Nous n'avons pas pu résister, d'accord?
XKCD obligatoire

Sudo est un utilitaire Linux très important, ainsi que la source d’innombrables blagues. Ce qui n’est pas une blague, c’est CVE-2021-3156, une vulnérabilité sérieuse autour de la mauvaise gestion des caractères d’échappement. Ce bogue a été découvert par des chercheurs de Qualys et se trouve dans la base de code sudo depuis 2011. Si vous n’avez pas mis à jour votre machine Linux depuis quelques jours, vous pouvez très bien exécuter le binaire sudo vulnérable. Il existe un simple one-liner pour tester la vulnérabilité:

sudoedit -s '' `perl -e 'print "A" x 65536'`

En réponse à cette commande, ma machine renvoie cette erreur, ce qui signifie qu’elle est vulnérable:

malloc(): corrupted top size
Aborted (core dumped)

Pour comprendre le problème avec sudo, nous devons comprendre les caractères d’échappement. Cela se résume vraiment aux espaces dans les noms de fichiers et de dossiers, et comment les gérer. Vous souhaitez nommer votre dossier «Mes trucs»? C’est bien, mais comment interagissez-vous avec ce nom de répertoire sur la ligne de commande, lorsque les espaces sont le délimiteur par défaut entre les arguments? Une option consiste à l’envelopper entre guillemets, mais cela vieillit rapidement. La solution Unix consiste à utiliser la barre oblique inverse comme caractère d’échappement. Par conséquent, vous pouvez vous référer à votre dossier de fantaisie comme My Stuff. Le shell voit le caractère d’échappement et sait interpréter l’espace comme faisant partie du nom du dossier, plutôt que comme séparateur d’arguments. Les personnages d’échappement sont un emplacement de vulnérabilité courant, car il existe de nombreux cas extrêmes.

Sudo ne fait pas exception. Le cas limite ici est un deuxième bug. le sudoedit La commande lance sudo en mode éditeur et est censée être équivalente à sudo -e. En fait, sur de nombreux systèmes, sudoedit est un lien symbolique vers sudo. Le problème est dans le code d’analyse de la ligne de commande. Si vous essayez d’invoquer sudo avec les indicateurs -e et -s, il traite la commande comme invalide et imprime utilement les notes d’utilisation. Cependant, quand sudoedit est utilisé pour lancer le mode éditeur, l’indicateur -s peut également être spécifié, mettant sudo dans un état non intentionnel, avec un comportement non défini. Après avoir examiné la vulnérabilité, je suis convaincu que c’est le plus grave des deux bogues. Il y a probablement pas mal d’autres vulnérabilités qui pourraient être trouvées en raison de la possibilité de mettre sudo dans deux modes de fonctionnement à la fois.

L’autre problème est de savoir comment sudo gère un caractère d’échappement sans caractère suivant à échapper. Le code saute sur la terminaison de la chaîne nulle et continue de copier les caractères. Dans un mode d’utilisation normal, ce code est impossible à exécuter de cette manière étrange, mais à cause de l’état bizarre du double mode, ce bogue peut être exploité.

Des versions mises à jour de sudo ont été livrées dans les principales distributions, alors assurez-vous de mettre à jour! Heureusement, bien qu’il existe une preuve de concept à une seule ligne qui plantera sudo, aucun code d’exploitation réel n’a été publié. Cependant, des POC d’exploitation complets seront probablement bientôt disponibles.

Chargez une page Web, obtenez des informations

Apple a publié un avis sur ce qui semble être une chaîne d’attaques trouvée dans la nature contre la plate-forme iOS. La chaîne est un trio de CVE, deux dans le webkit et un dans le noyau. Il s’agit probablement du travail d’un autre acteur parrainé par l’État, qui a mis en place la chaîne d’attaque pour recueillir des informations sur un groupe spécifique de personnes. Les deux CVE webkit sont probablement un RCE initial et un échappement sandbox. Le noyau vuln est ensuite utilisé pour élever les privilèges système et exécuter le logiciel espion. Il est courant de voir ces packages malveillants s’exécuter uniquement en mémoire et de ne pas apporter de modifications permanentes au système d’exploitation de l’appareil. Si le reste de l’histoire est publié, nous pouvons revenir et vérifier l’exactitude de mes suppositions.

Brazill perd toute la base de données des contribuables

Ce n’est peut-être pas la plus grande fuite de base de données pour la taille brute, mais cela doit établir un record par habitant. L’une des agences gouvernementales brésiliennes semble avoir laissé échapper sa base de données (en portugais), alors que 220 millions d’enregistrements du numéro CPF, du nom complet et de la date de naissance flottent du côté le plus sombre d’Internet. Ce sont probablement les informations d’identification de chaque citoyen brésilien vivant, et même de certains qui ne sont plus parmi nous, car leur population officielle n’est que de 213 millions d’habitants. Si les utilisations immédiates du phishing ciblé et de la fraude sont évidentes, il sera intéressant de voir quels sont les effets à long terme de la publication de l’équivalent du numéro de sécurité sociale de chacun.

Et pour ne pas être en reste, le site de rencontre MeetMindful a également divulgué toute sa base de données d’utilisateurs. S’il y a une lueur d’espoir pour les utilisateurs du site, c’est qu’aucun message privé ou image n’a fait partie de la fuite.

Dovecat. Attends quoi?

Récemment, un utilisateur Synology et un utilisateur QNAP ont découvert un dovecat processus d’ancrage de leurs processeurs de périphérique à 100%. Quel est ce processus étrange, essayant maladroitement de ressembler à un démon de messagerie innocent?

Heureusement [Matthew Ruffel] a déjà fait une analyse sur ce malware. Dovecat n’est rien de plus que le mineur de crypto XMRig open source, avec une configuration codée en dur. Il est très possible que tout système doté d’un processus dovecat contienne également le malware «hy4». Ce qui pourrait être le plus fascinant dans cette petite campagne de logiciels malveillants de crypto-minage, c’est qu’elle semble cibler les appareils NAS. Alternativement, il peut simplement cibler des serveurs SSH avec des mots de passe faibles.

Retrait de NetWalker

L’image de droite a attiré mon attention, car il y a juste eu une poignée de retraits de pages TOR réussis comme celui-ci. L’infrastructure NetWalker a été saisie, ainsi que plus de 450000 $ en crypto-monnaie. Un citoyen canadien a été arrêté dans le cadre de l’opération.

Krebs a plus de détails sur cette histoire. NetWalker est un système de ransomware, et a été appelé «ransomware-as-a-service». Il reste à voir si la tête de ce serpent en particulier a été coupée, ou si à la place c’est une hydre, et qu’elle réapparaîtra tout de suite.

Odds’n’ends

VLC a publié la version 3.0.12. La plupart des changements dans le journal des modifications sont des corrections de bogues normales, la prise en charge des processeurs conçus par Apple étant la nouvelle fonctionnalité la plus remarquable, notez que cette version a également corrigé «certains problèmes de sécurité». Quels problèmes pourraient-ils être? Bien que nous n’ayons pas les détails précisés, le bulletin de sécurité signale une paire de débordements de tampon et certains pointeurs invalides sont déréférencés. En termes clairs, ces bugs pourraient probablement être utilisés pour créer un exploit qui se déclenche à la suite de la visualisation d’une vidéo.

Les forums IObit ont été violés récemment et la base de données des utilisateurs est utilisée pour diffuser des ransomwares. Pour rendre l’ensemble du système encore plus légitime, l’attaquant a hébergé le programme d’installation malveillant sur le site compromis. Voici où l’histoire prend une tournure humoristique. Le processus de rançon est également un système de ponzi crypto-monnaie! Vous nous envoyez 200 pièces DERO pour décrypter vos fichiers, et une fois que DERO atteint 100 $ la pièce, nous vous renverrons 500 $ de pièce. C’est un retour sur investissement 5X!

Drupal vient de publier une mise à jour qui corrige une vulnérabilité potentiellement grave. le Archive_Tar La bibliothèque est utilisée dans le cœur de Drupal et contenait une vulnérabilité de traversée de répertoire, CVE-2020-36193. Cela signifie généralement que même si une archive est décompressée dans un répertoire sûr, elle peut écraser des fichiers importants ailleurs sur le serveur. Quoi qu’il en soit, Drupal considère qu’il s’agit d’un problème critique et recommande une mise à jour immédiate.

LAISSER UN COMMENTAIRE

Rédigez votre commentaire !
Entrez votre nom ici