CFEngine: vulnerabilità critica nell’hub spiegata al mondo

In un’aspettata mossa di estrema apertura, gli ingegneri di CFEngine hanno -forse- osato un po’ troppo nei dettagli della spiegazione di un bug di sicurezza molto grave nel loro prodotto Enterprise. Facciamo un passo indietro: CFEngine è un software di configuration management ed automazione decentralizzato, alternativa a Puppet o Ansible (di cui più spesso parliamo in queste pagine). I problemi di sicurezza su questi software sono molto critici poichè, data la natura stessa dei Configuration Management di controllare l’intera infrastruttura, una falla in essi si può tradurre -nel peggiore dei casi- in una possibile violazione dell’intera infrastruttura che gestiscono. Questa falla nel loro prodotto Enterprise, già identificata e di cui compensative e patch sono già state condivise, riguarda l’uso di particolari password interne per la connessione alle Mission Portal API (le API che controllano i task infrastrutturali) ed al database PostgreSQL interno: CFEngine is using some internal secrets for authentication to the Mission Portal API and the PostgreSQL database when running background maintenance tasks. These internal secrets are randomly generated during the installation process and stored in files only the root user can access.CFEngine utilizza alcuni secrets interni per l’autenticazione alle Mission Portal API ed al database PostgreSQL quando esegue […]

Continue reading

Kernel: vulnerabilità critica nelle versioni precedenti alla 5.0.8

E’ di qualche giorno fa la scoperta di una vulnerabilità in parecchie versioni del kernel Linux. Pare che tutte le precedenti (usiamo il condizionale perchè si sta ancora analizzando a riguardo) al kernel 5.0.8 soffrano di questa cosa. Registrata con la CVE-2019-11815 ed uno score particolarmente alto, sfrutta un problema nello stack TCP/IP del kernel (esattamente nella chiamata rds_tcp_kill_sock dichiarata nel file net/rds/tcp.c) che, grazie ad una race condition (la condizione in cui due o più thread cercano di accedere a della memoria condivisa) permetterebbe all’attaccante di eseguire codice sul sistema vulnerabile. Il tutto si scatenerebbe con un pacchetto TCP costruito ad hoc da remoto il che, come possiamo ben immaginare, rende estremamente pericolosa questa vulnerabilità, tant’è che ha guadagnato un punteggio di ben 8.1 sul National Vulnerability Database (per darvi un termine di paragone, l’ultima CVE per Spectre v2 aveva un punteggio di 5.5). Certo, pare che la complessità sia alta, motivo per cui l’impatto sui sistemi non è previsto essere molto elevato, ma comunque la possibilità per un attaccante di eseguire da remoto codice sugli host senza necessità di alcun tipo di autenticazione fa tremare le gambe. Siamo in attesa degli Errata forniti dai vari produttori -ad esempio […]

Continue reading

Vulnerabilità per LibreOffice ed Apache OpenOffice

Alex Inführ, ricercatore nel campo della sicurezza, ha portato alla luce una vulnerabilità che affligge le suite da ufficio open source più famose: Apache OpenOffice e LibreOffice. Questa falla permetterebbe, tramite un documento creato ad-hoc, di eseguire codice arbitrario senza nessun messaggio che avvisi in qualche modo l’utente. Segnalato nei mesi scorsi come CVE-2018-16858, è descritto come un problema trasversale visto che permette ad un attacker di eseguire un file Python presente in un path qualsiasi della macchina sotto attacco. L’attacco è reso ancora più semplice dal fatto che Python è fornito insieme all’installazione di entrambe le suite dunque non è necessario scaricare ed installare ulteriore software. Inführ ha anche pubblicato un post sul suo blog con una PoC su LibreOffice che, con qualche aggiustamento, funzionerebbe anche su OpenOffice. Il bug è presente sulle piattaforme Linux e Windows. La demo creata mostra un documento con un link colorato di bianco che riempie completamente la pagina, rendendosi praticamente invisibile agli occhi dell’utente che però sicuramente finirà per muovere il mouse sopra la pagina “vuota”, scatenando l’esecuzione del codice. Al momento solo LibreOffice (nelle versioni 6.0.7 e 6.1.3) risulta patchata. Per OpenOffice, al momento, l’unica soluzione è quella di disabilitare il supporto […]

Continue reading

Dopo apt di Debian, anche PHP PEAR ha una vulnerabilità. Abbiamo un problema generale con i gestori di pacchetti?

Era solamente la scorsa settimana quando vi raccontavamo della vulnerabilità relativa ad apt, il package managed di tutte le distribuzioni Debian e derivate, scoperta e risolta in tempi brevissimi ed oggi siamo a parlare di una nuova vulnerabilità, stavolta relativa ad un altro package manager (PEAR) relativo ad un altro ambito (il linguaggio di programmazione PHP), che è ancora allo studio. Il tutto è nato con questo thread Twitter: 2/5 What we know: The taint was an embedded line designed to spawn a reverse shell via Perl to IP 104.131.154.154. This IP has been reported to its host in relation to the taint.— PEAR (@pear) January 23, 2019 Nel quale viene segnalato come esiste (o meglio esisteva, visto che il servizio è stato nel frattempo disabilitato) una linea che cerca di aprire una Shell in Perl verso un IP remoto. È comunque possibile installare pacchetti PEAR utilizzando questo workaround: Workaround for installing PEAR packages while https://t.co/dwKlscDEFf is down:get the latest Release of the package at GitHub (e.g. https://t.co/BXkQWhkioP), unpack it, cd into that dir, and run `pear install package.xml` or `pear install package2.xml`.— PEAR (@pear) January 24, 2019 Ma la questione rimane aperta: cosa succede quando un ambiente che si […]

Continue reading

Grossa vulnerabilità trovata in Kubernetes ed OpenShift

Presentiamo gli attori coinvolti: Kubernetes (ancora non lo conoscete?) attualmente il re dei container orchestrator; seppur non sia l’unico attore in questo campo è sicuramente il più utilizzato. OpenShift, un prodotto Red Hat che ha Kubernetes come parte centrale, e su cui l’azienda ha costruito intorno una serie di capacità accessorie; se Kubernetes viene ancora utilizzato per orchestrare i container nella propria infrastruttura OpenShift, semplificando potremmo dire che quest’ultimo si occupa di gestire l’intero processo che porta dal codice all’immagine del container come poi viene gestito da Kubernetes. La vulnerabilità in questione, identificata dalla CVE-2018-1002105, colpisce proprio Kubernetes e, questo colpo al suo cuore, fa vacillare di conseguenza anche OpenShift. Ma di cosa stiamo parlando? Di un privilege escalation basato su una gestione errata delle richieste da parte di kube-apiserver. Senza entrare nel dettaglio dell’architettura di Kubernetes (tenete sotto controllo gli articoli tecnici in futuro su queste pagine), per capire l’impatto di questa vulnerabilità basti sapere che questo fantomatico “apiserver” è la componente a cui tutti parlano (utenti compresi) per pilotare l’intero cluster Kubernetes. Un utente che sia già autorizzato ad eseguire una connessione ad un backend server tramite il Kubernetes API server può inviare ad esso nella stessa connessione richieste arbitrarie, […]

Continue reading

Google e Microsoft scoprono una nuova vulnerabilità nelle CPU e la fix rallenta ulteriormente le macchine

Brutte notizie per le CPU di tutto il mondo, già flagellate dallo scorso dicembre dal problema Meltdown e Spectre. Brutte, ma come abbiamo sempre detto, in qualche modo attese. È infatti recente la notizia, che riporta The Verge, della scoperta da parte di Google e Microsoft di una nuova falla denominata Speculative Store Bypass che nella sostanza ripercorre i tratti di quella speculative execution causa di tutti i grattacapi che stiamo vivendo in questi mesi, eccola spiegata molto chiaramente in questo video: La cosa peggiore è che la soluzione di questo problema una volta applicato al firmware delle CPU ne cala le performance tra il 2 e l’8 percento. Non poco, se sommato a quanto già le CPU sono state rallentate dalle precedenti fix per Spectre. E le grandi aziende cosa fanno nel frattempo? Si va da Microsoft che sta offrendo fino a duecentocinquantamila dollari per la scoperta di bug simili a Meltdown e Spectre fino ad arrivare in qualche modo ad Intel che è al lavoro sulle modifiche alle CPU del futuro, che vedranno la luce alla fine di quest’anno. Il che, se non lo si fosse capito, significa che il tempo delle patch non è affatto finito, tutt’altro: […]

Continue reading

BranchScope: ricomincia la giostra delle vulnerabilità per Intel

Tutto tranquillo sul vostro hardware? Siete finalmente riusciti a completare tutto il patching necessario per Spectre e Meltdown? Ottimo, adesso è il momento di ricominciare tutto da capo! E’ di questi giorni la scoperta di una nuova vulnerabilità dei processori Intel, questa volta battezzata con il nome di BranchScope. Quattro ricercatori di altrettante università, la College of William and Mary, la Carnegie Mellon University, la UC Riverside e la Binghamton University, si sono messi insieme ed hanno pubblicato un articolo (PDF) in cui descrivono questa nuova vulnerabilità che, sfruttando la feature di “branch prediction” dei moderni processori (che utilizza un sistema predittivo per anticipare le possibile operazioni da effettuare al fine di risponderne più velocemente), riesce ad estrarre anche informazioni non proprio legate a questa necessità. Questo attacco colpisce il “directional branch predictor” un processo diverso da quello interessato da Spectre e riesce ad aggirare alcune protezioni della memoria hardware andando ad operare a livello di sistema; ovviamente le patch applicate per Spectre/Meltdown risultano assolutamente inutili per ovviare a questo tipo di attacco che, seppur simile nel modo di operare, agendo su una “parte” differente dell’hardware lavora indisturbato. Al momento, come indicato nell’articolo, risultano vulnerabili diversi modelli di CPU Intel, […]

Continue reading

Dnsmasq e le vulnerabilità su DNS e DHCP

Dnsmasq è un tool che fornisce i servizi di server DHCP, forwarder e cache DNS ed è utilizzato su un gran numero di dispositivi: router, computer e server (il pacchetto è presente in molte distribuzioni Linux), dispositivi Android ed IoT. Il team di sicurezza di Google ha pubblicato in queste ore un post in cui espone le sette gravi vulnerabilità che affliggono questo pacchetto: CVE-2017-14491, CVE-2017-14492 e CVE-2017-14493 riguardano la possibilità di eseguire del codice remoto sfruttando gli errori di heap buffer overflow e stack buffer overflow dei servizi DHCP e DNS; CVE-2017-14495, CVE-2017-14496, e CVE-2017-13704 sono causati da svariati bug e problemi di coding che possono rendere il sistema vulnerabile ad attacchi DoS; CVE-2017-14494 che sfrutta un leak del DHCP per bypassare l’ASLR (Address Space Layout Randomization usata per prevenire l’esecuzione di codice spostando randomicamente l’indirizzo di alcuni moduli). Google ha anche rilasciato delle patch e delle Proof-of-Concept per ogni vulnerabilità, disponibili su GitHub. Il team di Google specifica che la versione 2.78 (la più recente) di dnsmasq non è affetta da questi problemi e che sui sistemi Android verrà inclusa una patch negli aggiornamenti di sicurezza di ottobre. E per tutti gli altri dispositivi, specialmente i device IoT, […]

Continue reading

Patchata vulnerabilità nel kernel vecchia di due anni su RHEL e CentOS

Siamo nell’Aprile 2015 quando Michael Davidson, un esperto di sicurezza in Google, scopre una falla nel kernel Linux che permetterebbe ad un potenziale attacker di eseguire una privilege escalation. All’epoca il bug causava solo dei crash e non è stato classificato come un problema per la sicurezza e nessun fix è mai stato rilasciato per le distro LTS, le quali solitamente ricevono solo aggiornamenti riguardanti la sicurezza. Oggi Qualys, azienda che si occupa di sicurezza informatica, lancia però l’allarme: An unprivileged local user with access to SUID (or otherwise privileged) could use this flaw to escalate their privileges on the system. Un utente locale senza privilegi ma con SUID (o altri permessi) potrebbe utilizzare questa falla per ottenere privilegi più elevati sul sistema. Nessun problema per gli utenti desktop che, aggiornando frequentemente, utilizzano un kernel recente. Un po’ meno fortunati i server che utilizzano il kernel 3.x: All versions of CentOS 7 before 1708 (released on September 13, 2017), all versions of Red Hat Enterprise Linux 7 before 7.4 (released on August 1, 2017), and all versions of CentOS 6 and Red Hat Enterprise Linux 6 are exploitable. Tutte le versioni di CentOS prima della 1705 (rilasciata il 13 settembre […]

Continue reading