标签: Linux

Linux Gnome 文件管理器存在关键代码注入漏洞

据外媒 7 月 19 日报道,德国安全研究人员 Nils Dagsson Moskopp 近期发现 GNOME Files 文件管理器存在一处代码注入漏洞 Bad Taste( CVE-2017-11421 ),允许黑客在目标 Linux 计算机系统上执行恶意代码。 Bad Taste 漏洞驻留在 “ Gnome-Exe-Thumbnailer ”( Gnome 图像处理工具软件 Thumbnailer )中,其主要利用 GNOME 工具从 Windows 可执行文件(.exe / .msi / .dll / .lnk)中生成缩略图像,并要求用户在其系统上安装 Wine 应用程序方可查看。 Wine 是一款免费开源软件,可以让 Windows 应用程序在 Linux 操作系统上运行。Moskopp 表示,他在检测包含 .msi 文件目录时发现,GNOME Files 将文件名称作为可执行输入并创建运行缩略图像。为成功利用此漏洞,攻击者可以发送一个精心制作的 Windows 安装程序( MSI )文件,其文件名中包含恶意脚本代码。如果在易受攻击的系统上下载,则无需用户进一步交互便能损害系统设备。 目前,该漏洞影响 0.9.5 之前版本的 Gnome-Exe-Thumbnailer。因此,如果用户使用 GNOME 桌面运行 Linux 操作系统应及时更新并检查应用程序。与此同时,Moskopp 还建议用户删除 / usr / share / thumbnailers 中的所有文件、不要使用 GNOME 文件以及卸载任何便于自动执行文件名作为代码的恶意软件。 原作者:Swati Khandelwal,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

微软与 Linux 供应商联合修复 Kerberos 协议高危漏洞

安全研究人员于今年 4 月发现网络安全认证协议 Kerberos 存在一处高危漏洞 Orpheus’Lyre(CVE-2017-11103),允许攻击者远程访问目标系统升级权限、窃取用户凭证。7 月 11 日,微软与多家 Linux 供应商联合发布了漏洞补丁。 Kerberos 是一种加密认证协议,其初始密码为大量未经身份验证的明文,这也意味着部分 Kerberos 信息既不加密,也不以某种直接加密方式进行保护。在某些特定情况下,这可能是多数漏洞产生的根源。尽管 Kerberos 协议存在未经身份验证的明文,但它还是极其安全可信的。不过,研究人员需要非常小心地获取每个数据细节,以便对明文进行身份验证。 调查显示,攻击者可利用 Orpheus’Lyre 漏洞直接从未受保护的密钥分配中心(KDC)中获取元数据,该漏洞甚至影响了包括微软与瑞典 KTH 皇家理工学院(Heimdal)在内的不同版本 Kerberos 协议的实施。 研究表明,用户可通过删除未加密字段防止漏洞被利用,以便在合成认证请求时强制使用加密字段。安全专家们也建议用户仔细检查每款 Kerberos 协议的运行,因为并非所有供应商都能预期修复漏洞。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

维基解密公布 CIA 用于攻击 Linux 系统的恶意软件 OutlawCountry

据外媒 1 日消息,维基解密最新发布了一批秘密文档,详细介绍了 CIA 黑客工具 “OutlawCountry”,可被用于远程监控运行 Linux 操作系统的计算机,能够将目标计算机上的所有出站网络流量重定向到 CIA 控制系统以进行渗透。 消息显示, OutlawCountry 黑客工具由 Linux 2.6 内核模块组成,CIA 黑客可通过 shell 访问目标系统进行加载。这一工具的主要限制在于内核模块只与兼容的 Linux 内核一起工作: (S // NF)目标必须运行兼容的 64 位版本的 CentOS / RHEL 6.x (内核版本2.6.32)。 (S // NF)操作员必须具有对目标的 shell 访问权限。 (S // NF)目标必须有一个 “nat” Netfilter表 该模块允许在目标 Linux 用户上创建一个隐藏名称的隐藏 Netfilter 表。 如下图,CIA 操作员在目标设备(TARG_1)上加载 OutlawCountry,然后他可以添加隐藏的 iptables 规则来修改 WEST 和 EAST 之间的网络流量。例如,本该从 WEST_2 路由到 EAST_3 的数据包可能被重定向到 EAST_4 。 本次泄露内容不包括攻击者在目标 Linux 操作系统中注入内核模块方式的相关信息。网络间谍组织为达到目的很有可能会利用多种黑客工具、漏洞,或其他网络武器库达到破坏目标 Linux 操作系统的目的。 更多详细信息可访问 维基解密 官网。  原作者:Pierluigi Paganini,译者:FOX。封面源自网络。

攻击者利用 SambaCry 漏洞进行虚拟币挖矿

据外媒 6 月 10 日报道,卡巴斯基实验室研究人员发现网络犯罪分子正利用 SambaCry 漏洞( CVE-2017-7494 )进行虚拟货币挖矿操作。 SambaCry 能够允许黑客远程控制易受攻击的 Linux 与 Unix 系统,不过也仅能在特定情况下使用,即满足联网创建文件与共享端口 445 、配置写入权限的共享文件和文件使用已知服务器路径时,攻击者才可远程上传指定恶意代码并利用服务器加载执行。 SambaCry 具备网络蠕虫特性,目前全球至少 485,000 台计算机存在 Samba 漏洞并被暴露于互联网之中。据研究人员推测,近期使用 SambaCry 的网络攻击数量将会迅速增加。卡巴斯基实验室研究人员在设立蜜罐检测时,已发现一款恶意软件正利用 SambaCry 漏洞感染 Linux 系统并安装加密挖矿工具。一旦 Linux 设备遭受 SambaCry 漏洞攻击,攻击者将会在目标系统中执行两个不同 payloads: INAebsGB.so – 反向 shell,允许远程攻击者访问目标系统 cblRWuoCc.so – 后门,包含加密货币采矿工具的后门 CPUminer 被攻击的系统将会变成一个专门为攻击者挖掘虚拟货币的“私人矿场”。此外,通过系统中的反向壳,攻击者还可改变已经运行的矿工配置,或使用其他恶意软件感染受害者电脑。据卡巴斯基透露,这一攻击活动的幕后黑手已获利至少 5,380 美元。随着被攻击的 Linux 系统数量的增加,网络犯罪分子的收入也会随之递增。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

潜伏 11 年的 Linux 内核提权漏洞(CVE-2017-6074)曝光

Linux 内核近日又曝出权限提升漏洞,该漏洞可追溯至 2005 年,漏洞影响 Linux 操作系统主要发行版本,包括 Redhat、Debian、OpenSUSE 和 Ubuntu。利用该漏洞,攻击者可以从低权限进程中进行内核代码执行。目前已知受影响的最老版本是 2.6.18(2006 年 9 月),不过该漏洞可能在先前的版本中已经存在,或许从支持 DCCP 开始( 2005 年 10 月的 2.6.14)就已经存在问题了。 在 Seclists.org 发布该漏洞的作者 Andrey Konovalov 表示,很快就会放出 PoC,在此期间给予修复时间。 安全研究员 Andrey Konovalov 最近用 Syzkaller fuzzing 工具,发现了 DCCP 协议实现中的 Linux 内核漏洞,漏洞潜伏时间超过 10 年。 DCCP协议 DCCP协议是面向消息的传输层协议,可最小化数据包报头带来的开销和终端处理的工程量。该协议可建立、维护和拆卸不可靠连接的数据流以及对不可靠数据流进行拥塞控制。 该 DCCP 双重释放漏洞可允许本地低权限用户修改 Linux 内核内存,导致拒绝服务(系统崩溃),或者提升权限,获得系统的管理访问权限。 漏洞详情 这是个 UAF 漏洞:在 IPV6_RECVPKTINFO 开启的情况下,内核解析DCCP 协议的流程中判断已经收到了 DCCP_PKT_REQUEST 返回包,就会释放解析过程使用的 SKB 地址。(“DCCP protocol implementation freed SKB (socket buffer) resources for a DCCP_PKT_REQUEST packet when the IPV6_RECVPKTINFO option is set on the socket.”) 按现在的实现,解析 DCCP 协议的流程中如果 dccp_v6_conn_request 有返回值,就会通过 dccp_rcv_state_process 中的 __kfree_skb 释放掉解析过程中收到了 DCCP_PKT_REQUEST 返回包的 SKB 地址。但是,如果 IPV6_RECVPKTINFO 开启的情况下编译内核,skb 地址就会被存储在 ireq->pktopts,而 dccp_v6_conn_request 中的引用计数会增加,这样 skb 就仍然会被使用。直到 dccp_rcv_state_process 进程中才会被释放。 攻击者使用某些内核堆喷射技术就能控制任意对象,并用任意数据重写其内容。如果重写过的对象中包含任何可触发的函数指针,攻击者便可在该内核中执行任意代码。这个漏洞并不是远程代码执行漏洞,所以攻击者必须拥有系统本地账户,才能利用该漏洞。 两个月前,Linux内核也曝出了类似的提权漏洞CVE-2016-8655,该漏洞可以追溯到2011年,低权限本地用户利用Linux内核af_packet实现中的竞争条件,可获得root权限(漏洞详情)。 修复方案 手动修复:调用consume_skb,而非跳转discard并调用__kfree_skb。 更详细的修复方案请点击这里。如果你是高级Linux用户,那么可以应用补丁,重新构建内核,或者等待发行商发布更新。 稿源:FreeBuf, 由 FB 小编 kuma 编译;封面源自 FreeBuf

新木马“Linux.Proxy.10”已将数千台 Linux 沦为代理服务器

据安全公司 Dr. Web 报道,数千个 Linux 设备感染了新木马 Linux.Proxy.10 。正如木马的名字所暗示的,该木马可以在受感染的设备上运行基于 Satanic Socks Server 源代码的 SOCKS5 代理服务器。攻击者将受感染的设备作为跳转代理进行恶意行为,从而隐藏其真实信息。 Linux.Proxy.10 最初是由杀毒公司 Doctor Web 的研究人员在 2016 年底发现的,据研究报道显示,该木马已经攻击了数千台 Linux 设备、恶意代码仍在继续传播。木马不包含任何攻击 Linux 系统的模块,而是使用其他木马和技术入侵设备,并创建一个名为“ mother ”密码为“ f**ker ”的后门账户。一旦后门安装成功,攻击者将通过 SSH 协议登录设备,并安装 SOCKS5 代理服务器。此外,研究人员调查了一台用于传播 Linux.Proxy.10 木马的服务器,发现其中除了包含目标设备的攻击列表,还有一个匿名代理管理员面板和一个已知的 Windows 间谍软件 BackDoor.TeamViewer 。 建议: Linux 用户和管理员限制或禁用 root 用户通过 SSH 远程登录设备,并监控新生成的登录用户、观察其是否存在恶意行为。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

长按回车 70 秒 Root Linux 系统,你信么?

不管你信不信,黑客只需按住“ Enter ”(回车)键约 70 秒就能轻松绕过 Linux 系统身份验证、获得 Root 权限、实现对加密 Linux 设备的完全控制。 Linux Unified Key Setup (LUKS,统一密钥设置) 是 Linux 下标准的设备加密格式,可用于不同的 Linux 版本、支持多用户/口令。 CVE-2016-4484 漏洞出于分区加密程序 Cryptsetup 通过 LUKS 标准加密硬盘驱动器的过程中 ,能够导致 Cryptsetup 解密过程失败,从而允许用户多次重试密码。更糟糕的是,如果用户已尝试 93 次密码或者直接按住“ Enter ”键约 70 秒,将会直接进入具有 root 权限的 shell 里面 (即能够 Root  initramfs shell)。 一旦获得目标 Linux 设备上的 root shell ,黑客可以复制、修改、破坏硬盘,或者连接网络窃取数据。如果设备使用基于云的 Linux 服务,黑客可远程利用此漏洞,而无需“物理访问”。这个安全漏洞不依赖于特定的系统或配置,在图书馆、自动取款机、机场设备、实验室等场景中最容易被利用。 解决方法 首先,在 LUKS 密码提示下按 Enter 键约 70 秒钟,直到 shell 出现,查看您的系统是否容易受到攻击。 1、如果容易受到攻击,您需要与您的 Linux 系统支持供应商联系,查询是否有补丁可用。 2、如果修补程序不可用,则可以通过修改 cryptroot 文件 访问 hmarco.org 可以查看更多细节。 稿源:本站翻译整理,封面来源:百度搜索

新木马”FakeFile”:无需 root 即可执行,针对 openSUSE 以外所有 Linux

据外媒报道,俄罗斯杀毒软件供应商 Dr.Web 在 10 月发现针对 Linux 系统的新木马“ FakeFile ”,该木马以 PDF 、 Microsoft Office 、 OpenOffice 文件形式传播。木马的源代码中有一个特定的规则:如果系统使用的 Linux 发行版是 openSUSE,则终止感染进程。也许恶意软件作者就是使用的该系统版本。FakeFile是一个成熟的后门木马,具备常见的一系列操作功能。此外木马还可以运行文件、shell命令,获取或设置所需文件和文件夹的权限,终止进程或将其从受感染的主机中移除。最令人担忧的是,木马不需要root权限就可以执行这些操作。 稿源:本站翻译整理,封面来源:百度搜索

尽快修复:Linux 全版本提权漏洞 Dirty COW (脏牛漏洞)

据国外媒体消息,近日曝出的 Dirty COW  0-Day 漏洞存在于 2007 年发布的 Linux 2.6.22 内核中,能够使低权限用户在全版本  Linux 系统上实现本地提权,直至 2016年 10 月 18 日 Linux 内核小组发布官方补丁表示 CVE-2016-5195 (Dirty COW)漏洞已被修复。 官方给出的漏洞原理是: Linux 内核的内存子系统在处理 Copy-on-Write 时出现竞争条件(漏洞),导致私有的只读内存映射被破坏、获取读写权限后进一步提权。 此前并无任何证据表明,有黑客在利用 Dirty COW 进行攻击,但安全研究人员 Phil Oester 通知 Red Hat 指出近期已有黑客组织在部署利用该漏洞的代码。 Red Hat 官网 21 日发布公告把漏洞评级为“重要”, 并表示以下版本将受漏洞影响: Red Hat Enterprise Linux 5 Red Hat Enterprise Linux 6 Red Hat Enterprise Linux 7 Red Hat Enterprise MRG 2 Red Hat Openshift Online v2 用户可到官网下载脚本进行检测。此外 Debian、Ubuntu 版本  Linux 也已发布 CVE-2016-5195 漏洞公告 21 日下午,据国内 360 安全团队最新消息: “在 Android 7.0 最新的 10 月补丁安全级别的系统上测试过漏洞 POC,确认 Android 系统受影响。 稿源:本站翻译整理,封面来源:Dirty COW 专用 Twitter