Tietoturvauutiset ja blogipostaukset

[jase]

Herää kyllä väkisinkin kysymys, että paljonhan näitä takaovia on löytämättömänä? Tämäkin tosiaan aika tuurilla huomattiin.

Toisaalta taas tuuri on parempi aina kun koetetaan ujuttaa johonkin näinkin yleisesti käytettyyn kirjastoon backdooria. Aina löytyy joku joka tekee jotain ihme niche juttua ja kiinnittää huomion johonkin pikku muutokseen, joka on merkittävä hänen kontekstissaan.

Luulen että pisimmälle pääsisi backdoorinsa kanssa jossain domain spesifisessä kirjastossa, jota käytetään laajalti, muttei kuitenkaan ihan joka palvelimelta löydy. Toki jos se ei riitä niin sitten pitää vaan yrittää isosti ja suoraan kaikkialle, niin kuin nyt tehtiin.

Neljästä miljoonasta npm paketista varmaan löytyy yhtä jos toista

 

[Pah0lain3]

Kuinkahan pitkä väli on ollu edellisellä puhtaalla versiolla ja saastuneella? Mutta nyt paikkaukset tulevat varmaan omilla aikatauluillaan eri distroille.
Ymmärsin että tuo takaovi on olemassa ihan tavallisissa jakeluissa lähes kaikissa. Mikähän todennäköisyys on sille että omaa konetta on käyttäny joku muu kuin minä kun on tälläinen perus työpöytäsurffailija? Tuolla varmaan on melkein loputtomasti paljon mielekkäämpiä kohteita.

Ja entäs tuon ongelman rajaaminen? Jos on ssh pois käytöstä ollu, portit tukittu niin mikäs sen vierailevan tähden visiitin todennäköisyys koneella on silloin? Ymmärsin että tuohon ei välttämättä kaikille ole paikkaustakaan, mutta eiköhän nyt pääsiäisen aikana viimeistään useimmat sen tule saamaan tai alkuviikosta heti kun kaikki palaavat töihin pikkulomalta luulis että keskiviikkoon mennessä valtaosa olis jo paikattuna eri jakeluista.

Eikö tuo haitallinen koodi/takaovi nyt tarkoita että hyökkääjällä olis takaoven myötä ollu tai on kulku ihan minne vain halutessaan? Modeemit reitittimet ym. & ja niissä kiinni oleviin laitteisiin? Voiko se olla mahdollista? Eikai tuo takaovi kuitenkaan itsestään mitään hämärää tee vaan vaatii että joku tulee avulla tekmään pahojaan ja ssh:llako ainoastaan?

Edit. Pystyiskö käytännössä estämään takaoven avulla uuden puhtaan päivityksen päivittymisen ja varmistamaan että puuhaa itselleen riittää vielä "hetkeksi"?

Takaoven tekijää tuskin tavallinen surffailija kiinnostaa kun ei tiedä osoitteitakaan, mutta pystyiskö esimerkiksi joku pahantahtoinen vaikka netflixin työntekijä käyttämään tätä hyväkseen? Tai jos vierailen jonkun foorumilla/kotisivuillasi jolloin saat ip osoitteeni niin silloinhan sitä kautta jää hyväksikäyttökohde tietoon?

Mutta koska linuxilla ei defaulttina taida se ssh olla päälle kytkettynä saati porttejakaan avoinna niin se on todennäköisesti erittäin pieni todennäköisyys että joku lähtee sokkona virittelemään ssh yhteyksiä? Siksi kysyin että tekeekö se haittakoodi itse automaattisesti mitään erikoista?

Pahoittelen typeriä kysymyksiä, en vain tunne alaa mutta asia kiinnostaa silti. Kyllähän se vähän pännis jos steamiin ei kukaan pääsis kirjautumaan.

Edit.. Entäs jos kuitenkin on se linux missä ssh on käytössä ja porttina vaikka 333 niin mitäs sitten? Voiko noita mahdollisia ssh yhteyksiä googlettaa jostain jossa selviää myös se avoinna oleva portti? Vaikeuttaako se salasana ssh-yhteyden luomista yhtään vai onko takaovi aina "avoinna" eli kuka vaan, koska vaan sisään?

 

[kaakau<"'\\/>]

Kuinkahan pitkä väli on ollu edellisellä puhtaalla versiolla ja saastuneella? Mutta nyt paikkaukset tulevat varmaan omilla aikatauluillaan eri distroille.

git.tukaani.org - xz.git/tag tämän ei pitäisi kai olla saastunut ja tämä on git.tukaani.org - xz.git/tag, eli 10 päivää jos se meni noin.

Ymmärsin että tuo takaovi on olemassa ihan tavallisissa jakeluissa lähes kaikissa.

Luulisin, että nopeasti päivittyvissä distroissa lähinnä, eli rolling release -tyyppisissä. Esim. mun Kubuntu 23.10:ssa xz-utils on 5.4.1, joka on 14 kk vanha.

Ja entäs tuon ongelman rajaaminen? Jos on ssh pois käytöstä ollu, portit tukittu niin mikäs sen vierailevan tähden visiitin todennäköisyys koneella on silloin?

0.

Eikö tuo haitallinen koodi/takaovi nyt tarkoita että hyökkääjällä olis takaoven myötä ollu tai on kulku ihan minne vain halutessaan? Modeemit reitittimet ym. & ja niissä kiinni oleviin laitteisiin? Voiko se olla mahdollista? Eikai tuo takaovi kuitenkaan itsestään mitään hämärää tee vaan vaatii että joku tulee avulla tekmään pahojaan ja ssh:llako ainoastaan?

Ssh:lla pääsee. Tuskinpa monikaan modeemi/reititin on haavoittuvainen, kun n. kuukausi sitten vasta ujutettu haitallinen koodi ja noiden firmwaret ei päivity kovin usein. Esim. OpenWRT ei ole haavoittuvainen ja se päivittyy suht usein verrattuna kaupallisen tekijöiden firmiksiin.

Täältä löytyy aika hyvin tietoa XZ Backdoor Attack CVE-2024-3094: All You Need To Know

 

[Pah0lain3]

git.tukaani.org - xz.git/tag tämän ei pitäisi kai olla saastunut ja tämä on git.tukaani.org - xz.git/tag, eli 10 päivää jos se meni noin.

Luulisin, että nopeasti päivittyvissä distroissa lähinnä, eli rolling release -tyyppisissä. Esim. mun Kubuntu 23.10:ssa xz-utils on 5.4.1, joka on 14 kk vanha.

Ssh:lla pääsee. Tuskinpa monikaan modeemi/reititin on haavoittuvainen, kun n. kuukausi sitten vasta ujutettu haitallinen koodi ja noiden firmwaret ei päivity kovin usein. Esim. OpenWRT ei ole haavoittuvainen ja se päivittyy suht usein verrattuna kaupallisen tekijöiden firmiksiin.

Täältä löytyy aika hyvin tietoa XZ Backdoor Attack CVE-2024-3094: All You Need To Know

Kiitos nopeasta ja hyvästä vastauksesta.

Toki maailmalla riittää muitakin uteliaita vaikka alottelevia teinihakkereita joita tämä houkuttaa kuin pelkästään tämän takaoven luonut hlö? "Yleispalveluiden" jos näin voi sanoa edes, mutta kuten foorumeilla vierailijoiden ip osoitteita tuskin salataan tietokantoihin, joten nyt se vpn olis ehkä ollu ihan pro juttu. Joku pahantahtoinen steamin työntekijä kohta korkkailee tilejä aprillipilana...

No mutta kuten sanoit se todennäköisyys on varmaan se 0 sillä perus linuxsurffailija ei avaa portteja tai ssh-yhteyksiä huvin vuoksi.

 

[ojisama]

Kiitos nopeasta ja hyvästä vastauksesta.

Toki maailmalla riittää muitakin uteliaita vaikka alottelevia teinihakkereita joita tämä houkuttaa kuin pelkästään tämän takaoven luonut hlö? "Yleispalveluiden" jos näin voi sanoa edes, mutta kuten foorumeilla vierailijoiden ip osoitteita tuskin salataan tietokantoihin, joten nyt se vpn olis ehkä ollu ihan pro juttu. Joku pahantahtoinen steamin työntekijä kohta korkkailee tilejä aprillipilana...

No mutta kuten sanoit se todennäköisyys on varmaan se 0 sillä perus linuxsurffailija ei avaa portteja tai ssh-yhteyksiä huvin vuoksi.

Ipv4 osoitteita on niin 'vähän', että kyllä ainakin se 22 portissa kuunteleva palvelin muutaman kokeilun saa osakseen ennemmin tai myöhemmin, riippumatta käyttäjän surffailuista. Ei siihen minkään firman työntekijöitä tarvita.

 

[Hyrava]

Ipv4 osoitteita on niin 'vähän', että kyllä ainakin se 22 portissa kuunteleva palvelin muutaman kokeilun saa osakseen ennemmin tai myöhemmin, riippumatta käyttäjän surffailuista. Ei siihen minkään firman työntekijöitä tarvita.

Tuo "muutama kokeilu" on aika lievästi sanottu. Kun jostain osoitteesta löytyy avoin portti 22 niin siihen kyllä rupeaa tulemaan aikalailla reippaasti koputteluita ja jos on pelkkä username/password käytössä niin riski on suuri että sisäänkin joku pääsee ellei ole kunnollista salasanaa. Tuon takia publickey-auth on aikalailla suositeltava noissa. Mitä itse olen noita lokeista katsellut niin aika pitkälti yritetään mennä netistä löytyvien käyttäjätunnus/salasanalistojen kanssa sisään, ainakin yleisimpinä yritettyinä käyttäjätunnuksina on juurikin root, admin, user sun muut laitteiden vakiokäyttäjätunnukset.

Tuossa xz-haavassa ilmeisesti oli joku sellainen viritys että sopivalla payloadilla pääsisi suoraan autentikaation ohi tekemään jotain. Onneksi kovin monessa distrossa tuota kirjastoa ei keritty päivittää haavoittuvaan versioon vaan lähinnä ongelma taisi olla rolling releaseissa ja muissa bleeding edge -distroissa joissa mahdollisimman nopeasti pistetään uusimmat mahdolliset versiot jakoon. Yhdessäkään omassa koneessa ei noita haavoittuvia versioita ole eikä taida yhdessäkään duuni-serverissäkään olla mutta varmaan pitää vielä huomenissa varmistella kaikki koneet läpi.

 

[juhaa]

Kyllä vaan. Tässä omalta kohdalta tuo muutama kokeilu

 

[Pah0lain3]

Kyllä vaan. Tässä omalta kohdalta tuo muutama kokeilu

Miten nuo statsit saa kerääntymään ja näkymään?

 

[juhaa]

Miten nuo statsit saa kerääntymään ja näkymään?

Käytössä fail2ban eli yrityksiä X määrä, niin IP blokataan.

GitHub - fail2ban/fail2ban: Daemon to ban hosts that cause multiple authentication errors

Daemon to ban hosts that cause multiple authentication errors - fail2ban/fail2ban

github.com

Ja tilastot saa sitten tällä:

fail2ban-client status sshd

edit: kokeile vaikka

grep "Failed password" /var/log/auth.log

Kyllä näitä riittää. Viimeiseltä vajaalta 30 minuutilta

Paraikaa työnalla päästä tuosta SSH:sta eroon.

 

[Pah0lain3]

Käytössä fail2ban eli yrityksiä X määrä, niin IP blokataan.

GitHub - fail2ban/fail2ban: Daemon to ban hosts that cause multiple authentication errors

Daemon to ban hosts that cause multiple authentication errors - fail2ban/fail2ban

github.com

Ja tilastot saa sitten tällä:

fail2ban-client status sshd

edit: kokeile vaikka

grep "Failed password" /var/log/auth.log

Kyllä näitä riittää. Viimeiseltä vajaalta 30 minuutilta



Paraikaa työnalla päästä tuosta SSH:sta eroon.

Vähän mielessäni arvelinkin että se on varmaan fail2ban tai sen tapainen. En vain uskaltanu kehdannu suoraan kysyä. Kiitos tiedosta. Täytyy jatkaa tuohon fail2baniin tutustumista taas joskus.

 

[ojisama]

Tuo "muutama kokeilu" on aika lievästi sanottu. Kun jostain osoitteesta löytyy avoin portti 22 niin siihen kyllä rupeaa tulemaan aikalailla reippaasti koputteluita ja jos on pelkkä username/password käytössä niin riski on suuri että sisäänkin joku pääsee ellei ole kunnollista salasanaa. Tuon takia publickey-auth on aikalailla suositeltava noissa. Mitä itse olen noita lokeista katsellut niin aika pitkälti yritetään mennä netistä löytyvien käyttäjätunnus/salasanalistojen kanssa sisään, ainakin yleisimpinä yritettyinä käyttäjätunnuksina on juurikin root, admin, user sun muut laitteiden vakiokäyttäjätunnukset.

Tuossa xz-haavassa ilmeisesti oli joku sellainen viritys että sopivalla payloadilla pääsisi suoraan autentikaation ohi tekemään jotain. Onneksi kovin monessa distrossa tuota kirjastoa ei keritty päivittää haavoittuvaan versioon vaan lähinnä ongelma taisi olla rolling releaseissa ja muissa bleeding edge -distroissa joissa mahdollisimman nopeasti pistetään uusimmat mahdolliset versiot jakoon. Yhdessäkään omassa koneessa ei noita haavoittuvia versioita ole eikä taida yhdessäkään duuni-serverissäkään olla mutta varmaan pitää vielä huomenissa varmistella kaikki koneet läpi.

Juu. Eli muutama kokeilu xz payloadilla, ennemmin tai myöhemmin.

 

[JiiPee]

Juu. Eli muutama kokeilu xz payloadilla, ennemmin tai myöhemmin.

Payload on ainoastaan tuon härvelin tekijällä, eikä sitä saa oikein mitenkään selville ellei toi tekijä sitä julkaise.

While the public key is well-known, only the attackers have the corresponding Ed448 private signing key, ensuring that only the attackers can generate valid payloads for the backdoor. Furthermore, the signature is bound to the host’s public key, meaning that a valid signature for one host cannot be reused on a different host.

 

[ojisama]

Payload on ainoastaan tuon härvelin tekijällä, eikä sitä saa oikein mitenkään selville ellei toi tekijä sitä julkaise.

Hyvä tieto. Sitten noita ei kyllä melkoisen suurella todennäköisyydellä tule lainkaan.

 

[leripe]

Hyvä tieto. Sitten noita ei kyllä melkoisen suurella todennäköisyydellä tule lainkaan.

Jep, jos isolla rahalla ja vaivalla tehty, niin tuskin laitetaan jakoon huvikseen.
Käytetään uusiksi mahdollisesti modattuna seuraavassa long gamessa.

 

[user9999]

Haavoittuvuuksia LG televisioissa. Päivitykset on jo julkaistu.

Over 90,000 LG Smart TVs may be exposed to remote attacks

Security researchers at Bitdefender have discovered four vulnerabilities impacting multiple versions of WebOS, the operating system used in LG smart TVs.

www.bleepingcomputer.com

Bitdefender explains that although the vulnerable LG WebOS service is supposed to be used only in local area networks (LAN) settings, Shodan internet scans show 91,000 exposed devices that are potentially vulnerable to the flaws.

 

[user9999]

Vakava haavoittuvuus PuTTY-ohjelmiston ECDSA-algoritmin toteutuksessa.

Haavoittuviksi tunnistetut ohjelmistot ja versiot
PuTTY 0.68 - 0.80
FileZilla 3.24.1 - 3.66.5
WinSCP 5.9.5 - 6.3.2
TortoiseGit 2.4.0.2 - 2.15.0
TortoiseSVN 1.10.0 - 1.14.6

Vakava haavoittuvuus PuTTY-ohjelmiston ECDSA-algoritmin toteutuksessa | Kyberturvallisuuskeskus

PuTTY-tietoliikenneasiakasohjelmiston ja sen koodia käyttävien sovellusten heikko NIST P-521 ECDSA-algoritmin toteutus voi paljastaa käyttäjän yksityisen avaimen, mikäli avain on edellä mainittua tyyppiä.

www.kyberturvallisuuskeskus.fi

PuTTY vulnerability vuln-p521-bias

www.chiark.greenend.org.uk