Taggat med: SELinux

DirtyPipe – Ny allvarlig sårbarhet i Linux-kerneln

Dirtypipe - Ny allvarlig sårbarhet i Linux-kerneln

Uppdatering: Ny PoC-exploit vid namn dirtypipez från blasty som skriver över godtycklig suid-binär och sedan återställer den för att erhålla root.

Uppdatering 2: Denna sårbarhet gäller även containers. Se detta blogginlägg från Aquasec

Max Kellermann har identifierat en ny säkerhetsbrist i Linux-kerneln som medger att du kan skriva över godtycklig fil. Sårbarheten har fått CVE-2022-0847 och finns i alla Linux-kernels från version 5.8. Fixades i versionerna 5.16.11, 5.15.25 och 5.10.102. Även Android är drabbad av denna sårbarhet eftersom Android-baserade system använder sig av Linux-kerneln.

Även värt att notera så skriver Max följande:

To make this vulnerability more interesting, it not only works without write permissions, it also works with immutable files, on read-only btrfs snapshots and on read-only mounts (including CD-ROM mounts). That is because the page cache is always writable (by the kernel), and writing to a pipe never checks any permissions.

Vissa förutsättningar måste dock uppfyllas, men dessa är rätt enkla:

  • Angriparen måste ha läsrättigheter
  • Offset får inte vara på en page boundary
  • Skrivningen kan inte ske över en page boundary
  • Storleken på filen kan inte ändras

Demo på hur CVE-2022-0847 kan utnyttjas för att erhålla root på en Kali Linux-installation (privilege escalation). Detta är på en fullt patchad Kali:

Oklart dock huruvida detta fungerar med säkerhetshöjande lösningar såsom Apparmor, SELinux etc. Rekommenderar även att läsa Max intressanta write-up om hur han hittade buggen. Även finnes fungerande exploit här:

Observera att många operativsystem såsom Debian har under dagen idag måndag, åtgärdat buggen.

Ransomware-attacker blir mer sofistikerade

CISA Ransomware-attacker blir mer sofistikerade

Amerikanska cybersäkerhetsmyndigheten Cybersecurity and Infrastructure Security Agency (CISA) gick för några dagar sedan ut med en varning gällande att ransomware-attacker blir allt mer sofistikerade.

Varningen skickades ut av CISA tillsammans med motsvarande myndigheter från Storbritannien och Australien. Framförallt gäller det två trender som myndigheterna ser:

  • Initial tillgång till systemen sker via RDP, phishing eller attacker som utnyttjar svagheter och brister i mjukvaror. Även ser man en uppgång där läckta användarnamn eller lösenord används för initial access, eller brute-force av lösenord/användarnamn.
  • En ökning av ransomware-as-a-service (RaaS) där cyberskurkarna köper och säljer tjänster av varandra. De blir mer professionella och fungerar mer som riktiga företag och organisationer skulle göra.

Tyvärr så fortsätter utpressarna att tjäna pengar och gör att de kan gå efter ännu större mål och göra ännu mer omfattande skador:

Every time a ransom is paid, it confirms the viability and financial attractiveness of the ransomware criminal business model.

Tidigare så genomförde ransomware-gängen vad som kallas “big-game” hunting och försökte ge sig på stora amerikanska bolag. Men FBI var aktiva och lyckades slå ner och begränsa förmågan hos de som utförde attackerna. Detta har dock fått till följd att ransomware-gängen nu ger sig på medelstora bolag och framförallt många nya branscher såsom: hälsa och sjukvård, finansiella tjänster, utbildning, mathandel, offentlig verksamhet och jurister.

Utpressningsmetoderna utvecklas också och förutom att kryptera och göra information otillgänglig, så gör man också internetaccess obrukbar samt hotar att släppa information och informera eventuella investerare och konkurrenter om intrånget.

Övrigt värt att nämna är att man ser en ökning där man ger sig på underleverantörer och leverantörer som i fallet med Coop och Kaseya. Attackerna sker ofta på helger och vid högtider då mindre personal är på plats och kan förhindra ett aktivt pågående intrång. En ökning sker även mot industrier som har värdefulla processer som måste vara uppe och fungera, samt mot managed service providers (MSPs) som hanterar många kunder.

Åtgärder för att förhindra och försvåra ransomware-attacker

Att förhindra och försvåra ransomware-attacker är ingen enkel och lätt match, utan flertalet åtgärder måste vidas. Och inte bara en gång utan det är viktigt att jobba med dessa frågor långsiktigt och systematiskt.

Denna lista har CISA släppt för att försvåra ransomware-attacker:

  • Håll all mjukvara uppdaterad med senaste säkerhetspatchar, se även över hårdvara som behöver uppdateras. Kontrollera även så att mjukvara inte har blivit eller snart kommer att bli End-of-life (EOL)
  • Kontinuerligt genomför automatisk sårbarhetsskanning. Se även över tredjepartsbiblioteket som behöver uppdateras
  • Slå på säkerhetsfunktioner och stäng av tjänster som inte används, framförallt se över RDP. Och använd VPN samt MFA (multifaktorsautentisering). Övervaka alla inloggningar över RDP och se till att det finns inställning som är satt för antalet misslyckade inloggningsförsök.
  • Träna och utbilda anställda med bl.a. phishing-medvetenhet
  • Använd multifaktorsautentisering överallt och se till att långa unika lösenord används. Att inte lösenord återanvänds
  • Om Linux används se till att SELinux, AppArmor eller SecComp används för defence in depth
  • Vid nyttjande av molnlösningar se till att backup finnes på flertalet ställen åtskilda

Rekommendationer för att försvåra för angripare att ta sig vidare i nätverken och systemen:

  • Segmentera nätverket
  • Implementera end-to-end kryptering såsom mutual Transport Layer Security (mTLS) 
  • Använd nätverksintrångsdetektering för att se avvikelser på nätverksnivå
  • Dokumentera externa anslutningar
  • Inför tidsbaserad åtkomst för administrativa konton
  • Minimera konton och behörigheter som är administrativa
  • Håll backuper offline och testa att återställa dessa
  • Använd telemetridata och inte enbart lokalt utan även från molntjänster. Såsom hur APIer nyttjas, flow logs, token logs, nedladdningar osv

Här kan du ladda ner PDF-dokumentet med samtliga rekommendationer i sin helhet:

Skicka information säkert med Deaddrop

Robert Malmgren DeaddropJag lyckades få en pratstund med Robert Malmgren som är teknikchef på IT-säkerhetsföretaget Romab och en av grundarna till den nya tjänsten Deaddrop.

Jonas: Hej Robert! Beskriv hur ni kom på idén med Deaddrop.

Robert: Den första är att vi hela tiden sprang på problemet i vår vardag med att få eller skicka information säkert till andra personer. Mer om detta sedan.

Det andra är att vi aldrig när vi gjorde audits eller säkerhetsgranskningar sprang på någon annan som hade hittat eller byggt en bra lösning för detta.

Så vi såg behovet – för eget bruk – att kunna skicka information utan att det behövdes programvara som installerades på klientdatorer. Med en webbaserad lösning kunde vi nå detta.

En annan sak att förstå med Deaddrop är att de som tar emot filer inte behöver konto, jämför med en del andra tjänster. Likaså, en stor skillnad mot alla befintliga tjänster på nätet man kunde använda, där man helt sonika gav sina filer till en okänd att sprida vidare, var att det finns ju inte nån som helst koll på att de inte snodde information, delade den med utländska underrättelsetjänster eller liknande.

Dessutom saknade de tjänsteleverantörer som tillhandahöll detta helt och hållet transparens. Hur vet man att inte den hostade tjänsten kördes på en körs på en opatchad och ett ohärdat operativsystem från 90-talet? Så, vi kom fram till att en appliancelösning som vi själva skötte (och som sedemera andra på liknande själv kan sätta upp och driva) är enda vägen framåt för att få kontroll över sin information och själva överföringen.

Dessutom, när vi tittade runt på vad som redan fanns tillgänglig, så hittade vi inte något som hade de grundläggande säkerhetsfunktioner som vi önskade, typ att få ett kvitto när någon laddat ner filen, kunna ställa in att filen skulle automatraderas efter 4 timmar, ha toklånga lösenord med mera.

En felaktig slutsats som många gör när de diskuterar om PGP hit och PGP dit, är hur enkelt det är att utväxla information säkert med folk – via för oss standardverktyg – såsom verktygen PGP/GnuPG. Vi skulle sluppit en omväg på två år om ALLA KÖRDE PGP, eller ALLA hade certifikat och mailläsare med S/MIME-stöd eller nåt annat *universellt* för överföra filer säkert. Många tekniker befinner sig inte i den riktiga världen där det finns ”vanliga människor” som jobbar på ett företag med en sur IT-avdelning som totalvägrar stoppa in annat i klientdatorn  än vad som är deras ”befintliga applikationsportfölj”.

Tyvärr är inte GnuPG förinstallerat eller ens med bland applikationsfloran hos den absoluta majoriteten hos svenska företag och organisationer. Tyvärr. Så förutom ”vanliga användares” dåliga tekniska förutsättningar att kunna installera, eller beställa från sin IT-avdelning att de installerar detta, så har många organisationer IT-policies och IT-säkerhetspolices som förbjuder installation av nya, ickestandariserade, program. Inte ens folk på många säkerhetsföretag eller säkerhetsavdelningar har tillgång till PGP eller vet ens hur man använder det.

Skärmdump:

Deaddrop skärmdump

Jonas: Vilka är ni som står bakom tjänsten?

Robert: Från Romab är vi Tobbe, Andreas och jag samt en webbdesigner som heter Simon Gustafsson.

Tobbe är storpappa till det hela. Det är han som i vres över att folk aldrig kunde ta emot nåt annat än fysiskt levererade USB-minnen började hacka. Sen har han utvecklat allt på sin fritid fram tills nu.

Andreas har skrivit SELinuxpolicies så att fingrarna blöder. Det lär finnas få som har gått så på djupet med SEL som han, både med detta projekt och med andra liknande projekt.

Jonas: Var kan läsare hitta mer information och när?

Robert: Man kan besöka webbplatsen för sysctl.se, vårt utvecklingsbolag. Där finns det lite  information. Vi håller på och ska lägga upp mer. Annars kan man kontakta oss direkt för mer info, demo, test- och utvärderingsinstallationer.

Jonas: Hur ser ni på framtiden gällande produkten

Robert: Vi har nya installationer på gång, vilket är kul ur ett affärsperspektiv, att något man byggt med våra egna små nävar faktiskt är nåt som folk tycker är användbart, bra och snyggt.

Vi har en massa nya funktioner som vi planerar få in i nya versioner av Deaddrop. Det inkluderar allt ifrån svart- och vitlistning av filer, tidsstyrt frisläppande av filer som exempelvis gör att en fil man skickar upp idag går ut till typ 100 personer imorgon 12:00, kryptografiskt starka tidsstämplar (TSP, RFC 3161) på loggar över filer som passerat, API så man kan integrera Deaddrop i arbetsflöden, etc.

Sånt som av andra kanske kan anses som småsaker, men som vi är ganska upplyfta av, är att migrera hela lösningen till CentOS7, så vi får en apache som kan lite nya trix, inklusive TLS 1.2

Andra funktioner som står för dörren är AD-integration, stöd för LDAP,  stöd för fler språk, och ett ganska rejält utbyggt administrationsgränssnitt.

Den grundplattform vi tagit fram, med allt ifrån byggmiljöer och härdning och automatiseringsfunktioner för autopatchning mm är något som möjliggör framtagande av andra produkter i framtiden, något som vi håller på och filosoferar lite på.

Jonas: Är det öppen källkod?

Robert: Det är en kommersiell produkt. Det sagt, så tillhandahåller vi ändå – utan att knussla – källkod för kunder så att de kan göra säkerhetsgranskningar.

De opensource-komponenter som vi använder oss av är givetvis helt tillgängliga för andra.

Likaså så har vi en del egenutvecklade komponenter som vi planerar att släppa som OSS, såsom exempelvis kod för att agera klister mellan perl och seccomp-bpf.

Jonas: Intäkter eller liknande, kommersiell?

Robert: Som jag sa tidigare, kommersiell produkt, licensierad på antalet användare, vilka pluginmoduler man vill ha, extratjänster såsom SMS-gateway via tredjepart, hur stor burk med en massa extra lullull, etc.

Jonas: Vilka algoritmer ligger till grund för tjänsten?

Robert: En ganska hårt uppstyrd Apache webbserver med en SSL-konf där bara vissa ciphersuites är tillåtna.

Sen har vi diverse andra kryptoalgoritmer som nyttjas på andra ställen, tex inloggning (unix, klientcert mm), för att generera engångslösenord, etc.  På ett liknande sätt, så använder vi systemets funktioner för signering av våra egna programpaket som automatiskt distribueras.

Jonas: Tack Robert. Håll utkik efter mer information om Deaddrop i framtiden.