Avançar para o conteúdo principal
Ver todos os produtos
Calcular
Armazenamento
Bases de dados
Trabalho em rede
Ferramentas do desenvolvedor
Entrega
Segurança
Serviços
Indústrias
Preços
Comunidade
Envolva-se Conosco
Explorar Blog
Categorias
13
  1. Visão Geral da Nuvem
    51
  2. Calcular
    24
  3. Contentores (Kubernetes, Docker)
    34
  4. Bases de dados
    21
  5. Ferramentas do desenvolvedor
    41
  6. Linode
    259
  7. Linux
    69
  8. Multicloud
    4
  9. Trabalho em rede
    32
  10. Código Aberto
    6
  11. Rede Parceiro
    7
  12. Segurança
    60
  13. Armazenamento
    23
Autores 55
  1. Alex Leung 2
  2. Abe Massry 2
  3. Al Newkirk 1
  4. Alexander Newnham 2
  5. Andrew Sauber 1
  6. Andrew Stebbins 2
  7. Andy Stevens 5
  8. Ari Weil 1
  9. Bradley LaBoon 1
  10. Blair Lyon 9
  11. Billy Thompson 10
  12. Christopher Aker 175
  13. Cassie Bubnis 1
  14. Daniele Polencic 4
  15. David Monschein 2
  16. Dan Spataro 2
  17. Elvis Segura 1
  18. Gardiner Bryant 1
  19. Holden Morris 4
  20. Hillary Wilmoth 67
  21. Jim Ackley 6
  22. Jessica Capuano Mora 5
  23. Justin Cobbett 6
  24. Jon Frederickson 1
  25. Jonathan Hill 2
  26. Justin Mitchel 4
  27. James Steel 5
  28. Jamie Sherkness 8
  29. Linode 68
  30. Linode Events 8
  31. The Linode Security Team 122
  32. The Linode Network & Security Teams 1
  33. LINQ 1
  34. Leslie Salazar 1
  35. Michelle Berg 1
  36. Mitch Donaberger 1
  37. Mike Fischler 1
  38. Mike Maney 10
  39. Maddie Presland 19
  40. Mike Quatrani 4
  41. Nathan Melehan 2
  42. Nigel Poulton 1
  43. Prasoon Pushkar 1
  44. Rick Myers 7
  45. Richard Tubb 1
  46. Sal Carrasco 1
  47. Salman Iqbal 1
  48. Stuart Macleod 1
  49. Shawn Michels 1
  50. Linode Support 14
  51. Tom Asaro 18
  52. Travis Baka 2
  53. Talia Nassi 12
  54. Tim Vereecke 1
  55. Yuri Goldfeld 1
BlogSegurançaLinode Security Digest 23-29 de Maio de 2022

Linode Security Digest 23-29 de Maio de 2022

Linode
A equipa de segurança da Linode
26 de Maio de 2022
Linode Security Digest

Os tópicos no resumo desta semana incluem uma condição racial no subsistema Linux Perf, negação de serviço no BIND e uma calculadora de avaliação de risco baseada na metodologia de classificação de risco da OWASP

Condição da corrida no subsistema Linux Perf

O subsistema Perf no Linux é um subsistema baseado no kernel que fornece um quadro para a análise e monitorização do desempenho de hardware e software. Foi originalmente fundido no kernel do Linux na v2.6.31 e tem um utilitário de espaço do utilizador (perf) que faz interface com o subsistema do kernel. A ferramenta userspace perf pode registar, contar,b e amostrar os eventos de hardware (interruptores de contexto e instruções executadas pelos registos na CPU), e eventos de software (através de contadores de software e tracepoints).

A vulnerabilidade CVE-2022-1729 classificada como CWE-362 é uma condição de raça na chamada aberta ao evento e foi descoberta por Norbert Slusarek. De acordo com a página de homem, "Uma chamada para perf_event_open() cria um descritor de ficheiro que permite medir a informação de desempenho. Cada descritor de ficheiro corresponde a um evento que é medido; estes podem ser agrupados para medir vários eventos simultaneamente".

A condição racial parece estar presente desde o kernel v4.0-rc1, e poderia resultar em escalada de privilégios e execução arbitrária do código. A correcção para esta vulnerabilidade faz parte do ciclo de lançamento do kernel 5.17.10-rc1 do Linux.

Adicionalmente, um método de mitigação da RedHat sugere a definição da variável kernel.perf_event_paranoid para '3' via sysctl, para restringir o acesso de utilizadores não privilegiados ao subsistema Perf no kernel. 

Negação de serviço em BIND

O ISC lançou um alerta de segurança na semana passada para uma vulnerabilidade de alta gravidade que afecta as versões 9.18.0 a 9.18.2 e v9.19. 0 do ramo de desenvolvimento 9.19. A vulnerabilidade, originalmente descoberta por Thomas Amgarten, é explorável através de uma rede e tem uma pontuação CVSS atribuída de 7.0 pelo ISC.

Uma exploração bem sucedida sob certas circunstâncias faz com que o daemon nomeado termine com uma falha de afirmação (levando à negação de serviço) se uma ligação TLS do cliente ao ouvinte TLS http for destruída demasiado cedo. Os sistemas vulneráveis consistem em servidores BIND que têm o DNS sobre HTTPS activado e incluem uma referência a http nas declarações de escuta nas suas configurações nomeadas. As configurações que utilizam apenas DNS sobre TLS não são afectadas por esta vulnerabilidade, de acordo com o aconselhamento. 

Actualmente, não se conhecem quaisquer soluções, mas o ISC aconselhou a actualização para v9.18.3 nos ramos estáveis e v9.19.1 nos ramos de desenvolvimento, respectivamente, para mitigação.

Calculadora de Avaliação de Riscos

No ciclo de vida da gestão da vulnerabilidade, é importante estimar o impacto técnico e empresarial associado às novas vulnerabilidades que podem afectar a infra-estrutura de uma organização. 

As metodologias de avaliação de risco têm em conta vários factores, tais como a probabilidade de exploração, o nível de habilidade do adversário e a facilidade de descoberta, para citar alguns. 

Uma dessas metodologias da OWASP calcula uma gravidade global do risco com base nestes factores.

Uma calculadora de avaliação de risco de Ivan Markovic, baseada na metodologia de classificação de risco da OWASP, está disponível como uma ferramenta de código aberto. O risco é calculado como:

Risco = Probabilidade * Impacto

Na fórmula acima referida, a probabilidade de exploração depende de dois factores que levam em conta considerações relevantes:

  • Agente de ameaça: nível de perícia; motivo, oportunidade; e dimensão dos agentes de ameaça.
  • Factores de vulnerabilidade: facilidade de descoberta e exploração; consciência da vulnerabilidade; e detecção de exploração por um Sistema de Detecção de Intrusão.

Do mesmo modo, os factores que afectam o impacto global de uma vulnerabilidade incluem:

  • Factores de impacto técnico: perda de confidencialidade, integridade, disponibilidade e responsabilidade pelas acções de um actor ameaçador.
  • Factores comerciais: danos financeiros e à reputação; não cumprimento; e violações da privacidade.

Como tal, a pontuação de risco global de uma vulnerabilidade permite aos proprietários tomar uma decisão informada e ajuda a dar prioridade à aplicação de correcções.

O código fonte da calculadora pode ser encontrado no github, e mais detalhes sobre a metodologia de avaliação de risco da OWASP estão disponíveis aqui.

Você também pode gostar...

Automatização da conformidade com a Harry.

Explicação das ferramentas de automatização da conformidade | Proteção de dados e clientes

Neste vídeo, Harry explica a importância da automatização da conformidade e mostra como utilizar ferramentas de automatização da conformidade como o Chef.
Segurança
How to Protect Yourself from Ransomware Attacks (Como se proteger de ataques de ransomware) com Steve Winterfeld, imagem em destaque.

Como se proteger de ataques de ransomware | Steve Winterfeld, Akamai

Neste vídeo, Steve Winterfeld, CISO Consultivo da Akamai, partilha conselhos sobre como as empresas se podem proteger de ataques de ransomware.
Segurança
A Wazuh é uma potência da cibersegurança que apresenta o Code with Harry.

Wazuh é uma potência em cibersegurança | Segurança de código aberto especializada Monitoring & Response

O @CodeWithHarry aborda o Wazuh, uma plataforma de segurança de código aberto utilizada para recolher e analisar dados de segurança.
Segurança

Comentários

Deixe uma resposta

O seu endereço de correio electrónico não será publicado. Os campos obrigatórios estão marcados com *