Une autre technique d'amplification DDOS vient d'être révélée, NXNSAttack (article technique ici) qui pourrait être utilisée contre les serveurs DNS.

Nous avons déjà couvert les attaques d'amplification. La courte explication est que certains services UDP, comme DNS, peuvent être utilisés de manière abusive pour tirer plus de profit d'une attaque DDoS. Les attaquants usinés envoient des messages comme celui-ci: «Bonjour Google DNS, c'est le serveur Hackaday. Pouvez-vous m'envoyer un très gros paquet de réponse DNS? " Si la réponse DNS est supérieure à la demande, l'attaque globale est donc plus importante. La mesure de l'efficacité est le facteur d'amplification. Pour chaque octet de DDoS envoyé par des machines attaquantes, combien d'octets sont réellement envoyés à la machine victime? Mirai, par exemple, avait un facteur d'amplification d'environ 2,6.

NXNSAttack a un facteur d'amplification théorique par octet de 163. Ce n'est pas une virgule décimale manquante, cela pourrait être un problème assez désagréable.

Pour réussir l'attaque, le méchant doit contrôler un serveur de noms de domaine faisant autorité pour son propre domaine: evil.com. Un DNS innocent est alors demandé l'adresse IP d'une machine aléatoire dans le sous-domaine malveillant. Étant donné que le DNS innocent n'a jamais vu le nom auparavant, il demande à la racine .com serveur pour l'adresse IP du mauvais serveur DNS (ns1.evil.com) puis va y poser la question.

Normalement, le mauvais serveur DNS répondrait avec l'adresse IP de la machine dans son propre domaine, et l'histoire se terminerait joyeusement. Mais ici, le serveur de noms malveillant répond avec les adresses de nombreux «serveurs de noms» dans le domaine cible, tous inventés simplement pour générer du trafic, et dit au serveur DNS innocent d'aller leur demander:nslgb7vX.sucker.com et nseHOiF.sucker.com etc. Voici l'amplification.

De nombreux résolveurs DNS rechercheront l'adresse IP pour chaque «serveur de noms» qu'il reçoit, et le feront en parallèle, car dans des circonstances normales, ces adresses IP sont mises en cache et elles peuvent balayer l'ensemble des serveurs DNS d'un domaine entier en une seule fois et plus besoin de redemander. Donc, le DNS innocent demande à la racine .comserveur pour l'adresse IP du serveur faisant autorité de la cible ns1.sucker.com, où il va rechercher toutes les adresses IP pour les faux serveurs de noms.

Mais comme tous les noms de «serveurs de noms» sont aléatoires et faux, le résolveur innocent est dupé en martelant ns1.sucker.com avec des demandes pour l'adresse IP de chacun de ces faux serveurs de noms. En pratique, cela multiplie par deux les requêtes DNS: 10-20x est plausible. L'attaque complète utilise deux étapes de redirection à partir du serveur de noms maléfique pour établir essentiellement le nombre de demandes, c'est ainsi qu'elles se retrouvent avec un facteur de 163 dans la pratique. Dans ce scénario, le trafic provenant de quelques machines malveillantes peut rapidement submerger l'infrastructure de la victime.

NXNSAttack a été divulgué en privé à une poignée de fournisseurs DNS, donc des atténuations limitées sont déjà disponibles. L'exécution d'un serveur DNS récursif était déjà une tâche difficile, mais il y a maintenant un autre écueil à surveiller.

Une vulnérabilité de 15 ans enfin exploitée

Certaines vulnérabilités sont évidemment exploitables et corrigées dès que possible. Dans d'autres cas, le code peut être techniquement vulnérable, mais d'une manière qui semble extrêmement improbable à être pratiquement exploitable. Il est facile de les ignorer en tant que non-problèmes et de ne jamais faire le travail pour les résoudre. Qmail contenait un trio de failles depuis au moins 15 ans et illustre bien pourquoi il est important de résoudre les problèmes «inexploitables».

2005 a été l'ère où les machines x86-64 ont été mises à la disposition du grand public pour la première fois. Il n'est pas surprenant que certaines hypothèses de programmation soient sûres à faire sur la plate-forme 32 bits et ne soient plus valides sur une machine 64 bits. Qmail a été écrit avec l'hypothèse qu'un tableau ne serait jamais alloué pour plus de 4 Go de mémoire – sans danger à l'ère 32 bits. CVE-2005-1513,1514 et 1515 ont été signalés et rejetés, car atteindre la limite de 4 Go était considéré comme impossible dans tout déploiement par défaut ou raisonnable.

Avance rapide jusqu'au 19 mai 2020 et un moyen d'exploiter ces bogues a finalement été trouvé. Le code vulnérable est également utilisé dans le qmail-local service, qui par défaut n'est pas limité à une quantité de mémoire définie. Un e-mail de 4 Go spécialement conçu peut déclencher le débordement d'entier et conduire à l'exécution de code à distance. Il y a beaucoup de détails juteux dans la rédaction complète, alors vérifiez-le pour plus.

300 000 appareils QNAP vulnérables

QNAP fait un périphérique NAS qui est plutôt populaire auprès des utilisateurs prosommateurs. Allant au-delà du simple stockage de fichiers, ces appareils QNAP ont des fonctionnalités comme un organiseur photo intégré, un lecteur de musique, etc. (Henry Huang) a découvert trois vulnérabilités distinctes qui peuvent être enchaînées pour obtenir une webshell racine. Alors tout d'abord, tous les utilisateurs de QNAP là-bas, allez vérifier les mises à jour!

Maintenant que vous êtes à jour, parcourons la chaîne des exploits. Tout d'abord, une API distante conçue pour interagir avec des exemples d'albums est accessible sans authentification. Un attaquant peut créer un exemple d'album et se voit renvoyer un ID d'album. Les informations de l'exemple d'ID créé sont utilisées pour créer une demande, qui peut lire n'importe quel fichier sur le système de fichiers, bien que les noms de fichiers non numérisés contenant "../../”Caractères de style. Il est utilisé pour lire un jeton de connexion d'application.

Ce jeton est ensuite utilisé pour se connecter, et une autre paire de vulnérabilités permet à un attaquant de déposer du code PHP dans le dossier Web. Il ne reste plus qu'à accéder à la nouvelle page dans un navigateur et le code PHP injecté est exécuté. Comme le serveur Web sur ces appareils s'exécute en tant que root, l'injection d'un shell distant signifie un compromis complet sur l'appareil.

Le défi du million de dollars?

Le réseau social Houseparty, géré par Epic Games, a lancé un défi sur Twitter: fournir la preuve d'une campagne de diffamation sur les problèmes de sécurité sur Houseparty, et ils paieraient une généreuse prime d'un million de dollars.

Cette offre a attiré l'attention de (Zach Edwards), qui a commencé à se pencher sur la sécurité de Houseparty. Ce qu'il a trouvé n'était pas joli. La page de connexion n'utilise aucune politique de sécurité du contenu (CSP). Entre autres, cela signifie qu'il pourrait être intégré dans une page de phishing.

(Zach) a continué à creuser et a découvert un certain nombre de sous-domaines "thehousepartyapp.com" qui ont été détournés. Il semble qu'il existe une campagne sophistiquée de fraude par carte de crédit utilisant ces sous-domaines. L'histoire entière est complexe, et il y a probablement encore plus à l'histoire. Malheureusement, il semble qu'Epic Games ne prenne pas la découverte aussi au sérieux qu'on pourrait l'espérer.

Odds-n-Ends

L'outil TrendMicro Rootkit Remover installe le pilote TrendMicro Common Module. (Bill Demirkapi), qui n'a que 18 ans, a décidé d'y jeter un coup d'œil et a découvert quelques bizarreries. Parmi eux, ce pilote détecte quand il est inspecté par un outil comme Driver Verifier et triche afin de passer le test WHQL. Pour mettre une cerise sur le gâteau de ses recherches, (Bill) décrit un rootkit qui détourne le pilote TrendMicro.

Les superordinateurs sont apparemment la prochaine frontière des logiciels malveillants. Plusieurs machines ont été compromises par ce qui semble être une campagne plutôt sophistiquée – une campagne qui s'efforce intentionnellement de nettoyer les preuves de ses activités. On ne sait pas exactement quel est le but des attaques, mais il est raisonnable de conclure que, aussi chères que soient les superordinateurs modernes, les données qu'elles produisent pourraient potentiellement aussi être d'une grande valeur, dans certaines situations. Pour un bonus spécial, l'article rappelle la ressemblance de cette situation avec "The Cuckoo’s Egg" et le favori de tout le monde, Clifford Stoll. (Je suggère un jeu de boisson Klein Bottle pour chaque mention de Stoll, qui semble être le gars préféré de tout le monde.)

Et enfin, bien qu'une analyse de port ne soit pas un crime, il est un peu grossier pour un site Web d'en exécuter un à partir de votre navigateur, simplement parce que vous l'avez visité. Ebay est l'exemple donné et, fait intéressant, l'analyse n'est exécutée que lorsque le site est accessible à partir d'une machine Windows. Il est suggéré que l'analyse du port vise à découvrir les visiteurs compromis.

LAISSER UN COMMENTAIRE

Rédigez votre commentaire !
Entrez votre nom ici