URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 95766
[ Назад ]

Исходное сообщение
"Неподтверждённые заявления о создании эксплоита для атаки на..."

Отправлено opennews , 07-Май-14 10:05 
В Сети появилось объявление (http://pastebin.com/raw.?i=gjkivAf3) о продаже прототипа эксплоита, использующего неисправленную уязвимость в переносимой версии OpneSSH 5.1 и более новых выпусках. Утверждается, что эксплоит опробован во FreeBSD, DragonFly BSD, различных версиях Debian, Ubuntu и CentOS. Сообщается, что уязвимость была выявлена два года назад, но эксплоит выставлен на продажу только сейчеас, так как  на honeypot-серверах зафиксированы попытки эксплуатации похожей уязвимости, что свидетельствует об утечке данных об уязвимости в конкурирующие команды.


Эффект от атаки напоминает недавно исправленную в OpenSSL уязвимость Heartbleed (http://www.opennet.me/opennews/art.shtml?num=39518), после применения эксплоита атакующие могут получить доступ к областям памяти дочернего процесса OpenSSH, в которых могут содержаться остаточные данные, в том числе ключи шифрования и хэши паролей.


Большинство (http://marc.info/?t=139939516400003&r=1&w=2) участников (http://seclists.org/oss-sec/2014/q2/246) дискуссий (https://news.ycombinator.com/item?id=7701208) с обсуждением (http://seclists.org/fulldisclosure/2014/May/24) заявления о создании эксплоита склоняются к тому, что это мошенничество и уязвимости не существует. В качестве признаков обмана упоминается излишне эмоциональный текст объявления, отсутствие доказательств реальным взломом известного сервиса, слишком низкая цена ($9000), нетипичный размер исходных текстов эксплоита (236 Кб) и некоторые расхождения, которые могут сигнализировать о том, что вывод выполненных команд "нарисован" вручную (например, размер директории не соответствует размеру файла). Разработчики OpenSSH обратили внимание (http://marc.info/?l=openssh-unix-dev&m=139933261502570&w=2) на то, что представленный дамп результатов работы эксплоита указывает на то, что атака была совершена на стадии после прохождения аутентификации, что сводит на нет практическую пользу от уязвимости.


В пользу гипотезы о реальности уязвимости могли бы свидетельствовать недавние намёки (http://www.opennet.me/opennews/art.shtml?num=39561) Тео де Раадта о наличии серьёзной уязвимости в используемой во FreeBSD переносимой версии OpenSSH. Но, в обсуждении реальности обсуждаемого эксплоита Тео де Раадт лишь указал (http://marc.info/?l=openbsd-misc&m=139941417829000&w=2) на то, что ясность в вопросе может поставить покупка эксплоита и его передача разработчикам OpenSSH или выделение средств для создания мероприятий по аудиту OpenSSH. Тео также обратил внимание на проблемы подсистемы PAM (Pluggable authentication module), держащей в памяти хэши паролей.


URL: http://seclists.org/fulldisclosure/2014/May/24
Новость: http://www.opennet.me/opennews/art.shtml?num=39716


Содержание

Сообщения в этом обсуждении
"Неподтверждённые сведения о создании эксплоита для атаки на ..."
Отправлено Аноним , 07-Май-14 10:05 
Ужастный эксплоит, всем бояться

"Неподтверждённые сведения о создании эксплоита для атаки на ..."
Отправлено A.Stahl , 07-Май-14 10:14 
На безрыбье и рак -- рыба.
А то концов света что-то давненько не прогнозируют, так хоть за openSSH побоимся:)

"Неподтверждённые сведения о создании эксплоита для атаки на ..."
Отправлено EuPhobos , 07-Май-14 10:57 
Погодите, 32-битные-верующие и просто ленивые программисты до сих пор ожидают 2038

"Неподтверждённые сведения о создании эксплоита для атаки на ..."
Отправлено бедный буратино , 07-Май-14 11:09 
в openbsd уже волей божьей продлили срок :)

"Неподтверждённые сведения о создании эксплоита для атаки на ..."
Отправлено свободный бздун , 07-Май-14 19:03 
Тео собирает деньги на новую стойку.

"Неподтверждённые заявления о создании эксплоита для атаки на..."
Отправлено odity , 07-Май-14 11:37 
ха, 9 штук баксов это мало? Да блин, хер ли я ботрачу админом..надо уходить в андеграунд и писать эксплоиты

"Неподтверждённые заявления о создании эксплоита для атаки на..."
Отправлено Аноним , 07-Май-14 12:21 
Уходи. Пиши.

"Неподтверждённые заявления о создании эксплоита для атаки на..."
Отправлено Xaionaro , 07-Май-14 14:28 
За _такой_ эксплойт — мало.

"Неподтверждённые заявления о создании эксплоита для атаки на..."
Отправлено Аноним , 07-Май-14 21:04 
всего лишь 3-4 зарплаты хорошего админа (а не эникейщика / запускатора yum install) - это ОЧЕНЬ мало за ТАКОЕ.

"Неподтверждённые заявления о создании эксплоита для атаки на..."
Отправлено RomanCh , 08-Май-14 23:21 
На самом деле даже меньше 3х, если брать default-city в который в итоге стекается наверное большинство тех самых "хороших админов".

"Неподтверждённые заявления о создании эксплоита для атаки на..."
Отправлено Аноним , 07-Май-14 21:20 
> ха, 9 штук баксов это мало?

За эксплойт позволяющий поиметь все вокруг - это халява, сэр. С таким эксплойтом, если он и правда есть - можно в два счета набрать ботнет на мощных машинах с хорошим конективити. И как ты понимаешь, на услугах по ддосу/спаму/etc ботнетчики 9k$ отобьют довольно быстро.


"Неподтверждённые заявления о создании эксплоита для атаки на..."
Отправлено Аноним , 07-Май-14 11:45 
Выглядит довольно реалистично, особенно если учесть, что далеко не все случаи заражения вот этой гадостью http://www.opennet.me/opennews/art.shtml?num=36155 можно объяснить утечкой паролей.

> Большинство участников дискуссий с обсуждением заявления о создании эксплоита склоняются к тому, что это мошенничество и уязвимости не существует.

Большинство участников дискуссии ведут себя как страусы.


"Неподтверждённые заявления о создании эксплоита для атаки на..."
Отправлено Адекват , 07-Май-14 13:15 
> Большинство участников дискуссии ведут себя как страусы.

А остальные как бараны - доказательств то не было предоставлено, что эксплоит рабочий, да еще была фраза что "после аунитефикации"



"Неподтверждённые заявления о создании эксплоита для атаки на..."
Отправлено Аноним , 07-Май-14 13:29 
> доказательств то не было предоставлено, что эксплоит рабочий

Вот когда вас убьют, тогда и приходите(с)

Люди, организующие защиту информационных систем, не работают с доказательствами. Они работают с угрозами.

> да еще была фраза что "после аунитефикации"

В данной ситуации разработчикам OpenSSH вполне естественно отмазываться и напускать туману, поэтому я бы не стал им безоговорочно верить. Потом может выплыть, что они "ошиблись", или что сплойт может работать как до, так и после аутентификации.


"Неподтверждённые заявления о создании эксплоита для..."
Отправлено arisu , 07-Май-14 17:43 
> Люди, организующие защиту информационных систем, не работают с доказательствами. Они работают
> с угрозами.

расскажи ещё, к нам профессионал на огонёк зашёл, похоже.


"Неподтверждённые заявления о создании эксплоита для..."
Отправлено Аноним , 07-Май-14 21:18 
Эм... Кэп, поздно пить боржоми когда почки отказали. В смысле, если тебя уже хакнули - поздновато уже патчиться, знаешь ли :).

"Неподтверждённые заявления о создании эксплоита для..."
Отправлено arisu , 07-Май-14 21:20 
> Эм... Кэп, поздно пить боржоми когда почки отказали. В смысле, если тебя
> уже хакнули - поздновато уже патчиться, знаешь ли :).

а, то есть, так всё и оставить — всё равно ж уже хакнули? отличная идея.


"Неподтверждённые заявления о создании эксплоита для..."
Отправлено Аноним , 08-Май-14 04:44 
> а, то есть, так всё и оставить — всё равно ж уже
> хакнули? отличная идея.

Пардон? Превентивное парирование угроз по мере возможностей и не дожидаясь доказательств - вполне себе вариант. Самый очевидный маневр: завинтить рулесы на фаерах по диапазонам IP, повесить на нестандартный порт/с нестандартным баннером сервиса, порткнок настроить. Есть некая разница: если ты 1 а на тебя целый взвод хаксоров вылез, прямым курсом, с секретным оружием - хана тебе! А если они на нашем любезно подготовленном минном поле забуксовали - это мы еще посмотрим кому там хана. Соответственно, он имхо имел в виду превентивные меры (которые логичны после анализа угроз, с которыми работали).


"Неподтверждённые заявления о создании эксплоита для..."
Отправлено arisu , 08-Май-14 11:43 
я бы предпочёл, всё-таки, услышать слова непосредственно того Профессионала, который почтил нас своим присутствием в #15. больно уж фраза там красивая.

"Неподтверждённые заявления о создании эксплоита для..."
Отправлено pincher , 11-Май-14 09:09 
Дело человек говорит. У меня до сих пор на хостинге скрипткидис залили webshell через joomla компоненту и безуспешно пытаются через через фаер наружу прорваться. Исследую их ботнет постепенно, потом ковырну изнутри, а там и в интерпол можно с помощью hetzner на них подать.

"Неподтверждённые заявления о создании эксплоита для атаки на..."
Отправлено Аноним , 11-Май-14 13:14 
Только что изучил разницу кода в OpenSSH из FreeBSD между первыми версиями, которые по словам хакера попали "под раздачу" (http://svnweb.freebsd.org/base/head/crypto/openssh/version.h... и http://svnweb.freebsd.org/base/head/crypto/openssh/version.h...)

Подозрительного я ничего не нашел.


"Неподтверждённые заявления о создании эксплоита для атаки на..."
Отправлено Аноним , 07-Май-14 17:29 
Купил. Оставляйте почту в комментах, вышлю.

"Неподтверждённые заявления о создании эксплоита для атаки на..."
Отправлено Гость , 08-Май-14 12:51 
Вычислил тебя по айпи, проверил твой эксплойт.
Там ";" в пятой строке стерта.

"Неподтверждённые заявления о создании эксплоита для..."
Отправлено arisu , 07-Май-14 17:39 
кто-то решил на пивко заработать. и ведь заработает.

"Неподтверждённые заявления о создании эксплоита для..."
Отправлено Аноним , 08-Май-14 22:23 
> кто-то решил на пивко заработать. и ведь заработает.

Определенно это не ты. Тут груда мешков и не уменьшалась. :)


"Неподтверждённые заявления о создании эксплоита для..."
Отправлено arisu , 08-Май-14 22:24 
>> кто-то решил на пивко заработать. и ведь заработает.
> Определенно это не ты.

конечно, не я. я сплойтами не занимаюсь.