HEARTBLEED

CVE-2014-0160

Heartbleed to jedna z najbardziej rozpoznawalnych podatności z ostatnich lat. Zlokalizowana została w rozszerzeniu Heartbeat (tłum: "bicie serca") biblioteki OpenSSL, wykorzystywanej do szyfrowania danych.

Od nazwy wspomnianego rozszerzenia pochodzi też nazwa samej luki, która jest swego rodzaju grą słów i w dosłownym tłumaczeniu oznacza "krwawienie z serca". Atakujący, który wykorzystuje Heartbleed może bowiem doprowadzić do wycieku danych przechowywanych w pamięci, w tym nazw użytkowników, haseł, identyfikatorów sesji, jak również kluczy prywatnych używanych w szyfrowaniu, co jest niemal równoznaczne z możliwością odczytania całej zaszyfrowanej komunikacji. Atak z wykorzystaniem tej podatności nie zostawia śladów, ale odpowiednio skonfigurowany system do wykrywania włamań (IDS) powinien być w stanie go wychwycić.

SHELLSHOCK

CVE-2014-6271, CVE-2014-6277, CVE-2014-6278, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187

Shellshock, znany też jako Bashdoor to luka w powłoce systemowej Bash z którą bezpośredni kontakt mają użytkownicy systemów z rodziny Linux, Unix, OS X. Bash służy bowiem do komunikacji użytkownika z systemem, interpretuje wprowadzone komendy i w rezultacie zleca zrealizowanie konkretnych zadań.

Wykorzystując tę podatność i odpowiednio manipulując zmiennymi środowiskowymi można wykonać polecenia do których nie mamy uprawnień.

Po ujawnieniu błędu w 2014 roku, mimo udostępnienia poprawek, już w ciągu 24 godzin zaczęły pojawiać się całe botnety złożone z maszyn, których administratorzy nie zdążyli jeszcze załatać luki. Tydzień później firma CloudFlare informowała, że każdego dnia odnotowuje około 1,5 miliona prób ataków związanych z tą podatnością.

GHOST

CVE-2015-0235

GHOST to błąd w funkcji w jednej ze standardowych linuksowych bibliotek glibc, umożliwiający przepełnienie bufora, czyli w tym przypadku doprowadzenie do takiej awarii, która umożliwi atakującemu przejęcie kontroli nad maszyną.

Podatność została nazwana GHOST ponieważ można ją wykorzystać odwołując się do popularnych funkcji z rodziny gethostbyname(), używanych m.in do tłumaczenia nazw domen na adresy IP. Kod który analizował tekst wpisany przez użytkownika sprawdzał, czy warto się nim zajmować i czy przypadkiem nie podał on od razu adresu IP zamiast nazwy domeny. Zawierał on jednak lukę i przekazując mu celowo bardzo długi odpowiednio spreparowany tekst można było spowodować błąd i w konsekwencji uzyskać dostęp do funkcjonalności zarezerwowanych dla administratorów.

Informację o podatności rozpowszechniła firma Qualys, która zadbała również o odpowiednią oprawę medialną, włączając w to przygotowanie specjalnego loga.

STAGEFRIGHT

CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828, CVE-2015-3829, CVE-2015-3864

Stagefright był określany mianem "największej dziury w historii Androida". Tak przynajmniej lukę "promowali" researcherzy z firmy Zimperium, którzy zlokalizowali podatność w popularnym systemie operacyjnym na urządzenia mobilne. Zgodnie z ich szacunkami zagrożonych miało być 95% urządzeń z Androidem, co w tamtym czasie dawało liczbę około 950 milionów.

Do przeprowadzenia ataku w niektórych przypadkach wystarczyła jedynie znajomość numeru telefonu ofiary ponieważ polegał on na wysłaniu MMSa ze specjalnie spreparowaną wiadomością multimedialną. W rezultacie atakujący mógł zdalnie uruchomić wcześniej przygotowany kod u odbiorcy. Co więcej, jeżeli odpowiednio o to zadbał, ofiara nawet nie zobaczyła wiadomości, a jedynie komunikat, że otrzymała MMSa. Szczególnie narażone były osoby, które wiadomości multimedialne odbierały za pomocą Hangouts albo Messengera bo obie aplikacje automatycznie pobierały pliki by od razu były dostępne do odtworzenia.

VENOM

CVE-2015-3456

Venom (Virtualized Environment Neglected Operations Manipulation) to atak polegający na ucieczce z wirtualizacji i dotyczy środowisk Xen, KVM oraz QEMU. Zakłada on scenariusz w którym mając dostęp do maszyny wirtualnej, atakującemu udaje się dostać do systemu gospodarza na którym wspomniana wirtualna maszyna jest hostowana (hypervisora). Błąd znajdował się w wirtualnym kontrolerze stacji dyskietek i nawet jej wyłączenie nie chroniło przed atakiem.

Odkrywcy luki z Crowdstrike nadali jej dość groźnie brzmiącą nazwę - "venom" po polsku oznacza "jad", a prasa stawiała ją w jednym szeregu z takimi podatnościami jak Heartbleed czy Shellshock. Mimo, że błąd rzeczywiście jest poważny wydaje się, że takie porównanie jest zdecydowanie na wyrost, zwłaszcza biorąc po uwagę skalę zagrożenia i nieporównywalnie mniejszą liczbę realnych prób ataków z wykorzystaniem luki, które nastąpiły po jej ujawnieniu.

POODLE

CVE-2014-3566

Poodle to opisany w 2014 roku atak na protokół SSLv3 wykorzystywany m.in do szyfrowania połączeń. Jego - trzeba przyznać - dość chwytliwa nazwa to skrót od "Padding Oracle On Downgraded Legacy Encryption". Lukę wyryli Bodo Möller, Thai Duong oraz Polak Krzysztof Kotowicz.

Żeby atak się powiódł atakujący musi mieć możliwość podsłuchania komunikacji pomiędzy użytkownikiem a serwerem. Jeżeli mu się to uda, po spełnieniu określonych warunków może być w stanie przechwycić ciasteczka (ang. cookies) związane z aktualną sesją i w rezultacie uzyskać np. dostęp do skrzynki mailowej ofiary albo zobaczyć saldo jej konta bankowego (przelewu raczej nie zrobi bo zwykle zabezpieczone są one dodatkową formą uwierzytelnienia, np. w formie kodów przesyłanych SMSem).

Luki niestety nie udało się załatać - jedynym rozwiązaniem jest wyłączenie protokołu SSLv3.

Misfortune Cookie

CVE-2014-9222

Wystarczy wysłać do routera odpowiednio spreparowane ciasteczko (cookie) i już mamy na nim uprawnienia administratora. W uproszczeniu tak wygląda scenariusz ataku "Misfortune Cookie" (pol. Ciasteczko Nieszczęścia) opisanego w 2014 roku przez researcherów firmy Checkpoint.

Szacowali oni, że w momencie rozpowszechnienia informacji o luce zagrożonych mogło być nawet kilkanaście milionów urządzeń na cały świecie. Podatność była groźna nie tylko ze względu na skalę, ale też na poziom zagrożenia. Po przejęciu kontroli nad routerem atakujący może podsłuchać całą przechodzącą przez niego komunikację czy chociażby manipulując DNSami przekierować ofiarę na podstawioną przez siebie stronę internetową tak by myślała, że łączy się np. z witryną swojego banku.

Badlock

CVE-2016-2118, CVE-2016-0128

Badlock to jedna z tych podatności w przypadku których zamieszanie medialne okazało się lekkim przerostem formy nad treścią. Zanim poznaliśmy szczegóły tej luki była już opublikowana dedykowana strona internetowa, opracowane logo, a atmosferę przez tygodnie podgrzewały krążące po sieci spekulacje dotyczące tego, jak poważna może być to dziura.

Tymczasem po ujawnieniu opisu podatności okazało się, że jest ona dużo mniej istotna niż się spodziewano. Badlock to dziura w Sambie i w Windowsie, dzięki której atakujący może przechwycić hasła, pliki albo przeprowadzić atak typu Denial-of-Service (DoS). Jednak żeby mu się to udało musi być w tej samej sieci co ofiara, przez co zakres oddziaływania tej luki jest mocno ograniczony.

W 10-stopniowej skali Common Vulnerability Scoring System, opisującej poziom zagrożenia, Badlock uzyskał jedynie 7.1 punktów (przy założeniu, że 10 punktów przyznawane jest najpoważniejszym podatnościom). To wciąż wysoki wynik jednak zupełnie nie odpowiadał on oczekiwaniom rozbudzonym przez osoby odpowiedzialne za marketing związany z Badlockiem.

DIRTY COW

CVE-2016-5195

Dirty COW (w bezpośrednim tłum. "Brudna krowa") to rzeczywista luka w jądrze Linuxa, ale jej odkrywcy postanowili trochę zażartować z marketingowej otoczki jaka ostatnio towarzyszy ujawnianiu mniejszych lub większych podatności. Nie tylko nadali jej nazwę, stworzyli logo i dedykowaną stronę internetową, ale poszli jeszcze krok dalej i uruchomili sklep internetowy z krowimi gadżetami wycenionymi na "niewielkie" kwoty rzędu kilku, kilkunastu tysięcy dolarów (np. koszulka damska z logo Dirty COW - cena: 2846 USD, torba na laptopa z logo - cena 17100 USD).

Podatność sama w sobie wykorzystując błąd typu "race condition" umożliwia eskalację uprawnień - czyli, żeby z niej skorzystać atakujący musi mieć dostęp do serwera. Tu z pomocą przychodzą inne, znacznie mniej poważne luki, które pozwalają wykonać kod na serwerze jako zwykły użytkownik. Gdy do nich dołożymy Dirty COW możemy dostać uprawnienia administratora, co oznacza pełną kontrolę nad maszyną.

Błąd występował w systemach opartych na Linuxie od 9 lat wstecz (włączając w to urządzenia mobilne obsługiwane za pomocą Androida) i wszystko wskazuje na to, że był znany wcześniej pewnej wąskiej grupie osób bo podatność została ujawniona po włamaniu, w którym ktoś rzeczywiście z niej skorzystał.

Więcej o bezpieczeństwie IT zaprezentujemy podczas X FORUM BEZPIECZEŃSTWA I AUDYTU IT 30-31.03.2016r. - tylko do 20 stycznia cena FIRST MINUTE - SPRAWDŹ SZCZEGÓŁY>>