Olha, se vc leu ate aqui ja sabe o que esperar, e assim como nosso amigo halfdog diz na lista de email oficial, depois de 5 anos temos vulnerabilidades da mesma natureza correndo soltas, dessa vez o mais surprendente (pelo menos pra mim), eh que esta flaw ainda nao foi corrigida e nem possui previsão, isto eh ate um pouco comum em bugs que nao tem um fator real e pratico de exploração e pra isso basta apenas olhar as security tracker das distros, algo que eu tenho costume em fazer,,ate mesmo pra aportar como correções (dificilmente chego nesse nível de fato, mas eu tento kkjjjjjkkk).
Mas neste caso temos um fator relativamente comum, uma tecnologia amplamente usada e uma técnica de exploração simples, devo mencionar contudo que a melhor solução aqui foi apresentada na propia lista de email original.
A solução é ate obvia, consiste em um fator comum e eh que os sysadmin devem ter a noção de como funciona o modelo de permissões do overlayfs, isto porque a copia (incluindo a copy-on-write) eh feita pelo processo que montou os filesystem (isto porque o modulo herda seus atributos); Assim se o overlayfs vai ser acessado por usuarios nao privilegiados, o interessante eh ele ser montado por um usuário especifico com as permissões definidas (ou por um processo com opções de segurança bem definidas) que serão herdadas ao overlayfs, porque infelizmente como podemos ver, as opções de montagens não diferem entre si e quando uma copia é feita os filesystem compartilham os metadados

Umas das soluções apresentadas na lista de email consiste em forçar os dois filesystem (upper & lower) a compartilhar as configurações do suid (coisa que na minha opinião apenas resolve uma parte do problema, ignorando as tantas incidências de problemas de credenciais neste modelo de permissões)

Referencias:

OpenWall - CVE-2021-3847

Security Tracker - Debian

Uma explicação bem interessante da CVE-2021-3493 - Terenceli

https://www.wiz.io/blog/ubuntu-overlayfs-vulnerability

terenceli.github.io

CVE-2021-3493 Ubuntu overlayfs privilege escalation vulnerability analysis

Ubuntu overlayfs vulnerability

Há muito que entender, existe um background bastante complexo por trás da recente vulnerabilidade (deveria chama-la assim??, acho que não) do xz/liblzma, que não apenas consiste em um simples ataque, em uma simples vulnerabilidade; eh contudo, reflexo do precário estado atual que muitos desenvolvedores de projetos open-source se encontram. Eh mas que tudo uma falha massiva na comunidade, em como enxergamos estes projetos

Sinceramente o ataque ta sendo amplamente explicado por diversos médios e não acho que neste momento haja informação que eu pessoalmente possa entregar nem trazer ou ao menos como apresenta-la com um visão do todo que possam agregar, estarei esperando analises mais profundas do reversing onde eu poderei talvez ser util ao explicar um pouco

(mas se vc não viu ainda, recomendo bastante procurar sobre a falha de xz e tmb fazer um downgrade ou upgrade seu pacote xz principalmente em ambiente debian e com uso de openssh)

Mas uma coisa precisa ser altamente divulgada, a origem deste ataque surge de um desenvolvedor cansado, sozinho, mantendo com todas suas forças um projeto que ele ama, que recorreu a única ajuda que encontrou e infelizmente era um agente mal-intencionado que explorou a precariedade do ecossistema atual de muitos projetos que se mantem por um ou dois desenvolvedores
Precisamos apoiar projetos open-source, precisamos fortalecer a união da comunidade como um todo, este eh so o começo de um modelo de ataque que sera cada vez mais presente em projetos open, este eh um aviso, e a maior vulnerabilidade aqui, o maior vetor de ataque foi um desenvolvedor isolado, foi a escassez de uma comunidade entrelaçada e unida
este sera o vetor que foi e sera explorado se as coisas continuarem desta forma

Pra entender melhor a situação deixo aqui um post do vlog Rob Mensching

https://robmensching.com/blog/posts/2024/03/30/a-microcosm-of-the-interactions-in-open-source-projects/ (eu modifiquei algumas partes soh pra ser mais preciso na tradução)
as partes marcadas com — — se referem a conversar entre o desenvolvedor e o suposto usuario (ou melhor, consumidor)

Robmensching

A Microcosm of the interactions in Open Source projects

Originally a thread on Twitter about the xz/liblzma vulnerability, when I finished typing it, I realized I had a real world slice of Open Source interaction that deserved more attention.

Novas versões das ferramentas desenvolvidas e implementadas pela antiga equipe PRG são usadas para atacar portas SSH de servidores Linux e minerar criptomoedas (CoinMiner)

A equipe da AhnLab Security Emergency response Center (ASEC) realizou um analise sobre uma onda da ataques de força bruta em portas SSH onde as maquinas eram utilizadas como instancia para escanear outros servidores com portas 22 abertas, replicar ataques e minar criptomoedas, utilizando versões de malwares e scanners já existentes

Após obter a senha e o login, os atacantes realizam um scan de servidores com portas SSH abertas (22) por blocos de IP internos a procura de outros servidores vulneraveis e executavam um ataque brutteforce por diccionario usando uma ferramenta já conhecida e que foi implementada pela antiga equipe PRG (uma versão de 2018 se encontra disponivel aqui), após o scaneamento e ataques, os atacantes verificam os nucleos disponíveis na maquina (grep \-c ^processor /proc/cpuinfo) em conjunto com outros comandos para obter informações do sistema
Após o processo de reconhecimento, eram instalados versões de malwares (ShellBot, Tsunami, Mirai, XMring) para minerar criptomoedas ou como zombies para ataques DDoS

ASEC BLOG

Analysis of Attacks That Install Scanners on Linux SSH Servers - ASEC BLOG

AhnLab Security Emergency response Center (ASEC) analyzes attack campaigns against poorly managed Linux SSH servers and shares the results on the ASEC Blog. Before installing malware such as DDoS bot and CoinMiner, the threat actors need to obtain information…

Não poderia terminar esse ano sem agradecer a todos vcs, por ler o que escrevo aqui, por compartilhar, por se interessar e aprender
E espero me aprimorar, explicar melhor e trazer material de qualidade

Próximo ano pretendo fazer um mini curso de assembly e arquitetura de de sistemas operacionais como tmb o processo de descobertas de vetores de exploração e desenvolvimento de exploit pra ARM, tdo completamente gratuito como sempre tem sido (se tdo der certo)
trazer mais de esta area tao rica e expansiva, levar para alem o horizonte de estudos nesta area de uma forma accessível (tanto economicamente como intelectualmente)
Espero crescer junto com vcs, que aprendamos juntos

Pessoal, to meio parado porque to focando mais em alguns CTF's, porém tem conteúdo sendo preparado para vocês e dessa vez com a colaboração direta de um dos pesquisadores que desenvolveu o método de ataque (ataque em predição de desvios na familia AMD zen)
Mas ontem postei um CTF que fiz recentemente no segundo canal (RubyOfSec2.0), nele estudamos o fluxo de execução de um pequeno binario, encontramos a instrução que queríamos modificar para atingir o bloco de instruções que iria retornar a flag e fizemos um patch bem pequeno (literalmente de um byte) com um editor hexadecimal e obtivemos a flag
Foi um CTF bem simples e rapido, mas serve para entender e revisar a questão de opcodes e set instructions e como podemos implementar em múltiplos casos (literalmente linguagem de maquina), eu já falei sobre isso quando expliquei o processo de desenvolvimento de um shellcode (que foi parar ate no 0daytoday)

Como tem muita gente nova vindo por causa do evento (H2HC), deixo aqui um index com alguns dos meus projetos aqui e no github
Cuba: Censura como medida politica

Neste post junto com alguns devs cubanos usamos um dos projetos da TOR para fazer um bypass em massa em alguns firewalls da cuba, em uma época em que o acesso a internet lá era bem restrito

Equation Group

```
Nessa falamos sobre especificidades dos ataques feitos por este conhecido APT e sua relação com documentos sobre ferramentas publicadas pelo Snowden

```

Aegis: Sistema de Rastreamento

Neste falamos sobre o Aegis e as possíveis evidencias de que a maior parte dos ISPs da china trabalharem em conjunto (ou pelo menos deixar brecha proposital) em seus protocolos e sistemas afim de auxiliarem agencias de vigilância

Estudo sobre reversing em PDFs

Nesta serie de posts falamos sobre vetores de ataques em arquivos pdfs e clientes, também estudamos a estrutura dos arquivos e as novas implementações que deixam flaws, visando entender todo o corpo que constitui o pdf, assim entendendo melhor os ataques e flaws (tmb disponivel no meu github)

Execução simbólica com ANGR

Nesta serie de posts falamos sobre essa tecnica desenvolvida originalmente para testes de software e que pode ser utilizada para reversing, uma tecnica bastante poderosa no qual podemos definir o input de um fluxo de execução pelo sua saída, o que nos permite automatizar e otimizar ataques de força bruta em binarios ou a descoberta do fluxo de execução de um binarios com múltiplas linhas de execução, podendo assim extender o escopo do exploiting, chegando ao desvio comparativo pelo resultado. Também resolvemos um CTF que demoraria horas em minutos usando esta tecnica (tmb disponivel no meu github)

A maioria dos outros posts e conteúdos aqui se referem a estudos de APTs e a estrutura dos seus ataques, são muitos e estão espalhados pelo canal, porém vcs podem achar varios no meu repositório no github

Telegram

Ruby Of Security

Na cuba, existem varios problemas relacionados a privacidade (sem mencionar os problemas políticos), seu acesso a internet eh monitorado constantemente, por associações comerciais, não possuem acesso a muitas VPN's (e as que possuem, são em parte bloqueadas…

Bem, eh bastante empolgado que venho avisar que estarei na HackerOne Bug Bounty Village da HCH2 palestrando sobre técnicas furtivas de pos-exploiting em sistemas linux
(pra quem ta interessado em saber mais recomendo visitar meu perfil no github 0x177git)

só preciso resolver as questões de logistica para viajar até SP, porém espero que tudo de certo, depois da palestra todo o material apresentado será publicado no meu github
aproveitem para se conetar cmg no linkedin

https://www.linkedin.com/posts/alexys-sunil-026673283_h2hc-bugbounty-hacking-activity-7130996762890092544-gNCt

Linkedin

Sign Up | LinkedIn

500 million+ members | Manage your professional identity. Build and engage with your professional network. Access knowledge, insights and opportunities.