Taggat med: linux

DirtyPipe – Ny allvarlig sårbarhet i Linux-kerneln

Dirtypipe - Ny allvarlig sårbarhet i Linux-kerneln

Uppdatering: Ny PoC-exploit vid namn dirtypipez från blasty som skriver över godtycklig suid-binär och sedan återställer den för att erhålla root.

Uppdatering 2: Denna sårbarhet gäller även containers. Se detta blogginlägg från Aquasec

Max Kellermann har identifierat en ny säkerhetsbrist i Linux-kerneln som medger att du kan skriva över godtycklig fil. Sårbarheten har fått CVE-2022-0847 och finns i alla Linux-kernels från version 5.8. Fixades i versionerna 5.16.11, 5.15.25 och 5.10.102. Även Android är drabbad av denna sårbarhet eftersom Android-baserade system använder sig av Linux-kerneln.

Även värt att notera så skriver Max följande:

To make this vulnerability more interesting, it not only works without write permissions, it also works with immutable files, on read-only btrfs snapshots and on read-only mounts (including CD-ROM mounts). That is because the page cache is always writable (by the kernel), and writing to a pipe never checks any permissions.

Vissa förutsättningar måste dock uppfyllas, men dessa är rätt enkla:

  • Angriparen måste ha läsrättigheter
  • Offset får inte vara på en page boundary
  • Skrivningen kan inte ske över en page boundary
  • Storleken på filen kan inte ändras

Demo på hur CVE-2022-0847 kan utnyttjas för att erhålla root på en Kali Linux-installation (privilege escalation). Detta är på en fullt patchad Kali:

Oklart dock huruvida detta fungerar med säkerhetshöjande lösningar såsom Apparmor, SELinux etc. Rekommenderar även att läsa Max intressanta write-up om hur han hittade buggen. Även finnes fungerande exploit här:

Observera att många operativsystem såsom Debian har under dagen idag måndag, åtgärdat buggen.

Nmap 7.90

Nmap

Det känns som om det var år och dar sedan en ny version av Nmap släpptes. Och anledningen till att det tagit så lång tid är för att stort fokus har lagts på Npcap, version 1.0 släpptes för några veckor sedan.

Och nu när Npcap finns ute i en stabil version 1.0 så kan äntligen Nmap fungera precis som på Linux, men till Windows. Ncap används även av andra verktyg såsom Wireshark.

Nytt är även att det går att köpa en kommersiell licens av Nmap, kallad Nmap OEM Edition. Denna version är till för dig som vill skeppa med Nmap i din produkt eller system. Priserna ligger på cirka 100,000 SEK per år och med en startavgift på 340,000 SEK (minsta licensen).

Version 7.90 innehåller mer än 70 buggfixar och uppdaterade fingerprints för tjänster och operativsystem samt nya NSE-script. Tyvärr bara tre stycken nya NSE-script: dicom-brute, dicom-ping, uptime-agent-info.

Nytt är även att nmap-update är borttaget.

Här kan du ladda hem Nmap version 7.90:

Eller som jag rekommenderar: Att använda operativsystemets inbyggda uppdateringsfunktion.

WEASEL – Ny bakdörr från Facebook

Facebook har släppt ett intressant nytt implantat (bakdörr) vid namn WEASEL. Mjukvaran är skriven i Python3 och utnyttjar DNS samt AAAA-records för att skicka och ta emot beacons. Den behöver inte heller några externa beroenden och kan således köras under de flesta operativsystem.

Ett implantat är en typ av mjukvara som används av angripare för att utföra olika uppgifter och kommunicera in och ut ur nätverk. WEASELs klientdel har inga direkta inbyggda funktioner förutom att sköta kommunikationskanalen, självradering och intervall för kommunikation. Vill du ha mer funktioner så får du själv bygga till det eftersom WEASEL stödjer exekvering (eval) av Python3-kod.

Fokus vid utvecklingen av WEASEL har varit på att försöka försvåra IT-forensiska undersökningar och därför finns ej stöd för persistens. Mjukvaran stödjer inte heller att flertalet operatörer jobbar mot samma instans.

För kryptering av data över DNS så används AES-128 i CTR mode samt Diffie-Hellman för nycklar. Oklart hur stödet för Windows ser ut men går säkert att åstadkomma med Pyinstaller.

Här hittar du WEASEL på Github:

Jag har tyvärr ej testat WEASEL ännu men har det på min todo-lista. Om du gör det eller redan testat så lämna gärna en kommentar om dina erfarenheter.

Bild på vessla av Keven Law – originally posted to Flickr as On the lookout…, CC BY-SA 2.0

Test av nya Kali Linux 2019.4

Det har precis släppts en ny version av Kali Linux som går under namnet 2019.4 och är således den fjärde upplagan i år.

Jag testade att uppgradera min Vagrant-installation genom att köra:

vagrant box update

Och sedan köra en vagrant destroy samt vagrant up så lirade allt. Givetvis går det även att uppgradera genom att köra apt dist-upgrade.

Jag stöter dock på en hel del strul: Första gången jag startar webbläsaren så krashar den virtuella maskinen. Samt när skärmsläckaren går igång så låser sig hela VM:en, vet inte om detta är relaterat till VirtualBox.

Nyheter i Kali Linux 2019.4 inkluderar följande:

  • Ny skrivbordshanterare: Xfce
  • Nytt GTK3-tema
  • Nytt läge för “Kali Undercover”
  • Nytt dokumentationssystem som använder git
  • Public Packaging – getting your tools into Kali
  • Kali NetHunter KeX – Fullständig Kali desktop på Android-baserade enheter
  • BTRFS-filsystem (b-tree) under setup
  • Stöd för PowerShell
  • Kernel är uppgraderad till Linux 5.3.9
  • Samt mängder av uppdateringar och buggfixar

Att man gått bort från Gnome till fördel för Xfce beror bl.a på prestandaförbättringar och att Xfce nu kan köras på flertalet plattformar som Kali stödjer såsom ARM.

Skärmdump från nya fönsterhanteraren Xfce:

Inloggningsfönstret:

Stöd för nytt ”Undercover mode” som gör att du som vill använda Kali på mer publika miljöer inte ska sticka ut allt för mycket:

Kali Linux Undercover Mode

Gillar det du läser? Stöd mig gärna via Patreon, alla bidrag hjälper.

Jag testade även att installera Microsoft PowerShell version 6.2.2 genom att köra:

apt install powershell

Och sedan testade jag att ladda hem en fil efter att ha startat ett PowerShell Shell med pwsh:

Ny version av Tor och Tails

Det händer mycket i Tor-lägret. Dels har en ny version av Tor-browser släppts som fått versionsnumret 8.0 och dels så har Tails version 3.9 släppts.

Den nya Tor-webbläsaren baseras på Firefox 60 ESR och har även fått en ny startsida som hjälper dig att surfa även om anonymiseringstjänster såsom Tor blockeras. Just detta förfarande går ut på att du kan göra en förfrågan efter Tor Bridges. Följande video visar hur det går till:

Från Tor FAQ:

Vad är bryggor?

Bryggor är Tor-reläer som hjälper dig kringgå censur.

Jag behöver ett alternativt sätt att skaffa bryggor på!

Ett annat sätt att få nya broar är att skicka e-post till [email protected]. Du måste skicka mailet från en adress hos någon av följande e-postleverantörer: RiseupGmail eller Yahoo.

Jag har även uppdaterat den Tor-fingerprint sida jag skapade, besök gärna den med Tor Browser 8.0 och rapportera om det fungerar:

Nyheter i Tails 3.9

Förutom en hel del buggfixar så stödjer Tails numera VeraCrypt och rekommenderas i flertalet fall framför LUKS. Läs mer här varför

Linux-kerneln har uppdaterats till 4.17 och åtgärd för Foreshadow-attacken är införd.

Ny allvarlig sårbarhet i Linux: DirtyCow

dirtycow

En allvarlig sårbarhet har uppdagats i Linux-kerneln. Sårbarheten har fått namnet DirtyCow eftersom sårbarheten återfinnes i Linux-kernelns  hantering av copy-on-write (COW). Sårbarheten har fått CVE-2016-5195 och redan nu har det rapporterats att säkerhetsbuggen utnyttjas av aktörer. Observera att detta enbart är en lokal såbarhet.

Ko-buggen introducerades i kernel-version 2.6.22 (som släpptes 2007) och åtgärdades 18:de oktober 2016. Även så har Linus Torvalds försökt att åtgärda buggen tidigare men misslyckats och de flesta Linux-distarna har nu uppdateringar.

På Github går det att ladda hem en PoC (proof-of-concept) exploit-kod som utnyttjar denna sårbarhet: https://github.com/dirtycow/dirtycow.github.io/blob/master/dirtyc0w.c oklart vem som skapat PoC:en men säkerhetsbristen identifierades av Phil Oester.

Denna sårbarhet fungerar enbart på Linux-distar som gör /proc/self/mem skrivbar för användaren. RedHat Enterprise Linux 5 och 6 gör inte det och är således inte sårbar. Buggen beror på ett race-condition som kan triggas och få kerneln att felaktigt skriva till en fil och möjliggör för en angripare att exempelvis skriva till en suid-binär.

Uppdatering: Med hjälp av ptrace så går det att bygga en exploit och då behöver inte /proc/self/mem vara skrivbar.

Givetvis kan du även köpa en fin mugg med DirtyCow-loggan på för 13400 SEK:

dirtycow-mugg

Demo på ytterligare en poc:

blasty

VPN Tunnel

VPN Tunnel är en benämning på där en klient kopplar upp sig krypterat eller okrypterat mot en server. VPN står för Virtual Private Network (virtuellt privat nätverk).

En vanlig mjukvara för att skapa en VPN-Tunnel är OpenVPN som är gratis och finns till Linux, Windows samt OS X.

Vanliga protokoll är IP Sec eller SSL/TLS som transportprotkoll. Några av de svenska tjänster som tillhandahåller VPN-tunnlar är:

  • Relakks
  • VPNTunnel.se
  • Anonine
  • PrivatVPN.se

Har du någon erfarenhet av ovan tjänster? Lämna gärna en kommentar med dina erfarenheter.

Detta är ett inlägg i en serie där vi förklarar grundläggande begrepp inom kryptering och IT-säkerhet.

Fem metoder för hårddiskkryptering under Linux

Om du vill kryptera din hårddisk i Linux så finns det fem olika mer eller mindre beprövade metoder. Nedan listar vi fem av dessa samt länkar till artiklar som berättar lite mer om dessa (på engelska).

Verktyg för kryptering av hårddisk på Linux
loop-AES Encrypt disk partitions, removable media, swap space and other devices
dm-crypt Transparent disk encryption subsystem
cryptsetup Configures encrypted block devices
SD4L Hides complete file systems within encrypted regular files
TrueCrypt Used for on-the-fly encryption

Har vi glömt någon?

Kringgå krypteringen på iPhone

Det rapporteras nu att några forskare har lyckats att kringgå hårddiskkrypteringen på iPhone av en slump! Genom att ansluta en iPhone som startar upp till en Linux Ubuntu 10.04-klient så automonterar Ubuntu upp en del av filsystemet på iPhone där exempelvis bilder och musik ligger lagrat.

Apple rapporterar att de har svårt att reproducera problem men uppger att det troligtvis handlar om ett ”race condition”.

Se även Bernts blogg.