השבוע אבטחה: Y2K22, חוסם שלא בכוונה 911, כמו גם באג ALERT
אם אתה איתרע מזלה של מפעיל שרת Microsoft Exchange בשבוע האחרון, אז אתה לא דרישה לי לספר לכם על הבעיה Y2K22 . לתפוס כול למעלה, כאשר חילופים ניסו להוריד את עדכון גדרות תוכנה הזדוני הראשון של 2022, מספר הגרסה של ההגדרות החדשות מופעל בתאונה במנוע זיהוי התוכנות הזדוני. המועד מיוצג כמו המחרוזת 2201010001, שבו שתי הספרות הראשונות מאוד לייצג השנה. מחרוזת זה מקבל המרה מספר שלם ארוך חתם, אשר maxes החוצה 2147483647. המספר השלם גולש, כמו גם התוצאה היא התנהגות בלתי מוגדרת, מתרסקת מנוע. השרת מפסיק לעבוד בטוח, לא עיבוד סוג כלשהו של הודעות ללא מנוע זדוניות עובד, מה שמרמז כי אין דואר אלקטרוני מקבל דרך. שנה חדשה שמחה!
מניעת 911 אנדרואיד של שירות
חיוג 911 עבור שירותי חירום די הרבה הזמן הגרוע ביותר עבור באג יישום תוכנה כדי להתבטא. גוגל פשוט תיקנו באג כזה בעדכון אנדרואיד ינואר. זהו אחד מאותם אינטראקציות אפליקציה המכוונות מוזרות – במצב הזה צוותות מיקרוסופט מפעילים את הבאג אנדרואיד. אם אפליקציית צוות מותקן, אך בשום פנים ואופן מחובר, צוותות מייצרים כמו גם רושם פריט PhoneAccount חדש על כול השקה. זה נראה כמו שהוא צריך להיות נדיר, אולם צוותי על אנדרואיד היא גם לשמצה להתנתק הפרט באופן ספונטני. כשתחייג 911, אנדרואיד מפעיל שגרתית לזהות אילו PhoneAccount צריך להיות מנוצל כדי נתיב השיחה, כמו גם קשרים פותרים ידי השוואת סולמית. את ההשוואה הזאת רק חיסור נאיבי, רומזת כי יש אפשרות 50% בהשגת תוצאה שלילית. זה היה בלתי צפוי, מה שמוביל להתרסקות.
הנדסה הפוכה דלת מוסך
הנדסה הפוכה תוכנית אישור אלחוטית בן 30 שנים לא יכול להיות הישג ביותר עניין תופס, אולם בחלק מהמקרים המסע הוא תגמול משלה. [מקסוול Dulin] מביא לנו את הסיפור, כמו גם את המסע הזה הוא בהחלט שווה את זה. הבסיס של זה גרזן הם בהחלט עדיין קיימא, החל לקחת מבט החומרה. דלת המוסך הסינכרון של הפותחן דל המוסך על ידי החזקת לחצן על השפופרת בזמן שליחת קוד. בתוך פותחן, ישנם תשעה מיקום המתגים, כל אחד עם שלוש עמדות. מה הם עושים? הוא שלף SDR האמין שלו כדי לקבל את תעבורת האינטרנט, כמו גם לנסות לפענח את האותות. Inspectrum וכן GNU Radio היו הגיבורים כאן, ומספק תובנה תכנית אימות קלה זה. המחשבה הסופית על דלת מוסך בפועל זה? אתה יכול כוח פראי קוד ידוע על ידי שליחת כל משולבת אפשרי, כמו גם זה לוקח רק 104 דקות.
BugAlert
אם אתה מנהל מערכת, אתה מבין כמה בעיות שיחת טלפון לפעולה מיידית. אם אתה רץ שירת ג’אווה, את פגיעות Log4J הייתה מבחן לסיים של פרוטוקול התגובה שלך. הזמן בין גילוי ציבורי וכן בכל פעם שמעתם על זה, אולי מספקת כדי להגדיר את האסון. אמנם יש מספר שירותי דיווח באג וכן מסגרות, דבר די מתאים לנישה הזו לנצל מקרה: המודיע לך בהקדם האפשרי כי השיער שלך עשוי באמת להיות על האש. זה נישה ללא מילוי הציק [מתיו סאליבן], אשר חשפה פרויקט חדש, באג התראה. זה כל קוד פתוח, כך שאתה יכול להחזיק מופע משלך אם אתה באמת רוצה. אתה יכול לבחור לקבל טוויט, טקסט, או שיחת טלפון אפילו. זה כולל את הפוטנציאלים להיות כלי מועיל, תסתכל!
אני מרגיש כאילו אני דרישה לעשות באג התראה לדרך שיר אל ספציפיים מוזר …
הזומבי SSRF
[דוד שיץ] חיפש APIs Google מעורפל, כמו גם מצאו jobs.googleapis.com, שבו אתה יכול הדגמה עצמך. הדגמה זה מעניין, שכן הוא לא שירות מלא כהוגן לחלוטין, אולם מדברת אל עורפיות האמיתיות. הבקשות ללכת עם פרוקסי, cxl-services.appspot.com, אשר מטפל צעד האימות עבור דף ההדגמה. אם הוא עלול להצית זיוף בקשה בצד השרת (SSRF), הוא יוכל לקבל את הבקשות המאומתות, כמו גם אולי הטכניקה ה- proxy לתוך שליחת תעבורת האינטרנט מטעמו. URL ניתוח קשה. הטכניקה כי עבד? קו נטוי הפוך ב- URL. גט /proxy?url=https://sfmnev.vps.xdavidhu.me\@jobs.googleapis.com/ HTTP / 1.1
עם גישה רווח לאסימון ביד, [דוד] החלו לבדוק ביסודיות את ה- Google APIs אחרים כדי לראות מה האסימון הזה סיפק לו לקבל גישה אל. הוא מספק את המזהירה כיסינו לפני, להיות זהיר בדיוק כמה רחוק אתה לדחוף. הוא עלול דיווח הבאג הכי טוב משם, אולם בקש לוודא שהוא באמת היה להשיג גישה מקוונת לאסימון. לאחר אישור האסימון עזר בדקה גישה, שפנה הממצא, כמו גם מרושת טוב מאוד 3133.70 $, בנוסף ל 1000 $ נוספים עבור דו”ח נהדר כמו גם המבט הזהיר אל תנועה לרוחב. זה כל מה שיש לי להגיד, נכון? לא. רגע לפני המועד האחרון גילוי 90 יום חלפו, [דוד] מצאו מעקף תיקון. adding כל סוג של טקסט בין backslash כמו גם @ היה מספיק כדי לשבור אותו. עוד 3133.70 $. רק בשביל הכיף, הוא חקר את כתובות האתר הישנות, זה לא צריך להיות בשירות לאחר תיקון. כן, הוא גילה עדיין עוד בטיחות ואבטחה, כמו גם 3133.70 $ מרושת. זה SSRF זומבי עדיין לא מת, כפי שמעידים בטוויטר:
עדכון וורדפרס
אם לא הגדרת את מופע WordPress שלך כדי לעדכן באופן אוטומטי, הגיע הזמן ללכת לבדוק את הגירסה העדכנית ביותר. ישנן ארבע בעיות פוטנציאליות כאן, אם כי הפרטים נדירים בשלב זה. ראשית מאוד היא פגיעות של Scripting באתר בפרסם שבלולים, החלק של כתובת האתר התואמת את השם לפרסם. הבעיה השנייה שנדונה היא הזרקת פריט בכמה תצורות multisite. שני הפגיעויות האחרונות הן זריקות SQL, בהחלט ראויה ל”איזו שנה זה? ” אני אני.