សប្តាហ៍នេះនៅក្នុងការមូលបត្រ: ភូមិសាស្រ្តនយោបាយ HACKTIVISM, Antivirus រុករករ៉ែព្រមទាំងលីនុចមេរោគ
នេះជាសេអ៊ីអា Hacktivists បានណែនាំប្រភេទនៃយុទ្ធនាការ ransomware ប្រឆាំងនឹងប្រព័ន្ធផ្លូវរថភ្លើងបេឡារុសមួយ, ទោះជាយ៉ាងណាជំនួសឱ្យការ cryptocurrency ពួកគេចង់បានការដោះលែងអ្នកទោសនយោបាយដែលជាការ ព្រមទាំងការយកចេញនៃទាហានរុស្ស៊ី។ នេះអាចត្រូវបានហៅថាជាឧទាហរណ៍នៃអ៊ិនធើណែភេរវកម្មមួយ, ទោះបីជាមានគឺជាទ្រឹស្តីមានតំលៃសមរម្យថានេះគឺជាការ hack ដែលឧបត្ថម្ភដោយរដ្ឋ, masquerading ដូចជា hacktivism ។ តើអ្វីដែលហាក់ដូចជាជាក់លាក់គឺថាអ្វីដែលមានការឆ្លងកាត់ផ្លូវរថភ្លើងរំខានព្រមទាំងក្រុមមួយនៅលើ Twitter បានបង្កើតភស្តុតាងនៃការរំលោភបញ្ចុះបញ្ចូលមួយ។
ឥឡូវនេះមានរួមបញ្ចូលទាំងការប្រឆាំងមេរោគរបស់អ្នកជាមួយ CryptoMiner
កុំមើលទៅឥឡូវនេះ, ទោះជាយ៉ាងណាធ្វើឱ្យទាន់សម័យបច្ចុប្បន្នរបស់អ្នកនៃន័រតុន 360 ឬ Avira អាចដំឡើងម៉ូឌុលរុករករ៉ែ cryptocurrency ។ ស្រទាប់ប្រាក់នោះគឺថាភាពប្រក្រតីមួយចំនួនដែលត្រូវបានរក្សាទុកដូចជាអ្នកមានដើម្បីទៅនឹងផែនការកូដសាស្ត្រមុននឹងមិនចូលរួមក្នុងការចាប់ផ្តើមការចំណាយរបស់ក្រុមហ៊ុនផលិតរបស់អ្នកទំនេររបស់ខ្លួនលើវដ្តនៃការរុករករ៉ែ។ សម្រាប់បុគ្គលដែលបានធ្វើ, ពួកគេបានដាក់ចូលទៅក្នុងអាងទឹករុករករ៉ែមួយដែលធ្វើឱ្យការទូទាត់សងប្រាក់តិចតួចសម្រាប់ការជាច្រើននៃផ្នែករឹងមួយ។ ន័រតុន, ធម្មជាតិ, ត្រូវចំណាយពេលជាបន្ទុក 15% ចេញពីកំពូលចំពោះបញ្ហារបស់ពួកគេ។
នេះជាបញ្ជាក់របស់លីនុចមេរោគ
មានប្រើប្រាស់ដើម្បីជាពាក្យចាស់ថាម៉ាស៊ីនលីនុចមិនទទួលបានមេរោគមួយ។ ដែលមិនពិតជាការពិតជាបានទោះយ៉ាងណាបានបន្តការសញ្ជ័យនៃទេសភាពម៉ាស៊ីនបម្រើនៅទីនេះមានផលប៉ះពាល់ផ្នែកម្ខាងនៃការធ្វើឱ្យលីនុច malware គ្រោះថ្នាក់សូម្បីតែខ្ពស់ជាងមុន។ Crowdstrike បានមើលឃើញការជម្រុញ 35% នៅក្នុងលីនុចពីមេរោគក្នុងឆ្នាំ 2021 ដោយមានបីនាំមុខគេតែមួយគត់ចំណាត់ថ្នាក់ចោទប្រកាន់នេះ: XorDDoS, Mozi ព្រមទាំង Mirai ។
PwnKit
និងការនិយាយរបស់ Linux ដែលជាភាពងាយរងគ្រោះធ្ងន់ធ្ងរណាស់ដែលត្រូវបានលីនុចគ្រាន់តែបានប្រកាសព្រមទាំងធ្វើការទាញយកត្រូវបានចេញផ្សាយរួចហើយ។ បញ្ហានេះគឺជាការសំខាន់មួយក្នុងប្រព័ន្ធគោលពីរ Polkit ដែលសម្រាប់គោលបំណងនេះអាចត្រូវបានគេជឿថាជាការជំនួស sudo មួយ។ នេះជាផ្នែកមួយសំខាន់ណាស់គឺថាវាជាប្រព័ន្ធគោលពីរ setuid មួយដែលលើកតម្កើងការសិទ្ធិរបស់ខ្លួនដើម្បីជា root នៅពេលដែលធ្វើឡើងដោយអ្នកប្រើដែលគ្មានសិទ្ធិមួយ។ “ឥឡូវនេះរង់ចាំ” ខ្ញុំឮអ្នកនិយាយថា “នោះហាក់ដូចជាដូចជាបញ្ហាសុវត្ថិភាពអាក្រក់!” វាអាចជា, នៅពេលដែលវាខុស។ ទោះជាយ៉ាងណាការពិតជាមូលដ្ឋានគឺថាមានពេលមួយដែលតម្រូវការដងបុគ្គលដើម្បីធ្វើសកម្មភាពដែលនឹងត្រូវការសិទ្ធិជា root បើមិនដូច្នេះទេគឺមាន។ ឧទាហរណ៍មូលដ្ឋានប៉ុងត្រូវការដើម្បីបើករន្ធបណ្តាញមួយនៅក្នុងការទិញដើម្បីឆៅមុខងារ។ ប្រព័ន្ធគោលពីរទាំងនេះត្រូវបានបង្កើតឡើងយ៉ាងប្រុងប្រយ័ត្នដើម្បីអនុញ្ញាតឱ្យតែសកម្មភាពដាក់កម្រិត, ទោះជាយ៉ាងណាជាញឹកញាប់កំហុសអនុញ្ញាតឱ្យគេចចេញនេះ “sandbox” ។
ដូច្នេះអ្វីដែលជារឿងជាមួយ pkexec នេះ? argv NULL ។ យល់ព្រម, លីនុចសរសេរកម្មវិធី 101 ពេលវេលា។ នៅពេលដែលកម្មវិធីមួយត្រូវបានណែនាំនៅលើលីនុច, វាត្រូវបានអនុម័តប៉ារ៉ាម៉ែត្រពីរ, ជាធម្មតាដែលមានឈ្មោះថា argc ព្រមទាំង argv ។ ទាំងនេះគឺជាចំនួនគត់ព្រមទាំងភាពខុសគ្នានៃគោលការណ៍ណែនាំតួអក្សររៀង។ ប្រសិនបើអ្នកមិនសរសេរកម្មវិធី, បន្ទាប់មកជឿថានេះជាចំនួននៃអាគុយម៉ង់ព្រមទាំងបញ្ជីនៃអាគុយម៉ង់។ info នេះត្រូវបានប្រើដើម្បីញែក & ‧; ព្រមទាំងគ្រប់គ្រងជម្រើសបន្ទាត់ពាក្យបញ្ជានៅខាងក្នុងកម្មវិធី។ argc គឺតែងតែមានយ៉ាងហោចណាស់មួយព្រមទាំង argv [0] នឹងតែងតែមានឈ្មោះរបស់ឯកសារគោលពីរដែលជាប្រតិបត្តិ។ ករណីលើកលែងនោះគឺមិនមែនតែងតែករណីនេះ។ មានវិធីសាស្រ្តមួយបន្ថែមទៀតដើម្បីណែនាំប្រព័ន្ធគោលពីរ, ប្រើប្រាស់មុខងារ execve () ជា។ មុខងារដែលអាចឱ្យអ្នកសរសេរកម្មវិធីដើម្បីបញ្ជាក់ការចុះបញ្ជីនៃអាគុយម៉ង់ដោយផ្ទាល់ក្នុងនោះរួមមានការខ្វែងគំនិតគ្នា 0 ។
ដូច្នេះអ្វីដែលបានកើតឡើងប្រសិនបើមានការចុះបញ្ជីថាគឺ NULL គ្រាន់តែជាការ? ប្រសិនបើកម្មវិធីមួយត្រូវបានសរសេរទៅក្នុងគណនីសម្រាប់លទ្ធភាពនេះដូចជា sudo, នោះគឺជាការល្អ។ pkexec, ទោះជាយ៉ាងណា, មិនរួមបញ្ចូលទាំងការពិនិត្យមើលសម្រាប់ការ argv ទទេឬ argc នៃ 0 វាដើរតួនាទីដូចជាប្រសិនបើមានការខ្វែងគំនិតគ្នាក្នុងការអានមួយព្រមទាំងវិធីសាស្រ្តក្នុងការចាប់ផ្ដើមកម្មវិធីដែលបានកើតឡើងនៅក្នុងការចងចាំនោះវាពិតជាចូលដំណើរការបរិយាកាសដំបូងបំផុត អថេរជំនួសវិញព្រមទាំងព្យាបាលវាដូចជាអាគុយម៉ង់មួយ។ វាត្រួតពិនិត្យផ្លូវប្រព័ន្ធគោលពីរផ្គូផ្គងជាមួយព្រមទាំងសរសេរឡើងវិញនូវអ្វីដែលខ្លួនជឿថានេះគឺជាបញ្ជីការខ្វែងគំនិតគ្នារបស់វា, ទោះជាយ៉ាងណាគឺពិតជាអថេរបរិយាកាស។ នេះបង្ហាញថាមិនអាចគ្រប់គ្រងអត្ថបទត្រូវបានចាក់បញ្ចូលដូចដែលអាចបរិយាកាសក្នុងអថេរ pkexec, កម្មវិធី setuid នេះ។
នោះហើយជាការគួរឱ្យចាប់អារម្មណ៍, ទោះជាយ៉ាងណាមិនមានប្រយោជន៍ភ្លាម, ចាប់តាំងពីការឈូសឆាយ pkexec របស់វាឆាប់បន្ទាប់ពីអថេរបរិយាកាសចាក់ថ្នាំកើតឡើង។ ដូច្នេះអ្វីដែលបច្ចេកទេសមិនស្មោះត្រង់យើងអាចប្រើប្រាស់ដើម្បីពិតជាទាញយកនេះ? ការបោះសារកំហុសមួយ។ pkexec នឹងប្រើប្រាស់បណ្ណាល័យ gconv បានចែករំលែកដើម្បីបោះពុម្ពសារកំហុសមួយព្រមទាំងវាចាប់ផ្តើមដោយការព្យាយាមដើម្បីស្វែងរកឯកសារកំណត់រចនាសម្ព័ន្ធម៉ូឌុល gconv ។ ទិន្នន័យនេះកំណត់ដែលទិន្នន័យបណ្ណាល័យជាក់លាក់បើក។ នេះ GCONV_PATH អថេរបរិយាកាសអាចត្រូវបានប្រើដើម្បីបញ្ជាក់ឯកសារកំណត់រចនាសម្ព័ន្ធជំនួស, ទោះជាយ៉ាងណាបរិយាកាសនេះត្រូវអថេររារាំងពេលរត់ប្រព័ន្ធគោលពីរ setuid ។ Ah, ទោះជាយ៉ាងណាយើងមានវិធីសាស្រ្តដើម្បីចាក់អថេរបរិយាកាសមួយបន្ទាប់ពីការនេះកើតឡើងបាន។ នោះជាការទាញយក។ រៀបចំ payload.so ដែលមានលេខកូដបំពានរបស់យើងដែលជាទិន្នន័យ gconv ម៉ូឌុលក្លែងក្លាយមួយដែលចង្អុលទៅការ payload ព្រមទាំងជាការបន្ទាប់មកប្រើប្រាស់បច្ចេកទេស argv NULL ចាក់អថេរបរិយាកាស GCONV_PATH ។ តើខ្ញុំជាអ្នកណា? ជា root ។
មានពីរ interesting ស្រស់ទៅនឹងរឿងនេះមួយ។ ជាដំបូង, [លោក Ryan Mallon] បានចូលមកជិតស្និទ្ធទៅនឹងការស្វែងរកឈឺខ្លាំងនៅឆ្នាំ 2013 នេះមានភាពងាយរងគ្រោះដូចជាទីពីរវិធីសាស្រ្តត្រឡប់មកវិញនៅក្នុងឆ្នាំ 2007 [លោក Michael Kerrisk] បានរាយការណ៍ quirk argv NULL នោះជាការកែលីនុចកំហុស rnel ។
ការវាយប្រហារពាក្យសម្ងាត់ចៃដន្យ
ជាច្រើននៃការពាក្យសម្ងាត់ដែលមានសុវត្ថិភាពគឺជាការមួយដែលបានបង្កើតដោយចៃដន្យ, សិទ្ធិ? បាទ, ទោះជាយ៉ាងណាអ្វីដែលប្រសិនបើម៉ាស៊ីនភ្លើងចៃដន្យនោះគឺមិនមែនជាការចៃដន្យដូចជាការប្រសើរជាងវាហាក់ដូចជា? ឥឡូវនេះយើងកំពុងតែមិននិយាយអំពី Backdoor ចេតនាពេលនេះហាក់ដូចជាមិនទាក់ទងលំនាំទោះជាយ៉ាងណាដែលជាញឹកញាប់ធ្វើឱ្យមានការមានភាពខុសគ្នាយ៉ាងធំមួយ។ ម៉ាស៊ីន Enigma, បន្ទាប់ពីទាំងអស់ដែលត្រូវបានបង្ក្រាបនៅក្នុងផ្នែកមួយចាប់តាំងពីវានឹងមិនអ៊ិនកូដលិខិតមួយដែលជាខ្លួនវាផ្ទាល់។ [ហាន់ Lakhan] ពី TrustedSec បានមើលនៅពាក្យសម្ងាត់មួយលាននាក់ដែលផលិតដោយ LastPass ព្រមទាំងព្យាយាមទូទៅពីអ្វីដែលមានប្រយោជន៍ពីទិន្នន័យនេះ។ ពាក្យសម្ងាត់ច្រើនមានទាំងការទាំងនេះឬ 2 ខ្ទង់ទី 1 ។ ចំណាំថាវាមិនមែនជាភាពទន់ខ្សោយនៅក្នុងក្បួនដោះស្រាយទោះជាយ៉ាងណាគ្រាន់តែជាលទ្ធផលរំពឹងទុកនៃតួអក្សរដែលបានផ្តល់ជូន។ នឹងមានផលប្រយោជន៍ដល់ពាក្យសម្ងាត់រងការបង្ខំដោយមានគោលនយោបាយដែលតម្រូវការសន្មត់គ្នាដើម្បីមានមួយឬពីរខ្ទង់ទាំងនេះ? វាពិតជានឹងបន្ថយទំហំដែលការវាយប្រហារនេះ, ទោះជាយ៉ាងណាវានឹងដែរនឹកពាក្យសម្ងាត់ដែលធ្វើមិនបាននៅក្នុងរាងលំនាំ។ នឹងបិទពាណិជ្ជកម្មត្រូវមានតម្លៃវា?
ជាការឆ្លើយតបគឺមិនច្បាស់លាស់កាត់។ នៅក្នុងកាលៈទេសៈជាក់លាក់, គឺមានអត្ថប្រយោជន៍អនីតិជនដើម្បីទទួលបានពីការប្រើប្រាស់ច្បាប់ដែលបានណែនាំ។ ទោះជាយ៉ាងណាផលប្រយោជន៍ដែលបានបាត់ជាដំណើររងការកម្លាំងបន្ត។ វិធីណាមួយ, វាជាការគួរឱ្យចាប់អារម្មណ៍នៅក្នុងការប៉ុនប៉ងដើម្បីបំបែកស្ថិតិការដាក់ពាក្យសុំពាក្យសម្ងាត់ដែល។
ប្លក, រូបភាពស្បែកផងដែរ-ដណ្ដប់ Backdoor
មួយនៃអ្នកផលិតធំនៃស្បែកប្លក, រូបភាពកម្មវិធីជំនួយផងដែរ, AccessPress, បានជួបប្រទះការរំលោភមួយនៃតំបន់បណ្ដាញរបស់ពួកគេដែលបានយកមួយវេនអាក្រក់។ បញ្ហានេះត្រូវបានរកឃើញដោយក្រុមអ្នកស្រាវជ្រាវនៅជា Jetpack ដែលត្រូវបានគេធ្វើច្ច័នៃតំបន់បណ្ដាញសម្របសម្រួលផ្សេងគ្នាដូចជាមេរោគដែលបានរកឃើញនៅក្នុងស្បែកដែល AccessPress បង្កប់មួយ។ នេះជាការរំលោភកើតឡើងនៅក្នុងខែកញ្ញាបឋមឆ្នាំ 2021 ដូច្នេះជាការគួរឱ្យសង្ស័យរបស់ប្រភេទណាមួយនៃសម្ភារៈពី AccessPress ប្រសិនបើការទាញយកចន្លោះពីខែកញ្ញាផងដែរពាក់កណ្តាលខែតុលា 2021. ចំណាំថាប្រសិនបើបានដំឡើងពីថត WordPress.org ស្បែកទាំងនេះមានសុវត្ថិភាព។ កម្មវិធីជំនួយមួយឈ្មោះដូចឆ្លងមេរោគបានយល់ថាជាស្បែកត្រូវបានផ្តល់ជូននៅតំណខាងលើនេះ, ក្នុងការបន្ថែមទៅសញ្ញាផ្សេងទៀតនៃការសម្រុះសម្រួល។
ប៊ីតព្រមទាំងបៃ
មានជាច្រើនទៀតនៅឡើយទេល្បិចសញ្ញាសម្ងាត់មួយដែលត្រូវបានបញ្ចេញឱ្យដឹងដោយចៃដន្យក្នុងកូដប្រភពដែលបានចូលដំណើរការឡើង Twitter ដើម្បីនិមិត្តសញ្ញា។ ការស្កេនដោយស្វ័យប្រវត្តិមិន Github សម្រាប់សម្គាល់អត្តសញ្ញាណរួមបញ្ចូលរួចហើយដោយចៃដន្យនៅក្នុងឃ្លាំង, ទោះជាយ៉ាងណានេះមិនបានរួមបញ្ចូល Twitter របស់ tokens ។ [IncognitaTech] សមាសភាពម៉ាស៊ីនស្កេនរហ័សព្រមទាំងរកឃើញថូខឹនដែលមានសុពលភាពនៅជុំវិញ 9,500 ។ (បញ្ចូលជាង 9000 គំនិតនៅទីនេះ។ ) ច្បាស់អំពីរបៀបដើម្បីជូនដំណឹងដល់ប្រជាជនជាច្រើនដូច្នេះការបញ្ហានេះ? ផលិត bot មួយ, ធ្វើឱ្យរយៈ tweet ព្រមទាំងបន្ទាប់មកប្រើថូខឹនដើម្បីធ្វីតឡើងវិញបាន។ នោះហើយជាប្រាកដថាដើម្បីចាប់យកចិត្តទុកដាក់មួយចំនួន។
Sonicwall SMA 100 ស៊េរីមានផ្នែករឹងស៊េរីនៃភាពងាយរងគ្រោះដែលត្រូវបានឥឡូវ patched ផងដែរដែលបានបញ្ចេញជាមួយ។ អាក្រក់បំផុតនោះគឺលើសចំណុះសតិបណ្ដោះអាសន្នមួយដែលមិនបានសម្គាល់អត្តសញ្ញាណ, បានពិន្ទុ CVSS ពី 9,8 មួយ។ ឧបករណ៍ទាំងនេះគឺលេចធ្លោដោយស្មើភាពសម្រាប់ការអាជីវកម្មតិចតួចដូច្នេះរក្សាភ្នែករបស់អ្នកបើកសម្រាប់ផ្នែករឹងដែលងាយមានសក្តានុពលព្រមទាំងឱ្យពួកគេទទួល patched ប្រសិនបើអ្នកអាច។
Crypto.com ជួបប្រទះការរំលោភលើ 17 ខែមករានេះ។ ពួកគេបាននៅលើកដំបូងបាននិយាយសម្រាលហេតុការណ៍នេះទោះជាយ៉ាងណាបានពិចារណាថាបានចេញសេចក្តីថ្លែងការណ៍មួយដោយមានសេចក្ដីលម្អិតបន្ថែម។ ការវាយប្រហារនេះគឺជាការសម្រកពីរកត្តា-ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ, អនុញ្ញាតឱ្យអ្នកវាយប្រហារផ្តួចផ្តើមប្រតិបតិ្តការដោយគ្មានការបញ្ចប់ដំណើរការដែលត្រូវការជាធម្មតា 2FA ប្រសិទ្ធិភាពមួយ។ ពួកគេបានធ្វើការអះអាងថាពួកគេបានធានារ៉ាប់រងជាដើមបានគ្រប់គ្រាន់បញ្ហាការចាប់បានដើម្បីបញ្ឈប់ការបាត់បង់ពិតប្រាកដប្រភេទរូបិយប័ណ្ណដែលគួរឱ្យចាប់អារម្មណ៍គឺពិតជាប្រសើរណាមួយនោះទេ។
Google Chrome បានចេញផ្សាយធ្វើឱ្យទាន់សម័យមួយដូចនេះរួមបញ្ចូលទាំងការជួសជុលកំហុសតម្លៃខ្ពស់មួយចំនួន។ របាយការណ៍ដាច់ដោយឡែកបានទទួលបានចំនួនប្រាំមួយអ្នកស្រាវជ្រាវច្រើនជាង $ 10,000 ដុំមួយដោយមានកំពូលពីរអស្ចារ្យ $ 20K ។ ប្រាំមួយទាំងនេះ, ក្នុងការបន្ថែមទៅមួយកំហុសទីប្រាំពីរបានរាយការណ៍ខាងទាំងអស់លេចឡើងដើម្បីឱ្យមានអនាគតទៅជាធ្ងន់ធ្ងរជាង, ដូច្នេះចូលទៅធ្វើឱ្យទាន់សម័យ!
ហើយនៅទីបញ្ចប់នៅក្នុងប្រភេទរឿងដែល-ចុង-ពិតជាមិនល្អ, ចក្រភពអង់គ្លេសត្រូវបាន flirting ជាមួយគំនិតនៃការគ្រប់គ្រងក្រុមអ្នកស្រាវជ្រាវសុវត្ថិភាពធ្វើឱ្យការសិក្សាស្រាវជ្រាវមួយដែលធ្វើពាណិជ្ជកម្មដែលបានចុះឈ្មោះសុវត្ថិភាពនេះ។ នេះជាផ្នែកមួយនៃផែនការភាគច្រើនបារម្ភនេះគឺគំនិតដែលថាប្រភេទនៃការស្រាវជ្រាវណាមួយដែលមិនបានចុះឈ្មោះអាចនឹងស្ថិតក្រោមការចោទប្រកាន់ព្រហ្មទណ្ឌក្នុងកាលៈទេសៈជាក់លាក់។ នេះហាក់ដូចជាគំនិតអាក្រក់សម្រាប់ហេតុផលភស្តុតាង។