разберем защо това твърдение вече не е актуално.

Колкото повече потребители има една платформа, толкова по-привлекателна е тя за хакерите

В голямата част от случаите в основата на разработването на зловреден код стои една главна цел: финансовата изгода. Нека се върнем на работните станции (PC) и да си зададем отново въпроса защо зловреден код се пише предимно за  Windows платформата (и все по-често за macOS), а не е толкова за Linux?

Отговорът очевидно е свързан с популярността и броя потребители, използващи технологията. За злонамерените лица, Windows OS (и macOS) е като “море пълно с риби”. Атаките са насочени предимно натам и изглежда, все едно че са „спестени“ на Linux потребителите. Причината: атака, насочена към по-голяма аудитория, има по-голям шанс за успех и съответно –  за повече „приходи“ (без значение дали става дума за искане на откуп за декриптиране на криптирани файлове, извличане на банкова информация за кредитни/дебитни карти, откуп за връщането на открадната лична информация и т.н.).

Това е и причината Linux да изглежда сякаш минава между капките. Но не съвсем.

Повечето сървъри работят с Linux

На първо място, Linux основно се използва за сървъри – както корпоративни (без оглед на размер и сфера на дейност ), така и в data-центровете. Всъщност, голяма част от днешната световна мрежа, включително услугите на гиганти като Google, Facebook и Twitter, са  възможни благодарение на Linux-сървъри. Нуждаят ли се тези сървъри от защита? Да, разбира се.

Само за справка. Linux държи зашеметяващите 98% пазарен дял от публичните интернет сървъри по данни на W3Cook.

С Linux най-вероятно работи смартфонът, домашният ви рутер и не само

Освен споменатите сървъри и смартфони, на различни варианти на Linux разчитат и множество други устройства – например, домашният ви рутер. Една статистика: по данни на Statista само 2% от компютрите по света работят под Linux (срещу над 77% за Windows и около 10% за macOS).

С Android (базиран на Linux) работят над 76% от смартфоните по света (според StatCounter), както и над 98% от сет-топ-боксовете (устройствата, благодарение на които гледаме телевизия).

С Linux работят и почти 100% от телевизорите по света. А сигурно и толкова от рутерите.

С две думи: макар и да изглежда незначителна като дял при работните станции, Linux задвижва много други устройства, което я прави особено интересна за киберпрестъпниците, макар и не толкова очевадно. Почти.

Съществува ли зловреден код, таргетиран към крайните потребители на Linux?

Ако  потърсите в Google, вероятно много резултати ще са със съдържание, подобно на следващите:

„Изпълнението на зловреден код върху Linux е невъзможно, защото за разлика от Windows, Linux по дизайн е създаден да бъде сигурен“.

„Дори да се стигне до изпълнението на зловреден код върху Linux, потребителят първо трябва да даде своето съгласие за изпълнение на програмата, така че това не се брои“.

„Дори да е дадено съгласие за изпълнение на програмата, то трябва да се направи в контекста на root потребителя, съответно отново не се брои“.

„Дори програмата да бъде изпълнена в контекста на root потребителя, кой се интересува? Така или иначе, зловреден код за Linux не съществува”.

Вярно е, че различните дистрибуции на Linux имат вградени механизми за сигурност, като SELinux и AppArmor. Те значително намаляват вероятността за компрометиране на системата. Също така, всяка една дистрибуция в Linux поддържа свое хранилище (repository) с проверен и сигурен софтуер, което прави свалянето и инсталирането на програми доста по-сигурно. За сравнение, Windows потребителите най-често търсят в Google нужната програма. Това увеличава риска потребителят да попадне на зловреден сайт и да свали подменен/заразен файл, замаскиран като легитимна програма.

Но е вярно също, че в днешно време приликите между Linux и Windows са все повече, когато става дума за функционалност. В резултат на това, все по-често се срещат зловредни кодове за работните станции, работещи под Linux, които може сериозно да ви навредят .

Няколко примера за Linux зловредни кодове

Нека вземем например заплахата, известена под името EvilGnome (чиято цел е популярната графична среда GNOME).  Кодът е проектиран да прави екранни снимки на работния плот, да краде файлове, да записва аудио от микрофона на потребителя, както и да изтегля и изпълнява други зловредни програми.

Той се маскира като легитимно разширение на GNOME (extension) – програма, която позволява на потребителите на Linux да разширяват функционалността на своята графична среда. EvilGnome си осигурява  постоянен достъп до компрометираната система, използвайки crontab – еквивалент на планировчика на задачи в Windows. Така позициониран, той изпраща откраднати потребителски данни до отдалечен сървър, контролиран от нападателя.

Друг пример са действията на Winnti Group – организация, известна с набезите си срещу банкови и финансови институции – разработва и Linux варианти на зловредните си кодове. Xagent на Sednit също има Linux модификация. И много други.

Зловредният код не е единственото, от което да се пазят Linux-потребителите

За съжаление, заплахите в интернет пространството не се изчерпват със зловредни кодове. Потребителите, използващи Linux, не следва да се считат за имунизирани срещу традиционните рискове, свързани със социално инженерство, phishing и софтуерни уязвимости.

Добра идея е да следват поведение на отговорни потребители и да си осигурят колкото е възможно повече нива на сигурност – антивирусен софтуер, антиспам филтри, многофакторна автентикация (MFA) и добра “хигиена” при сърфиране в интернет.

Вместо заключение

Съществуват зловредни кодове за Linux, които крият не по-малка опасност от тези, проектирани за Windows. Потребители, които подценяват опасността и следват максимата “Това няма да се случи на мен” са „на почит“ сред авторите на зловредни кодове.

Антивирусният софтуер сериозно ще намали шанса от заразяване на вашата система и ще ви предпази от недоброжелатели. Моето лично мнение е, че ако се чувствате в безопасност, само защото смятате, че шансът да се заразите е нисък, то тогава нападателите вече са ви надхитрили.

Броени дни след публичното оповестяване на двете критични (CVSS 10) уязвимости в Salt, престъпници успешно експлоатират незащитени сървъри. Сред жертвите има и няколко популярни имена:

• Ghost – иновативна CMS платформа, използвана от Mozilla, NASA, и DuckDuckGo. След близо 7-часово разследване на проблеми с производителността и предоставяните услуги, компанията известява своите потребители, че са станали жертва на хакери.
• LineageOS. Базираната на Android операционна система за мобилни устройства съобщава в Twitter за неоторизиран достъп до инфраструктурата й. В статус страницата, която следи състоянието на различните услуги все още се виждат проблеми от тип – „Full outage„
• DigiCert. От второто най–голямо Certificate authority в интернет обявиха, че сървърите, отговарящи за Certificate Transperancy (CT2) са били компрометирани. В темата става ясно, че засегнатите сървъри са в различна мрежа от тези за издаване на сертификати… в противен случай, можеше да стане наистина страшно

Това далеч не са всички жертви:

Almost every six hours, a new company discloses an incident due to unpatched Salt servers (via @SwitHak) https://t.co/fQvGr7wMbj

— Catalin Cimpanu (@campuscodi) May 4, 2020

Добрата новина е, че досега нито един от пробивите не е свързан с компрометиране на чувствителна информация, кражба или саботаж. Престъпниците са предпочели да копаят криптовалутата Monero.

Лошата новина е, че са нанесени изключително големи щети – факт, все още често пренебрегван от обществото:

 

Изводът е, че навременното прилагане на критични ъпдейти, както и добрите практики за ограничаване на достъпа до административни услуги, може да спести много главоболия.

Системните и ИТ администратори, които използват Salt, трябва спешно да обновят своите инсталации до 3000.2 и 2019.2.4.

Причината: популярният проект с отворен код за оркестриране на Linux сървъри е засегнат от две критични уязвимости, разкрити от F-Secuire LABS:

• CVE-2020-11651 – Authentication bypass
• CVE-2020-11652 – Directory traversal

Salt, който е сърцето на на SaltStack, използва ZeroMQ библиотеката, като по подразбиране комуникацията между master <-> minion сървърите се осъществява на портове tcp/4505 и tcp/4506

Според изследователите, към момента 6 хил. уязвими сървъра са свободно достъпни в интернет.

Успешно експлоатиране на тези уязвимости би довело до Remote Code Execution (RCE) и пълно компрометиране на Master Node сървъра и всички подвластни на него Minion Nodes сървъри.

Въпреки публичното обявяване на уязвимостите, от F-Secure не публикуват Proof-of-concept (PoC) код, с който да демонстрират своето откритие, но смятат, че способен програмист или хакер би могъл да създаде експлойт в рамките на 24 часа.

Olle Segerdahl, консултант в F-Secure, много точно представя ситуацията и отправя призив към администраторите на тези публично достъпни сървъри:

Patch by Friday or compromised by Monday!

За повече технически подробности тук.

От няколко месеца се наблюдава засилена  атака към Docker контейнери от хакерите, стоящи зад Kinsing malware. Те усилено сканират интернет за отворени, незащитени API портове на тези сървъри. Сдобивайки се с достъп до инфраструктурата на жертвата, създават свой собствен Ubuntu контейнер, на който инсталират своя зловреден код.

По този начин престъпниците се сдобиват с ресурс, обикновено характерен с голяма изчислителна мощност. Основната им цел  е да използват тази мощ за да „копаят“ криптовалути за своя изгода. Въпреки това, веднъж проникнали в инфраструктурата, те имат възможност да компрометират и други части от мрежата и да изменят фокуса на атаката към по-зловредни дейности – кражба на информация и/или криптиране на файлове.

Тази кампания е една от многото атаки към Docker сървъри в последните няколко години. Специалистите съветват редовно да преглеждате настройките на своите Docker инстанции и да се уверите, че нямат публично достъпни, незащитени административни интерфейси (API).

Подходящи мерки са използване на защитна стена тип (WAF) или ограничаване на достъпа до тях чрез VPN технология .

Прочетете повече по темата тук

 

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

Последен ъпдейт на 4 май 2020 в 11:58 ч.

Критична уязвимост в популярният проект с отворен код OpenWrt позволява отдалечено изпълнение на код (RCE). Linux-базираната операционна система е широко използвана за рутери, защитни стени и други мрежови устройства.

CVE-2020-7982 уязвимостта се корени в мениджъра за обработка на пакети OPKG и именно в това, как той  проверява интегритета на свалените файлове използвайки контролни суми, базирани на хеш алгоритъма SHA-256, вградени в подписания индекс на хранилището. За нея вече има и proof-of-concept.

Как работи уязвимостта

Когато бъде изпълнена командата  за инсталация „opkg install’ върху уязвимото устройство, това ще доведе до възможността на отдалечен нападател да се постави в ролята на човек в средата (man-in-the-middle). По този начин може да инжектира и  да изпълни производен код като се възползва от уязвимостта, като крайният резултат е  инсталиране на зловреден пакет или софтуерен пач, без той да бъде проверен и удостоверен за автентичност.

Ако уязвимостта бъде експлоатирана успешно, нападателят ще си осигури пълен контрол върху мрежовото устройство с OpenWrt, което автоматично означава, че ще има пълен контрол и върху мрежовия трафик, преминаващ през него.

3-годишната уязвимост е била открита по-рано тази година от Guido Vranken, служител в софтуерната компания ForAllSecure, който след откриването ѝ се е обърнал към разработчиците на OpenWrt.

В публикувания пост  от Vranken той обяснява, че когато контролна сума съдържа водещи празни знаци („any leading spaces“), OPKG мениджъра в уязвимите версии на OpenWrt пропуска проверката за интегритета на свалените пакети и директно подхожда към тяхното инсталиране.

“Базирайки се на факта, че OPKG в OpenWrt се изпълнява под контекста на root потребителя и по този начин има права за писане върху цялата файлова система, произволен код може да се инжектира в смисъла на подменени .ipk пакети със зловредно съдържание”, споделят от OpenWrt.

Отдалеченото експлоатиране на тази уязвимост е възможно поради факта, че в Linux ОС механизъма за инсталация на пакети , които са свалени през несигурна HTTP връзка, се основава на подписването на тези файлове чрез цифров подпис (digital signature).

Освен това, за да използват уязвимостта, нападателите също трябва да изпратят злонамерен пакет с размер, равен на посочения в списъка с пакети размери на downloads.openwrt.org.

Засегнати версии

Според екипа на OpenWrt са засегнати версии 18.06.0 до 18.06.6 и 19.07.0, както и LEDE 17.01.0 до 17.01.7.

„Като решение на проблема, OpenWRT премахна празните разстояния в SHA256 сумите  от списъка с пакети, малко след като съобщих за грешката“, споделя Vranken.

„Това обаче не е адекватно дългосрочно решение, тъй като атакуващият може просто да предостави по-стар списък с пакети, подписан от разработчиците на OpenWRT,“ добавя той.

За да отстранят тази уязвимост, засегнатите потребители се съветват да ъпдейтнат фърмуера на своето устройство до най-новите версии на OpenWrt 18.06.7 и 19.07.1, които бяха пуснати миналия месец.

Последен ъпдейт на 28 юни 2018 в 01:02 ч.

HDA, Control, OSS, OPL3, и HDSPM са сред модулите на широко използвания софтуер за поддръжка на звуковата подсистема ALSA, които са получили секюрити пачове заради небезизвестната уязвимост Spectre V1.

Уязвимостите са открити след няколко проверки с инструмента за откриване на уязвимости Smatch, последната от които е през средата на април. След нея стана ясно, че в ядрото все още съществуват голям брой уязвими зони, които са потенциална заплаха за сигурността и могат да бъдат използвани като входни точки за достъп до чувствителна информация.

Такаши Ивай, който е главния разработчик на подсистемата ALSA е направил необходимите промени, като основната е допълнителна проверка посредством функцията array_index_nospec(), която санитизира евентуални опити за спекулативни обръщения.

Промените могат да бъдат намерени в най-новата версия на ядрото 4.17, както и в пачове на вече съществуващите по-стари версии.

А, ако резултатът от проверката на Smatch е точен, през следващите месеци можем да очакваме още множество промени по ядрото, свързани с уязвимостта.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.