

Datos sin encriptación durante actualización de aplicación Signal

Sophos Endpoint StandaloneSophos Virtual Enviroment (SVE)UTM Managed EndpointsSophos Home
Una falla de alta severidad en Linux permitiría a un atacante con bajos privilegios obtener acceso completo como administrador de un sistema afectado. Esta vulnerabilidad se encuentra en el proceso “get_process_ttyname()”.
Sudo significa “superuser do!” (ejecutar como superusuario), es un programa de Linux y UNIX que permite a usuarios normales ejecutar comandos como superusuario (“root”), tal como agregar usuarios o realizar actualizaciones de sistema.
La falla reside en la forma que Sudo convierte la información “tty” desde el archivo de estatus de proceso en el sistema de archivos.
En equipos linux, sudo convierte el archivo /proc/[PID]/stat para determinar el numero de dispositivo tty del proceso.
Mientras los campos en el archivo son delimitados por espacios, es posible incluir un espacio en blanco en el campo 2 (inclusive un salto de linea) lo cual no es esperado por Sudo.
Para explotar esta falla, el usuario puede escoger un número de dispositivo que no exista actualmente en /dev. Si Sudo no encuentra el terminal bajo el directorio /dev/pts, ejecuta una busqueda BFS (en ancho) del /dev, el atacante entonces crea un link simbólico al nuevo dispositivo creado en un directorio con permisos de escritura como /dev/shm.
Este archivo será usado como el punto de entrada y salida estandard de comandos, es posible sobre-escribir un archivo arbitrario. Esto puede ser escalado para tener privilegios completos de root al sobre-escribir un archivo de confianza como /etc/shadow o /etc/sudoers.
Afecta a Sudo 1.8.6p7 hasta 1.8.20 y se le ha otorgado una severidad alta, ya está parchado en Sudo 1.8.20p1 y se aconseja actualizar a la última versión.
Ya existen parches para Red Hat, Debian y Suse.
Fuentes:
http://www.openwall.com/lists/oss-security/2017/05/30/16
https://www.sudo.ws/alerts/linux_tty.html
https://access.redhat.com/security/cve/cve-2017-1000367
https://security-tracker.debian.org/tracker/CVE-2017-1000367
Se realizó el hallazgo y confirmación de una vulnerabilidad crítica en Samba, cuya permanencia se calcula de hace 7 años. Se le ha llamado SambaCry
Samba es un software gratuito que permite acceder y utilizar archivos, impresoras y otros recursos compartidos en una intranet o en Internet. Está soportado por una gran variedad de sistemas operativos, como Linux, openVMS y OS/2. Está basado en los protocolos SMB (Server Message Block) y CIFS (Common Internet File System).
Esta vulnerabilidad (CVE-2017-7494) puede permitir la ejecución de código remoto mediante el envío de una librería compartida a un recurso que permita escritura, con tal que el servidor la cargue y ejecute.
Afecta a versiones desde Samba 3.5.0 (Marzo de 2010) y posteriores.
Existen parches para remediar esta vulnerabilidad en el sitio de Samba: https://www.samba.org/samba/ftp/patches/security/samba-4.6.3-4.5.9-4.4.13-CVE-2017-7494.patch. Además existen versiones actualizadas con esta vulnerabilidad corregida (4.6.4, 4.5.10 y 4.4.14).
RedHat, Ubuntu y Slackware ya han publicado parches para sus distribuciones.
Adicionalmente se recomienda modificar la configuración de Samba en el archivo <<smb.conf>> y luego reiniciar el servicio. El parámetro “nt pipe support” se debe deshabilitar:
<<nt pipe support = no>>
Esta vulnerabilidad se encuentra presente en más de 480.000 equipos ejecutando Samba mediante el puerto 445, por lo que se denomina como “la versión Linux de EternalBlue”, utilizado por el ransomware WannaCry.
Es simple de explotar, sólo se requiere agregar una línea de código para ejecutar código malicioso en el sistema vulnerable:
<< simple.create_pipe(“ruta/objetivo.so”) >>
Además ya existe en Metaexploit.
Fuentes:
https://lists.samba.org/archive/samba-announce/2017/000406.html