A trivial to reach stack-based buffer overflow is present in libpam on Solaris. The vulnerable code exists in pam_framework.c parse_user_name() which allocates a fixed size buffer of 512 bytes on the stack and parses a username supplied to PAM modules (such as authtok_get used by SunSSH). This issue can be reached remotely pre-authentication via SunSSH when "keyboard-interactive" is enabled to use PAM based authentication. The vulnerability was discovered being actively exploited by FireEye in the wild and is part of an APT toolkit called "EVILSUN". The vulnerability is present in both SPARC/x86 versions of Solaris and others (eg. illumos). This exploit uses ROP gadgets to disable nxstack through mprotect on x86 and a helper shellcode stub. Tested against latest Solaris 10 without patch applied and the configuration is vulnerable in a default vanilla install. This exploit requires libssh2, the vulnerability has been identified and confirmed reachable on Solaris 10 through 11.0.
Részletek itt.
- A hozzászóláshoz be kell jelentkezni
Hozzászólások
Bohóckodik még itt valaki internetre közvetlenül kirakott Solaris-szal (vagy leszármazottjaival)?
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Nem hinném, de nem is ez az aggasztó. Az egyvektoros támadásokat már csak bot-ok hajtják végre. Ez azért nagy probléma mert a hasonló rendszerek régi és fontos funkciuókat futtatnak, pl banki vagy ipari környezetkben és feltehetően sok helyről elérhető az SSH portjuk, ezek után már csak egy GDPR powered HTTPS titkosított kapcsolat kell egy bönkészőhöz amiben még épp van egy kihasználható sebezhetőség.
Összetett rendszerek esetében komoly veszély lehet. Pldaként említeném a loki-t vagy hasonló SMB hibát kihaszunáló crypter malware kártevőket.
- A hozzászóláshoz be kell jelentkezni
feltehetően sok helyről elérhető az SSH portjuk,
Ezt nem nagyon értettem sose. Miért? Ez kb. olyan, mintha egy bank a páncéltermére csinálna egy utcára nyíló ajtót. Mi ennek az értelme?
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Láttam már itt Magyarországon éles banki rendszert 3 évvel ezelött ami Windows Server 2003 R2-n futott (plusz a vicc, hogy a KVM switch-en jelszó nélkül lehetett rajta garázdálkodni, amikor rákérdeztem azt mondták, hogy "Nem láttál semmit!" ).
Egy nap 24 óra, plusz az éjszaka!
- A hozzászóláshoz be kell jelentkezni
De x86 Solaris banki ipari környezetben? UltraSparc akkor már.
- A hozzászóláshoz be kell jelentkezni
Hű, átaludtam az elmúlt néhány évtizedet. A Solaris már bohóckodásnak számít? :)
- A hozzászóláshoz be kell jelentkezni
A kérdés pontosan úgy hangzott, hogy bohóckodik-e valaki még internetre közvetlenül kirakott Solaris-szal :)
Miért kell egy Solaris SSH portját kiforwardolni az internetre? Másét is, de egy Solaris-ét? Amit lélegeztetőgépen tartanak, a fejlesztése olyan, amilyen, az auditja is, felhasználói bázisából kifolyólag a jövője is kérdéses.
Értem, ha kell, csak azt nem, hogy miért kell, hogy botok célpontja legyen az interneten.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
"...Másét is,.."
- gondolom valahogy azért csak be kellene tudni menni.. :)
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
- A hozzászóláshoz be kell jelentkezni
Számtalanszor végigmentünk már ezen. Millió megoldás van arra, hogy ezt biztonságosan megoldják. Főleg ott, hogy van pénz lóvéra (meg Solarisra).
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Foobareggspam vpn szerinted jobb ?
Amit nem lehet megirni assemblyben, azt nem lehet megirni.
- A hozzászóláshoz be kell jelentkezni
Fejtsd ki, hogy mit jelent a "Foobareggspam vpn".
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Mi a jobb megoldas szerinted ?
Ami mar millioszor volt .
Amit nem lehet megirni assemblyben, azt nem lehet megirni.
- A hozzászóláshoz be kell jelentkezni
Annál, hogy botok a világ bármely pontjáról bármikor rápróbálhatnak egy védetlen Solaris (igen, fontos hogy Solaris) SSH portjára? Bármi.
- egy naprakészen tartott, a disztribútor által folyamatosan karbantartott minimál disztrót futtató login box
- forrás IP szűrés
- vagy, ahol pénz is van Solarisra, ott kifinomultabb Privileged Access Management megoldások, mint pl. a Wallix vagy Balabit stb. termékeinek használata
Ezek mind megoldások lehetnek a botok ellen.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
"Értem, ha kell, csak azt nem, hogy miért kell, hogy botok célpontja legyen az interneten."
Mondjuk HTB-on lehetne Solaris x86 gép is. Uncsi a sok Linux és Widows gépet törni :D Kell a változatosság!
- A hozzászóláshoz be kell jelentkezni
Valaki szólhatna nekik:
http://www.hszk.bme.hu/pictures/ural2.html
http://www.hszk.bme.hu/ural2-basic.html
Azért, egy kissé ciki, ha az ország egyik vezető informatikus-képző egyetemén nem találnak senkit, aki összepattintana egy friss Debian/Ubuntu szervert, vagy bármilyen up-to-date UNIX variánst...
- A hozzászóláshoz be kell jelentkezni
Dehát még épp csak nagykorú lehet..
- A hozzászóláshoz be kell jelentkezni
En ugy emlekszem, hogy 2000-ben mar volt ural2. Szoval legalabb 20 eves mar.
- A hozzászóláshoz be kell jelentkezni
Volt, talan mar 95-ben is. Nem emlekszem pontosan mikor kaptam ra accountot.
De akkoriban meg nem bohockodtunk ssh-val :)
- A hozzászóláshoz be kell jelentkezni
Ezek voltak azok a gépek, amikre az "accountot kaptam" azt jelentette, hogy az ./a.out lefuttatása után már root is lettél. :)
- A hozzászóláshoz be kell jelentkezni
Hihetetlen, hogy ennyire tojnak rá...
- A hozzászóláshoz be kell jelentkezni
Ez még fut? :D
- A hozzászóláshoz be kell jelentkezni
Igen.
- A hozzászóláshoz be kell jelentkezni