DLL Hijacking também afeta algumas Linux distros
27 de Agosto de 2010, 0:00 - sem comentários aindaDurante esta semana vimos o “caos” reinando no império do tio Bill. Devido a falhas em DLLs no sistema da Microsoft foram encontradas cerca de 30 vulnerabilidades em seus produtos.
HDMoore e sua trupe imediatamente atualizou o svn do Metasploit com o exploit para explorar está vulnerabilidade. Só que no estilo “Nóis morde, mas nóis também assopra” foi criado uma ferramenta de auditoria, assim usuários do sistema de Redmond podem auditar seus sistemas em busca de falhas.
O site Exploitdb também disponibilizou dezenas de exploits para explorar estas falhas, usem com muita cautela.
Porém foi descoberto que algumas distribuições Linux possuem uma vulnerabilidade similar, a falha deu inicio através de um patch do Debian ano passado. Distribuições como Ubuntu e Fedora também estão vulneráveis de acordo com as discussões iniciadas pelo pesquisador em segurança Tim Brown.
Segundo Brown, a falha foi introduzida num patch do Debian lançado em março de 2009.
Na lista de discursão Full-Disclosure um usuário informou que consegiu reproduzir a falha no Apache CoucheDB rondando no Ubuntu 10.04 e o time de segurança do Fedora informou que o sistema realmente encontra-se vulnerável.
Porém no Linux este bug não apresenta-se na mesma escala que nos sistemas Windows já que a nele a falha é de arquitetura surgindo desde 2002.
Segundo o boletim MS10-aug lançado 10 de agosto de 2010 a Microsft informa que já foram criadas as correções para estas falhas e trazem maiores informações juntamente com links para ferramentas de detecção.
Leia mais:
Some Linux Distros Vulnerable to Version of DLL Hijacking Bug
DLL Hijacking: Facts and Fiction
Exploit Code, List of Apps Vulnerable to DLL Hijacking Hit the Web
See:
Servidores ssh sob ataque devido a falha no phpMyAdmin ( Atualizado )
13 de Agosto de 2010, 0:00 - sem comentários ainda
Relatórios recentes [1] [2] revelam que vários servidores ssh estão sendo vitimas de ataques de força bruta pelo bot dd_ssh.
A porta de entrada destes ataques é uma vulnerabilidade encontrada na ferramenta phpMyadmin, está vulnerabilidade afeta as versões 2.11.x anteriores a 2.11.9.5 e 3.x anteriores à 3.1.3.1.
Aparentemente o botnet injeta um script malicioso através do phpMyAdmin. A máquina comprometida servirá de zumbi para ataques a outros servidores.
Para os usuários desta ferramenta recomendo 2 soluções:
1 – Remova ela totalmente do seu servidor, a utilização de ferramentas como Webmin, phpMyAdmin e etc não são recomendadas.
2 – Se você não quer seguir a 1a recomendação então atualize o phpMyAdmin para a versão mais atual
Para evitar ataques de SSH Brute Force recomendo:
1 – Utilização de senhas fortes e se possível uso de chaves DSA
2 – Alterar a porta padrão do ssh
3 – Uso do Port Knocking ( knockd ou SPA )
4 – Uso do Ossec HIDS
= = Atualização = =
Recebi o alerta de 02 servidores sobre a tentativa de ataque do bot dd_ssh
82.145.xx.xx – - [13/Aug/2010:07:19:36 -0300] “GET /phpadmin/scripts/setup.php HTTP/1.1″ 404 192 “-” “ZmEu”
82.145.xx.xx – - [13/Aug/2010:07:19:35 -0300] “GET /typo3/phpmyadmin/scripts/setup.php HTTP/1.1″ 404 198 “-” “ZmEu”
82.145.xx.xx – - [13/Aug/2010:07:19:35 -0300] “GET /mysqladmin/scripts/setup.php HTTP/1.1″ 404 194 “-” “ZmEu”
82.145.xx.xx – - [13/Aug/2010:07:19:34 -0300] “GET /myadmin/scripts/setup.php HTTP/1.1″ 404 192 “-” “ZmEu”
82.145.xx.xx – - [13/Aug/2010:07:19:33 -0300] “GET /dbadmin/scripts/setup.php HTTP/1.1″ 404 191 “-” “ZmEu”
82.145.xx.xx – - [13/Aug/2010:07:19:33 -0300] “GET /admin/phpmyadmin/scripts/setup.php HTTP/1.1″ 404 196 “-” “ZmEu”
O IP zumbi é da Turquia
IP Information – 82.145.xx.xx
IP address: 82.145.xx.xx
Reverse DNS: www.world-education-center.org.
Reverse DNS authenticity: [Verified]
ASN: 29179
ASN Name: KIBRISONLINE-AS (Kibrisonline Ltd.)
IP range connectivity: 6
Registrar (per ASN): RIPE
Country (per IP registrar): TR [Turkey]
Country Currency: TRL [Turkey Liras]
Country IP Range: 82.145.224.0 to 82.145.255.255
Country fraud profile: High
City (per outside source): Mersin, Icel
Country (per outside source): TR [Turkey]
Private (internal) IP? No
IP address registrar: whois.ripe.net
Known Proxy? No
Link for WHOIS: 82.145.xx.xx
Ao acessá-lo dou de cara com um phpMyAdmin
Como sigo as recomendações acima este IP foi bloqueado automaticamente:
active-responses.log:Fri Aug 13 07:19:38 BRT 2010 /var/ossec/active-response/bin/host-deny.sh add – 82.145.xx.xx 1281694778.24427 31151
active-responses.log:Fri Aug 13 07:19:38 BRT 2010 /var/ossec/active-response/bin/firewall-drop.sh add – 82.145.xx.xx 1281694778.24427 31151
See:
Servidores ssh sob ataque devido a falha no phpMyAdmin
12 de Agosto de 2010, 0:00 - sem comentários ainda
Relatórios recentes [1] [2] revelam que vários servidores ssh estão sendo vitimas de ataques de força bruta pelo bot dd_ssh.
A porta de entrada destes ataques é uma vulnerabilidade encontrada na ferramenta phpMyadmin, está vulnerabilidade afeta as versões 2.11.x anteriores a 2.11.9.5 e 3.x anteriores à 3.1.3.1.
Aparentemente o botnet injeta um script malicioso através do phpMyAdmin. A máquina comprometida servirá de zumbi para ataques a outros servidores.
Para os usuários desta ferramenta recomendo 2 soluções:
1 – Remova ela totalmente do seu servidor, a utilização de ferramentas como Webmin, phpMyAdmin e etc não são recomendadas.
2 – Se você não quer seguir a 1a recomendação então atualize o phpMyAdmin para a versão mais atual
Para evitar ataques de SSH Brute Force recomendo:
1 – Utilização de senhas fortes e se possível uso de chaves DSA
2 – Alterar a porta padrão do ssh
3 – Uso do Port Knocking ( knockd ou SPA )
4 – Uso do Ossec HIDS
See:
