Poważne błędy w VMware vRealize Operations i Linux / PHP Git zhakowany / Crypto Docker Hub

Witajcie w kolejnej odsłonie Centrum Bezpieczeństwa Xopero. Bohaterowie naszych dzisiejszych newsów nie mieli z pewnością spokojnych świąt wielkanocnych. Część z nich zapewne jeszcze przez pewien czas będzie mierzyć się ze skutkami cyberataków. Jakich dokładnie? Chociażby będących efektem dwóch podatności w VMware vRealize Operations Platform lub (również dwóch) w popularnych dystrybucjach Linux. Co niektórzy mogli również pobrać złośliwe obrazy z Docker Hub, które służyły do cryptominingu – w końcu lista pobrań sięga 20 milionów! Niełatwy tydzień ma za sobą zespół PHP – atakujący próbowali przemycić na ich oficjalny serwer Git backdoora pozwalającego na zdalne wykonanie kodu… 

Chcesz poznać szczegóły?  Sprawdź tekst poniżej! 

VMware z dwoma błędami w platformie vRealize Operations – zagraża Ci RCE i „wypłynięcie” danych administracyjnych

VMware wydał pilną aktualizację zabezpieczeń, która eliminuje luki w vRealize Operations Platform, VMware Cloud Foundation i vRealize Suite Lifecycle Manager. Niezałatane, mogą pozwolić atakującym na przejęcie kontroli nad podatnymi maszynami i kradzież danych uwierzytelniających administratora.

Pierwsza podatność – oznaczona jako CVE-2021-21975 z wynikiem CVSS 8,6 na 10 – została wykryta wewnątrz API vRealize Operations Manager. Jest to błąd związany z fałszowaniem żądań po stronie serwera (SSRF). Pozwala on atakującym z dostępem do sieci na przeprowadzanie ataków SSRF i następnie kradzież danych uwierzytelniających administratora.

Drugi błąd – oznaczony jako CVE -2021-21983 i z 7,2 punktami CVSS – również dotyczy tego samego API. Wymaga on od atakującego posiadania już uwierzytelnienia i dostępu do sieci, które niejako gwarantuje właśnie pierwsza luka. Gdy te warunki zostaną spełnione, błąd umożliwia atakującym zapisywanie plików w dowolnych lokalizacjach Photon OS.

Błędy w vRealize Operations – czy stawka jest wysoka?

– Zdalne wykonanie kodu przed autoryzacją i kradzież danych uwierzytelniających administratora. Atakujący mogą zdalnie wykorzystać lukę bez konieczności uwierzytelniania lub jakiegokolwiek działania po stronie użytkownika. Na szczęście odpowiednie patche są już dostępne. VMware dodatkowo opublikowało również instrukcje obejścia problemu dla administratorów, którzy nie chcą lub nie mogą od razu załatać podatnych na ataki serwerów. Istnieje niestety możliwość, że niektóre wersje nie posiadają stosownej łatki. Szczegółowe informacje o tym, jak to zrobić, są dostępne w Bazie wiedzy vendora.

Źródło

Serwer PHP Git zhakowany w celu dodania backdoorów do kodu źródłowego i przeprowadzenia RCE

Atakujący dokonali próby wszczepienia złośliwego oprogramowania do bazy kodu projektu PHP na serwerze PHP Git. Dwa złośliwe commity zostały przesłane do repozytorium php-src Git utrzymywanego przez zespół PHP na ich serwerze git.php.net.

Commity zostały podpisane nazwiskami znanych programistów PHP – Rasmusa Lerdorfa i Nikity Popova i zamaskowane jako proste błędy typograficzne “fix typo”, które należy rozwiązać. 

Źródło: Bleeping Computer

W wierszu 370 możemy jednak zauważyć próbę wywołania funkcji zend_eval_string, która w rzeczywistości umieszcza backdoor, który umożliwiłby zdalne wykonanie kodu (RCE) na stronie internetowej, działającej w oparciu o przyjętą wersję PHP. 

Popov potwierdził, że zespół PHP nie jest pewien, w jaki sposób dokładnie nastąpił atak. Prawdopodobnie włamano się na oficjalny serwer git.php.net, a nie indywidualne konta Git. 

Niepokojącym jest fakt, że powyższy commit został wykonany rzekomo przez Rasmusa Lerdorfa – autentycznego developera PHP. Okazuje się więc, że w przypadku rozproszonych systemów kontroli wersji, jakim jest Git można podpisać commit jako pochodzący lokalnie od kogokolwiek, a następnie przesłać złośliwy commit na zdalny serwer Git. W efekcie sprawia to wrażenie, jakby rzeczywiście był wysłany przez osobę podpisanę na liście. 

Na szczęście commity zostały wykryte i cofnięte, zanim zostały wypchnięte i wpłynęły na użytkowników. Jednak incydent jest niepokojący, biorąc pod uwagę, że PHP pozostaje językiem programowania, w oparciu o który działa ponad 79% stron internetowych.

Obecnie trwa dochodzenie w sprawie incydentu. Zespół programistów PHP zgodnie zdecydował się również przenieść na stałe do GitHub.

Źródło: 12

Dwie nowe podatności Linux pozwalają wydobyć poufne informacje z pamięci jądra

Dwie nowe podatności – CVE-2020-27170 oraz CVE-2020-27171 –  mają wpływ na wszystkie wersje kernela starsze niż 5.11.8. Pomyślnie „zrealizowane” umożliwiają obejście środków zaradczych w przypadku ataków spekulacyjnych, takich jak m.in. Spectre. W efekcie pozwalają więc wydobyć z pamięci jądra poufne informacje.

Podczas gdy CVE-2020-27170 może być wykorzystywane do ujawniania treści z dowolnego miejsca w pamięci jądra, druga podatność (CVE-2020-27171) może posłużyć do pobrania danych z tylko zakresu 4 GB pamięci.

Jak na początku wspomnieliśmy, nowe luki odkryte przez Piotra Krysiuka z zespołu Threat Hunter firmy Symantec pozwalają przestępcom ominąć zastosowane przez producentów środki niwelujące zagrożenie Spectre. Wykorzystują one fakt, że kernel Linux wspiera eBPF (extended Berkeley Packet Filters) i w ten sposób wyodrębnieniają interesującą ich zawartość z pamięci kernela. Odkryto, że jądro („kernel/bpf/verifier.c”) wykonuje niepożądane spekulacje poza granicami arytmetyki wskaźników, znosząc w ten sposób poprawki dla Spectre i otwierając drzwi dla ataków z wykorzystaniem bocznego kanału.

Nieuprzywilejowani użytkownicy mogą w ten sposób uzyskać dostęp do tajemnic innych użytkowników korzystających z tej samej podatnej maszyny. W praktyce mogą na przykład pobrać na urządzenie malware i dalej zdobędą dostęp do wszystkich profili użytkowników na tej maszynie.

Oficjalne łatki są dostępne do pobierania od 20 marca. Poprawki zostały już także wdrożone przez Ubuntu, Debian, a także Red Hat w ich dystrybucjach systemu Linux.

Źródło

Obrazy w Docker Hub pobrane 20 milionów razy służyły do cryptominingu

Co najmniej 30 złośliwych, publicznie dostępnych obrazów w Docker Hub, z łączną ilością 20 milionów pobrań, zostało wykorzystanych do rozprzestrzeniania szkodliwego oprogramowania wydobywającego kryptowaluty. Szacuje się, że ta sztuczka przyniosła autorom około 200 000 dolarów.

Docker Hub to największa biblioteka aplikacji kontenerowych, umożliwiająca firmom udostępnianie obrazów wewnętrznie lub zewnętrznie – klientom lub społeczności programistów w celu dystrybucji projektów open source.

Aviv Sasson, badacz z Unit 42 w Palo Alto Networks, odkrył, że złośliwe obrazy pochodzą z 10 różnych kont. Niektóre z nich mają nazwy, które jasno wskazują ich przeznaczenie, inne są dość mylące, takie jak „proxy”, „ggcloud” lub „docker”. Niektóre są nadal dostępne w Docker Hub w momencie pisania tego artykułu.

W 90,3% przypadków atakujący prowadzili operacje wydobywania Monero – oczywiście z wykorzystaniem ulubionego w tym obszarze narzędzia – XMRig. Inne operacje dotyczyły kryptowalut Grin (GRIN) oraz ARO (Aronium).

Sasson odkrył, że atakujący w obrazach zastosowali tagi, które są sposobem na oznaczenie różnych wersji tego samego obrazu. Teoretyzował, że tagi są używane do dopasowywania odpowiedniej wersji złośliwego oprogramowania do systemu operacyjnego lub architektury procesora, na które są pobierane. Wspólnym elementem dla wszystkich tagów jest adres portfela lub dane uwierzytelniające puli wydobywczej…

Jest bardzo możliwe, że ta metoda to zaledwie wierzchołek góry lodowej, biorąc pod uwagę, możliwości jakie chmura niesie dla cryptojackingu. O tym szerzej pisaliśmy w Raporcie Cyberbezpieczeństwo: Trendy 2021

Źródło: 1 | 2