»

Namerna ranljivost v xz

Slo-Tech - Inženirji iz Red Hata so v petek opozorili na podtaknjeno ranljivost v knjižnicah xz 5.6.0 in 5.6.1 (izšli 24. februrja in 9. marca), ki vnaša stranska vrata v OpenSSH in systemd. Ranljivost CVE-2024-3094 je ocenjena z najvišjo stopnjo resnosti po CVSS. Ranljiva knjižnica je del Fedore 40 in 41, ki pa še nista uradno izšli - Fedora 40 izide sredi aprila. Prizadeti sta tudi distribuciji Debian Unstable in Kali Linux, večina bolj priljubljenih distribucij pa ne, ker še niso vključili omenjenih verzij xz. Uporaba razvojne verzije Fedora Rawhide je zato trenutno močno odsvetovana. Starejša verzija knjižnice xz 5.4.0 ni problematična.

V Linuxu je xz splošen format za stiskanje datotek. Zlonamerna koda je namenoma prikrita (obfuscated) in vključena le v poln paket - sproži jo makro M4. Preko stranski vrat, ki jih knjižnica uvaja, bi lahko zlonamerni akter zlomil preverjanje pristnosti v sshd in pridobil nepooblaščen oddaljeni dostop do sistema. K sreči so ranljivost odkrili, še preden...

35 komentarjev

Napadi Log4Shell so preplavili svet

Slo-Tech - Poskusi zlorabe ranljivosti v knjižnici Log4j, ki so jo razkrili prejšnji teden, so se v zadnjih dneh močno okrepili, saj varnostna podjetja beležijo prek sto napadov na minuto.

Pretekli petek je bila objavljena huda ranljivost v Apachejevi javanski knjižnici za dnevniško beleženje Log4j, ki napadalcu omogoča izvajanje poljubne kode na daljavo. Problem je dvojen; kot prvo to odprtokodno knjižnico uporablja desetine milijonov računalnikov po svetu, saj je bila zgolj v zadnjih štirih mesecih z javnih repozitorijev pretočena 84-milijonkrat. Med uporabniki so tudi velika informacijska podjetja, kot so Amazon, Cisco, Oracle, Microsoft in IBM. In drugič: zloraba ranljivosti je nadvse enostavna, saj je dovolj, da se sistemu v beleženje vsili določeno zaporedje znakov. To pa pomeni, da jo je preprosto avtomatizirati in v dneh po objavi je število tovrstnih napadov res skokovito naraslo.

V varnostnem podjetju Check Point pravijo, da zaznavajo čez sto napadov na minuto in tudi v Sophosu...

39 komentarjev

Huda ranljivost v knjižnici Apache Log4j se že izrablja

Slo-Tech - V knjižnici Java logging library Log4j so odkrili hudo ranljivost, ki napadalcem omogoči izvesti poljubno kodo v sistemu, do katerega imajo le oddaljen dostop (remote code execution). Prizadeta knjižnica se široko uporablja, objavljena pa je tudi koda, ki omogoča izrabo ranljivosti. Zato ni presenetljivo, da že beležijo primere aktivne zlorabe in napadov na produkcijske sisteme. Popravljena verzija je že na voljo, a smo v veliki meri odvisni od proizvajalcev aplikacij in sistemov, ki uporabljajo Apache Log4j.

Prizadete so verzije od 2.0 do 2.14.1, zato vsem svetujemo nadgradnjo na verzijo 2.15.0. V nekaterih poznejših verzijah (2.10.0 in novejše) se je moč ubraniti tudi z zagonom aplikacije s posebnim stikalom (-Dlog4j2.formatMsgNoLookups=true), kar pa lahko vpliva na funkcionalnost Lookups. Ali je bil neki sistem že tarča napada, lahko preverimo v dnevniških datotekah, ki bodo v tem primeru vsebovale nize ${jndi:ldap://…}. Hekerji že množično iščejo ranljive sisteme. Celo v igri...

22 komentarjev

Huda ranljivost v vseh napravah z Wi-Fi

Slo-Tech - Včeraj dopoldne smo izvedeli za ranljivost, zaradi katere so brezžična omrežja precej manj varna, kot smo to mislili. V protokolu WPA2, ki ga uporabljajo številna omrežja Wi-Fi, so raziskovalci odkrili resno ranljivost, ko omogoča prisluškovanje prometu med napravami, ki so povezane v omrežje. Napad se imenuje KRACK (Key Reinstallation Attacks) in sta ga v danes objavljenem članku opisala raziskovalca z belgijske KU Leuven Mathy Vanhoef in Frank Piessens.

Čeprav je ranljivost velika in so prizadete skoraj vse naprave (od Androida...

72 komentarjev

Hude ranljivosti v Symantecovi programski opremi

Slo-Tech - Googlovi raziskovalci v Projectu Zero so odkrili resne ranljivosti v praktično vseh Symantecovih izdelkih za varovanje računalnikov, in sicer v Norton Security, Norton 360 (ostalih starejših izdelkih pod blagovno znamko Norton), Symantec Endpoint Protection, Email Security, Protection Engine idr. Ranljivosti je že pripoznal tudi Symantec, ki je naštel 17 prizadetih izdelkov, a za zdaj trdi, da še niso opazili nobenih primerov izrabe teh ranljivosti.

Kot so zapisali v Googlu, so ranljivosti resne predvsem zato, ker za okužbo ni potreba nobena interakcija z uporabnikom, ker so ranljive tudi najnovejše verzije programske opreme v privzetih nastavitvah in ker se ob zlorabi zlonamerna koda izvede z najvišjimi...

19 komentarjev

GHOST - resna ranljivost v glibc

Slo-Tech - V Linuxovi knjižnici glibc so odkrili resno ranljivost, ki se je je prijelo ime GHOST (zaradi funkcije GetHOST) in napadalcu omogoča prevzem nadzora nad sistemom. Problematične so funkcije gethostbyname*() (ki kličejo __nss_hostname_digits_dots(), ki je občutljiva na prekoračitev predpomnilnika) v glibc (GNU C Library) v verzijah 2.17 in starejših. Že maja 2013 je sicer izšla verzija 2.18, ki ranljivosti ni več vsebovala, a je tedaj niso prepoznali in označili kot ranljivosti, zato vsi niso izvedli nadgradnje. Qualys so bili prvi, ki so ranljivost tudi identificirali. Prizadeta programska oprema med drugim vključuje clockdiff, procmail, pppd in Exim.

V podjetju Sucuri pa so ugotovili, da so potencialno ranljive vse v PHP napisane aplikacije, ki uporabljajo problematično funkcijo (recimo WordPress), kar bistveno razširi možnosti zlorab, saj je ranljivost mogoče zlorabljati...

25 komentarjev