форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Неподтверждённые заявления о создании эксплоита для атаки на..."	+/–
Сообщение от opennews (??) on 07-Май-14, 10:05
В Сети появилось объявление (http://pastebin.com/raw.?i=gjkivAf3) о продаже прототипа эксплоита, использующего неисправленную уязвимость в переносимой версии OpneSSH 5.1 и более новых выпусках. Утверждается, что эксплоит опробован во FreeBSD, DragonFly BSD, различных версиях Debian, Ubuntu и CentOS. Сообщается, что уязвимость была выявлена два года назад, но эксплоит выставлен на продажу только сейчеас, так как  на honeypot-серверах зафиксированы попытки эксплуатации похожей уязвимости, что свидетельствует об утечке данных об уязвимости в конкурирующие команды. Эффект от атаки напоминает недавно исправленную в OpenSSL уязвимость Heartbleed (http://www.opennet.me/opennews/art.shtml?num=39518), после применения эксплоита атакующие могут получить доступ к областям памяти дочернего процесса OpenSSH, в которых могут содержаться остаточные данные, в том числе ключи шифрования и хэши паролей. Большинство (http://marc.info/?t=139939516400003&r=1&w=2) участников (http://seclists.org/oss-sec/2014/q2/246) дискуссий (https://news.ycombinator.com/item?id=7701208) с обсуждением (http://seclists.org/fulldisclosure/2014/May/24) заявления о создании эксплоита склоняются к тому, что это мошенничество и уязвимости не существует. В качестве признаков обмана упоминается излишне эмоциональный текст объявления, отсутствие доказательств реальным взломом известного сервиса, слишком низкая цена ($9000), нетипичный размер исходных текстов эксплоита (236 Кб) и некоторые расхождения, которые могут сигнализировать о том, что вывод выполненных команд "нарисован" вручную (например, размер директории не соответствует размеру файла). Разработчики OpenSSH обратили внимание (http://marc.info/?l=openssh-unix-dev&m=139933261502570&w=2) на то, что представленный дамп результатов работы эксплоита указывает на то, что атака была совершена на стадии после прохождения аутентификации, что сводит на нет практическую пользу от уязвимости. В пользу гипотезы о реальности уязвимости могли бы свидетельствовать недавние намёки (http://www.opennet.me/opennews/art.shtml?num=39561) Тео де Раадта о наличии серьёзной уязвимости в используемой во FreeBSD переносимой версии OpenSSH. Но, в обсуждении реальности обсуждаемого эксплоита Тео де Раадт лишь указал (http://marc.info/?l=openbsd-misc&m=139941417829000&w=2) на то, что ясность в вопросе может поставить покупка эксплоита и его передача разработчикам OpenSSH или выделение средств для создания мероприятий по аудиту OpenSSH. Тео также обратил внимание на проблемы подсистемы PAM (Pluggable authentication module), держащей в памяти хэши паролей. URL: http://seclists.org/fulldisclosure/2014/May/24 Новость: http://www.opennet.me/opennews/art.shtml?num=39716
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Неподтверждённые сведения о создании эксплоита для атаки на ..."	+2 +/–
Сообщение от Аноним (??) on 07-Май-14, 10:05
Ужастный эксплоит, всем бояться
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Неподтверждённые сведения о создании эксплоита для атаки на ..."	+1 +/–
	Сообщение от A.Stahl (ok) on 07-Май-14, 10:14
	На безрыбье и рак -- рыба. А то концов света что-то давненько не прогнозируют, так хоть за openSSH побоимся:)
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Неподтверждённые сведения о создании эксплоита для атаки на ..."	+2 +/–
	Сообщение от EuPhobos (ok) on 07-Май-14, 10:57
	Погодите, 32-битные-верующие и просто ленивые программисты до сих пор ожидают 2038
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Неподтверждённые сведения о создании эксплоита для атаки на ..."	+/–
	Сообщение от бедный буратино (ok) on 07-Май-14, 11:09
	в openbsd уже волей божьей продлили срок :)
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	33. "Неподтверждённые сведения о создании эксплоита для атаки на ..."	+1 +/–
	Сообщение от свободный бздун on 07-Май-14, 19:03
	Тео собирает деньги на новую стойку.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

8. "Неподтверждённые заявления о создании эксплоита для атаки на..."	+/–
Сообщение от odity on 07-Май-14, 11:37
ха, 9 штук баксов это мало? Да блин, хер ли я ботрачу админом..надо уходить в андеграунд и писать эксплоиты
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	13. "Неподтверждённые заявления о создании эксплоита для атаки на..."	+8 +/–
	Сообщение от Аноним (??) on 07-Май-14, 12:21
	Уходи. Пиши.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	16. "Неподтверждённые заявления о создании эксплоита для атаки на..."	+4 +/–
	Сообщение от Xaionaro (ok) on 07-Май-14, 14:28
	За _такой_ эксплойт — мало.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	66. "Неподтверждённые заявления о создании эксплоита для атаки на..."	+2 +/–
	Сообщение от Аноним (??) on 07-Май-14, 21:04
	всего лишь 3-4 зарплаты хорошего админа (а не эникейщика / запускатора yum install) - это ОЧЕНЬ мало за ТАКОЕ.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	81. "Неподтверждённые заявления о создании эксплоита для атаки на..."	+/–
	Сообщение от RomanCh (ok) on 08-Май-14, 23:21
	На самом деле даже меньше 3х, если брать default-city в который в итоге стекается наверное большинство тех самых "хороших админов".
	Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

	68. "Неподтверждённые заявления о создании эксплоита для атаки на..."	+1 +/–
	Сообщение от Аноним (??) on 07-Май-14, 21:20
	> ха, 9 штук баксов это мало? За эксплойт позволяющий поиметь все вокруг - это халява, сэр. С таким эксплойтом, если он и правда есть - можно в два счета набрать ботнет на мощных машинах с хорошим конективити. И как ты понимаешь, на услугах по ддосу/спаму/etc ботнетчики 9k$ отобьют довольно быстро.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Неподтверждённые заявления о создании эксплоита для атаки на..."	+1 +/–
Сообщение от Аноним (??) on 07-Май-14, 11:45
Выглядит довольно реалистично, особенно если учесть, что далеко не все случаи заражения вот этой гадостью http://www.opennet.me/opennews/art.shtml?num=36155 можно объяснить утечкой паролей. > Большинство участников дискуссий с обсуждением заявления о создании эксплоита склоняются к тому, что это мошенничество и уязвимости не существует. Большинство участников дискуссии ведут себя как страусы.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	14. "Неподтверждённые заявления о создании эксплоита для атаки на..."	+1 +/–
	Сообщение от Адекват (ok) on 07-Май-14, 13:15
	> Большинство участников дискуссии ведут себя как страусы. А остальные как бараны - доказательств то не было предоставлено, что эксплоит рабочий, да еще была фраза что "после аунитефикации"
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	15. "Неподтверждённые заявления о создании эксплоита для атаки на..."	+4 +/–
	Сообщение от Аноним (??) on 07-Май-14, 13:29
	> доказательств то не было предоставлено, что эксплоит рабочий Вот когда вас убьют, тогда и приходите(с) Люди, организующие защиту информационных систем, не работают с доказательствами. Они работают с угрозами. > да еще была фраза что "после аунитефикации" В данной ситуации разработчикам OpenSSH вполне естественно отмазываться и напускать туману, поэтому я бы не стал им безоговорочно верить. Потом может выплыть, что они "ошиблись", или что сплойт может работать как до, так и после аутентификации.
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	24. "Неподтверждённые заявления о создании эксплоита для..."	–1 +/–
	Сообщение от arisu (ok) on 07-Май-14, 17:43
	> Люди, организующие защиту информационных систем, не работают с доказательствами. Они работают > с угрозами. расскажи ещё, к нам профессионал на огонёк зашёл, похоже.
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	67. "Неподтверждённые заявления о создании эксплоита для..."	+1 +/–
	Сообщение от Аноним (??) on 07-Май-14, 21:18
	Эм... Кэп, поздно пить боржоми когда почки отказали. В смысле, если тебя уже хакнули - поздновато уже патчиться, знаешь ли :).
	Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

	69. "Неподтверждённые заявления о создании эксплоита для..."	–1 +/–
	Сообщение от arisu (ok) on 07-Май-14, 21:20
	> Эм... Кэп, поздно пить боржоми когда почки отказали. В смысле, если тебя > уже хакнули - поздновато уже патчиться, знаешь ли :). а, то есть, так всё и оставить — всё равно ж уже хакнули? отличная идея.
	Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

	71. "Неподтверждённые заявления о создании эксплоита для..."	+2 +/–
	Сообщение от Аноним (??) on 08-Май-14, 04:44
	> а, то есть, так всё и оставить — всё равно ж уже > хакнули? отличная идея. Пардон? Превентивное парирование угроз по мере возможностей и не дожидаясь доказательств - вполне себе вариант. Самый очевидный маневр: завинтить рулесы на фаерах по диапазонам IP, повесить на нестандартный порт/с нестандартным баннером сервиса, порткнок настроить. Есть некая разница: если ты 1 а на тебя целый взвод хаксоров вылез, прямым курсом, с секретным оружием - хана тебе! А если они на нашем любезно подготовленном минном поле забуксовали - это мы еще посмотрим кому там хана. Соответственно, он имхо имел в виду превентивные меры (которые логичны после анализа угроз, с которыми работали).
	Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

	74. "Неподтверждённые заявления о создании эксплоита для..."	+/–
	Сообщение от arisu (ok) on 08-Май-14, 11:43
	я бы предпочёл, всё-таки, услышать слова непосредственно того Профессионала, который почтил нас своим присутствием в #15. больно уж фраза там красивая.
	Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

	82. "Неподтверждённые заявления о создании эксплоита для..."	+/–
	Сообщение от pincher (??) on 11-Май-14, 09:09
	Дело человек говорит. У меня до сих пор на хостинге скрипткидис залили webshell через joomla компоненту и безуспешно пытаются через через фаер наружу прорваться. Исследую их ботнет постепенно, потом ковырну изнутри, а там и в интерпол можно с помощью hetzner на них подать.
	Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

	83. "Неподтверждённые заявления о создании эксплоита для атаки на..."	+/–
	Сообщение от Аноним (??) on 11-Май-14, 13:14
	Только что изучил разницу кода в OpenSSH из FreeBSD между первыми версиями, которые по словам хакера попали "под раздачу" (http://svnweb.freebsd.org/base/head/crypto/openssh/version.h... и http://svnweb.freebsd.org/base/head/crypto/openssh/version.h...) Подозрительного я ничего не нашел.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

20. "Неподтверждённые заявления о создании эксплоита для атаки на..."	+/–
Сообщение от Аноним (??) on 07-Май-14, 17:29
Купил. Оставляйте почту в комментах, вышлю.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	75. "Неподтверждённые заявления о создании эксплоита для атаки на..."	+/–
	Сообщение от Гость on 08-Май-14, 12:51
	Вычислил тебя по айпи, проверил твой эксплойт. Там ";" в пятой строке стерта.
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

21. "Неподтверждённые заявления о создании эксплоита для..."	–5 +/–
Сообщение от arisu (ok) on 07-Май-14, 17:39
кто-то решил на пивко заработать. и ведь заработает.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	78. "Неподтверждённые заявления о создании эксплоита для..."	+/–
	Сообщение от Аноним (??) on 08-Май-14, 22:23
	> кто-то решил на пивко заработать. и ведь заработает. Определенно это не ты. Тут груда мешков и не уменьшалась. :)
	Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

	80. "Неподтверждённые заявления о создании эксплоита для..."	+/–
	Сообщение от arisu (ok) on 08-Май-14, 22:24
	>> кто-то решил на пивко заработать. и ведь заработает. > Определенно это не ты. конечно, не я. я сплойтами не занимаюсь.
	Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема