Hlavní navigace

Postřehy z bezpečnosti: UDP vrací úder

5. 3. 2018
Doba čtení: 4 minuty

Sdílet

Dnes se podíváme na jedno z nejoblíbenějších využití UDP (totiž reflexní útoky), další zásek do důvěry v certifikační autority, a na několik komplikací se ztrátou kontroly nad daty v oblacích.

Memcrashed

Memcached je in-memory key-value databáze s kešujícím chováním, tj. při zaplnění přiděleného prostoru automaticky zahazuje nejstarší data. Obsluhující démon dokáže komunikovat na portu 11211 po TCP i UDP. Chybička ovšem je, že od roku 2008 je ve výchozím nastavení UDP povoleno a naslouchá na všech dostupných rozhraních. Tím se zařazuje mezi řádku nepoučitelných – DNS, NTP, SSDP, Chargen, SNMP – tedy těch, kteří jsou aktivně zneužíváni k amplifikačním útokům, viz například zpráva od Cloudflare, nebo čerstvě GitHub s úctyhodným tokem 1,35 Tb a 127 milionů paketů za sekundu.

Princip je poměrně jednoduchý – útočník buď využije příkaz stats, nebo si do keše aktivně vloží svá (co největší) data a pokládá na ně dotaz s podvrženou zdrojovou adresou. Memcached odpovídá záplavou UDP paketů s odpovědí, ovšem na podvrženou adresu oběti. Lze dosáhnout až čtyři řády zesílení – 15 B dotaz je schopný vyvolat třeba až 700 kB odpověď.

Autor: CESNET

Provoz na portu 11211 na jedné z linek CESNETu

Shodan hlásí kolem 88000 otevřených portů s naslouchajícím Memcached.

Výchozí chování bylo změněno ve verzi 1.5.6. Vtipná poznámka od jednoho z tvůrců zmiňuje, že naslouchající démoni můžou reagovat na příkaz shutdown, nebo alespoň na opakované flush_all, takže při napadení existuje i aktivní obrana… Otestovat zranitelnost si můžete například nástrojem memcached-probe.

Pokud UDP u Memcached skutečně potřebujete, nechte ho poslouchat jen na lokálním interface, nebo ho důkladně zabetonujte firewallem jen na stroje, které s ním potřebují komunikovat. A BCP 38 a 84 jistě také pomůže.

Digicert vs Trustico

Po záměrném úniku klíčů byl zneplatněno 23 000 TLS certifikátů poté, co DigiCert nebyl přesvědčen o korektnosti požadavku přeprodejce Trustico na jejich zneplatnění, na což Trustico zareagovalo zasláním privátních klíčů mailem, a DigiCert pak neměl na výběr. Dostupné je jak vyjádření Digicertu, tak Trustica. Nad kauzou se ještě nezvedla mlha, Trustico například tvrdí, že privátní klíče si vyžádal DigiCert, DigiCert zase zdůrazňuje, že to nemá nic společného s nedůvěrou prohlížečů k Symantecu, kterou DigiCert převzal, a přetahování pokračuje i v Dev Security Policy listu  Mozilly.

Podivné samozřejmě je, že Trustico vůbec získávalo a drželo privátní klíče některých certifikátů, což porušuje základní požadavek CA/Browser fóra, ovšem je třeba se pozastavit i nad tristní bezpečností jejich webových aplikací.

Autor: Predrag Cujanović

Knižní ukázka code injection

Politika a soukromí

Dosáhne USA na data mimo své hranice?

U Nejvyššího soudu USA se bude projednávat kauza Microsoftu proti USA, kde centrálním bodem je rozhodnutí, zda americká vláda má právo po americké organizaci požadovat data, uložená v jiné zemi. Rozhodnutí může mít dalekosáhlé důsledky, německá vláda už dala najevo, že pokud padne rozhodnutí ve prospěch americké vlády, Německo nadále přestane využívat americké firmy pro datové služby. Je poté samozřejmě otázka, jak daleko budou různé strany ochotny zajít.

Apple iCloud – čínská data Číně?

V loňském roce byl v Číně přijat zákon, který „provozovatelům kritické infrastruktury“ nařizuje ukládat data čínských občanů na čínském území. Apple nyní tuto část dat iCloudu přesouvá do společnosti Cloud Big Data Industrial Development Co, vlastněné státem.

Apple tvrdí, že jen a pouze Apple má k přístup k šifrovacím klíčům cloudu, nicméně v roce 2015 Čína přijala také zákon, který společnostem ukládá povinnost pomáhat s překonáváním šifrování či jiných bezpečnostních nástrojů pro přístup k policií požadovaným datům.

Hry s čínskou cenzurou

Většina nečínských sociálních sítí je v Číně blokována a nahrazena lokální (lépe kontrolovanou) variantou, hlavně všeobjímající sítí WeChat. To, že příspěvky na síti jsou cenzurovány, je všeobecně známo, uživatelé se přizpůsobují a používají například opisy či homofony – takže Si Ťin-pching je opisován jako Medvídek Pú, či čínským slovem pro párek, které je homofonem pro slovo trůn či imperátor. Nepopovídáte si také o seriálu Hra o trůny. Co je ale zajímavé, uživatelé začali cenzuru obcházet tím, že používají text v obrázcích – a impérium vrátilo úder a nasadilo OCR. Boj proti svobodě slova pokračuje v Číně na mnoha frontách.

Odsouzený vývojář

K necelým třem letům vězení byl odsouzen Taylor Huddleston z Arkansasu za vytvoření NanoCore a NetSeal, nástroje pro vzdálený přístup. Software původně míněného pro školy a firmy, nicméně nabízel ho i na undergroundových fórech, a zdá se, že soud přihlížel k tomu, že Huddleston o nekalých způsobech použití věděl, a dokonce nástroj vytvářel i s tímto záměrem (a sám to přiznal). Osobně jen doufám, že za tím je ještě něco víc, abychom se nedočkali soudních sporů s tvůrci Metasploitu nebo různých klonů VNC.

Ve zkratce

Pro poučení…

Understanding the limitations of HTTPS

root_podpora

…a pro pobavení

Není třeba uvolňovat paměť, pokud máte k dispozici ultimátní garbage collector.

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET.

Byl pro vás článek přínosný?

Autor článku

CESNET-CERTS je oficiální jméno bezpečnostního týmu sdružení CESNET, z. s. p. o. od ledna roku 2004. Jeho součástí je také Forenzní laboratoř FLAB. Články tvoří společně jednotliví členové týmu.