No resumo desta semana, discutiremos o seguinte:
- Rancher armazena credenciais em texto simples que permitem a aquisição de clusters;
- ModSecurity WAF bypasses;
- seis vulnerabilidades em BIND; e
- A Akamai assinala mais de 13 milhões de domínios por mês como maliciosos até agora este ano.
Rancher Armazena Credenciais Plaintext Credenciais Plaintext Permitindo a Tomada de Aglomeração
Rancher é uma plataforma Kubernetes de código aberto que permite aos utilizadores implementar e executar clusters de contentores entre fornecedores. Um relatório de bug recente mostra que campos sensíveis como senhas, chaves de API e tokens de conta estavam sendo armazenados diretamente em objetos Kubernetes em texto simples e disponíveis para qualquer pessoa com acesso ao objeto em questão. Isso tem sérias implicações para os controles de segurança dentro Rancher-owned Kubernetes objects. Como explica o engenheiro de sistemas Linux Marco Stuurman:
"O atacante só precisava dos privilégios mínimos possíveis para um agrupamento Rancher consegue. Por exemplo, o único privilégio do utilizador do nosso robô de monitorização era o de fazer proxy de pedidos HTTP de Rancher para a instância de monitorização em execução no cluster alvo".
Aqui estão as recomendações actuais em vigor pelos vendedores para remediar estas questões.
- Rodar Rancher fichas de conta de serviço; os mantenedores de Ranchers forneceram um guião.
- Limitar o acesso às instâncias a jusante Rancher .
- Verificar os aglomerados a jusante para detectar potenciais sinais de uma violação.
- Alterar quaisquer credenciais que possam ter sido divulgadas.
ModSecurity WAF Bypasses
Treze novas descobertas, incluindo excepcionais, críticas, e altas vulnerabilidades, foram descobertas numa recente avaliação do OWASP ModSecurity Core Rule Set (CRS) para a sua Web Application Firewall (WAF).
Duas das conclusões foram baseadas em confusão de tipo de conteúdo onde o WAF e o servidor backend interpretaram o conteúdo do pedido de forma diferente devido às regras recomendadas pelo ModSecurity.
Uma destas vulnerabilidades teve uma utilização específica de como os comentários XML são ignorados pelo WAF e foram capazes de injectar dados válidos "x-www-form-urlencoded" que o WAF ignorou devido a ser analisado como um comentário XML.
Outro conjunto de resultados foi baseado no tipo de conteúdo "multipart/form-data" em que o desvio é permitido utilizando o cabeçalho "Content-Dispositions", que permite a um atacante injectar cordas maliciosas quebradas.
CVE-2022-39955 é outro exemplo de uma das vulnerabilidades a sair desta avaliação. A utilização de "utf-7" como um charset extra e a codificação do corpo permite um desvio ambíguo.
Estas vulnerabilidades e muitas mais são corrigidas nas correcções mais recentes feitas pelo ModSecurity e CRS.
Seis Vulnerabilidades em BIND
O Internet Systems Consortium (ISC) divulgou em BIND a relação de resolver a degradação do desempenho, as sobrereads de buffer, fugas de memória, e terminações inesperadas.
CVE-2022-2795 é uma vulnerabilidade que inunda o resolvedor alvo com perguntas que exploram esta falha; um aconselhamento pode degradar severamente o desempenho de um resolvedor - em termos de desempenho - resultando num ataque DOS.
CVE-2022-2881 é um bug subjacente que permite a leitura para além de um buffer especificado. Isto pode resultar em memória que não deve ser lida, ou até mesmo em crashing do processo por completo.
CVE-2022-2906, CVE-2022-38177, e CVE-2022-38178 estão todos relacionados com fugas de memória. Estes vazamentos de memória são causados por assinaturas ECDSA ou EdDSA malformadas e outras falhas, o que permite que o processo em execução leve mais memória do que a necessária, permitindo que a memória disponível no sistema seja corroída e potencialmente uma falha do processo devido à falta de recursos.
CVE-2022-3080 é uma vulnerabilidade que permite a um atacante enviar uma consulta específica, resultando no processo de resolução do problema por completo.
Estas vulnerabilidades foram corrigidas na versão estável mais recente dos lançamentos BIND 9.18 e 9.16.
13 Milhões de domínios maliciosos assinalados em 1 Mês
A Akamai já assinalou mais de 79 milhões de domínios desde o início de 2022, cerca de 13 milhões de domínios por mês. Globalmente, este número representa mais de 20% de todos os novos domínios que foram resolvidos com sucesso.
Estas detecções baseiam-se em algo chamado Newly Observed Domains (NODs). Akamai determina um NOD como um domínio que não foi resolvido em 60 dias. Isto pode incluir domínios recentemente adquiridos ou apenas domínios recém-utilizados. Detecções semelhantes observam quando um domínio foi registado, que é um sistema limitado, uma vez que alguns actores maliciosos são simplesmente capazes de se sentar num domínio durante um determinado período de tempo, uma vez registado, para o utilizar e fugir a esse sistema. Da mesma forma, outras organizações que monitorizam os DNO não estão na escala que a Akamai está; estão a monitorizar em limites de tempo de 30 minutos a 72 horas e longe dos 60 dias que a Akamai faz.
Os NOD não são totalmente úteis por si só, mas quando combinados com outra inteligência, podem fornecer uma enorme visão dos domínios e da forma como são utilizados. As aplicações dos DNO são tais como phishing e detecção rápida de ameaças. No entanto, estes DNO não se limitam a fins de detecção de actividades maliciosas, tais como a análise heurística.
Em geral, parece que esses NODs serão continuamente vitais na caça de ameaças, bem como na determinação do comportamento malicioso e dos passos actuais que Akamai está a dar para pavimentar o caminho em frente.
Comentários