Sign up to save your podcasts
Or
Share CISO Summit: KW 35 2018 - #ATtention, Exploit für Apache Struts und RCE bei packagist.org
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
CISO Summit: KW 35 2018 - #ATtention, Exploit für Apache Struts und RCE bei packagist.org
In Kalenderwoche 35 geht es im CISO Summit um die Sicherheitslücke #ATtention, welche in vielen Android-Firmware-Versionen gefunden wurde. Außerdem sprechen wir über den Exploit für Apache Struts und berichten von einer schweren Sicherheitslücke bei packagist.org.
#CISOSummit #ATtention #Exploit
Android-Firmware
————————————————————————
Forscher von der Firma Usenix haben über 2.000 Android Firmware-Images von 11 Herstellern untersucht. Dabei war es bei fünf von 14 Geräten standardmäßig möglich, AT-Befehle über eine USB-Verbindung auszuführen. AT-Befehle wurden in den 80er-Jahren von der Firma Hayes entwickelt, um dadurch die damaligen Modems zu steuern. Heute erweitern Hersteller diesen Standard-Befehlssatz um eigene Befehle, wodurch dann auch Displaysteuerung und viele Konfigurationsmöglichkeiten zur Verfügung gestellt werden. Da die Befehle auf Firmware-Ebene laufen, bekommt das Betriebssystem und somit auch die installierten Dienste und Apps nichts von der Code-Ausführung mit. Somit könnte ein Angreifer mit physischem Zugriff auf das Android-Gerät beispielsweise Spionage-Software installieren.
Es wurden Android-Versionen bis 7.1.1 getestet, aber vermutlich kann dieser Angriffsvektor auch bei neueren Versionen ausgenutzt werden. Aktuell stehen keine Updates bereit, es ist aber auch Fraglich, ob mit Updates gerechnet werden kann. Um sich vor der Lücke zu schützen sollten Sie den physischen Kontakt zu Ihrem Android-Gerät schützen.
Quellen: https://atcommands.org/sec18-tian.pdf
Tags: #ATtention #ATBefehle #Android #AndroidCodeExecution
Exploit für Apache Struts
————————————————————————
Letzte Woche haben wir von einem wichtigen Patch für Apache Struts berichtet. Der Patch soll eine Sicherheitslücke (CVE-2018-11776) schließen, über die das Ausführen von Systembefehlen möglich ist. Mittlerweile gibt es einen öffentlichen Exploit auf Github um die Sicherheitslücke auszunutzen. Mithilfe des Exploits kann beliebiger Code mit den Benutzerrechten der Struts-Instanz auf dem Server ausgeführt werden.
Da der Patch für die supporteten Versionen seit mehr als einer Woche verfügbar ist, sollte dringend gepacht werden, falls noch nicht gepacht wurde. Die abgesicherten Versionsnummer sind 2.3.35 und 2.5.17.
Quellen:
https://github.com/mazen160/struts-pwn_CVE-2018-11776
Tags: #ApacheStruts #Exploit #RemoteCodeExecution #RCE #CVE201811776
RemoteCodeExecution bei packagist.org
————————————————————————
Der Sicherheitsforscher Max Justicz hat bei packagist.org eine einfach auszunutzende Remote Code Execution gefunden. Über einen unzureichend geprüften Parameter konnte auf dem Webserver des Dienstes Code ausgeführt werden. Dazu hat es gereicht den auszuführenden Code als Command Substitution „$()“ in ein URL-Feld zu schreiben. Anschließend wurde der Code ausgeführt.
Der Sicherheitsforscher hat im Vorfeld bereits bei anderen Paket-Managern ähnlich kritische Sicherheitslücken gefunden. Auch wenn Paketmanager das Entwickeln von Programmen vereinfachen, bergen diese ein hohes Risiko. Um die Integrität der verwendeten Quellen zu gewährleisten, sollten die Pakete nach dem herunterladen über einen sicheren Hashing-Algorithmus überprüft werden. Meist bieten Paketmanager einen Hashwert des originalen Paketes an, welchen Sie prüfen sollten.
Quellen:
https://justi.cz/security/2018/08/28/packagist-org-rce.html
Tags: #packagistOrg #RemoteCodeExecution
Diese Woche wurde das CISO Summit von Alexander Dörsam präsentiert.
Besuchen Sie uns auf https://antago.info
View all episodes
By AntagoIn Kalenderwoche 35 geht es im CISO Summit um die Sicherheitslücke #ATtention, welche in vielen Android-Firmware-Versionen gefunden wurde. Außerdem sprechen wir über den Exploit für Apache Struts und berichten von einer schweren Sicherheitslücke bei packagist.org.
#CISOSummit #ATtention #Exploit
Android-Firmware
————————————————————————
Forscher von der Firma Usenix haben über 2.000 Android Firmware-Images von 11 Herstellern untersucht. Dabei war es bei fünf von 14 Geräten standardmäßig möglich, AT-Befehle über eine USB-Verbindung auszuführen. AT-Befehle wurden in den 80er-Jahren von der Firma Hayes entwickelt, um dadurch die damaligen Modems zu steuern. Heute erweitern Hersteller diesen Standard-Befehlssatz um eigene Befehle, wodurch dann auch Displaysteuerung und viele Konfigurationsmöglichkeiten zur Verfügung gestellt werden. Da die Befehle auf Firmware-Ebene laufen, bekommt das Betriebssystem und somit auch die installierten Dienste und Apps nichts von der Code-Ausführung mit. Somit könnte ein Angreifer mit physischem Zugriff auf das Android-Gerät beispielsweise Spionage-Software installieren.
Es wurden Android-Versionen bis 7.1.1 getestet, aber vermutlich kann dieser Angriffsvektor auch bei neueren Versionen ausgenutzt werden. Aktuell stehen keine Updates bereit, es ist aber auch Fraglich, ob mit Updates gerechnet werden kann. Um sich vor der Lücke zu schützen sollten Sie den physischen Kontakt zu Ihrem Android-Gerät schützen.
Quellen: https://atcommands.org/sec18-tian.pdf
Tags: #ATtention #ATBefehle #Android #AndroidCodeExecution
Exploit für Apache Struts
————————————————————————
Letzte Woche haben wir von einem wichtigen Patch für Apache Struts berichtet. Der Patch soll eine Sicherheitslücke (CVE-2018-11776) schließen, über die das Ausführen von Systembefehlen möglich ist. Mittlerweile gibt es einen öffentlichen Exploit auf Github um die Sicherheitslücke auszunutzen. Mithilfe des Exploits kann beliebiger Code mit den Benutzerrechten der Struts-Instanz auf dem Server ausgeführt werden.
Da der Patch für die supporteten Versionen seit mehr als einer Woche verfügbar ist, sollte dringend gepacht werden, falls noch nicht gepacht wurde. Die abgesicherten Versionsnummer sind 2.3.35 und 2.5.17.
Quellen:
https://github.com/mazen160/struts-pwn_CVE-2018-11776
Tags: #ApacheStruts #Exploit #RemoteCodeExecution #RCE #CVE201811776
RemoteCodeExecution bei packagist.org
————————————————————————
Der Sicherheitsforscher Max Justicz hat bei packagist.org eine einfach auszunutzende Remote Code Execution gefunden. Über einen unzureichend geprüften Parameter konnte auf dem Webserver des Dienstes Code ausgeführt werden. Dazu hat es gereicht den auszuführenden Code als Command Substitution „$()“ in ein URL-Feld zu schreiben. Anschließend wurde der Code ausgeführt.
Der Sicherheitsforscher hat im Vorfeld bereits bei anderen Paket-Managern ähnlich kritische Sicherheitslücken gefunden. Auch wenn Paketmanager das Entwickeln von Programmen vereinfachen, bergen diese ein hohes Risiko. Um die Integrität der verwendeten Quellen zu gewährleisten, sollten die Pakete nach dem herunterladen über einen sicheren Hashing-Algorithmus überprüft werden. Meist bieten Paketmanager einen Hashwert des originalen Paketes an, welchen Sie prüfen sollten.
Quellen:
https://justi.cz/security/2018/08/28/packagist-org-rce.html
Tags: #packagistOrg #RemoteCodeExecution
Diese Woche wurde das CISO Summit von Alexander Dörsam präsentiert.
Besuchen Sie uns auf https://antago.info