The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Неподтверждённые заявления о создании эксплоита для атаки на..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Неподтверждённые заявления о создании эксплоита для атаки на..."  +/
Сообщение от opennews (??) on 07-Май-14, 10:05 
В Сети появилось объявление (http://pastebin.com/raw.?i=gjkivAf3) о продаже прототипа эксплоита, использующего неисправленную уязвимость в переносимой версии OpneSSH 5.1 и более новых выпусках. Утверждается, что эксплоит опробован во FreeBSD, DragonFly BSD, различных версиях Debian, Ubuntu и CentOS. Сообщается, что уязвимость была выявлена два года назад, но эксплоит выставлен на продажу только сейчеас, так как  на honeypot-серверах зафиксированы попытки эксплуатации похожей уязвимости, что свидетельствует об утечке данных об уязвимости в конкурирующие команды.


Эффект от атаки напоминает недавно исправленную в OpenSSL уязвимость Heartbleed (https://www.opennet.ru/opennews/art.shtml?num=39518), после применения эксплоита атакующие могут получить доступ к областям памяти дочернего процесса OpenSSH, в которых могут содержаться остаточные данные, в том числе ключи шифрования и хэши паролей.


Большинство (http://marc.info/?t=139939516400003&r=1&w=2) участников (http://seclists.org/oss-sec/2014/q2/246) дискуссий (https://news.ycombinator.com/item?id=7701208) с обсуждением (http://seclists.org/fulldisclosure/2014/May/24) заявления о создании эксплоита склоняются к тому, что это мошенничество и уязвимости не существует. В качестве признаков обмана упоминается излишне эмоциональный текст объявления, отсутствие доказательств реальным взломом известного сервиса, слишком низкая цена ($9000), нетипичный размер исходных текстов эксплоита (236 Кб) и некоторые расхождения, которые могут сигнализировать о том, что вывод выполненных команд "нарисован" вручную (например, размер директории не соответствует размеру файла). Разработчики OpenSSH обратили внимание (http://marc.info/?l=openssh-unix-dev&m=139933261502570&w=2) на то, что представленный дамп результатов работы эксплоита указывает на то, что атака была совершена на стадии после прохождения аутентификации, что сводит на нет практическую пользу от уязвимости.


В пользу гипотезы о реальности уязвимости могли бы свидетельствовать недавние намёки (https://www.opennet.ru/opennews/art.shtml?num=39561) Тео де Раадта о наличии серьёзной уязвимости в используемой во FreeBSD переносимой версии OpenSSH. Но, в обсуждении реальности обсуждаемого эксплоита Тео де Раадт лишь указал (http://marc.info/?l=openbsd-misc&m=139941417829000&w=2) на то, что ясность в вопросе может поставить покупка эксплоита и его передача разработчикам OpenSSH или выделение средств для создания мероприятий по аудиту OpenSSH. Тео также обратил внимание на проблемы подсистемы PAM (Pluggable authentication module), держащей в памяти хэши паролей.


URL: http://seclists.org/fulldisclosure/2014/May/24
Новость: https://www.opennet.ru/opennews/art.shtml?num=39716

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Неподтверждённые сведения о создании эксплоита для атаки на ..."  +2 +/
Сообщение от Аноним (??) on 07-Май-14, 10:05 
Ужастный эксплоит, всем бояться
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Неподтверждённые сведения о создании эксплоита для атаки на ..."  +1 +/
Сообщение от A.Stahl (ok) on 07-Май-14, 10:14 
На безрыбье и рак -- рыба.
А то концов света что-то давненько не прогнозируют, так хоть за openSSH побоимся:)
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Неподтверждённые сведения о создании эксплоита для атаки на ..."  +2 +/
Сообщение от EuPhobos (ok) on 07-Май-14, 10:57 
Погодите, 32-битные-верующие и просто ленивые программисты до сих пор ожидают 2038
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Неподтверждённые сведения о создании эксплоита для атаки на ..."  +/
Сообщение от бедный буратино (ok) on 07-Май-14, 11:09 
в openbsd уже волей божьей продлили срок :)
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

33. "Неподтверждённые сведения о создании эксплоита для атаки на ..."  +1 +/
Сообщение от свободный бздун on 07-Май-14, 19:03 
Тео собирает деньги на новую стойку.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

8. "Неподтверждённые заявления о создании эксплоита для атаки на..."  +/
Сообщение от odity on 07-Май-14, 11:37 
ха, 9 штук баксов это мало? Да блин, хер ли я ботрачу админом..надо уходить в андеграунд и писать эксплоиты
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Неподтверждённые заявления о создании эксплоита для атаки на..."  +8 +/
Сообщение от Аноним (??) on 07-Май-14, 12:21 
Уходи. Пиши.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

16. "Неподтверждённые заявления о создании эксплоита для атаки на..."  +4 +/
Сообщение от Xaionaro email(ok) on 07-Май-14, 14:28 
За _такой_ эксплойт — мало.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

66. "Неподтверждённые заявления о создании эксплоита для атаки на..."  +2 +/
Сообщение от Аноним (??) on 07-Май-14, 21:04 
всего лишь 3-4 зарплаты хорошего админа (а не эникейщика / запускатора yum install) - это ОЧЕНЬ мало за ТАКОЕ.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

81. "Неподтверждённые заявления о создании эксплоита для атаки на..."  +/
Сообщение от RomanCh email(ok) on 08-Май-14, 23:21 
На самом деле даже меньше 3х, если брать default-city в который в итоге стекается наверное большинство тех самых "хороших админов".
Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

68. "Неподтверждённые заявления о создании эксплоита для атаки на..."  +1 +/
Сообщение от Аноним (??) on 07-Май-14, 21:20 
> ха, 9 штук баксов это мало?

За эксплойт позволяющий поиметь все вокруг - это халява, сэр. С таким эксплойтом, если он и правда есть - можно в два счета набрать ботнет на мощных машинах с хорошим конективити. И как ты понимаешь, на услугах по ддосу/спаму/etc ботнетчики 9k$ отобьют довольно быстро.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Неподтверждённые заявления о создании эксплоита для атаки на..."  +1 +/
Сообщение от Аноним (??) on 07-Май-14, 11:45 
Выглядит довольно реалистично, особенно если учесть, что далеко не все случаи заражения вот этой гадостью https://www.opennet.ru/opennews/art.shtml?num=36155 можно объяснить утечкой паролей.

> Большинство участников дискуссий с обсуждением заявления о создании эксплоита склоняются к тому, что это мошенничество и уязвимости не существует.

Большинство участников дискуссии ведут себя как страусы.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Неподтверждённые заявления о создании эксплоита для атаки на..."  +1 +/
Сообщение от Адекват (ok) on 07-Май-14, 13:15 
> Большинство участников дискуссии ведут себя как страусы.

А остальные как бараны - доказательств то не было предоставлено, что эксплоит рабочий, да еще была фраза что "после аунитефикации"


Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

15. "Неподтверждённые заявления о создании эксплоита для атаки на..."  +4 +/
Сообщение от Аноним (??) on 07-Май-14, 13:29 
> доказательств то не было предоставлено, что эксплоит рабочий

Вот когда вас убьют, тогда и приходите(с)

Люди, организующие защиту информационных систем, не работают с доказательствами. Они работают с угрозами.

> да еще была фраза что "после аунитефикации"

В данной ситуации разработчикам OpenSSH вполне естественно отмазываться и напускать туману, поэтому я бы не стал им безоговорочно верить. Потом может выплыть, что они "ошиблись", или что сплойт может работать как до, так и после аутентификации.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

24. "Неподтверждённые заявления о создании эксплоита для..."  –1 +/
Сообщение от arisu (ok) on 07-Май-14, 17:43 
> Люди, организующие защиту информационных систем, не работают с доказательствами. Они работают
> с угрозами.

расскажи ещё, к нам профессионал на огонёк зашёл, похоже.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

67. "Неподтверждённые заявления о создании эксплоита для..."  +1 +/
Сообщение от Аноним (??) on 07-Май-14, 21:18 
Эм... Кэп, поздно пить боржоми когда почки отказали. В смысле, если тебя уже хакнули - поздновато уже патчиться, знаешь ли :).
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

69. "Неподтверждённые заявления о создании эксплоита для..."  –1 +/
Сообщение от arisu (ok) on 07-Май-14, 21:20 
> Эм... Кэп, поздно пить боржоми когда почки отказали. В смысле, если тебя
> уже хакнули - поздновато уже патчиться, знаешь ли :).

а, то есть, так всё и оставить — всё равно ж уже хакнули? отличная идея.

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

71. "Неподтверждённые заявления о создании эксплоита для..."  +2 +/
Сообщение от Аноним (??) on 08-Май-14, 04:44 
> а, то есть, так всё и оставить — всё равно ж уже
> хакнули? отличная идея.

Пардон? Превентивное парирование угроз по мере возможностей и не дожидаясь доказательств - вполне себе вариант. Самый очевидный маневр: завинтить рулесы на фаерах по диапазонам IP, повесить на нестандартный порт/с нестандартным баннером сервиса, порткнок настроить. Есть некая разница: если ты 1 а на тебя целый взвод хаксоров вылез, прямым курсом, с секретным оружием - хана тебе! А если они на нашем любезно подготовленном минном поле забуксовали - это мы еще посмотрим кому там хана. Соответственно, он имхо имел в виду превентивные меры (которые логичны после анализа угроз, с которыми работали).

Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

74. "Неподтверждённые заявления о создании эксплоита для..."  +/
Сообщение от arisu (ok) on 08-Май-14, 11:43 
я бы предпочёл, всё-таки, услышать слова непосредственно того Профессионала, который почтил нас своим присутствием в #15. больно уж фраза там красивая.
Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

82. "Неподтверждённые заявления о создании эксплоита для..."  +/
Сообщение от pincher (??) on 11-Май-14, 09:09 
Дело человек говорит. У меня до сих пор на хостинге скрипткидис залили webshell через joomla компоненту и безуспешно пытаются через через фаер наружу прорваться. Исследую их ботнет постепенно, потом ковырну изнутри, а там и в интерпол можно с помощью hetzner на них подать.
Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

83. "Неподтверждённые заявления о создании эксплоита для атаки на..."  +/
Сообщение от Аноним (??) on 11-Май-14, 13:14 
Только что изучил разницу кода в OpenSSH из FreeBSD между первыми версиями, которые по словам хакера попали "под раздачу" (http://svnweb.freebsd.org/base/head/crypto/openssh/version.h... и http://svnweb.freebsd.org/base/head/crypto/openssh/version.h...)

Подозрительного я ничего не нашел.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

20. "Неподтверждённые заявления о создании эксплоита для атаки на..."  +/
Сообщение от Аноним (??) on 07-Май-14, 17:29 
Купил. Оставляйте почту в комментах, вышлю.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

75. "Неподтверждённые заявления о создании эксплоита для атаки на..."  +/
Сообщение от Гость on 08-Май-14, 12:51 
Вычислил тебя по айпи, проверил твой эксплойт.
Там ";" в пятой строке стерта.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

21. "Неподтверждённые заявления о создании эксплоита для..."  –5 +/
Сообщение от arisu (ok) on 07-Май-14, 17:39 
кто-то решил на пивко заработать. и ведь заработает.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

78. "Неподтверждённые заявления о создании эксплоита для..."  +/
Сообщение от Аноним (??) on 08-Май-14, 22:23 
> кто-то решил на пивко заработать. и ведь заработает.

Определенно это не ты. Тут груда мешков и не уменьшалась. :)

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

80. "Неподтверждённые заявления о создании эксплоита для..."  +/
Сообщение от arisu (ok) on 08-Май-14, 22:24 
>> кто-то решил на пивко заработать. и ведь заработает.
> Определенно это не ты.

конечно, не я. я сплойтами не занимаюсь.

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру