Samba heeft een zeer ernstige kwetsbaarheid, CVE-2021-44142, dat zojuist is gepatcht in nieuwe releases 4.13.17, 4.14.12 en 4.15.5. Ontdekt door onderzoekers van TrendMicro, weegt deze niet-geverifieerde RCE-bug een CVSS 9.9. De goedmaker is dat het de fruit
VFS-module moet worden ingeschakeld, die wordt gebruikt om MacOS-client- en serverinteroperabiliteit te ondersteunen. Indien ingeschakeld, zijn de standaardinstellingen kwetsbaar. Aanvallen zijn nog niet in het wild gezien, maar ga je gang en laat je updaten, want PoC-code zal waarschijnlijk binnenkort verdwijnen.
Crypto door het wormgat
Een opmerkelijk verkoopargument voor cryptocurrencies en Web3 zijn slimme contracten, kleine computerprogramma's die rechtstreeks op de blockchain draaien en die geld heel snel kunnen verplaatsen, zonder tussenkomst. Het wordt snel duidelijk dat het overduidelijke nadeel is dat dit computerprogramma's zijn die heel snel geld kunnen verplaatsen, zonder tussenkomst. Deze week was er weer een voorbeeld van slimme contracten op het werk, toen een aanvaller heeft voor $ 326 miljoen aan Ethereum gestolen via de Wormhole-brug. Een cryptocurrency-bridge is een service die bestaat als gekoppelde slimme contracten op twee verschillende blockchains. Met deze contracten kunt u aan de ene kant een valuta invoeren en aan de andere kant eruit halen, waardoor valuta effectief wordt overgezet naar een andere blockchain. Om ons te helpen begrijpen wat er mis is gegaan, is [Kelvin Fichter], ook wel toepasselijk bekend als [slimme contracten].
Akkoord. Ik heb de Solana x Wormhole Bridge-hack ontdekt. ~300 miljoen dollar aan ETH stroomde uit de Wormhole Bridge op Ethereum. Hier is hoe het gebeurde.
— slimme contracten (@kelvinficchter) 3 februari 2022
Wanneer de bridge een overdracht uitvoert, worden tokens in het slimme contract op één blockchain gestort en wordt een overdrachtsbericht geproduceerd. Dit bericht is als een digitale betaalrekeningcheque, die u meeneemt naar de andere kant van de brug om te verzilveren. Het andere uiteinde van de brug verifieert de handtekening op de "cheque", en als alles overeenkomt, verschijnt uw geld. Het probleem is dat aan de ene kant van de brug de verificatieroutine kan worden vervangen door een dummy-routine, door de eindgebruiker, en dat de code deze niet opvangt.
Het is een hot check-zwendel. De aanvaller creëerde een vervalst overdrachtsbericht, leverde een valse verificatieroutine en de bridge accepteerde het als echt. Het grootste deel van het geld werd teruggeboekt over de brug, waar geldige tokens van andere gebruikers werden bewaard, en de aanvaller liep weg met 90,000 van die ETH-tokens.
De 9.8 CVE die dat niet was
Omgaan met beveiligingsrapporten kan een uitdaging zijn. Engels is bijvoorbeeld niet de eerste taal van iedereen, dus als er een e-mail binnenkomt met spel- en grammaticafouten, zou het gemakkelijk zijn om deze te negeren, maar soms informeren die e-mails u echt over een ernstig probleem. En dan krijg je soms een melding omdat iemand Chrome's DevTools voor het eerst heeft ontdekt en zich niet realiseert dat lokale wijzigingen niet aan iedereen worden doorgegeven.
CVE-2022-0329 was er een van. Het betreffende pakket is de Python-bibliotheek, loguru
, die pronkt met "Python-logboekregistratie (stom) eenvoudig gemaakt". Een serieuze CVE in een logboekbibliotheek? Het internet zette zich kort collectief schrap voor een ander log4j
stijl probleem. Toen begonnen meer mensen naar de kwetsbaarheidsrapport en bug report, en twijfel doen rijzen over de geldigheid van de kwestie. Zoveel dat de CVE is ingetrokken. Hoe werd een niet-bug als zo'n hoog beveiligingsprobleem beoordeeld dat GitHub er zelfs geautomatiseerde waarschuwingen over uitzond?
De theoretische kwetsbaarheid was een deserialisatieprobleem, waarbij de pickle
bibliotheek, opgenomen als een afhankelijkheid van loguru
, deserialiseert niet-vertrouwde gegevens niet veilig. Dat is een valide probleem, maar het rapport laat niet zien hoe loguru
zou het mogelijk maken dat niet-vertrouwde gegevens op een onveilige manier worden gedeserialiseerd.
Er is hier een concept in het spel, de "luchtdichte luikopening". In elke codebase of elk systeem zal er een punt zijn waarop het manipuleren van programmagegevens kan leiden tot code-uitvoering. Dit bevindt zich achter het luchtdichte luik wanneer het uitvoeren van die aanval al controle over het programma vereist. In dit geval, als u het object dat kunt bouwen pickle
zal deserialiseren, heb je al willekeurige code-uitvoering. Dat wil niet zeggen dat het nooit gepast is om zo'n instantie te repareren, maar dat is codeverharding, niet het oplossen van een kwetsbaarheid.
Dat is waar dit ontspoorde. [Delgan], de ontwikkelaar erachter loguru
was ervan overtuigd dat dit geen echte kwetsbaarheid was, maar hij wilde wat codehardening doen rond het idee, dus markeerde hij het oorspronkelijke kwetsbaarheidsrapport als geaccepteerd. Dit zette de geautomatiseerde machinerie in beweging en er werd een CVE uitgegeven. Die CVE was ingesteld als extreem serieus, gebaseerd op een naïef begrip van het probleem, misschien ook een geautomatiseerde actie. Deze geautomatiseerde razernij ging helemaal door tot aan een Github-advies, voordat iemand eindelijk tussenbeide kwam en de stroom naar de uit de hand gelopen automaat afsneed.
Windows EoP PoC
In januari, Microsoft heeft CVE-2022-21882 gepatcht, een escalatie van bevoegdheden in de Win32-code van Windows. Laat u niet voor de gek houden, het is ook aanwezig in 64-bits versies van Windows. Als je achterloopt met je updates, wil je misschien aan de slag, zoals een Proof-of-Concept is nu weggevallen voor deze bug. Dit is gemeld als een patch-bypass, waardoor dit in wezen hetzelfde is onderliggend probleem als CVE-2021-1732.
QNAP Forced heeft een update gepusht
En gebruikers zijn aangevinkt
QNAP en andere NAS-fabrikanten zijn gedwongen om hun beveiligingsspel op te voeren, aangezien deze stijlapparaten het zoveelste verleidelijke doelwit zijn geworden voor ransomware-dieven. Dus toen QNAP een fout ontdekte die werd uitgebuit in de "deadbolt"-malwarecampagne, kozen ze ervoor om de update geforceerd door te geven aan elke gebruiker die automatisch bijwerken had ingeschakeld. Dit betekent dat waar updates normaal gesproken zouden worden geïnstalleerd en om toestemming vroegen om opnieuw op te starten, deze spontaan opnieuw opstartte, wat in het ergste geval mogelijk gegevensverlies veroorzaakte.
QNAP heeft hun mening gegeven in een Reddit-thread over het onderwerp, en er is enige onenigheid over hoe dit precies werkte. Ten minste één gebruiker is vrij nadrukkelijk dat deze functie is uitgeschakeld en dat de update nog steeds automatisch wordt geïnstalleerd. Wat gebeurd er?
Er is een officieel antwoord. In een eerdere update is een nieuwe functie toegevoegd, de Aanbevolen versie. Dit dient als een automatische update, maar alleen als er een serieus probleem is. Dit is de instelling die gedwongen pushen toestaat, en deze staat standaard aan. (Eerlijk gezegd stond het in de patch-opmerkingen.) Omgaan met updates op dergelijke apparaten is altijd moeilijk, en de dreigende dreiging van ransomware maakt het nog plakkeriger.
Dus wat denk je, zorgde QNAP gewoon voor klanten? Of was dit vergelijkbaar met het bericht van vernieling van het huis van Arthur Dent, gepost in de kelder op de bodem van een afgesloten archiefkast in een niet meer gebruikte toilet met een bordje op de deur met de tekst 'Pas op voor de luipaard'? Laat het ons weten in de comments, of als Discord jouw ding is, het nieuwe kanaal gewijd aan de kolom!
- 000
- 9
- Over
- Account
- over
- Actie
- adviserend
- Alles
- al
- Nog een
- rond
- Aanvallen
- geautomatiseerde
- wezen
- blockchain
- schept
- BRUG
- Bug
- bouw
- Campagne
- verzorging
- Contant geld
- het worstelen
- controleren
- Account controleren
- code
- Coindesk
- opmerkingen
- contract
- contracten
- kon
- crypto
- cryptocurrencies
- cryptogeld
- Valuta
- Klanten
- gegevens
- Data Loss
- omgang
- Ontwikkelaar
- systemen
- DEED
- anders
- digitaal
- onenigheid
- ontdekt
- Nee
- dollar
- beneden
- Val
- Engels
- ETH
- ethereum
- iedereen
- alles
- voorbeeld
- uitvoering
- Kenmerk
- Tot slot
- Voornaam*
- eerste keer
- Bepalen
- fout
- fondsen
- spel
- GitHub
- gaan
- Grammatica
- houwen
- met
- hier
- Hoge
- Huis
- Hoe
- HTTPS
- idee
- inclusief
- Internet
- IT
- Januari
- bekend
- taal
- leiden
- Bibliotheek
- lokaal
- opgesloten
- op zoek
- macos
- Meerderheid
- maken
- malware
- Microsoft
- miljoen
- geld
- meer
- beweging
- nieuwe functie
- Opmerkingen
- officieel
- Overige
- Patch
- Mensen
- Spelen
- PoC
- energie
- presenteren
- probleem
- geproduceerd
- Programma
- Programma's
- Python
- vraag
- ransomware
- Releases
- verslag
- Rapporten
- lopend
- besparing
- Oplichterij
- veiligheid
- zin
- service
- reeks
- het instellen van
- slim
- slim contract
- Slimme contracten
- So
- solarium
- Iemand
- gestart
- stola
- stijl
- ondersteuning
- system
- doelwit
- niet de tijd of
- tokens
- Overbrengen
- bijwerken
- updates
- us
- gebruikers
- Verificatie
- versie
- kwetsbaarheid
- Kwetsbaar
- Web3
- week
- weegt
- Wat
- ruiten
- zonder
- Mijn werk
- werkte
- waard
- zou
- X