Vai al contenuto principale
BlogSicurezzaBollettino di sicurezza Linode dal 2 al 9 ottobre 2022

Linode Security Digest dal 2 al 9 ottobre 2022

Digesto di sicurezza di Linode

Nel digest di questa settimana discuteremo di quanto segue:

  • Rancher memorizza credenziali in chiaro che consentono l'acquisizione del cluster;
  • Bypass del WAF di ModSecurity;
  • sei vulnerabilità in BIND; e
  • Quest'anno Akamai ha segnalato più di 13 milioni di domini al mese come dannosi.

Rancher Memorizza credenziali in chiaro che consentono l'acquisizione del cluster

Rancher è una piattaforma Kubernetes open source che consente agli utenti di distribuire ed eseguire cluster di container tra i vari provider. Una recente segnalazione di bug mostra che campi sensibili come password, chiavi API e token dell'account venivano memorizzati direttamente sugli oggetti Kubernetes in chiaro e disponibili a chiunque avesse accesso all'oggetto in questione. Questo ha serie implicazioni per i controlli di sicurezza all'interno degli oggetti Kubernetes di proprietà di Rancher. Come spiega Marco Stuurman, ingegnere di sistema Linux:

"L'attaccante aveva bisogno solo dei privilegi minimi possibili per un cluster gestito da Rancher . Ad esempio, l'unico privilegio dell'utente del nostro robot di monitoraggio era quello di proxyare le richieste HTTP da Rancher all'istanza di monitoraggio in esecuzione nel cluster di destinazione."

Ecco le raccomandazioni attualmente in vigore da parte dei fornitori per porre rimedio a questi problemi.

  • Ruotare i token dell'account del servizio Rancher ; i manutentori di Ranchers hanno fornito uno script.
  • Limitare l'accesso alle istanze di Rancher a valle. 
  • Controllare i cluster a valle per individuare potenziali segni di violazione.
  • Modificare le credenziali che potrebbero essere trapelate.

Bypass del WAF di ModSecurity

Tredici nuovi risultati, tra cui vulnerabilità eccezionali, critiche ed elevate, sono stati scoperti in una recente valutazione di OWASP ModSecurity Core Rule Set (CRS) per il loro Web Application Firewall (WAF). 

Due dei risultati si basavano sulla confusione dei tipi di contenuto, in cui il WAF e il server di backend interpretavano il contenuto della richiesta in modo diverso a causa delle regole del set di regole raccomandate da ModSecurity. 

Una di queste vulnerabilità sfruttava in modo specifico il modo in cui i commenti XML vengono ignorati dal WAF ed era in grado di iniettare dati validi "x-www-form-urlencoded" che il WAF ignorava perché analizzati come commenti XML.

Un'altra serie di risultati si basa sul tipo di contenuto "multipart/form-data", in cui l'aggiramento è consentito dall'utilizzo dell'intestazione "Content-Dispositions", che consente a un aggressore di iniettare stringhe dannose spezzettate.

CVE-2022-39955 è un altro esempio di una delle vulnerabilità emerse da questa valutazione. L'utilizzo di "utf-7" come charset aggiuntivo e la codifica del corpo consentono un bypass ambiguo.

Queste vulnerabilità e molte altre sono state risolte nelle patch più recenti realizzate da ModSecurity e CRS.

Sei vulnerabilità in BIND

L'Internet Systems Consortium (ISC) ha rilasciato delle informazioni su BIND relative al degrado delle prestazioni del resolver, alle sovraletture del buffer, alle perdite di memoria e alle terminazioni inattese.

CVE-2022-2795 è una vulnerabilità che inonda il resolver di destinazione con query che sfruttano questa falla; un advisory può degradare gravemente le prestazioni di un resolver, causando un attacco DOS.

CVE-2022-2881 è un bug di fondo che consente di leggere oltre un buffer specificato. Ciò può comportare la lettura di memoria che non dovrebbe essere letta o addirittura l'arresto completo del processo.

Le CVE-2022-2906, CVE-2022-38177 e CVE-2022-38178 sono tutte correlate a perdite di memoria. Queste perdite di memoria sono causate da firme ECDSA o EdDSA malformate e da altre falle, che consentono al processo in esecuzione di occupare più memoria di quella necessaria, con conseguente erosione della memoria disponibile sul sistema e potenziale arresto del processo per mancanza di risorse.

CVE-2022-3080 è una vulnerabilità che consente a un utente malintenzionato di inviare una query specifica che causa l'arresto completo del processo del resolver.

Queste vulnerabilità sono state risolte nella versione stabile più recente di BIND 9.18 e 9.16.

13 milioni di domini dannosi segnalati in un mese

Akamai ha segnalato oltre 79 milioni di domini dall'inizio del 2022, circa 13 milioni di domini al mese. Complessivamente, questo numero rappresenta oltre il 20% di tutti i nuovi domini che sono stati risolti con successo.

Questi rilevamenti si basano su un elemento chiamato NOD (Newly Observed Domains). Akamai definisce un NOD come un dominio che non è stato risolto in 60 giorni. Questo può includere domini acquistati di recente o semplicemente utilizzati di recente. Rilevamenti analoghi esaminano la data di registrazione di un dominio, che è un sistema limitato, in quanto alcuni attori malintenzionati sono semplicemente in grado di rimanere su un dominio per un determinato periodo di tempo una volta registrato per utilizzarlo ed eludere il sistema. Allo stesso modo, altre organizzazioni che monitorano i NOD non hanno la stessa scala di Akamai, ma monitorano in limiti di tempo compresi tra 30 minuti e 72 ore, ben lontani dai 60 giorni di Akamai. 

I NOD non sono del tutto utili da soli, ma se combinati con altre informazioni di intelligence, possono fornire enormi informazioni sui domini e sul loro utilizzo. Le applicazioni dei NOD sono come il phishing e il rilevamento rapido delle minacce. Tuttavia, questi NOD non si limitano a scopi di rilevamento di attività dannose come l'analisi euristica. 

Nel complesso, sembra che questi NOD saranno sempre vitali per la caccia alle minacce e per determinare il comportamento dannoso e le attuali misure che Akamai sta adottando per spianare la strada al futuro. 


Commenti

Lascia una risposta

Il vostro indirizzo e-mail non sarà pubblicato. I campi obbligatori sono contrassegnati da *