OPERFOR | НовостИБ № 04102024-01
Сказали, что надо, ну раз надо, пишу.
Linux RCE, DeFi, VLC, Tor+Tails, Telegram, Windows — куда же без него.
Linux RCE
Simone Margaritelli сказал всё, если даже не больше чем нужно, а какой тон:
As someone who’s directly involved in the CUPS project said: «From a generic security point of view, a whole Linux system as it is nowadays is just an endless and hopeless mess of security holes waiting to be exploited.» Well they’re not wrong!
Целиком читать тут — https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/
А если вкратце, то CUPS означает Common UNIX Printing System, которая представляет собой, что неудивительно, подсистему печати для Unix-like ОС, включая Linux. Чуть подробнее в хорошей реакции на статью Simone Margaritelli тут — https://thehackernews.com/2024/09/critical-linux-cups-printing-system.html?_m=3n%2e009a %2e3473%2eze0ao0d6vk%2e2hio
Найдены важные косяки и в ближайших версиях Linux и BSD их исправят, но мы естественно видели CVSS 9.8 и куда страшнее.
Чуть более интересное рассуждение тут — https://news.risky.biz/risky-biz-news-attackers-are-on-the-hunt-for-the-new-unix-cups-rce/
Но вопрос с такими новостями как мне кажется в том, а что с ними потом делать? Все вы всё это получили так или иначе в своих фидах, я даже думал, а в чем вообще может быть полезная нагрузка от моих новостей? Разве что я дополню парой ссылок на интересные дополнения от нормальных, в отличие от меня, и тем более авторитетных авторов или изданий. Но всё же призываю вас задуматься о том, а что потом? Заявка в SD на IT с указанием устранить/обновить и потом доложить/закрыть заявку? Еще одна в тот самый копящийся бэклог? А функцию контроля чем? Сканер внутренний? А он всё сканирует? А профили правильно настроены? А согласовать время сканирования с ИТ тоже в SD надо будет? Или всё покрыто чем-то типа EDR и вы по инвентори телеметрии сами определите, и тогда сможете точечно реализовывать контроль? А телеметрю в консоли EDR можно удобно агрегировать и посмотреть или она у вас льётся куда-то? А там где это «куда-то» удобно смотреть быстро чтобы не тратить полдня? Очень много вопросов в моей голове рождают подобные новости, причем вопросов никак не связанных с CUPS…но я не самый острый карандаш в коробке, может быть всё из-за этого…
DeFi
DeFi — Decentralized Finance platform — а точнее Ether.fi стали жертвой атаки DNS-hijack после того, как злоумышленники получили контроль над её учётной записью на Gandi. 24 сентября, воспользовавшись механизмами восстановления учётных записей Gandi.net, злоумышленники изменили зарегистрированные DNS-серверы Ether.fi на те, которые находились под их контролем. После получения уведомления о восстановлении учётной записи, в течение трёх часов изменения были отменены, а учётная запись Ether.fi успешно заблокирована для предотвращения дальнейших манипуляций.
Казалось бы — терпимо вышло.
И на фоне этого многие вздохнули с облегчением, однако после захвата домена можно нанести значительный ущерб и за пределами непосредственно инфраструктуры. Например, злоумышленники могут получить действующие SSL-сертификаты от множества регистраторов, так как для этого зачастую требуется лишь подтверждение контроля над доменом. И поскольку отзыв сертификатов — это скорее фантазия, такие сертификаты останутся действительными до конца своего срока. Эти сертификаты в теории можно использовать не только для создания поддельного сайта, куда перенаправят трафик жертвы (кого-то точно подловят), но и для подписи поддельных писем (ну ладно, не все сертификаты, но некоторые из них) от имени домена жертвы, которые впоследствии успешно пройдут проверки SPF, DKIM и DMARC.
Итого, для коммерческих организаций, владеющих ценными доменами, безопасность на уровне регистратора также важна как и на уровне корректной настройки бакетов S3 (или любом другом уровне). Я давно говорю про 2FA, а AT& T говорили про 2FA еще в 90-е годы, но если уж хоть в одном месте вы решитесь 2FA таки внедрить, после корпоративного VPN естественно, пусть это будет ваш ЛК у регистратора.
Помните, как LastPass после первичной утечки решили, что всё под контролем, но позже злоумышленники использовали информацию из первой атаки для запуска более глубокой и разрушительной атаки? Не исключено, в теории, что, нечто подобное ждёт и Ether.fi в будущем (надеюсь, что нет). Им кажется, что все уязвимости закрыты и инцидент исчерпан, но кратковременная подмена DNS-серверов могла дать злоумышленникам всё, что они искали. Возможно это просто успешное завершение стадии вооружения. Как всегда искренне надеюсь, что я не прав…
VLC
Вот казалось бы, плеер, но стоит почти у всех и почти везде (я даже у себя на телевизоре ставил…на телевизоре, вдумайтесь, докатились). Overflow через maliciously crafted MMS stream. В основном крашит сам плеер просто, но не смотря на то, что до RCE никто еще не докрутил, вероятность такую исключать мы не можем, поэтому, пожалуйста, обновляемся до 3.0.21 если используем его в соответствующих сценариях.
Tor и Tails объединяются.
Ну что тут еще сказать. Вот тут в целом всё сказано — https://blog.torproject.org/tor-tails-join-forces/
Telegram
Как много в этом звуке. Но лучше мои коллеги из SOC пусть расскажут про бесконечные детали, приколы, сюрпризы и открытия в нем (наши эксперты из DFIRMA или OSINT обычно с докладом хотя бы на одной конференции в год про него точно бывают), я лишь подсвечу из поверхностного, но интересного. Третьего дня Telegram изменил свою zero-cooperation policy, я конечно всегда скептически относился к документам подобного рода (ну не работает оно так, точнее работает оно не так, обычно, надеюсь я ошибаюсь). Французы своего добились, условно, а дословно:
Telegram recently made some waves by amending its privacy policy and agreeing to comply with court orders requiring it to share its users’ phone numbers and IP addresses with law enforcement. So Telegram’s cooperation will now extend to various criminal investigations, expanding beyond the previous limit of only terror-related offenses.
Комментарии излишни.
Microsoft
У меня обычно вообще слов про них не хватает, и тут буду немногословен. Третьего дня David Weston, Microsoft’s Vice President for Enterprise and OS Security написал про: «Update on Recall security and privacy architecture». Оказалось, что его удаление это таки не баг, а фича. Цитата «Recall is an opt-in experience». Т.е. вот этого вот всего таки можно избежать:
Хотя здесь явно и носа не подточишь, пусть снэпшотят и суперзащищенно хранят ваши персональные и «частные» данные…хотя я пишу это с macOS 14.6.1 и чья бы корова мычала…в любом случае, сейчас Recall — это уже хотя бы точно не SQL файлы со снэпшотами всего чего не надо, валяющиеся в пользовательской директории, всё сложнее и энтерпрайзнее. Уже хорошо. Правда они упомянули Recall User Activity API…а вот это как всегда уже страшнее. Оказывается у Recall Ready приложений будет к нему доступ для того чтобы в любой момент откатываться на нужные состояния. Надеюсь, что такой доступ будет только у них, без IDOR и т. д. В целом технология интересная, потенциально удобная и как всегда волнующе реализованная, посмотрим, что покажут безжалостные ИБ циклы PDCA/PDAR…