Концепция Universal Plug and Play (UPnP) изначально имела благие намерения — унифицировать и автоматизировать настройку сетевых устройств, от домашних медиапроигрывателей до сетей малых предприятий. Но благими намерениями часто бывает вымощена дорога известно куда. Сложный набор протоколов и технологий не мог не иметь пробелов. Так, новая уязвимость CallStranger позволяет отправлять сетевой трафик произвольному получателю.

UPnP применяется во множестве бытовых и офисных устройств с доступом в сеть

UPnP — довольно удобная технология: устройство с поддержкой этой технологии присоединяется к сети, в динамическом режиме получает IP-адрес, сообщает о своих возможностях и опрашивает другие устройства на предмет их возможностей. В UPnP используются известные технологии: IP, TCP/UDP, HTTP и XML. Пример использования UPnP — автоматическое перенаправление портов, которое реализовано, например, в Skype и торрент-клиентах.

Однако бездумное включение UPnP везде может сделать вашу сеть привлекательной целью для злоумышленников. Как сообщает ресурс OpenNET, новая уязвимость CVE-2020-12695, получившая имя CallStranger, позволяет извлекать данные даже из защищённых сетей, сканировать порты компьютеров во внутренней сети, а также задействовать для DDoS-атак весь парк UPnP-устройств, от кабельных модемов и домашних маршрутизаторов до IP-камер и игровых консолей.

В поле CALLBACK можно подставить любой URL

В спецификациях UPnP предусмотрена функция SUBSCRIBE (подписка), она изначально предназначена для отслеживания изменений настроек различных устройств и сервисов в сети. Но она же позволяет и любому атакующему извне отправить HTTP-пакет с заголовком Callback, что даёт возможность применить UPnP-устройство в качестве прокси-узла. Этот узел может быть занят отправкой запросов на другие хосты.

Проблема этой части спецификаций UPnP в том, что функция SUBSCRIBE позволяет указать любой URL, с которым устройство попытается осуществить соединение. К сожалению, этой уязвимости подвержены все системы с UPnP, отвечающие спецификациям с датой выпуска до 17 апреля этого года. Подтверждено использование CallStranger в открытом пакете hostapd (для Wi-Fi), к нему доступен патч с исправлением.

В основе UPnP лежит XML

Но большая часть Linux-систем всё ещё уязвима, в список входят такие известные дистрибутивы, как RHEL, SUSE, Arch, Fedora, Ubuntu, Debian, а также «народная» прошивка для маршрутизаторов OpenWRT. Все устройства, в которых UPnP реализовано на основе открытого стека pupnp также под угрозой.

К сожалению, организация, ответственная за развитие UPnP, Open Connectivity Foundation (OCF) знала о наличии проблемы ещё в конце прошлого года, но отнеслась к ней небрежно, изначально не считая данную возможность уязвимостью. В настоящее время проблема признана, предписано использование UPnP только в сегменте LAN, но не WAN. Однако недоработка имеет фундаментальную природу; UPnP используется широко и для ряда старых устройств обновлений может попросту не появиться.

В качестве защитных мер рекомендуется изоляция UPnP-устройств от внешних запросов со стороны WAN, для этого нужно соответствующим образом настроить брандмауэр. Необходимо блокировать HTTP-запросы типа SUBSCRIBE и NOTIFY. В качестве крайней мере рекомендуется полное отключение UPnP. Провериться на наличие уязвимости можно с использованием специального инструментария. Полный отчёт об уязвимости доступен здесь.

VMware — один из признанных лидеров в области технологий виртуализации. Однако так ли уж надёжны все решения этой компании? Группа хакеров Citadelo даёт отрицательный ответ. Некоторые инструменты VMWare на удивление легко поддаются взлому, как это случилось с vCloud Director.

vCloud Director — средство развёртывания облачных систем и управления ими. Оно используется как провайдерами публичных облачных услуг, так и компаниями, создающими «приватные» облака. Взлом такого облака может принести массу ценной для хакера информации. Уязвимость CVE-2020-3956 была закрыта патчем в середине мая, однако прошло не так много времени, чтобы обновление успели произвести все, кто пользуется этим инструментарием.

Сам взлом позволяет получить доступ к внутренней базе данных, включая хеши паролей, повысить уровень привилегий с администратора организации (organization administrator) до практически всесильного администратора всей системы управления (system administrator). Возможна даже модификация страницы входа в vCloud Director для дальнейшего перехвата паролей и другой вводимой пользователями секретной информации.

Как выяснили Томаш Мелихер и Лукаш Вацлавик (Tomáš Melicher and Lukáš Václavík), механика довольно простая. При попытке подставить значение «${7*7}» вместо имени хоста SMTP-сервера в запросе из панели управления vCloud Director они получили следующий ответ системы: «String value has invalid format, value: [49]». Конструкция «${ }» приводит к выполнению её содержимого на стороне сервера, в данном случае это код на Java. 

К счастью, группа Citadelo относится к так называемому «этическому» подвиду хакеров. Ничего вредоносного исследователи не сделали, напротив, они сообщили об этой ситуации VMware, которая 19 мая опубликовала эту информацию вместе с закрывающим уязвимость патчем. Однако пример кода для взлома был также опубликован Citadelo, поэтому тем, кто ещё не воспользовался вышеупомянутым патчем, имеет смысл сделать это как можно скорее.

В демоне протокола Point-to-Point Protocol Daemon (PPPD), который используется для сетевых соединений типа точка-точка, обнаружена уязвимость. Эта брешь существовала 17 лет и позволяла выполнять произвольный код на уровне системы, причём весьма простым способом. 

Для этого можно было использовать специально сформированные запросы на аутентификацию — при отправке особого EAP-пакета (Extensible Authentication Protocol) можно было вызвать переполнение буфера, что давало возможность выполнения произвольного кода от имени root.

pixabay.com

Ошибка закралась в код проверки размера поля rhostname — для переполнения нужно было лишь отправить очень длинное имя хоста. При этом уязвимыми являются как клиент, так и сервер. В последнем случае это позволяет атаковать клиентские компьютеры через центральный хост.

Проблема актуальна для версий демона с 2.4.2 по 2.4.8 включительно, для устранения проблемы уже вышел патч. Затронутыми могут быть все основные дистрибутивы Linux и вариации *BSD, а также OpenWRT и некоторые решения Cisco, TP-LINK и Synology. 

Positive Technologies сообщила об обнаружении уязвимости в программном обеспечении компании Citrix Systems, решения которой широко задействованы в корпоративной среде.

Отмечается, что выявленная брешь носит статус критически опасной. В случае её эксплуатации злоумышленник может обойти механизмы защиты ПО Citrix Systems и получить прямой доступ к локальной IT-инфраструктуре организации из Интернета.

Опасной уязвимости подвержены платформы Citrix Application Delivery Controller (NetScaler ADС) и Citrix Gateway (NetScaler Gateway) версий 10.5, 11.1, 12.0, 12.1 и 13.0. По оценкам экспертов Positive Technologies, обнаруженная «дыра» в перечисленных продуктах делает потенциально уязвимыми не менее 80 тысяч компаний из 158 стран.

«В зависимости от конкретной конфигурации, приложения Citrix Systems могут использоваться для подключения к рабочим компьютерам и критически важным бизнес-системам (в том числе таких классов, как ERP). Практически во всех случаях приложения вендора доступны на периметре сети предприятия, а значит, подвержены атакам в первую очередь. Данная уязвимость позволяет внешнему неавторизованному злоумышленнику не только получить доступ к опубликованным приложениям, но и проводить атаки с сервера Citrix Systems на другие ресурсы внутренней сети атакуемой компании», — говорится в информационном сообщении Positive Technologies.

Отмечается, что компания Citrix Systems уже разработала комплекс оперативных мер, минимизирующих вероятность эксплуатации уязвимости киберпреступниками, а также настаивает на незамедлительном обновлении всех уязвимых версий ПО до рекомендуемых.

Технология VPN-туннелей очень распространена и часто используется для допуска в защищённую корпоративную сеть пользователей, работающих удалённо.

Но совсем недавно появилось сообщение о методе атаки, который позволяет подменять или подставлять пакеты в TCP-соединениях IPv4 и IPv6, пробрасываемых через VPN.

Уязвимость получила порядковый номер CVE-2019-1489, она была обнаружена специалистами из Университета Нью-Мексико. Проблема затрагивает почти все UNIX-like операционные системы: Linux, FreeBSD, OpenBSD, Android, MacOS, iOS и другие.

Применяемые в туннелях алгоритмы шифрования не имеют значения: «поддельные» пакеты хотя и поступают из внешнего интерфейса, но обрабатываются ядром, как принадлежащие VPN-интерфейсу. При наличии дополнительных слоёв шифрования (TLS, HTTPS или SSH) вклиниться в VPN-туннель не получится.

Специалисты продемонстрировали успешную подмену для OpenVPN, WireGuard и IKEv2/IPSec. Tor уязвимости не подвержен, поскольку использует SOCKS и lo-интерфейс. В системах с ядром Linux уязвимость для IPv4 напрямую связана с тем, как настроена функция rp_filter (reverse path filtering). В режиме «Strict» уязвимости нет, но дело в том, что начиная с версии systemd 240 по умолчанию используется режим «Loose».

Для защиты VPN-туннелей с адресацией IPv4 достаточно будет переключиться на «Strict», в остальных случаях рекомендуется блокировать прохождение пакетов, у которых в качестве адреса назначения указан виртуальный адрес туннеля. Это временное решение до тех пор, пока в ядра подверженных уязвимости ОС не будет добавлена защита от описанной атаки.

Модули TPM (Trusted Platform Module) часто устанавливаются в системы, с помощью которых осуществляется обработка конфиденциальной информации. Одна из функций этих модулей — генерация и безопасное хранение ключей шифрования. Для этого на борту модуля имеется отдельный криптопроцессор.

Но, как выяснилось, использование TPM не дает стопроцентной гарантии от утечки данных.

Архитектура криптопроцессора TPM

Группа исследователей, в которую вошли представители Вустерского политехнического института, а также Любекского и Калифорнийского университетов, разработала метод атаки, позволяющий восстанавливать значения закрытых ключей, сохранённых в модуле TPM.

Атака получила название TPM-Fail — она затрагивает как программно-аппаратные решения Intel (CVE-2019-11090), так и модули, построенные на базе чипов STMicroelectronics ST33 (CVE-2019-16863). Исследовали выложили в публичный доступ прототип ПО для атаки, а также продемонстрировали возможность восстановления 256-битного закрытого ключа, который используется в ЭЦП-алгоритмах ECDSA и EC-Schnorr.

Модуль TPM, установленный на системную плату. Версия Infineon, уязвимости нет

В основе новой атаки лежит временной анализ операций в процессе генерирования цифровой подписи. Оценка задержек позволяет получить информацию об отдельных битах, но для успешного восстановления ключа необходимо довольно существенное время.

Это время оценивается в 4-20 минут (до 15 тысяч операций) в случае решения Intel и порядка 80 минут (до 40 тысяч операций) для аппаратных TPM на базе ST33, поскольку для временного анализа необходима генерация нескольких тысяч ЭЦП для уже известных атакующему данных.

STMicroelectronics признала ошибку и сообщает, что в новой редакции криптопроцессора работа алгоритма ECDSA более не даёт задержек, которые можно было бы проанализировать. Интересно, что в аналогичных чипах Infineon и Nuvoton данная уязвимость отсутствует изначально.

Результаты аудита SDK для создания защищённых приложений

Что касается решений Intel, то описываемая проблема затрагивает все процессоры, начиная с поколения Haswell — как мобильные и десктопные, так и серверные. Но компания также признаёт наличие уязвимости и уже в ноябрьском обновлении прошивок она была устранена наряду с 24 другими различными уязвимостями.

Дополнительно стоит отметить публикацию результатов аудита различных средств разработки приложений, работающих с кодом, выполняемых в изолированных анклавах. По результатам выявлено 35 уязвимостей, потенциально позволяющих извлечь из AES-ключи или даже запускать какой-либо вредоносный код. Как выяснилось, архитектура Intel SGX не является единственной уязвимой — потенциально под угрозой находится также и RISC-V Keystone. 

За последние два года количество проблем в области цифровой и кибербезопасности выросло многократно. Не улучшило ситуацию и открытие аппаратных уязвимостей в процессорах.

И потому специалисты по ядру Linux разработали систему для улучшения защиты. Речь идёт о механизме, который позволяет оперативно реагировать на обнаруженные бреши.

witclub.info

Первоначально он был добавлен в Linux 5.3-rc7, а в сборке Linux 5.4 он получил обновление и официальную документацию. 

Процесс работы включает в себя предоставление информации специалистам по безопасности ядра Linux: Линусу Торвальдсу, Грегу Кроа-Хартману и Томасу Гляйкснеру (Linus Torvalds, Greg Kroah-Hartman, Thomas Gleixner). Команда, занимающаяся аппаратными брешами, будет работать независимо от остальных и использовать для общения отдельный, зашифрованный список почтовой рассылки для разработчиков, представителей компаний и других специалистов. 

Всё это позволит в кратчайшие сроки выпускать патчи, которые устраняют те или иные обнаруженные уязвимости. Причём по возможности до  их публичного раскрытия. Во всяком случае, так всё должно работать в теории.

Компания Eclypsium, специализирующаяся на безопасности встроенного программного обеспечения, сообщила в своём блоге, что её эксперты нашли ряд недостатков в контроллере управления системной платой (baseboard management controller — BMC), которые потенциально могли быть использованы для получения удалённого доступа к управлению серверами. 

Уязвимость касается трёх линеек серверных плат Supermicro: X9, X10 и X11. Eclypsium опубликовала результаты исследования только после выхода патчей от производителя. 

Исследователи из Eclypsium обнаружили, как минимум, 4 уязвимости в BMC-контроллере серверных материнских плат Supermicro

Обычно BMC открыты для доступа только из внутренней сети. Это сделано для того, чтобы предотвратить возможные вторжения злоумышленников. Но в некоторых случаях BMC оставляют открытыми для доступа из Интернета, благодаря чему к ним можно получить доступ прямо через веб-браузер.

Уязвимость касается функции «virtual media service», которая позволяет удаленно монтировать образы с USB-устройств, CD или DVD-дисков. При этом допускается аутентификация с помощью пароля, передаваемого в виде открытого текста, а большая часть трафика может идти в незашифрованном виде. Впрочем, и для шифрования используется слабый алгоритм. Всё это в итоге приводит к возможности обхода системы аутентификации, утверждает Eclypsium.

Эти ошибки в архитектуре сервиса позволяют злоумышленнику легко получить доступ к серверу либо путем перехвата пакета аутентификации легитимного пользователя, либо при помощи использования учетных данных по умолчанию, а в некоторых случаях вообще без применения каких-то учетных записей.

«Это означает, что злоумышленники могут атаковать сервер так же, как если бы у них был физический доступ к USB-порту, например, для загрузки нового образа операционной системы или использования клавиатуры и мыши для модификации данных, внедрения вредоносных программ или даже отключения устройства целиком», — пишет Eclypsium в своём блоге.

Согласно Eclypsium, самый простой способ использовать данные уязвимости — это найти сервер с логином по умолчанию и подобрать пароль при помощи грубого бутфорса. В других случаях атаки должны быть более специфичными и направленными.

Обычно доступ к службе виртуальных носителей осуществляется небольшим Java-приложением, которое подключается к TCP-порту 623 в случае Supermicro. Сканирование Eclypsium на порту 623 выявило 47 399 незащищенных BMC по всему миру.

Сейчас Eclypsium находится на волне славы. В июле компания раскрыла уязвимости BMC в материнских платах Lenovo, Gigabyte и некоторых других производителей, а в прошлом месяце обнаружила уязвимости в 40 драйверах устройств от 20 поставщиков, которые можно было использовать для развертывания вредоносных программ.

Если ваши серверы используют материнские платы Supermicro X9, X10 или X11, Eclypsium рекомендует посетить Supermicro Security Center для получения актуальной прошивки, включающей все необходимые исправления безопасности.

Производитель сетевого оборудования Cisco согласился выплатить в пользу американского правительства штраф за продажу программного обеспечения с уязвимостями, о которых было известно компании.

В ноябре 2008 года сотрудник датской компании NetDesign (партнёр Cisco) Джеймс Гленн (James Glenn) предупредил компанию о недостатках в программе Cisco Video Surveillance Manager (VSM), предназначенной для камер видеонаблюдения. По словам Гленна, уязвимости в ПО позволяли злоумышленникам без особого труда проникать в компьютерные системы, в которых функционируют камеры с VSM, а затем получать полный контроль над сетью. Среди заказчиков VSM были гражданские и военные ведомства США. 

Вместо латания дыр в ПО Cisco, как утверждает Гленн, предпочла надавить на NetDesign, в результате чего он был уволен. Компания не устраняла уязвимость до 2012 года, а до 2015-го она не выпускала рекомендации для клиентов, которые пользовались устаревшими уязвимыми версиями ПО. 


В итоге суд западного округа Нью-Йорка постановил, что Cisco нарушила Закон о ложных притязаниях (False Claims Act), поскольку игнорировала предупреждения истца и продолжала заявлять о соответствии камер видеонаблюдения требованиям информационной безопасности.

Cisco согласилась урегулировать иск, заплатив $8,6 млн, в том числе $1,6 млн Джеймсу Гленну и его адвокатам. Остальную сумму получили госучреждения США, которые пользовались Cisco Video Surveillance Manager.

Исследование компании Eclypsium, занимающейся вопросами обеспечения безопасности программно-аппаратных средств, выявило, что контроллер управления системной платой (BMC), поставляемый с серверами производства Lenovo, GIGABYTE и ещё шести компаний, содержит потенциально серьёзные уязвимости.

Исследователи Eclypsium изначально обнаружили бреши в прошивке BMC при анализе сервера Lenovo ThinkServer RD340, но, как  потом оказалось, это не единственная уязвимая серия оборудования.

Дальнейший анализ показал, что уязвимая прошивка была приобретена в качестве готового продукта стороннего производителя под названием MergePoint EMS от Vertiv (ранее Avocent), который также используется во многих корпоративных серверах GIGABYTE. 

Уязвимости также попали в прошивку материнских плат, поставляемых GIGABYTE другим компаниям для их собственных серверов, включая Acer, Amax, Bigtera, Ciara, Penguin Computing и sysGen. Lenovo и  GIGABYTE уже выпустили обновления прошивки, поэтому информация о проблеме стала публичной только сейчас, спустя год после обнаружения. Пользователям рекомендуется проверить версию прошивки на серверах и при необходимости обновить её как можно быстрее. 

«Этот случай выявил важную проблему для отрасли. Большинство производителей аппаратного обеспечения не создаёт свои собственные прошивки, полагаясь вместо этого на своих партнёров в цепочке поставок, — объяснили в Eclypsium. — Прошивка довольно часто лицензируется у стороннего производителя и используется с небольшими изменениями, что позволяет распространять уязвимости на различные бренды и продукты. Для адаптации производители должны тщательно протестировать любую прошивку, которую они лицензируют, на наличие уязвимостей».

Исследователи Eclypsium выявили два типа уязвимостей прошивки BMC. Одна из них связана с тем, что в процессе обновления прошивки не проверяется криптографическая подпись обновления, прежде чем принять его и записать во флеш-память SPI. Вторая проблема заключается в том, что код, отвечающий за процесс обновления прошивки, содержит уязвимость, которую можно использовать для внедрения команд.

Злоумышленник с повышенными привилегиями на хосте может использовать эти баги для выполнения вредоносного кода в BMC от имени администратора и изменения содержимого памяти BMC. Это позволяет сохранять брешь при переустановке операционной системы и предотвращать другие обновления прошивки. По словам Eclypsium, единственный способ избавиться от бреши после атаки — физическая перепрошивка чипа SPI.