Skocz do treści

Get Secure Wpisy

Zdalne wykonanie kodu w SQLite

Wenxiang Qian z grupy badaczy bezpieczeństwa Tencent Blade Team odkrył podatność w silnikach baz SQLite, która pozwala między innymi na zdalne wykonanie kodu na urządzaniu ofiary.

Podatny jest także silnik Chromium używany w wielu aplikacjach i urządzeniach spiętych w Internet of Things (IoT). Grupa posiada działający exploit, który został użyty do ataku na głośniki Google Home.

Google załatał już swój kod, Tencent Blade Team wstrzymuje się z opublikowaniem kodu exploita do czasu wypuszczenia aktualizacji przez innych producentów.

Łatki zostały także wypuszczone na Red Hat, Debian, openSUSE.

Jeśli jesteś autorem oprogramowania lub administratorem zaktualizuj SQLite do 3.26.0,  Chromium i Chrome do 71.0.3578.80.

Zalecamy regularnego używania oprogramowania do szacowania podatności (Vulnerability Assessment), najwięksi gracze na rynku już uzbroili swoje silniki w mechanizm wykrywania tej podatności.

Logitech Options – dziurawy od 3 miesięcy

Tavis Ormandy –  badacz bezpieczeństwa Google Project Zero odkrył podatność oprogramowania do modyfikowania zachowań klawiatury Logitech o nazwie Logitech Options.

Oprogramowanie to instaluje serwer WebSockets na porcie 10134, który uruchamia się automatycznie po starcie systemu MS Windows i nasłuchuje na polecenia od urządzenia Logitech Crown w oparciu o publiczne SDK.

Jedyne uwierzytelnienie urządzenia to identyfikator procesu pluginu użytkownika, jednak brak zabezpieczenia przed atakiem typu Brute-Force daje szansę na szybkie odgadnięcie tej wartości.

Jeśli użytkownik uruchomi spreparowany kod (np klient WebSocket napisany wJavaScript na stronie internetowej) to atakujący jest w stanie wysłać do oprogramowania złośliwe sekwencje klawiszy, co daje duże możliwości złośliwych działań.

18 września Tavis spotkał się się z inżynierami Logitech, wskazał sposób rozwiązania problemu, jednak kolejna aktualizacja oprogramowania nie zawierała poprawki.

W tej sytuacji badacz zdecydował się opublikować opis podatności.

Załatanie błędu nie było chyba aż tak skomplikowane, skoro niespełna 2 dni po opublikowaniu podatności ukazała się poprawka, o czym Tavis informuje na Twitterze.

Morał z tej historii jest taki: należy brać na poważnie raporty o podatnościach przesyłane przez badaczy bezpieczeństwa (Ethical Hakerów), najlepiej uruchomić program Bug Bounty, niekoniecznie publiczny. 

Można do tego wykorzystać platformy, na przykład HackerOne, czy Bugcrowd.

Aby jednak program Bug Bounty miał sens, należy zadbać o to, aby w zespołach programistów obok standardowego planowania prac istniała szybka ścieżka (Fasttrack) na potrzeby łatania błędów bezpieczeństwa.

Wszystkim korzystającym z oprogramowania Logitech Options zalecamy aktualizację do najnowszej wersji.

CSRF w portalu Samsung

Artem Moskowsky, ukraiński badacz bezpieczeństwa wykrył podatności CSRF w portalu samoobsługi Samsunga pozwalające na przejęcie konta użytkownika.

O fakcie poinformował portal ZDNet sam hacker, podobną informację podaje też The Register

Portal https://account.samsung.com/ pozwala zarządzać urządzeniami mobilnymi użytkownika.

Błędy CSRF pozwalały zmienić dane bezpieczeństwa konta (wyłączyć uwierzytelnianie wieloetapowe, zmienić pytanie odzyskiwania hasła) a w rezultacie przejąć konto.

Błędy oczywiście załatano, a hacker otrzymał nagrodę w wysokości 13300 USD.

Przed błędami CSRF stosunkowo łatwo się ustrzec, pojawiają się niezmiernie rzadko, do tego stopnia, że zostały usunięte z listy OWASP Top Ten w 2017 roku.
Jak widać nadal jednak mogą być groźne.