No resumo desta semana, discutiremos o seguinte:
- Rancher armazena as credenciais em texto puro que permitem a aquisição de clusters;
- ModSecurity WAF bypasses;
- seis vulnerabilidades no BIND; e
- A Akamai sinaliza mais de 13 milhões de domínios por mês como maliciosos até agora este ano.
Rancher Armazena Credenciais de Plaintext Credenciais que permitem a aquisição do Cluster
Rancher é uma plataforma Kubernetes de código aberto que permite aos usuários implantar e executar clusters de contêineres entre provedores. Um relatório de bug recente mostra que campos confidenciais como senhas, API chaves e tokens de conta estavam sendo armazenados diretamente nos objetos do Kubernetes em texto simples e disponíveis para qualquer pessoa com acesso ao objeto em questão. Isso tem sérias implicações para os controles de segurança dentro dos objetos do Kubernetes de propriedade da Rancher. Como explica o engenheiro de sistemas do Linux, Marco Stuurman:
"O atacante só precisava dos privilégios mínimos possíveis para um grupo Rancher gerencia. Por exemplo, o único privilégio de nosso usuário de robô de monitoramento era o de proxy de solicitações HTTP de Rancher para a instância de monitoramento em execução no cluster alvo".
Aqui estão as recomendações atuais em vigor pelos fornecedores para remediar estas questões.
- Rode Rancher fichas de conta de serviço; os mantenedores dos fazendeiros forneceram um roteiro.
- Limitar o acesso a instâncias posteriores Rancher .
- Verifique os clusters a jusante para ver se há sinais potenciais de uma violação.
- Alterar quaisquer credenciais que possam ter sido vazadas.
ModSecurity WAF Bypasses
Treze novas descobertas, incluindo excepcionais, críticas e altas vulnerabilidades, foram descobertas em uma recente avaliação do OWASP ModSecurity Core Rule Set (CRS) para seu Web Application Firewall (WAF).
Duas das conclusões foram baseadas em confusão de tipo de conteúdo, onde o WAF e o servidor backend interpretaram o conteúdo do pedido de forma diferente por causa das regras recomendadas pelo ModSecurity.
Uma dessas vulnerabilidades fez uso específico de como os comentários XML são ignorados pelo WAF e foram capazes de injetar dados válidos "x-www-form-urlencoded" que o WAF ignorou devido a ser analisado como um comentário XML.
Outro conjunto de descobertas foi baseado no tipo de conteúdo "multipart/form-data" no qual o desvio é permitido usando o cabeçalho "Content-Dispositions", que permite que um atacante injete cordas maliciosas quebradas.
O CVE-2022-39955 é outro exemplo de uma das vulnerabilidades a sair desta avaliação. Usar "utf-7" como um charset extra e codificar o corpo permite um desvio ambíguo.
Estas vulnerabilidades e muitas outras são corrigidas nos remendos mais recentes feitos pela ModSecurity e CRS.
Seis Vulnerabilidades em BIND
O Internet Systems Consortium (ISC) divulgou no BIND a relação de resolver a degradação do desempenho, sobreleadas de buffer, vazamentos de memória e terminações inesperadas.
CVE-2022-2795 é uma vulnerabilidade que inunda o resolvedor alvo com consultas que exploram esta falha; um aconselhamento pode degradar severamente o desempenho de um resolvedor, resultando em um ataque DOS.
O CVE-2022-2881 é um bug subjacente que permite a leitura além de um buffer especificado. Isto pode resultar em memória que não deve ser lida sendo lida ou mesmo travando o processo por completo.
CVE-2022-2906, CVE-2022-38177, e CVE-2022-38178 são todos relacionados a vazamentos de memória. Estes vazamentos de memória são causados por assinaturas malformadas de ECDSA ou EdDSA e outras falhas, o que permite que o processo em execução tome mais memória do que a necessária, permitindo que a memória disponível no sistema seja corroída e potencialmente uma falha de processo devido à falta de recursos.
O CVE-2022-3080 é uma vulnerabilidade que permite que um atacante envie uma consulta específica resultando em uma falha total no processo de resolução.
Estas vulnerabilidades foram corrigidas na versão estável mais recente dos lançamentos BIND 9.18 e 9.16.
13 Milhões de domínios maliciosos assinalados em 1 mês
A Akamai já assinalou mais de 79 milhões de domínios desde o início de 2022, cerca de 13 milhões de domínios por mês. No total, este número representa mais de 20% de todos os novos domínios que foram resolvidos com sucesso.
Estas detecções são baseadas em algo chamado Novos Domínios Observados (NODs). A Akamai determina um NOD como um domínio que não foi resolvido em 60 dias. Isto pode incluir domínios recém-adquiridos ou apenas domínios recém-utilizados. Detecções similares observam quando um domínio foi registrado, que é um sistema limitado, já que alguns atores maliciosos são simplesmente capazes de sentar em um domínio por um determinado período de tempo, uma vez registrado, para usá-lo e fugir desse sistema. Da mesma forma, outras organizações que monitoram NODs não estão na escala que a Akamai está; elas estão monitorando em limites de tempo de 30 minutos a 72 horas e muito longe dos 60 dias que a Akamai faz.
Os DNO não são totalmente úteis por si só, mas quando combinados com outras inteligências, eles podem fornecer uma enorme visão dos domínios e de como eles são utilizados. As aplicações dos NODs são tais como phishing e detecção rápida de ameaças. Entretanto, estes DNO não estão limitados a fins de detecção de atividades maliciosas, tais como análise heurística.
Em geral, parece que esses DNOs serão continuamente vitais na caça de ameaças, bem como na determinação do comportamento malicioso e dos passos atuais que Akamai está tomando para pavimentar o caminho para o futuro.
Comentários