r   e   k   l   a   m   a
r   e   k   l   a   m   a

10/10 w skali CVSS: przez błąd w UDP zdalny exploit Linuksa i Androida

Strona główna AktualnościBEZPIECZEŃSTWO

CVE-2016-10229 – tak, bez żadnych specjalnych, chwytliwych nazw, oznaczono lukę w linuksowym kernelu, która pozwala napastnikowi na zdalne uruchomienie kodu, i to z uprawnieniami administratora, poprzez manipulowanie ruchem sieciowym po protokole UDP. Podatność dotyczyła większości dostarczanych na rynek kompilacji linuksowego kernela, od wersji 2.6 do 4.5. Łatki dostarczono po cichu, co miało zostać zaktualizowane, zaktualizowane już zostało w poprzednich tygodniach. Ale wcale nie oznacza to, że możecie się cieszyć.

Liczba podłączonych do sieci urządzeń, na których działa linuksowy kernel, idzie w setki milionów. Ile z nich należy tak naprawdę do botmasterów, którzy przejęli je na potrzeby cyberataków – tego nie wiadomo, ale nawet pomniejsze botnety potrafią narobić kłopotów, ostatnio jedna z amerykańskich uczelni przez 54 godziny była odcięta od sieci DDoS-em, w którym wykorzystano niespełna 10 tys. urządzeń. Nie łudźmy się, oprogramowanie większości tych urządzeń nigdy nie będzie zaktualizowane, tak więc z roku na rok w miarę odkrywania nowych podatności, liczba zarażonych końcówek Internetu Rzeczy może tylko rosnąć.

O co chodzi w tej luce?

Wspomniany na początku atak wydaje się naprawdę dziwaczny. W opisie luki możemy przeczytać, że wskutek błędu w udp.c, spreparowany ruch sieciowy UDP może wywołać niebezpieczne drugie przeliczenie sum kontrolnych podczas wywołania funkcji recv() z ustawioną flagą MSG_PEEK, prowadząc do uszkodzenia pamięci, przez które uruchomić można własny kod z poziomu kernela. Łatwo odkryć, że to bardzo typowe wywołanie – wyszukiwarka kodu Debiana zwraca około 140 wystąpień, w ważnych bibliotekach systemowych (np. glibc) i popularnych narzędziach (git, wget, lftp, tinyproxy).

r   e   k   l   a   m   a

Dlaczego dwukrotne przeliczenie sumy kontrolnej dla UDP może doprowadzić do takiej masakry, nam trudno jest powiedzieć. My to nic, gorzej, że nie rozumieją tego takie tuzy w dziedzinie bezpieczeństwa IT jak Tavis Ormandy z google’owego Projektu Zero. Zapewne takie są uroki programowania w C, języku dogłębnie niebezpiecznym.

Komu łatka, komu?

Samą lukę odkrył pod sam koniec 2015 roku Eric Dumazet z Google, a łatka do kodu Linuksa trafiła kilka dni później. Mimo tego do popularnych dystrybucji trafiła dość późno, np. Ubuntu dostało ją dla wspieranych kerneli dopiero w październiku zeszłego roku, podobnie jak i Debian. Co ciekawe, kernele przygotowywane przez Red Hata nigdy tej luki nie miały, więc najważniejsza komercyjna dystrybucja Linuksa nigdy łatek dla niej nie dostała.

Podatny za to był Android. Google załatało lukę odkrytą przez swojego pracownika na przełomie 2015/2016 dopiero na początku kwietnia 2017 roku. Ręka w górę, kto otrzymał już na swoich androidowych urządzeniach kwietniowe łatki. Wiadomo, użytkownicy smartfonów Pixel i Nexus, ostatnio także wspieranych wciąż urządzeń Samsunga i LG. Co z pozostałymi? Sprawdzając sprzęt w swoim domu, autor newsa znalazł dwa podatne androidowe smartfony, jeden router (pracujący jako repeater Wi-Fi), jeden dysk sieciowy i jeden odtwarzacz multimedialny.

Na pocieszenie można powiedzieć, że na razie nie wiadomo nic o zautomatyzowanych narzędziach, które exploitowałyby tę ocenioną na 10,0 w dziesięciopunktowej skali CVSS lukę. Na razie.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.   

Trwa konkurs "Ogól naczelnego", w którym codziennie możecie wygrać najnowsze maszynki systemowe Hydro Connect 5 marki Wilkinson Sword.

Więcej informacji

Gratulacje!

znalezione maszynki:

Twój czas:

Ogól Naczelnego!
Znalazłeś(aś) 10 maszynek Wilkinson Sword
oraz ogoliłeś(aś) naszego naczelnego!
Przejdź do rankingu
Podpowiedź: Przyciśnij lewy przycisk myszki i poruszaj nią, aby ogolić brodę.