Esta semana en seguridad: OpenWrt, ZOOM y Systemd

OpenWrt ha anunciado un problema con opkg, su administrador de paquetes superligero. El hardware de destino de OpenWrt, los enrutadores, causan un desafío de seguridad interesante. Una instalación de Linux que contiene solo 4 MB de memoria de bolsillo es un milagro menor en sí mismo, y se tuvieron que hacer muchos compromisos. En este caso, nos interesa la falta de SSL: una instalación de 4 MB simplemente no puede incluir soporte SSL. Como resultado, el administrador de paquetes no puede confiar en HTTPS para descargas seguras. En su lugar, opkg primero descarga un par de archivos: una lista de paquetes que contiene SHA256 de cada paquete y luego un segundo archivo que contiene la firma Ed25519. Cuando se instala un paquete individual, el hash SHA256 del paquete descargado se puede comparar con el hash proporcionado en la lista de paquetes.

Es un enfoque válido, pero hubo un error descubierto por [Guido Vranken], en cómo opkg lee los valores hash de la lista de paquetes. El espacio principal desencadena una aritmética de punteros cuestionable y, como resultado, opkg cree que el hash SHA256 está simplemente vacío. En lugar de fallar la instalación, simplemente se omite la verificación de hash. ¿El resultado? Opkg es vulnerable a un hombre bastante simple en el medio del ataque.

OpenWrt no realiza instalaciones automáticas ni actualizaciones automáticas, por lo que esta vulnerabilidad probablemente no será objeto de un abuso generalizado, pero podría utilizarse para ataques dirigidos. Un atacante debe estar en condiciones de mitM la conexión a Internet del enrutador mientras se instalan los programas. Independientemente, asegúrese de iniciar la última edición de OpenWrt para aliviar este problema. Via Ars Technica.

Wireguard V1.0

Con la versión de Linux Kernel 5.6 finalmente lanzada, Wireguard finalmente fue bautizado como una versión estable. Curiosamente aparte, Google ha habilitado Wireguard en su Imagen de núcleo general (GKI), lo que podría indicar un soporte más oficial para Wireguard VPN en Android. También he escuchado informes de que una de las comunidades de desarrollo de ROM de Android más grandes también está buscando un mejor soporte a nivel de sistema de Wireguard.

JavaScript enmascarado

JavaScript funciona en el sitio, y había una espina constante en el costado de la buena seguridad. Por ejemplo, recuerde a Samy, el gusano que se apoderó de Myspace en el 2005. Este ataque de cross-site scripting (XSS) utilizó una serie de técnicas para insertar código Javascript en el perfil de un usuario. Siempre que se veía esa página de perfil, el código JS incrustado funcionaba y luego se reproducía en la página desde la que tuvo la desgracia de caer en la trampa.

Hoy tenemos protecciones mucho mejores contra los ataques XSS, y algo así nunca podría volver a suceder, ¿verdad? Aquí está la cuestión, para cada mitigación como política de seguridad de contenido, es un tipo como [theMiddle] que inventa nuevas formas de romperlo. En este caso, afirmó que un CSP menos que perfecto podría superarse codificando JavaScript dentro de .png y descifrándolo para entregar la carga útil.

Systemd

Ah, systemd. Nada parece sacar opiniones apasionadas de la carpintería como una historia al respecto. En este caso se trata de una vulnerabilidad encontrada por [Tavis Ormandy] de Google Project Zero. El error es una condición racial en la que se puede llamar a una estructura de datos encubierta después de que ya se haya publicado. Es interesante porque se puede acceder a esta vulnerabilidad a través de DBus y posiblemente podría usarse para obtener el nivel de root. Se solucionó con systemd v220.

Firmware de Mac

Para aquellos de ustedes que están usando MacOS con hardware de Apple, es posible que desee verificar su versión de firmware. No porque exista una vulnerabilidad particularmente desagradable, sino porque las actualizaciones firmes fallan silenciosamente durante las actualizaciones del sistema operativo. Peor aún: Apple no publica notas de la versión, ni siquiera reconoce la última versión de firmware. Hay disponible una lista de fuentes masiva de las últimas versiones de firmware, y puede intentar convencer a su máquina para que vuelva a intentarlo, y esperar que la actualización del firmware funcione esta vez.

Patito anti-caucho

Google anunció recientemente una nueva herramienta de seguridad, Protección de inyección de pulsación de tecla USB. Supongo que el apodo, UKIP, no es una referencia deliberada a la política británica. De todos modos, este proyecto tiene como objetivo ayudar a proteger contra el infame ataque USB Rubber Ducky, tratando de diferenciar la cadencia de escritura de un usuario real, a diferencia de un dispositivo malicioso que escribe increíblemente rápido.

Si bien el proyecto es interesante, ya hay ejemplos de cómo superarlo, que simplemente ejecuta los scripts con pequeñas pausas entre pulsaciones de teclas. El tiempo dirá si UKIP se está convirtiendo en una herramienta de mitigación útil. (¿Tómalo?)

SMBGhost

¿Recuerda SMBGhost, el nuevo gusano de daños SMB? Bueno, ya hay una explicación detallada y PoC. Esta PoC en particular es solo una subida de privilegios local, pero un ataque de ejecución de código remoto es inevitable, ¡así que asegúrese de arreglarlo!

  • RW versión 0.0.1 dice:

    Supongo que uno podría ver cínicamente el UKIP como un poder de Google para deshabilitar los servidores / hardware de almacenamiento de contraseñas y hacer que las cuentas de Google sean el único inicio de sesión para controlarlas todas.

  • M & Mes dice:

    La solución simple para omitir UKIP simplemente ralentizaría la escritura y agregaría intervalos aleatorios como dijeron.
    Pero UKIP solo pudo ralentizar el caucho lo suficientemente lento como para que no sea adecuado para ese ataque.
    En lugar de tener una velocidad de escritura sobrehumana, podría reducirse a la velocidad humana.

    O simplemente puede prohibir la conexión de nuevos dispositivos a la caja.

    • Alexander Wikström dice:

      El uso de dispositivos HID validados son muy pocos los sistemas que parecen tener.

      La mayoría de los sistemas operativos confían ciegamente en cualquier HID conectado a la computadora y nunca harán preguntas al respecto.
      Que esta es una puerta ampliamente abierta para las operaciones de seguridad es bastante obvio.

      Sin embargo, el patito de goma puede ser parte de un teclado y activarse solo después de cierto tiempo o inactividad. Devolver un sistema de "validación" también es propenso a fallas de seguridad. Así que ni siquiera podemos confiar en algo que ha funcionado a la perfección durante meses. Si uno quiere ser tan paranoico, eso es.

  • Alexander Wikström dice:

    Hacer un patito de goma inútil en la práctica es francamente bastante simple.

    Cualquier pato de goma tendría muy pocas probabilidades de pasar por una contraseña aleatoria corta.
    Es decir, para cambiar la configuración del sistema, se necesitaría pasar una prueba simple para ver si un usuario realmente está realizando la configuración.

    La clave se mostraría con orgullo en la pantalla. (también use texto para hablar en nombre de quienes lo necesiten).

    Incluso una clave relativamente corta, como 5 dígitos, haría que el patito de goma pudiera pasar solo 100.000 pruebas una vez.
    Tecla alfanumérica con 5 caracteres por otro lado, bueno, de repente es mucho más difícil. (aproximadamente 1 en 60 millones. Si tomamos "A" y "a" como el mismo carácter. Pero si nos importan los sombreros, entonces será 1 en 900 millones. También podríamos lanzar otros caracteres como:? =) ( / &% ¤ # "! Etc., lo que hace que sea aún menos probable que el patito de goma relativamente ciego pase nuestra simple prueba).

    (Y en los kernels, algunas pruebas incorrectas harían que el sistema fuera muy escéptico acerca de su confiabilidad. Por lo tanto, informar al usuario sobre el comportamiento extraño del dispositivo).

    Observar la velocidad / cadencia de escritura no siempre es lógico para ser justos.
    En algunas aplicaciones, la cadencia de escritura puede ser francamente extraña para ser justos. Principalmente porque no escribes texto, sino que usas teclas cortas o juegas ... Entonces, obviamente, solo tenemos que preocuparnos por el pato de goma en escenarios donde realmente existe un riesgo.

    • MXB dice:

      Hay un truco de registro para obligar a Windows a solicitar la contraseña de administrador cuando se ejecuta algo que necesita acceso de administrador en lugar del "sí" en el que se puede hacer clic. Derrota a la mayoría de los ataques de escalada.
      No puedo publicar ningún manuscrito ducal interesante ... para probar propósitos ...

  • tomás zerolo dice:

    UKIP? Sin siquiera mirar la cita de TFA, apuesto a que es el 1 de abril. No solo por el acrónimo. Toda la idea es bastante estúpida.

    • Dissy dice:

      Tiene el 10 de marzo. Incluso aparte de eso, no olvide que el 1 de abril fue la fecha de lanzamiento de Gmail.

  • Jeff dice:

    Vine por la pieza ZOOM ...

  • Sheldon dice:

    Er, ¿y Zoom?
    Se menciona en el título, pero no pude verlo en el artículo (en el momento de la lectura, ¡diablos, si lo agregas después del hecho! -_-)

    • Sheldon dice:

      Si alguien quisiera leer algo sobre el zoom, siempre podría golpear Ars Technica como si tuviera toda la suciedad (pasada y presente) sobre ellos y un artículo aún más reciente sobre algunas sugerencias sobre qué hacer si tiene que usarlo. .
      https://arstechnica.com/information-technology/2020/04/security-tips-every-work-from-homer-needs-to-know-about-zoom-right-now/

  • tekkieneet dice:

    > La instalación de Linux, que solo admite 4 MB de memoria de bolsillo, es un milagro independiente
    El comentario se ha vuelto obsoleto porque OpenWRT ya no lo admite.

    FYI: https://openwrt.org/supported_devices
    > ¡NO COMPRE DISPOSITIVOS CON 4 MB FLASH / 32 MB DE RAM si tiene la intención de iniciar una versión de OpenWrt actualizada y segura (18.06 o posterior) en él! Consulte la advertencia 4/32 para obtener más detalles.

    > 1) Los dispositivos 4/32 no tienen recursos suficientes (flash y / o RAM) para proporcionar un funcionamiento seguro y confiable. Vea OpenWrt en dispositivos 4/32, lo que puede hacer ahora.

    > 2) La compatibilidad con OpenWrt para dispositivos 4/32 finalizará después de 2019. Después del 19.07, no se crearán imágenes OpenWrt adicionales para dispositivos 4/32. Vea OpenWrt en dispositivos 4/32, lo que puede hacer ahora.

    • Jonathan Bennett dice:

      La última versión, 19.07.2, todavía tiene firmware creado para dispositivos de 4 Meg, por lo que no está completamente obsoleto. https://downloads.openwrt.org/releases/19.07.2/targets/ath79/tiny/

      Incluso en el maletero, parece que todavía es posible crear firmware para 4 Meg. No espere instalar nada más que LuCI.

  • Paz dice:

    > La instalación de 4 MB simplemente no puede incluir soporte SSL.
    BS

    • Alexander Wikström dice:

      4 MB suena como una gran cantidad de código para ser justos.
      Sin embargo, supongo que una gran parte no sería código, sino bibliotecas bastante grandes de texto legible por humanos para una consola.
      Sin mencionar otras cosas como las claves de cifrado almacenadas localmente para asegurarse de que los certificados SSL y demás realmente funcionen ... Así que 4 MB pueden volverse un poco pequeños rápidamente.

      Pero también creo que probablemente haya suficiente espacio en 4 MB para la compatibilidad con SSL, aunque es posible que deba expulsar algo más en el proceso.

      • Ostraco dice:

        Es posible que ya exista soporte criptográfico en hardware, para mejorar.

      • RW versión 0.0.3 dice:

        Texto comprime 4: 1 si es necesario.

      • Jonathan Bennett dice:

        4 MB es mucho, hasta que te das cuenta de que en 4 MB necesitas hacer coincidir el kernel, la imagen de inicio y el sistema de archivos completo. ¿Qué tamaño tiene el kernel de la máquina que está utilizando ahora? En mi máquina, son 11 MB por sí solos.

    • Jonathan Bennett dice:

      La instalación de 4 Meg OpenWrt no le brindará soporte SSL. libopenssl en sí es 1,4 Megas cuando se comprime, de acuerdo con https://downloads.openwrt.org/releases/packages-19.07/x86_64/base/

  • kdev dice:

    ¡Oh, hermoso sistema * y * vulnerabilidad D-Bus! Puedo escuchar a todos los desarrolladores de Linux de la vieja escuela silbando una melodía "Te lo dije" desde aquí.

  • Kopi.me dice:

    Sawus vio al CEO de Zoom vender todas sus acciones porque no parecía realmente de un extremo a otro. Utilizo Keybase para chatear, sin embargo, no sé nada de videoconferencias. Estoy bien con una VPN sólida que no mantiene registros y usa un DNS personalizado (9.9.9.9) en lugar de un ISP.

  • Ivan Stepaniuk dice:

    Hace unos años, el sitio web la-tecnologia.io le permitía incrustar JavaScript en su perfil, lo que le permitía ejecutar código arbitrario en cuentas extranjeras, ¡oh! Tengo las pegatinas TENÍA camisa, tengo que informarlo

Alejandro Vargas
Alejandro Vargas

Deja una respuesta

Tu dirección de correo electrónico no será publicada.