Seguro esta semana: Dan Kaminsky excluido de las direcciones IPv4 de desarrollo de kernel, ransomware y Pentágono

Esta semana comenzamos con una nota sombría, como Dan Kaminsky falleció a los 42 años., de cetoacidosis diabética. Dan se hizo un nombre al señalar una debilidad en la verificación de la respuesta de DNS que podría permitir a los atacantes envenenar la memoria caché de un sistema de resolución de DNS objetivo. Se conocía un ataque teórico, en el que las respuestas de DNS falsificadas podían entrar en conflicto con las solicitudes, pero los valores de tiempo de vida indicaban que las solicitudes de DNS solo salen una vez cada ocho horas aproximadamente. El punto de inflexión estaba teniendo lugar que la limitación de TTL podría eludirse solicitando subdominios falsos y dirigiendo respuestas falsas a esas solicitudes. Esta sencilla técnica transformó un ataque teórico que habría llevado 87 años en un ataque de 10 segundos en toda regla. Mire el video posterior a la pausa donde Dan habla sobre sus esfuerzos para solucionar el problema.

Lo que puede ser el trabajo más impresionante es la cantidad de diferentes proveedores y mantenedores que ha convencido para que colaboren manteniendo en silencio la vulnerabilidad. Debido a la gravedad del problema, se decidió esperar para publicar los detalles 30 días más después del lanzamiento coordinado del parche. La vulnerabilidad tardó 13 días en filtrarse, pero eso le dio al mundo suficiente tiempo para evitar grandes problemas.

A lo largo de su vida, Dan siempre ha tenido una mentalidad de "salir y arreglarlo" que ha sido una inspiración para otros. La mitad de la razón por la que tenemos DNSSEC hoy se debe al cabildeo persistente entre bastidores de Dan. Era una fuerza para el bien y un pirata informático.

Índice

    Universidad de Minnesota prohibida en Linux

    Una historia se ha estado filtrando por un tiempo y finalmente ha llegado. una prohibición total de los parches de kernel presentados por cualquier persona de la Universidad de Minnesota. Este paso extremo es el resultado de notas de parche mal enviadas para su inclusión en el kernel. La idea original era probar si un kernel era susceptible de que un mal actor enviara un parche malicioso disfrazado de corrección. Se ha escrito un documento en el examen. Las soluciones sugeridas no inspiran confianza, especialmente cuando comienzan recomendando una adición al código de conducta de un proyecto, agregando la promesa de no enviar código malicioso.

    El documento se publicó en 2020, pero la prohibición se produjo hace más de una semana. ¿Por qué? Meses después de que se resuelva el incidente inicial, los parches sospechosos comienzan a llegar desde la misma universidad nuevamente. La explicación fue que estos nuevos parches estaban siendo generados por una nueva herramienta de análisis de código, pero parecían introducir nuevos errores en lugar de corregirlos. Greg KH declaró que el encargado del mantenimiento había perdido suficiente tiempo para ocuparse de los parches y anunció la prohibición. Mis puntos de vista son contradictorios. Hay alguna utilidad en probar la comunidad del kernel contra este tipo de ataque, pero también parece ser la opción correcta para dejar caer el martillo ante una mala conducta repetida.

    El fin de Emotet

    Europol ha descrito a Emotet como "el malware más peligroso del mundo". Estimaciones del Departamento de Justicia de los Estados Unidos 1,6 millones de máquinas formaban parte de esta botnet, pero gracias a la acción de los organismos encargados de hacer cumplir la ley en todo el mundo, ya no es. Para tener una idea del tamaño de la operación para eliminar Emotet, tenga en cuenta que la cantidad de servidores de comando y control (C2) que debían ser puntos de venta fuera de línea numerados por cientos. La acción policial neutralizó la botnet, pero aún existía el problema de que el malware aún se instalaba y ejecutaba en máquinas de todo el mundo.

    La solución fue alojar una serie de servidores C2 que enviaban un nuevo formulario a todos los infectados. El 25 de abril, este módulo de desinstalación eliminó los ganchos de ejecución automática y cerró todos los procesos de Emotet en cada máquina infectada. El proceso parece haber tenido éxito, pero la limpieza aún está en curso. Es decir, se recopilaron 4,3 millones de direcciones de correo electrónico de las máquinas infectadas y se encontraron en los servidores incautados. La policía se asoció con nuestro viejo amigo, [Troy Hunt] por HIBPy esos correos electrónicos ahora son parte de la base de datos de ese servicio.

    Secuestro de datos

    Ha sido una semana muy ocupada en cuanto a noticias sobre ransomware. Apple está lidiando con un archivo $ 50 millones en solicitudes de ransomware. Acer también se enfrenta a una pregunta similar del mismo grupo, REvil. En el caso de Apple, la infracción real parece haber sido en sistemas propiedad de Quanta, uno de los proveedores de Apple. Se ha sugerido que REvil está utilizando vulnerabilidades recientes de Microsoft Exchange para obtener acceso a las redes de destino.

    Los dispositivos de QNAP también se han visto muy afectados. Hemos cubierto algunas de las vulnerabilidades, pero Los esquemas de ransomware se dirigen activamente a dispositivos NAS sin parches. expuestos a Internet. Qlocker es un ataque que destaca por su sencillez. Los atacantes simplemente ejecutaron un comando remoto usando 7zip para generar archivos protegidos con contraseña y parece que han ganado casi $ 300,000 en solo una semana de actividad maliciosa. Un héroe emergió de la historia cuando [Jack Cable] traté de ayudar a un amigo a recuperar los datos e descubrió una vulnerabilidad en el sistema de pago criminal. El uso del ID de transacción, pero con un carácter en mayúsculas, fue suficiente para confundir al sistema y hacer que abandonara la clave de descifrado. Aproximadamente 50 víctimas recuperaron sus datos a través de este truco, antes de que fueran detectados y reparados.

    El misterio de las direcciones IPv4 del Pentágono

    The Washington Post ha iniciado la cobertura de una historia en desarrollo única. Millones de direcciones IPv4 no utilizadas asignadas al Departamento de Defensa de EE. UU. de repente fueron derrotados por primera vez. (Tenga cuidado con el muro de pago, aunque la desactivación temporal de Javascript podría ayudarlo a leer la historia vinculada). La historia es una gran parte del momento, ya que la ruta parecía haberse publicado en los minutos entre la toma de posesión por un presidente y la fecha real. fin de la administración anterior. Mi primera respuesta fue la molestia de que la política se hubiera inyectado en lo que probablemente era una simple historia de seguridad. Parecía que el Post estaba tratando de encontrar una historia sensacional para publicar. Pero el momento fue realmente extraño. Entonces, ¿qué está pasando aquí?

    Primero, repasemos un poco el contexto. El mundo se está quedando sin direcciones IPv4; ya está agotado, dependiendo de cómo las cuente. Aunque técnicamente todos fueron asignados, en los primeros días de Internet, se asignaron bloques de direcciones muy grandes y nunca se utilizaron por completo. Una red de Clase A contiene 16 millones de direcciones, y se distribuyeron como caramelos en los primeros días, y el Departamento de Defensa tiene varias. A continuación, vale la pena señalar que el Congreso consideró obligar al Departamento de Defensa a vender sus direcciones IP no utilizadas. A medida que se agota el suministro, las direcciones IPv4 no utilizadas pueden alcanzar un precio bastante alto en el mercado abierto. La última noticia digna de mención es que solo porque nada está utilizando activamente una dirección IP, todavía hay tráfico de red enrutado hacia y desde allí. Varios gusanos y escáneres de red sondean continuamente todo Internet, y los ataques DDoS suelen utilizar paquetes UDP con direcciones de origen aleatorias. Las sondas y el tráfico de respuesta pueden ser una fuente valiosa de información en tiempo real sobre lo que sucede en Internet.

    Había cobertura ahora de rumores más informadose incluso una respuesta críptica del Departamento de Defensa. El creciente consenso parece ser un trío de explicaciones de lo que está sucediendo. El primero es el más simple. Es bien sabido que la ocupación de IP ocurre y si nadie anuncia rutas de protocolo Border Gateway (BGP) para un espacio IP, es mucho más fácil hacer un mal uso de las direcciones. Al reclamar IP sobre BGP, el DoD protege esas IP. En segundo lugar, es mucho más fácil defenderse de un congreso que quiere privar de recursos, si puede hacer una afirmación válida de que está utilizando esos recursos. Y, por último, parece que parte del Departamento de Defensa está realizando análisis de retrodispersión y ruido de fondo de Internet que se reciben del espacio de red que de otro modo no se utilizaría.

    Hay una pregunta final: ¿Por qué el proyecto se inició literalmente en los últimos minutos de una administración? ¿Fue una especie de sórdida conspiración? No es probable. Un proyecto de esta magnitud tardaría algún tiempo en pasar de la idea inicial a la implementación y probablemente tendría que ser aprobado por una administración de alto nivel. Si bien no estoy seguro de por qué se activó el interruptor tan tarde, creo que es muy probable que si fuera más tarde, gran parte de la burocracia habría tenido que pasar por una segunda vez y la nueva administración tendría que firmarlo.

    Defecto del núcleo de Drupal

    Cubrimos las fallas en las extensiones de Drupal, los complementos de WordPress y los complementos de Joomla. Lo que es bastante raro es una vulnerabilidad grave en el código central de uno de estos proyectos. Esto no quiere decir que no suceda. Caso en punto, Drupal tiene una vulnerabilidad de Cross Site Scripting en su código principal. XSS generalmente viene como una forma para que un usuario inyecte javascript en un comentario, que se ejecuta cuando otros usuarios visitan el sitio. Esto puede ser benigno, como que un usuario se convierta repentinamente en la cuenta más amigable en myspace, o malicioso como un comentario que convierte al comentarista en administrador cuando el propietario del sitio intenta moderar el comentario atrapado. Todavía no hay muchos detalles disponibles sobre esto, pero asegúrese de que sus instalaciones de Drupal estén actualizadas.

    Nuevo y antiguo backdoor de Linux

    Última esta semana, Se ha descubierto algún malware de Linux, y luego se encontró en un archivo enviado desde 2018. Apodado RotaJakiro, esta puerta trasera utiliza un puñado de técnicas para evitar la detección, como la rotación mediante métodos de cifrado al contactar con los servidores de comando y control. Es un poco estresante saber que ha existido durante tanto tiempo sin ser notado hasta ahora. Afortunadamente, hay algunos indicadores simples de compromiso (IoC), como un par de nombres de archivo y cuatro posibles sumas md5 para esos archivos. Pensé que sería interesante documentar el proceso de verificación de un sistema para estos archivos.

    Mi primer pensamiento fue una simple combinación de find para listar todos los archivos en el sistema, luego grep para buscar el nombre del archivo.
    sudo find / | grep systemd-daemon

    Podemos mejorar la situación eliminando el archivo. grep comando, desde entonces find ha incorporado la coincidencia de nombres. Para los puntos de bonificación, utilizamos xargs para seguir adelante y calcular el md5sum cuando se encuentra un archivo coincidente.

    sudo find / -name "gvfsd-helper" -o -name "systemd-daemon" | xargs md5sum

    Existe un problema potencial, si los nombres de las carpetas contienen espacios u otros caracteres especiales, xargs vería los caracteres especiales como una pausa entre las entradas. Afortunadamente, ambos find es xargs tienen un modo delineado nulo, en el que se conservan los caracteres especiales. Los corchetes de escape son necesarios para especificar que el -print0 La bandera se aplica a ambos patrones de nombre especificados.

    sudo find / ( -name "gvfsd-helper" -o -name "systemd-daemon" ) -print0 | xargs -0 md5sum

    Mostré esta línea e inmediatamente la recordé. find también tiene un -exec bandera, que hace uso de xargs superfluo.

    sudo find / ( -name "gvfsd-helper" -o -name "systemd-daemon" ) -exec md5sum {} ;

    Así que esto nos da una simple línea que calculará el md5sum de cualquier archivo con un nombre de archivo sospechoso. Si obtiene una coincidencia, compare los valores de salida con los IoC conocidos. Con suerte, ninguno de nosotros encontrará esto en particular objetable en nuestros sistemas, pero es mejor saberlo.

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Información básica sobre protección de datos Ver más

    • Responsable Johan Alexander Salas.
    • Finalidad  Moderar los comentarios. Responder las consultas.
    • Legitimación Su consentimiento.
    • Destinatarios  Knownhost.
    • Derechos Acceder, rectificar y suprimir los datos.
    • Información Adicional Puede consultar la información detallada en la Política de Privacidad.

    Subir
    Govannom.org utiliza cookies propias y de terceros con fines publicitarios y para mejorar el funcionamiento de su sitio web.    Más información
    Privacidad