Z atakami typu zero-day możemy spotykać się od czasu do czasu na blogach piszących o security. Są one najczęściej krytyczne i ciężkie do odnalezienia nawet przez osoby doświadczone. Ok, ale co z tym 0-day? Nazwa bierze się od tego, jak wiele dni podatność jest „w obiegu”. W związku z tym są to podatności dopiero co odkryte. Przyjrzyjmy się kilku ostatnim atakom typu 0-day.
Zoom
Na początek aplikacja z której korzystał niemalże każdy chociaż raz- Zoom. Portal Vice poinformował swoich czytelników o tym, że na sprzedaż na czarnym rynku są aż dwie podatności związane z Zoomem. Pierwsza z nich, to RCE (możliwość zdalnego wykonywania dowolnego kodu) w aplikacji na systemy Windows. Kolejny błąd dotyczy klienta na Mac OS. Nie ma jednak więcej szczegółów. Cena za podatność związaną z Windowsem wynosi 2,5 mln zł.
SonicWall’s Email Security
Firma FireEye ujawniła szczegóły dotyczące trzech podatności, które pozwalały atakującym na dostęp do sieci korporacyjnych oraz instalowanie backdorów na urządzeniach pracowników. Mowa o:
- CVE-2021-20021 – nieautoryzowane tworzenie kont administracyjnych,
- CVE-2021-20022 – dowolne przesyłanie plików po uwierzytelnieniu,
- CVE-2021-20023 – dowolne czytanie plików po uwierzytelnieniu.
W opisie technicznym na stronie FireEye możemy przeczytać, że:
The adversary leveraged these vulnerabilities, with intimate knowledge of the SonicWall application, to install a backdoor, access files and emails, and move laterally into the victim organization’s network,” a technical write-up reads
https://www.fireeye.com/blog/threat-research/2021/04/zero-day-exploits-in-sonicwall-email-security-lead-to-compromise.html
Ubuntu
Researcher bezpieczeństwa Kevin Backhouse znalzł przypadkowo dwa błędy bezpieczeństwa, które w połączeniu pozwalają na stworzenie konta administratora bez odpowiednich uprawnień na systemie Ubuntu.
Początkowo Kevin odkrył, że system jest podatny na atak DoS. Po zamknięciu procesu accounts-daemon, jedna z usług systemowych sprawdza, ilu jest aktywnych użytkowników w systemie. Usługa nikogo nie znalazła, ponieważ accounts-deamon został wcześniej wyłączony. W związku z tym użytkownik mógł stworzyć nowe konto administratora, aby następnie użyć go do zalogowania się. Film objaśniający szczegółowo znalezisko znajdziecie poniżej.
Etherpad
Etherpad jest poszerzonym edytorem tekstu online. Osobą, która znalazła błędy, był Paul Gerste, researcher podatności z SonarSource. Ponadto, poinformował on na swoim blogu, że edytor tekstu został dodany do zakładek ponad 10 tysięcy razy i posiada więcej niż 250 dostępnych wtyczek. Cieszy się więc on ogromną popularnością. Luki w zabezpieczeniach, które znalazł Paul mają status „krytyczny” i w połączeniu mogły zostać użyte aby przejąć kontrolę nad serwerem. Podatności o których mowa to:
- CVE-2021-34817 – XSS poprzez jeden z komponentów,
- CVE-2021-34816 – Argument injection. Pozwala uprzywilejowanym użytkownikom na wykonie dowolnego kodu na serwerze poprzez instalację wtyczek z kontrolwanego przez atakującego źródła.
Accellion File Transfer Protocol
Agencja prasowa Assosiated Press doniosła, że w protokole do przesyłania plików zostały znalezione aż cztery podatności. Protokół o którym mowa, to Accellion FTP. 0-daye w nim znalezione zostały wykorzystane przeciwko min.: nowozelańskim i amerykańskim bankom. Błędy są dostępne w słowniku CVE. Oto one:
- CVE-2021-27101 – SQL injection poprzez nagłówek Host,
- CVE-2021-27103 – SSRF poprzez POST request,
- CVE-2021-27102 – Wykonywanie poleceń OS za pomocą lokalnego wywołania usługi sieciowej,
- CVE-2021-27104 – Wykonywanie poleceń OS za pomocą spreparowanego żądania POST
Źródła
https://portswigger.net/daily-swig/zero-day
https://www.accellion.com/company/press-releases/accellion-provides-update-to-fta-security-incident-following-mandiants-preliminary-findings/
https://nvd.nist.gov/vuln/detail/CVE-2021-27101
https://nvd.nist.gov/vuln/detail/CVE-2021-27103
https://nvd.nist.gov/vuln/detail/CVE-2021-27102
https://nvd.nist.gov/vuln/detail/CVE-2021-27104
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-34817
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-34816
https://www.vice.com/en/article/qjdqgv/hackers-selling-critical-zoom-zero-day-exploit-for-500000
https://portswigger.net/daily-swig/zero-day-vulnerabilities-in-sonicwall-email-client-led-to-network-access-backdoors-installed
https://portswigger.net/daily-swig/vulnerabilities-in-ubuntu-desktop-enabled-root-access-in-two-simple-steps