Security Week 34: Полковника ніхто не патчіть

Ця тиждень у світі інформаційної безпеки видалася сумна. Після веселої вечірки різних багів, зіро-дєєв та іншої дослідницької смакоти настало тяжке похмілля впровадження свежеобнаруженного у уразливий софт. А це така дуже важлива тема, але нудна донезмоги. Коли редакція нашого сайту Threatpost надсилає добірку важливих новин, в яких три ключові — про латання дірок, у мене починається смуток і туга.

Ні, тема-то правда важлива! Знайти уразливість складно, але ще складніше її закрити, нічого при цьому не зламавши. Завжди знайдеться десяток причин, чому випуск заплатки неможливий прямо зараз, в поточному кварталі або взагалі, в принципі неможливий. А проблему треба вирішувати. У сьогоднішній добірці security-новин — три різні теми про те, як уразливості залишаються незакритими. Нагадую правила: щотижня редакція новинного сайту Threatpost вибирає три найбільш значущих новини, до яких я додаю розширений і нещадний коментар. Всі епізоди серіалу можна знайти тут.

Ще одна уразливість у Android, на цей раз в Google Admin
Новина. Дослідження компанії MWR.

Що знайшли?
Ви вже помітили, що новини про уразливості валяться пачками? Зламали автомобіль? Давайте знайдемо ще десяток дірок в машинках. Приблизно за тією ж схемою будується новинний фон навколо Android. Спочатку Stagefrightпотім пари дірок поменше, тепер ще ось, Google Admin(com.google.android.apps.enterprise.cpanel) і втеча з шоушенка сэндбокса. Google Admin — одне з системних додатків Android — може приймати URL від інших додатків і, як з'ясувалося, адреси приймаються майже будь-які, в тому числі і починаються з «file://». В результаті чисто мережева діяльність завантаження веб-сторінок в Android WebView починає приймати риси файлового менеджера. Але адже всі додатки в Android ізольовані один від одного? А ось і ні, у Google Admin пріоритет вище, і змусивши його прочитати «неправильний» URL, додаток може пісочницю обійти і отримати доступ до чужих даними.

Як закривали
Насамперед варто розповісти, як незалежні дослідники розкривали інформацію. Дірка була виявлена ще в березні, і тоді ж інформація про неї була передана в Google. П'ять місяців потому дослідники втретє поцікавилися у вендора, «як справи», і з'ясували, що уразливість так і не закрита. 13 серпня інформація була опублікована, а 17 серпня Google таки випустила патч.

До речі, у Google є своя команда дослідників, яка знаходить вразливості не тільки у власному софті. Проект Зеро витримує паузу в 90 днів перед розкриттям інформації, і по ідеї за ті ж три місяці Google повинен патчити сам себе. Але у випадку з Google Admin, по-перше, щось пішло не так, а по-друге ми всі знаємо, що випуск патча для Android зовсім не вирішує проблему на всіх підданих уразливості пристроях. Кажете, щомісячні апдейти безпеки? А півроку на розробку патча якщо додати? Ось-ось.



Незакрита уразливість в SCADA Schneider Electric
Новина. ICS-CERT Advisory.

Ласкаво просимо у світ критичної інфраструктури! Проходьте, сідайте, не чіпайте великий червоний рубильник і не відірвіть стирчать дроти. Так, вони тут так стирчать. Це нормально. Завжди так було. Але якщо відірвати, все буде погано. Системи SCADA (або, по-нашому, АСУТП) — це особлива інфраструктура, часто контролює критичні важливі системи — від котельні в будинку до атомної електростанції. Такі штуки зазвичай не можна виключати, змінювати там якісь параметри, і взагалі краще їх не чіпати. Рекомендую почитати нашу програмну статтю по темі. А поки зупинимося на тому, що, незважаючи на унікальність, для управління інфраструктурою часом використовуються звичайні комп'ютери, зі звичайною Windows. На відміну від типового офісу, де всі комп'ютери і сервери змінюються приблизно раз на п'ять років, який-небудь робот на автозаводі або центрифуга, що відокремлює один надзвичайно небезпечний хімікат від іншого, можуть працювати десятиліття.

Що знайшли?
І ось в подібній системі виробництва компанії Schneider Electric з романтичною назвою Modicon M340 PLC Station P34 CPU знайшли ряд вразливостей, в тому числі дозволяють отримати віддалений контроль над (чим би ця система не управляла). Серед них знайшовся приклад хронічної хвороби подібних пристроїв, а також різноманітних роутерів і речей з інтернету речей: hard-coded credentials. Що конкретно було hard-coded в SCADA-системі, за зрозумілих причин не розкривається, але зазвичай це дефолтна пара логін-пароль, яку вендор залишає для зручності обслуговування. Або забуває забрати тестовий логін коду. Або ще що-небудь подібне відбувається.

Як закривали?
Поки що ніяк. З моменту презентації дослідника Адітьї Суду на DEF CON минуло вже більше двох тижнів, але патча від вендора поки немає. Виробника таких пристроїв теж можна зрозуміти: і так непросте завдання оновлення уразливого ЗА ускладнюється тим, що як правило будь-якої простої техніки, керованої системою АСУТП, приносить власникові величезних збитків, а іноді це просто неможливо зробити. І ось на який термін потрібно зупиняти техпроцес, щоб охопити патч? А воно потім точно запрацює? А чи були враховані всі можливі особливості застосування схильних пристроїв? Загалом, вкрай непроста тема, що не скасовує необхідність латати дірки. Вже не раз було показано, що відключення критично важливої інфраструктури від інтернету або закриття файерволом ні від чого не рятує.


Розробники слухають киноут з інформацією про уразливості у їх коді.

Незакрита уразливість в Mac OS X
Новина.

Знову піднімаємо тему відповідального розкриття інформації. У випадку з вразливістю Google дослідники чекали майже п'ять місяців, перш ніж публікувати інформацію, хоча сама Google чекає максимум 90 днів. А скільки взагалі потрібно чекати? Скільки часу давати розробнику на закриття вразливості? Чи Не вийде так, що вендор буде нескінченно просити відсунути термін публікації, і тільки оприлюднення мотивує його в достатній мірі, щоб випустити патч? Загалом, тут немає якогось стандартного терміну очікування, але все більш-менш згодні, що розкривати деталі уразливості, не повідомивши попередньо розробника — ну якось зовсім неправильно.

Що знайшли?
І ось вам приклад, коли вендора то повідомили, чи ні. То повідомили за якийсь короткий термін, так що він і не встиг зреагувати. 18-річний італійський дослідник Лука Тодеско виклав інформацію про серйозної уразливості в Mac OS X Yosemite і Mavericks (10.9.5 — 10.10.5), що дозволяє отримати root-привілеї на атакованої машині. Не віддалено — користувача потрібно умовити завантажити і запустити експлойт, але як показує практика, умовити зазвичай виходить. Додається і proof of concept — загалом бери і користуйся.

Як закривали?
Поки що ніяк. За словами дослідника, на неодноразові запити до Apple ніхто не відреагував. Сам же дослідник порівняв свою публікацію з розкриттям інформації про новий метод джейлбрейка — мовляв, нічого страшного.



Досить спірне порівняння, адже джейлбрейк — це така штука, на яку зазвичай йдуть люди, які точно знають, що вони роблять. Неможливо змусити власника iPhone зробити джейлбрейк, якщо він того не хоче. З вразливістю Тодеско — можливі варіанти. Не дивно, що дослідника розкритикували:



Поки відомо, що уразливість не зачіпає нову версію Mac OS X El Capitan. Чекаємо патчів.

Що ще сталося:
Microsoft закрив діру в Internet Explorer (ну хоч хтось щось закрив). Строковими out-of-band патчем, вже другим за останній місяць.

Дані користувачів з сайту знайомств Ashley Madison, які раніше вкрали, тепер остаточно витекли в мережу.

«Лабораторією Касперського» розкрита велика кибершпионская кампанія з численними жертвами в Японії. Примітно, що кібершпигунів, які працюють вже мінімум пару років, значно активізувалися цього літа, коли змогли дістатися до експлойта, вкраденого з Hacking Team.

Давнину:
«Justice»

Дуже небезпечний, вражає COM-файли при зверненні до них функціями DOS 43h, 4Bh, 3Dh, 56h. Записується у кінець файлів і змінює 5 байт їх початку (NOP; NOP; JMP Loc_Virus). COMMAND.COM заражається по алгоритму вірусу «Lehigh». Періодично направляє записується на диск інформацію в сектор з іншим номером. Містить текст: «AND JUSTICE FOR ALL». Перехоплює int 13h і int 21h.

Цитата по книзі «Комп'ютерні віруси в MS-DOS» Євгена Касперського. 1992 рік. Сторінка 72.

Disclaimer: Дана колонка відображає лише приватна думка її автора. Воно може збігатися з позицією компанії «Лабораторія Касперського», а може і не збігатися. Тут уже як пощастить.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.