W dzisiejszym wydaniu Centrum Bezpieczeństwa obracamy się wokół dużych liczb. Na początek, popularny producent komputerów – firma Dell – ma poważny problem. Z powodu liczącego ponad 12 lat błędu, miliony użytkowników są narażone na atak. Dwa: 30% wszystkich smartphonów na świecie może stać się „punktem wejścia” dla bardziej złożonego ataku. Wszystko za sprawą luki w zabezpieczeniach wykrytej w chipach Qualcomm Mobile Station Modem. Trzy: w serwerach pocztowych Exim wykryto 21 poważnych podatności. Stanowią one swego rodzaju pakiet, więc otrzymały również wspólną nazwę – 21Nails. Czy są to rzeczywiście przysłowiowe gwoździe do trumny? Przekonajcie się sami. W tym wydaniu opisujemy wam również aplikacje, pobrane ponad 100 milionów razy, z zakodowanymi na stałe prywatnymi kluczami Amazon Web Services. W tym miejscu powiemy tylko tyle, że ryzyko cyberataków jest naprawdę duże. Głodni szczegółów? Zapraszamy do lektury.
Alarm dla posiadaczy komputerów Dell – setki milionów urządzeń narażonych na atak
Setkom milionów laptopów, notebooków i tabletów produkowanych przez firmę Dell zagraża zestaw pięciu poważnych podatności, których nie wykryto co najmniej od 2009 r. Luki umożliwiają atakującemu, który uzyskał już wcześniej dostęp do systemu, eskalowanie uprawnień a nawet – w niektórych sytuacjach – na uzyskanie dostępu na poziomie jądra. Przy czym atak może zostać zainicjowany – czyli zdobycie pierwszego przyczółku w systemie – za pomocą czegoś tak ‘trywialnego’, jak złośliwy załącznik.
Błąd w sterowniku DBUtil został wykryty przez zespół SentinelOne. Jest on instalowany i ładowany podczas procesu aktualizacji systemu BIOS na komputerach Dell z systemem Windows. Cztery z pięciu luk w zabezpieczeniach (zidentyfikowanych jako CVE-2021-21551) dotyczy właśnie kwestii podniesienia uprawnień. Ostatnia skutkuje wystąpieniem denial-of-service.
Dwa z błędów powiązanych z eskalacją uprawnień są wynikiem uszkodzenia pamięci, kolejne dwa to efekt braku walidacji danych wejściowych. Tymczasem błąd typu „odmowa usługi” wynika z problemu z logiką samego kodu.
Błędy dają atakującym sposób na ominięcie produktów zabezpieczających, wyczyszczenie dysku twardego lub zainstalowanie złośliwego sterownika na kontrolerze domeny. Atakującym może więc skutecznie uczynić się więc ‘administratorem’ takiego podatnego systemu – zagrożenie jest więc poważne.
Jak naprawić błędy sterowników Dell? Vendor na szczęście wydał już odpowiednie poprawki, które są dostępne na jego stronie – w części Dell Security Advisory DSA-2021-088.
Poważna luka Qualcomm zagraża użytkownikom 30% smartfonów na świecie. W tym od Samsung, Xiaomi, LG czy Google
Bardzo poważna luka w zabezpieczeniach wykryta w chipach Qualcomm Mobile Station Modem (MSM) wykorzystywanych w telefonach komórkowych może umożliwić atakującym dostęp do wiadomości tekstowych, historii połączeń i podsłuchiwania rozmów użytkowników.
Chipy Qualcomm MSM z podatnym QMI są używane w około 30% telefonów komórkowych na całym świecie. Wliczając w to smartfony od takich producentów jak Samsung, Google, LG, OnePlus i Xiaomi. Chip jest wykorzystywany od lat 90. i przez lata był aktualizowany, aby wspierać przejścia z 2G na 3G, 4G, a teraz 5G.
Luka przepełnienia sterty, śledzona jako CVE-2020-11292, znajduje się w interfejsie API usługi głosowej QMI wystawianej przez modem w systemie operacyjnym. Może zostać wykorzystana przez złośliwą aplikację do ukrycia swoich działań „pod” systemem operacyjnym, dzięki czemu jest niewidoczna dla zabezpieczeń wbudowanych w urządzenie.
W skrócie: gdyby luka została wykorzystana, pozwoliłaby osobie atakującej na użycie samego systemu operacyjnego Android jako punktu wejścia. Mogłaby również umożliwić atakującym odblokowanie modułu SIM używanego przez urządzenia mobilne do bezpiecznego przechowywania informacji uwierzytelniających i danych kontaktowych.
Zgodnie z oświadczeniem Qualcomm, poprawki zostały wysłane do producentów smartfonów jesienią 2020 roku. Jednak, podobnie jak w przypadku większości poprawek sprzętowych, będziemy musieli na nie chwilę poczekać.
Większość serwerów pocztowych Exim może zostać zhakowana za pomocą luk 21Nails
Developerzy Exim wydali właśnie łaty mające na celu naprawienie 21(!) luk w zabezpieczeniach, z których pomocą atakujący są w stanie osiągnąć pełne zdalne wykonywanie kodu oraz uprawnienia na poziomie root’a.
Pakiet podatności 21Nails, składa się z 11 błędów, które wymagają lokalnego dostępu do serwera i 10 kolejnych, które już można wykonać zdalnie. Wszystkie wersje serwera Exim wydane po 2004 roku są narażone na atak. Szybkie przeszukiwanie za pomocą Shodan ujawnia, że obecnie dostępnych z online jest ponad 3,86 miliona serwerów Exim – wszystkie są łatwym celem ataku. Pełną listę błędów prezentujemy poniżej.
21Nails: podatności w Exim do wykorzystania lokalnie:
CVE-2020-28007: Link attack in Exim’s log directory
CVE-2020-28008: Assorted attacks in Exim’s spool directory
CVE-2020-28014: Arbitrary file creation and clobbering
CVE-2021-27216: Arbitrary file deletion
CVE-2020-28011: Heap buffer overflow in queue_run()
CVE-2020-28010: Heap out-of-bounds write in main()
CVE-2020-28013: Heap buffer overflow in parse_fix_phrase()
CVE-2020-28016: Heap out-of-bounds write in parse_fix_phrase()
CVE-2020-28015: New-line injection into spool header file (local)
CVE-2020-28012: Missing close-on-exec flag for privileged pipe
CVE-2020-28009: Integer overflow in get_stdinput()
21Nails: podatności w Exim do wykorzystania zdalnie:
CVE-2020-28017: Integer overflow in receive_add_recipient()
CVE-2020-28020: Integer overflow in receive_msg()
CVE-2020-28023: Out-of-bounds read in smtp_setup_msg()
CVE-2020-28021: New-line injection into spool header file (remote)
CVE-2020-28022: Heap out-of-bounds read and write in extract_option()
CVE-2020-28026: Line truncation and injection in spool_read_header()
CVE-2020-28019: Failure to reset function pointer after BDAT error
CVE-2020-28024: Heap buffer underflow in smtp_ungetc()
CVE-2020-28018: Use-after-free in tls-openssl.c
CVE-2020-28025: Heap out-of-bounds read in pdkim_finish_bodyhash()
Eksperci, którzy dokonali odkrycia na ten moment nie zamierzają upubliczniać exploitów. Dlatego administratorzy, których problem 21Nails i Exim dotyczy powinni jak najszybciej zastosować poprawki bezpieczeństwa. Serwery pocztowe to bardzo atrakcyjny cel ataku – doskonale to widać choćby na przykładzie ostatnich MS Exchange zero-day i ProxyLogon. W tym momencie mamy jeszcze czas na bezpieczne wgranie aktualizacji. Warto z tej okazji czym prędzej skorzystać, ponieważ o pierwszych atakach usłyszymy bardzo szybko… Tego możemy być pewni.
Ponad 40 aplikacji o łącznej ilości 100 milionów pobrań ma problem z kluczami AWS
Specjaliści z CloudSEK zidentyfikowali ponad 40 aplikacji o łącznej ilości 100 milionów pobrań, z zakodowanymi na stałe prywatnymi kluczami Amazon Web Services (AWS). Mogło to narazić ich wewnętrzne sieci oraz dane użytkowników na ryzyko cyberataków.
Wyciek klucza AWS został zauważony w tak popularnych aplikacjach, jak Adobe Photoshop Fix, Adobe Comp, Hootsuite, IBM’s Weather Channel oraz Club Factory i Wholee.
Według specjalistów z CloudSEK możliwości nadużyć są tutaj nieograniczone. Atakujący mogą wykorzystać klucze do uzyskania dostępu do całej infrastruktury, w tym bazy kodu i konfiguracji.
Ujawnione klucze AWS dawały dostęp do wielu usług AWS. W tym do usługi pamięci masowej S3, co z kolei otwierało dostęp do 88 bucketów zawierających 10 073 444 plików i danych o wielkości 5,5 terabajta.
W bucketach przechowywano takie dane jak kod źródłowy, kopie zapasowe aplikacji, raporty użytkowników, pliki konfiguracyjne i pliki z danymi uwierzytelniającymi, które można byłoby wykorzystać do uzyskania dalszego dostępu do infrastruktury aplikacji, w tym do baz danych użytkowników.
Firma poinformowała Amazon oraz inne firmy, które dotyczy problem o swoich obawach związanych z bezpieczeństwem.