Security Week 03, или Неделя патчей: Linux, OpenSSH, Cisco, Yahoo Mail, Apple

В этом выпуске Константин Гончаров радуется наступившему затишью и рассказывает о том, кто, как и насколько успешно латал во время этого затишья дыры в своем ПО.

Security Week 03 или неделя патчей: Linux, OpenSSH, Cisco, Yahoo Mail, Apple

В информационной безопасности бывают такие периоды, когда никаких особых открытий не происходит. Вместо этого идет достаточно рутинная работа по закрытию (или незакрытию) ранее обнаруженных уязвимостей. На этой неделе как раз такой период: самые популярные новости практически полностью посвящены заплаткам. Что ж, тоже неплохо, тем более что подход у разных компаний к патчам серьезно различается, да и восприятие этой темы иногда бывает, скажем так, несколько странным.

Простой пример: в конце прошлого года в софте Apple (конкретно — Mac OS X и iOS) насчитали рекордное количество уязвимостей. Ну то есть посмотрели в базу данных CVE — и обнаружили, что больше всего уязвимостей было найдено в Mac OS X, iOS и Adobe Flash. В некоторых СМИ даже назвали платформы Apple «самыми опасными», что, конечно же, неправда. Ведь связь между «обнаружили уязвимость» и «пользователи в опасности» практически не прослеживается. Наоборот, в контексте базы CVE «обнаружили» обычно означает «закрыли». А это, в общем-то, хорошие новости.

Возможно, тут дело в том, что многие ухватились за простой и понятный рейтинг дыр, с абсолютными цифрами, которые дают ложное чувство понимания ландшафта угроз. Хорошая попытка «упростить» тему, но нет, с безопасностью этот прием не проходит. Поэтому посмотрим на патчи этой недели внимательнее. Все выпуски дайджеста — тут.

Уязвимость в ядре Linux позволяет получить root-привилегии

Новость. Исследование компании Perception Point.

Серьезная уязвимость в ядре Linux обнаружена экспертами компании Perception Point — она затрагивает все версии ядра начиная с 3.8, то есть с 2012 года. Высока вероятность, что и ваш компьютер под управлением Linux тоже подвержен этой уязвимости, и в этот момент пользователи Windows и Mac OS X должны вздохнуть с облегчением, но не стоит торопиться. Опыт показывает, что Linux обнаруживается в самых неожиданных местах: понятно, что веб-сайт компании может работать на Linux, ваш телефон может работать на Linux, а ваш домашний или SoHo-роутер практически точно работает на Linux. Собственно, так и получилось: помимо ПК и серверов уязвимости подвержены все смартфоны на Android начиная с версии KitKat, то есть, проще говоря, почти все.

Security Week 03 или неделя патчей: Linux, OpenSSH, Cisco, Yahoo Mail, Apple

Неспециалисту процесс эксплуатации уязвимости покажется достаточно сложным, хотя на самом деле он вполне прямолинеен и надежен: запускаем код — и через полчаса получаем доступ с неограниченными правами. Полчаса требуются на хитрый процесс обращения к функции ядра keyctl, переполнение буфера и так далее. Чтобы получить root-права, надо уже иметь доступ к системе: в случае с Android его может обеспечить вредоносное приложение, аналогично для десктопа под управлением Linux, а для серверов все несколько сложнее. Для основных дистрибутивов на базе Linux патчи уже выпущены (проблема решается добавлением одной строчки в код), а вот у Android все, как всегда, намного сложнее.

Уязвимость в OpenSSH может привести к краже приватных ключей

Новость. Security Advisory.

Обновили ядро? Обновите заодно и пакет OpenSSH — как бы намекают нам его разработчики. В полном соответствии с мантрой «это не баг, это фича» уязвимости оказались подвержены SSH-клиенты версий 5.4–7.1. В версии 5.4 была добавлена функция UseRoaming, позволяющая восстанавливать прерванное соединение с сервером. Интересно, что в серверной части OpenSSH эта же функция так и не была реализована, а вот в клиенте обнаружилась уязвимость. Дыра приводит к утечке данных из оперативной памяти: при подключении к специальным образом подготовленному серверу возможна даже утечка приватных ключей клиента. В дальнейшем эти же ключи злоумышленник может использовать для проникновения на другие Linux-системы.

В общем, достаточно серьезная уязвимость, но, как и в случае с дырой в ядре Linux, не без огромного количества оговорок. Например, такой сценарий не позволяет украсть ключи путем организации атаки типа man-in-the-middle. Клиент должен сам подключиться к серверу злоумышленников или же к скомпрометированному собственному серверу. Решается проблема просто — либо накатить обновление, либо в конфигурации клиента отключить ту самую бесполезную опцию UseRoaming. Зачем ее вообще было включать по умолчанию при отсутствии поддержки в серверной части — не очень понятно.

Apple закрыла уязвимость в Gatekeeper, дважды, и оба раза не до конца

Новость.

Вот эта история хорошо показывает, как в отношениях между разработчиками софта и исследователями что-то может пойти не так. Еще в июне прошлого года исследователь Патрик Вардл сообщил Apple (приватно) об уязвимости в функции Gatekeeper. Gatekeeper — это та самая штука в современных версиях Mac OS X, которая не дает просто так взять и запустить загруженную из Сети программу: она должна быть подписана соответствующим сертификатом. Функция направлена на повышение безопасности — нечего, мол, всякое непотребство из Интернета ставить, пользуйтесь софтом из магазина. В целом верно: такой подход в iOS сделал мобильную экосистему Apple достаточно безопасной.

Так вот, исследователь выяснил, что проверка при запуске скачанного ПО слишком простая: по сути, проверяется только тот исполняемый файл, на который кликает пользователь. Если он подписан сертификатом, он выполняется. Если эта программа запускает другую из той же локации, то вторая программа уже не проверяется никак. То есть вектор атаки вполне понятен: подписываем код (с помощью Apple или собственным сертификатом — для компаний эта возможность поддерживается), предусматриваем в нем запуск другого файла, а вот в нем уже делаем все что душе угодно.

Security Week 03 или неделя патчей: Linux, OpenSSH, Cisco, Yahoo Mail, Apple

Как утверждает Вардл, все, что сделала Apple, — это добавила в черный список файлы, которые сам исследователь прислал в качестве Proof of Concept. Естественно, «обойти» такой патч можно примерно за 30 секунд, что и было сделано. В декабре Apple выпустила новый патч, но применила точно такую же тактику. Если действительно было так, то получается, что вендор тушил пожар с помощью крестного хода. Но это если верить исследователю. Сама Apple, в традиционной для себя манере, ситуацию не комментирует.

В целом же таких ситуаций, когда вендор считает, что проблема решена, а независимый эксперт не согласен, много, а будет еще больше. Что с этим делать — не очень понятно, но решение явно заключается в более открытом обмене информацией об уязвимостях и патчах к ним. Я сейчас даже не про раскрытие кода заплаток, а про взаимодействие вендоров с сообществом. В общем, о том, что у разработчика Mac OS X не всегда хорошо получается.

Что еще произошло:

Cisco патчит собственный софт, в том числе ПО для Wi-Fi-контроллеров серии Aironet 1800 — там обнаружились вшитый пароль и учетная запись по умолчанию.

В веб-почте Yahoo! Обнаружилась! Опасная! Уязвимость! (извините). Уязвимость типа XSS позволяет в широких пределах манипулировать чужим почтовым аккаунтом, если удастся заманить пользователя на сайт с вредоносным JavaScript и если он залогинен в почту в том же браузере. Финский исследователь Йоуко Пюннёнен (Juoko Pynnonen) получил за находку $10 тыс. по программе Bug Bounty. А вот его Proof of Concept:

Security Week 03 или неделя патчей: Linux, OpenSSH, Cisco, Yahoo Mail, Apple

Древности:

«Seat-1614»

Резидентный неопасный вирус. Поражает .COM- и .EXE-файлы (кроме COMMAND.COM) при их запуске. EXE-файлы поражаются стандартно, COM-файлы — в начало. После 15 успешных поражений файлов рисует на экране голый зад, который при нажатии на любую клавишу выдает соответствующие ему (заду) звуки. Перехватывает int 9, int 1Ch, int 21h. Содержит текст: «VVF3.4».

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страница 82.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

Советы