Oracle åtgärdar 237 sårbarheter

oracle säkerhetsbrister

Oracle har släppt sin January 2018 Oracle Critical Patch Update (CPU) som åtgärdar hela 237 sårbarheter. Några av de produkter där Oracle åtgärdar sårbarheter är följande:

  • MySQL
  • VirtualBox
  • WebCenter
  • HTTP Server
  • PeopleSoft
  • Solaris
  • Database Server
  • Java SE

Tittar vi närmare på exempelvis VirtualBox så ser vi en hel mängd CVE:er såsom CVE-2018-2694, CVE-2018-2698 osv. Dessa ska vara åtgärdade i version 5.2.6 men tyvärr så säger Changelog inget om detta, vilket är underligt. Även värt att nämna att PeopleSoft nyligen har haft problem med WebLogic genom att illasinnade personer nyttjat en tidigare sårbarhet för att köra krypto-miners, läs mer här.

CERT-SE vid Myndigheten för samhällsskydd och beredskap har även gått ut med en varning samt listat de sårbarheter som åtgärdas där de med högst CVSSv3 listas:

Database Server
CVE-2017-10282 Core RDBMS (CVSS 9.1 av 10.0)

Communications Applications
CVE-2017-5645, CVE-2015-3253 BRM – Elastic Charging Engine (CVSS 9.8 av 10.0)
CVE-2017-5645 Convergent Charging Controller (CVSS 9.8 av 10.0)
CVE-2017-5645 Network Charging and Control (CVSS 9.8 av 10.0)
CVE-2017-5645 Oracle Communications Services Gatekeeper (CVSS 9.8 av 10.0)

E-Business Suite
CVE-2018-2656 General Ledger (CVSS 9.1 av 10.0)
CVE-2018-2655 Oracle Work in Process (CVSS 9.1 av 10.0)

Oracle Fusion Middleware
CVE-2017-10352 WebLogic Server (CVSS 9.9 av 10)
CVE-2017-5461 Directory Server Enterprise Edition (CVSS 9.8 av 10)
CVE-2017-5461 iPlanet Web Server (CVSS 9.8 av 10)
CVE-2017-5645 Oracle WebLogic Server (CVSS 9.8 av 10)

Oracle Hospitality Applications
CVE-2018-2697 Hospitality Cruise Fleet Management (CVSS 9.1 av 10.0)

Detta är bara några av de rättade sårbarheterna. Besök Oracles webbsida [1] för att se vilka fler produkter som är sårbara.

Allvarligt fel hos NameSRS

Uppdatering 1: Det verkar som om domänpekningarna är legitima (och ingår i en kampanj via NameISP eller NameSRS) men att blocket.se råkade följa med i bara farten.

Uppdatering 2: NameISP har nu bekräftat via telefon att det var mänskliga faktorn som låg bakom och inget intrång.

Uppdatering 3: msb.se och krisinformation.se var ej påverkade av detta fel hos NameISP. Även värt att påpeka i sammanhanget är att registraren är Sveriges näst största.

Under natten så hackades eller så genomförde någon en stor miss hos domänregistraren NameSRS vilket fick till följd att cirka 11478 .se-domäner pekades om. Bland domänerna som pekades om fanns Blocket.se som under cirka 2h visade en helt annan webbsida:

Förutom att namnservarna var ändrade så ändrades också mailpekaren till följande mailserver:

  • mx224.m2bp.com (206.53.239.77, IQuest Internet)
  • mx224.mb1p.com (206.53.239.75, IQuest Internet)

Att mailpekare ändrades får till följd att det troligtvis varit möjligt för en obehörig att återställa lösenord för tredjepartstjänster samt ta del av E-post som skickats till domänerna.

Och tittar vi på whois-information gällande Blocket.se såg det ut enligt följande, observera namnservrarna:

Förutom Blocket.se så används NameSRS av bl.a. krisinformation.se samt msb.se, oklart huruvida dessa varit påverkade av just detta.

Försvarsberedningen: Sverige behöver en utvecklad förmåga inom cybersäkerhetsområdet

Försvarsberedningen släppte för några dagar sedan en inriktning av totalförsvaret och utformningen av det civila försvaret för åren 2021–2025.

Det jag finner extra intressant är kapitel 10 som handlar om informations- och cybersäkerhet. Och med följande citat från dokumentet sammanfattar bra en av många utmaningar inom cybersäkerhetsområdet:

Det blir allt svårare att säga var den civila infrastrukturen slutar och var den militära börjar.

Inriktingsrapporten tar även upp att cyberattacker är ett allvarligt hot mot befolkningens liv och hälsa, samhällets funktionalitet och vår förmåga att upprätthålla våra grundläggande värden. Och med det avses att allt mer av våra vardagliga liv blir beroende av att digitala funktioner i finansiella system, elnät, sjukvård och mycket annat.

Rapporten trycker även på att vi måste bli bättre beställare genom att kravställa på cybersäkerhet redan vid upphandling och inköp. Även framgår det att it-relaterade incidenter och avbrott i cyberdomänen måste systematiskt rapporteras och analyseras.

Om it-infrastrukturen komprometteras och vi saknar förberedda alternativa åtgärder riskerar tilliten till samhällets institutioner och våra totalförsvarsansträngningar att skadas.

Ingen ny rapport upprättas utan att nämna påverkanskampanjer och framförallt nu innan valet. Samt att cyberattacker kan utgöra en delmängd där även desinformation sprids, överbelastningsattacker utförs som hindrar tillgång till information.

Även så framgår det i rapporten gällande att med en aktiv cyberförmåga så kan Sverige agera proaktivt för att upptäcka eller få information om ett cyberintrång, olika former av cyberattacker, en hotande cyberoperation, eller för att fastställa en cyberoperations ursprung.

Förutom att kunna skydda sina egna system, innebär det att Försvarsmakten ska ansvara för totalförsvarets aktiva cyberförsvarsförmåga.

Och att denna cyberförsvarsförmåga ska byggas upp under en dialog med FRA och Säkerhetspolisen samt försvarsunderrättelsemyndigheterna.

Försvarsberedningen överlämnade sin rapport till försvarsminister Peter Hultqvist. Foto: Marcus Björkman/Regeringskansliet

Källa

Mängder av svenska sajter sårbara för ROBOT-attacken

Uppdatering: Skatteverket var snabba och patchade redan i måndags. Så Kronofogden, Skatteverket samt E-legitimationsnämnden är ej längre sårbara.

Många kritiska och viktiga svenska sajter är sårbara för den senaste ROBOT-attacken: Jag har genomfört en skanning av sajter som återfinnes under .SE och som underlag använde jag denna domänlista. Skanningen av sajter som är sårbara för ROBOT-attacken är genomförd med hjälp av verktyget testssl.sh och på listan med sårbara sajter nedan ser vi många banker, myndigheter och kommuner.

Attacken är dock svår att utnyttja eftersom det kräver att du som angripare kan avlyssna https-surf samt så finns det ingen programkod för att utnyttja attacken publicerad än så länge.

För mer information om ROBOT-attacken, läs här.

Av 807 testade sajter så är 119 st sårbara, hela listan med sårbara sajter hittar du här:

agria.se
aklagare.se
alecta.se
almhult.se
ange.se
apl.se
apoteksgruppen.se
arboga.se
askersund.se
avanza.se
avesta.se
bergslagenssparbank.se
bgc.se
bilprovningen.se
bolagsverket.se
bollebygd.se
boras.se
botkyrka.se
bracke.se
bredbandsbolaget.se
burlov.se
comhem.se
coop.se
coresec.se
danskebank.se
ehalsomyndigheten.se
elegnamnden.se
enkoping.se
eskilstuna.se
fagersta.se
falun.se
forskarskattenamnden.se
gjensidige.se
glocalnet.se
gullspang.se
habo.se
hagfors.se
hallsberg.se
harryda.se
hassleholm.se
herjedalen.se
hudiksvall.se
ica.se
jarfalla.se
jonkoping.se
kmh.se
knowit.se
konj.se
koping.se
krokom.se
kronofogden.se
kungsbacka.se
kungsor.se
lansforsakringar.se
laxa.se
lekeberg.se
lessebo.se
lomma.se
lotteriinspektionen.se
ltv.se
ludvika.se
lul.se
lu.se
marginalen.se
mariestad.se
msb.se
norberg.se
nordea.se
norrkoping.se
norrtalje.se
nykoping.se
nykvarn.se
nynashamn.se
orebroll.se
orebro.se
overklagandenamnden.se
rattvik.se
riksrevisionen.se
sandviken.se
seb.se
sj.se
skane.se
skatteverket.se
skogsstyrelsen.se
skolinspektionen.se
skolverket.se
sll.se
smedjebacken.se
socialstyrelsen.se
sr.se
statensmedierad.se
stenungsund.se
stromstad.se
sundbyberg.se
svd.se
svenskaspel.se
sverigesradio.se
svk.se
svo.se
tanum.se
telenor.se
tillvaxtverket.se
tlv.se
toreboda.se
torsby.se
trafikverket.se
transportstyrelsen.se
trygghansa.se
uddevalla.se
umu.se
uppvidinge.se
varberg.se
varmdo.se
varnamo.se
vaxjo.se
vll.se
volvogroup.com
yhmyndigheten.se

ROBOT – Return of Bleichenbacher’s Oracle Attack

ROBOT är en ny intressant attack som använder sig av Bleichenbachers Oracle för att attackera tjänster som använder sig av TLS såsom https. Attacken går mot PKCSv1.5 som är en padding som används tillsammans med RSA. Genom att skicka ett antal olika krypterade meddelanden är det möjligt för en angripare att återskapa krypterat https-data.

För att få en uppfattning om hur omfattande problemet med ROBOT-attacken är så kan vi titta på den skanning som Dirk Wetter på testssl.sh projeketet genomfört mot Alexa Top 10k-listan.

Ovan visar alltså på att runt 15% av sajterna är sårbara.

Jag gillar även följande presentationsbild som är från Tibor Jager kurs på Paderborn Universitetet i Tyskland:

Samt så har den officiella sajten RobotAttack.org har sammanställt en lista över sårbara implementationer, där den som är mest anmärkningsvärd är Cisco ACE som tydligen används av många företag men Cisco ej kommer att patcha:

F5 BIG-IP SSL vulnerability CVE-2017-6168
Citrix TLS Padding Oracle Vulnerability in Citrix NetScaler Application Delivery Controller (ADC) and NetScaler Gateway CVE-2017-17382
Radware Security Advisory: Adaptive chosen-ciphertext attack vulnerability CVE-2017-17427
Cisco ACE Bleichenbacher Attack on TLS Affecting Cisco ProductsEnd-of-Sale and End-of-Life CVE-2017-17428
Bouncy Castle Fix in 1.59 beta 9Patch / Commit CVE-2017-13098
Erlang OTP 18.3.4.7,
OTP 19.3.6.4,
OTP 20.1.7
CVE-2017-1000385
WolfSSL Github PR / patch CVE-2017-13099
MatrixSSL Changes in 3.8.3 CVE-2016-6883
Java / JSSE Oracle Critical Patch Update Advisory – October 2012 CVE-2012-5081

En lösning till problemet är att helt sluta använda RSA och förlita sig på elliptiska kurvor samt Diffie-Hellman.

Robot-attacken är resultat av forskning från Hanno Böck, Juraj Somorovsky från Horst Görtz Institute och Craig Young, Tripwire.

Och för att testa om en sajt är sårbar för Robot kan du använda RobotAttack.org, dev.testssl.com eller testssl.sh

Skärmdump från dev.ssllabs.com där jag identifierat en sårbar sajt:

Säkerhetsuppdateringar från Apple

Apple släppte igår en stor mängd säkerhetsuppdateringar till iOS, macOS, watchOS samt tvOS. En eller flera av dessa åtgärdar säkerhetsbrister som gör att en angripare kan exekvera kod över nätverket.

Även så åtgärdas tre kryptobuggar där två av dessa är relaterade till S/MIME (e-postkryptering):

  • A S/MIME encrypted email may be inadvertently sent unencrypted if the receiver’s S/MIME certificate is not installed
  • An encryption issue existed with S/MIME credetials. The issue was addressed with additional checks and user control.
  • OpenSSL X.509 IPAddressFamily parsing

Hela listan med säkerhetsåtgärder följer nedan:

apache

Available for: macOS High Sierra 10.13.1, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Impact: Processing a maliciously crafted Apache configuration directive may result in the disclosure of process memory

Description: Multiple issues were addressed by updating to version 2.4.28.

CVE-2017-9798

curl

Available for: macOS High Sierra 10.13.1, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Impact: Malicious FTP servers may be able to cause the client to read out-of-bounds memory

Description: An out-of-bounds read issue existed in the FTP PWD response parsing. This issue was addressed with improved bounds checking.

CVE-2017-1000254: Max Dymond

Directory Utility

Available for: macOS High Sierra 10.13 and macOS High Sierra 10.13.1

Not impacted: macOS Sierra 10.12.6 and earlier

Impact: An attacker may be able to bypass administrator authentication without supplying the administrator’s password

Description: A logic error existed in the validation of credentials. This was addressed with improved credential validation.

CVE-2017-13872

Intel Graphics Driver

Available for: macOS High Sierra 10.13.1

Impact: An application may be able to execute arbitrary code with kernel privileges

Description: A memory corruption issue was addressed with improved memory handling.

CVE-2017-13883: an anonymous researcher

Intel Graphics Driver

Available for: macOS High Sierra 10.13.1

Impact: A local user may be able to cause unexpected system termination or read kernel memory

Description: An out-of-bounds read issue existed that led to the disclosure of kernel memory. This was addressed through improved input validation.

CVE-2017-13878: Ian Beer of Google Project Zero

Intel Graphics Driver

Available for: macOS High Sierra 10.13.1

Impact: An application may be able to execute arbitrary code with system privileges

Description: An out-of-bounds read was addressed through improved bounds checking.

CVE-2017-13875: Ian Beer of Google Project Zero

IOAcceleratorFamily

Available for: macOS High Sierra 10.13.1, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Impact: An application may be able to execute arbitrary code with system privileges

Description: A memory corruption issue was addressed with improved memory handling.

CVE-2017-13844: found by IMF developed by HyungSeok Han (daramg.gift) of SoftSec, KAIST (softsec.kaist.ac.kr)

IOKit

Available for: macOS High Sierra 10.13.1

Impact: An application may be able to execute arbitrary code with system privileges

Description: An input validation issue existed in the kernel. This issue was addressed through improved input validation.

CVE-2017-13848: Alex Plaskett of MWR InfoSecurity

CVE-2017-13858: an anonymous researcher

IOKit

Available for: macOS High Sierra 10.13.1, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Impact: An application may be able to execute arbitrary code with system privileges

Description: Multiple memory corruption issues were addressed through improved state management.

CVE-2017-13847: Ian Beer of Google Project Zero

Kernel

Available for: macOS High Sierra 10.13.1, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Impact: An application may be able to execute arbitrary code with kernel privileges

Description: A memory corruption issue was addressed with improved memory handling.

CVE-2017-13862: Apple

Kernel

Available for: macOS High Sierra 10.13.1, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Impact: An application may be able to read restricted memory

Description: An out-of-bounds read was addressed with improved bounds checking.

CVE-2017-13833: Brandon Azad

Kernel

Available for: macOS High Sierra 10.13.1

Impact: An application may be able to execute arbitrary code with kernel privileges

Description: A memory corruption issue was addressed with improved memory handling.

CVE-2017-13876: Ian Beer of Google Project Zero

Kernel

Available for: macOS High Sierra 10.13.1, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Impact: An application may be able to read restricted memory

Description: A type confusion issue was addressed with improved memory handling.

CVE-2017-13855: Jann Horn of Google Project Zero

Kernel

Available for: macOS High Sierra 10.13.1, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Impact: A malicious application may be able to execute arbitrary code with kernel privileges

Description: A memory corruption issue was addressed with improved memory handling.

CVE-2017-13867: Ian Beer of Google Project Zero

Kernel

Available for: macOS High Sierra 10.13.1

Impact: An application may be able to read restricted memory

Description: A validation issue was addressed with improved input sanitization.

CVE-2017-13865: Ian Beer of Google Project Zero

Kernel

Available for: macOS High Sierra 10.13.1, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Impact: An application may be able to read restricted memory

Description: A validation issue was addressed with improved input sanitization.

CVE-2017-13868: Brandon Azad

CVE-2017-13869: Jann Horn of Google Project Zero

Mail

Available for: macOS High Sierra 10.13.1

Impact: A S/MIME encrypted email may be inadvertently sent unencrypted if the receiver’s S/MIME certificate is not installed

Description: An inconsistent user interface issue was addressed with improved state management.

CVE-2017-13871: an anonymous researcher

Mail Drafts

Available for: macOS High Sierra 10.13.1

Impact: An attacker with a privileged network position may be able to intercept mail

Description: An encryption issue existed with S/MIME credetials. The issue was addressed with additional checks and user control.

CVE-2017-13860: Michael Weishaar of INNEO Solutions GmbH

OpenSSL

Available for: macOS High Sierra 10.13.1, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Impact: An application may be able to read restricted memory

Description: An out-of-bounds read issue existed in X.509 IPAddressFamily parsing. This issue was addressed with improved bounds checking.

CVE-2017-3735: found by OSS-Fuzz

Screen Sharing Server

Available for: macOS High Sierra 10.13.1, macOS Sierra 10.12.6

Impact: A user with screen sharing access may be able to access any file readable by root

Description: A permissions issue existed in the handling of screen sharing sessions. This issue was addressed with improved permissions handling.

CVE-2017-13826: Trevor Jacques of Toronto

OWASP Topp 10 2017

Äntligen har OWASP Top 10 2017 släppts i sin slutgiltiga utgåva. Egentligen skulle OWASP:s topp-10 lista varit klar redan 2016 men på grund av diverse anledningar så har listan blivit försenad.

Tittar vi på den slutgiltiga versionen nedan så ser vi att Cross-Site Request Forgery (CSRF) har raderats (dvs hamnat utanför topp 10) samt att insecure deserialisation och XML external entities tillkommit.

Och detta stämmer väl med mina granskningar: Injektioner är fortfarande det största problemet men i samband med att fler ramverk bygger in olika typer av skydd om injektionsattacker så blir det bättre.

När det gäller insecure deserialisation så kan detta vara lite knepigt att testa efter. Till Burp Suite så finns exempelvis modulen Java Deserialization Scanner.

XML external entities kan orsaka stor skada och inte enbart när det gäller inkludering av data utan även kan användas för att skicka HTTP-förfrågningar vidare till localhost.

Sist men inte minst gällande insufficient logging/monitoring så loggar många webbservrar etc automatiskt. Men hur länge dessa loggar sparas eller om någon tittar på loggarna är ett stort problem såsom logganalys.

Följande bild visar skillnaden på ett bra sätt:

Här kan du läsa vad jag skrivit om tidigare utgåvor av version 2017:

Script på webbsidor som loggar användarmönster läcker känslig information

Att använda olika former av javascript som loggar hur en webb-besökare rör sin mus eller vad hen fyller i formulär blir allt vanligare. Av världens topp 50000 sajter så använder 482 st någon form av användarloggning från tjänster såsom Yandex, FullStory, Hotjar, UserReplay, Smartlook, Clicktale eller SessionCam.

Dock har ny forskning visat på att dessa tjänster loggar lite väl mycket information på webbsidorna där dessa finns installerade.

Det var när forskarna Steven Englehardt, Gunes Acar och Arvind Narayanan vid Princeton University började att analysera vad som verkligen skickades iväg som de fann något intressant.

Denna tabell visar på vilken leverantör som skickar vilken typ av känslig information vidare till sig från sidan där scriptet är installerat:


Fylld cirkel: Data är exkluderad; Halvfull cirkel: maskar innehållet men längden finns kvar; Tom cirkel: Data skickas i klartext
* UserReplay skickar 4 sista siffrorna i kreditkortet i klartext
† Hotjar maskerar adressen i adressfält

Och för att förevisa bättre hur läckaget uppstår så kan du se följande bild där Fullstory är installerad på populära sajten Bonobos:

Samtliga nuvarande lösningar brister på flera sätt, därför rekommenderar studenterna vid Princeton följande:

A safer approach would be to mask or redact all inputs by default, as is done by UserReplay and SessionCam, and allow whitelisting of known-safe values. Even fully masked inputs provide imperfect protection. For example, the masking used by UserReplay and Smartlook leaks the length of the user’s password.

Vidare så läcker exempelvis läkemedelsavdelningen på Walgreens.com information om vilka läkemedel eller åkommor en webb-besökare uppger genom att använda denna typ av tjänst/script.

Hur ser det ut på svenska webbsidor?

Källa

Reproducerbar mjukvara

För mig som jobbar med cybersäkerhet och granskning är reproducerbar mjukvara något som är intressant på flera plan. Jag kan vid en granskning av källkoden med större sannolikhet avgöra om den kod jag granskar är den verkliga kod som hamnar i den slutgiltiga binären eller produkten.

Bildkälla

Genom att dokumentera stegen för att producera (kompilera) en mjukvara så försvåras exempelvis attacker som försöker lägga in bakdörrar på vägen eller en kompilator med bakdörr. Vi ser allt fler cyberattacker mot utvecklare samt attacker mot leverantörskedjor (supply chain attacks).

Därför är det nu bra att det säkra och anonyma operativsystemet Tails nu går skapa reproducerbart. Du kan alltså själv ladda hem hela källkodsträdet och skapa en ISO som bör helt stämma överens med den du kan ladda hem genom de officiella kanalerna.

Och för att citera Tails:

Being free software is a necessary condition for tools to be trusted for their security. The only way for security researchers to know if a piece of software is trustworthy, is to audit its source code.

But operating systems are delivered to their users in binary form that cannot be simply reverted back to their original source code.

Flera opensource-operativsystem och mjukvaror håller på eller har redan infört reproducerbara byggen:

  • OpenWRT
  • FreeBSD
  • NetBSD
  • Debian
  • Tor

Vidare läsning för den som är intresserad av ämnet finns på: https://reproducible-builds.org/resources/

Diskutera cybersäkerhet på Facebook

Säkerhetsbubblan på Facebook

Undertecknad och Karl Emil Nikka på Nikka Systems har precis startat en grupp på Facebook för den som är intresserad av cybersäkerhet. Namnet på gruppen är Säkerhetsbubblan och länken till gruppen hittar du här:

https://facebook.com/groups/sakerhetsbubblan

Gruppen är givetvis öppen för alla oavsett om du jobbar i branschen, är student eller bara allmänt intresserad. Tidigare har säkerhet diskuterats flitigt i grupper såsom Kodapor eller Teknikbubblan men både jag och Karl Emil kände att det saknades en dedikerad grupp för säkerhetssnack.

Givetvis är reklam och liknande förbjudet och vi kommer att göra det vi kan för att administrera gruppen men vill du hjälpa till kan du kontakta oss.