image

Hackertool kaapt Windows, Linux en Mac via Java-lek

vrijdag 30 maart 2012, 13:59 door Redactie, 36 reacties

Er is een uitbreiding voor een populaire hackertool verschenen waarmee het mogelijk is om Linux, Mac en Windows-systemen over te nemen, zolang het slachtoffer niet over de meest recente Java-versie beschikt. Iedereen die Java-kwetsbaarheid CVE-2012-0507 niet heeft gepatcht, waar halverwege februari een update voor verscheen, loopt risico. Gisteren werd bekend dat waarschijnlijk bij 80% van alle Java-gebruikers deze update ontbreekt.

De ontwikkelaars van Metasploit, een populaire tool voor het testen van de veiligheid van systemen en netwerken, ontvingen een malware-exemplaar dat zich via het Java-lek verspreidt. Aan de hand van deze informatie is nu een module ontwikkeld waardoor Metasploit-gebruikers ook Java-gebruikers kunnen aanvallen.

Platformen
"Zoals Microsoft al suggereerde zou de exploit op verschillende systemen betrouwbaar moeten werken", aldus de Metasploit-ontwikkelaars. "We hebben de exploit op verschillende platformen getest, van Windows XP, Windows 7 tot Ubuntu en Mac OS X. Zolang het slachtoffer een kwetsbare Java-versie gebruikt, zou je shell op zijn systeem moeten krijgen."

Om de aanval uit te voeren volstaat het bezoeken van een kwaadaardige of gehackte pagina. Wie Java nog gebruikt krijgt het advies de laatste update via Java.com te downloaden. Is de software niet voor dagelijks gebruik vereist, dan wordt geadviseerd die te verwijderen.

Reacties (36)
30-03-2012, 14:02 door [Account Verwijderd]
[Verwijderd]
30-03-2012, 14:10 door meinonA
Door Peter V: Java is al lang EXIT bij mij..
Dito.
30-03-2012, 14:21 door Anoniem
Kennen jullie die reclame "HET ZOU VERBODEN MOETEN WORDEN"
30-03-2012, 15:00 door Anoniem
Door Anoniem: Kennen jullie die reclame "HET ZOU VERBODEN MOETEN WORDEN"

ja....

on topic: Java is helaas in veel gevallen onmisbaar. Niet voor thuisgebruik, maar binnen veel netwerken ontkomt je er simpelweg niet aan. Het zou echt mooi zijn als er een middel zou zijn om de updates met uit te kunnen rollen, een soort WSUS achtige oplossing, maar dan voor Java. Adobe zou ook iets dergelijks moeten kunnen maken, zodat systeembeheerders makkelijk kunnen zien welke clients bijgewerkt zijn en dergelijke. Met andere woorden, er moet meer grip op deze situatie komen met tooling die door de leveranciers aangeboden wordt.

TIP: Voor thuisgebruikers die Java (en flash) willen gebruiken zou je ninite.com kunnen gebruiken. Je kunt de installatie executable in de startup zetten, waardoor na een reboot de executable opnieuw wordt uitgevoerd. Als de de setup van ninite vervolgens ziet dat er een nieuwe versie is van Java (of flash) dan wordt deze automatisch bijgewerkt.
30-03-2012, 15:01 door Eerde
"We hebben de exploit op verschillende platformen getest, ~~~ zou je shell op zijn systeem moeten krijgen."
En dan ?
Hoe krijg je root access ?
30-03-2012, 15:09 door Anoniem
Weg met die bagger. Helaas heeft mijn moeder het nodig anders kan ze niet klaverjassen, anders had ik het bij haar ook verwijderd.
30-03-2012, 15:18 door Bitwiper
Door Eerde:
"We hebben de exploit op verschillende platformen getest, ~~~ zou je shell op zijn systeem moeten krijgen."
En dan ?
Hoe krijg je root access ?
Bijvoorbeeld via de kernel functie mem_write (http://people.canonical.com/~ubuntu-security/cve/2012/CVE-2012-0056.html) of via sudo (http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=657985)?
30-03-2012, 15:34 door Eerde
Door Bitwiper:
Door Eerde:
"We hebben de exploit op verschillende platformen getest, ~~~ zou je shell op zijn systeem moeten krijgen."
En dan ?
Hoe krijg je root access ?
Bijvoorbeeld via de kernel functie mem_write (http://people.canonical.com/~ubuntu-security/cve/2012/CVE-2012-0056.html) of via sudo (http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=657985)?
Tsja,
Linux kernel 2.6.39 and other versions, when ASLR is disabled
1. We zitten al op kernel versie 3.1.x.x en ASLR = enabled...
en
2. Ik heb geen sudo...
30-03-2012, 15:36 door Anoniem
Er is een uitbreiding voor een populaire hackertool verschenen waarmee het mogelijk is om Linux, Mac en Windows-systemen over te nemen
The vulnerability is more of a logical flaw that results in unsafe operations, which allows any attacker to run arbitrary code under the context of the user.

Hoewel het ernstig is vind ik een gebruiker overnemen nog niet hetzelfde als een systeem overnemen, daar is nog een lek voor nodig.

Er is terecht een hoop kritiek op Java tegenwoordig, maar het probleem is nu dat een beschikbare patch niet wordt geïnstalleerd, niet dat die patch er niet is. Ik heb de neiging om dat toe te schrijven aan de fragmentatie in updateprocessen: elke softwareleverancier implementeert het op zijn eigen manier met zijn eigen instellingen. Dat maakt het onwerkbaar voor de doorsnee-digibeet, en voor menige niet-zo-digibeet op zijn minst onoverzichtelijk. Bij installatie zou niet meer moeten gebeuren dan dat het de URL van de repository waar de updates te vinden zijn en de publieke sleutel waarmee de integriteit van de downloads gecontroleerd wordt toevoegd worden aan de update-functie van het besturingssysteem waarna het vanzelf met de rest meedraait. Als het zo werkte zaten we nu niet met 80% ongepatchte Java-installaties.
30-03-2012, 16:18 door dnmvisser
Het zou echt mooi zijn als er een middel zou zijn om de updates met uit te kunnen rollen, een soort WSUS achtige oplossing, maar dan voor Java. Adobe zou ook iets dergelijks moeten kunnen maken, zodat systeembeheerders makkelijk kunnen zien welke clients bijgewerkt zijn en dergelijke. Met andere woorden, er moet meer grip op deze situatie komen met tooling die door de leveranciers aangeboden wordt.

Die tool is er al: Secunia PSI
http://secunia.com/vulnerability_scanning/personal/

De recente Java en Flash versies kunnen trouwens zelf automagisch updaten.
Dat scheelt al heel veel omdat iedereen die apps geinstalleerd heeft. (En ga nu niet lopen zeuren dat je ook wel zonder Flash en Java kan, want dat dus gewoon niet. Als je die apps niet gebruikt ben je een wereldvreemde internetgebruiker. Of een Linux gebruiker met OpenJDK en Gnash, maar dat komt feitelijk op hetzelfde neer).

Met PSI hoor je dus automatisch bij de 20% die niet kwetsbaar zijn voor CVE-2012-0507, want daar is eind februari (dus ruim een maand geleden) al een update voor verschenen.
30-03-2012, 16:25 door meinonA
Door /usr/local/dick: En ga nu niet lopen zeuren dat je ook wel zonder Flash en Java kan, want dat dus gewoon niet. Als je die apps niet gebruikt ben je een wereldvreemde internetgebruiker.
Kun je mij uitleggen wat ik met Java moet doen? Sinds ik het verwijderd heb is er helemaal niets wat niet meer werkt ... Mijn flashblokker maakt het internet ook niet echt onbruikbaar dus ik ben bang dat ik dan toch een wereldvreemde internetgebruiker ben? :(
30-03-2012, 16:29 door SirDice
Door Eerde:
"We hebben de exploit op verschillende platformen getest, ~~~ zou je shell op zijn systeem moeten krijgen."
En dan ?
Hoe krijg je root access ?
Er is geen root nodig om een machine om te toveren tot een spammende zombie.
30-03-2012, 17:42 door Eerde
Door SirDice:
Door Eerde:
"We hebben de exploit op verschillende platformen getest, ~~~ zou je shell op zijn systeem moeten krijgen."
En dan ?
Hoe krijg je root access ?
Er is geen root nodig om een machine om te toveren tot een spammende zombie.
Ook met SELinux & AppArmor ?
30-03-2012, 20:00 door Cybercrimepreventie.com
Zo zie je maar waar, geen enkel OS is veilig bij gebruik van onveilige applicaties.

Secunia PSI helpt je echt.
30-03-2012, 20:12 door Spiff has left the building
Door /usr/local/dick, 16:18 uur: De recente Java en Flash versies kunnen trouwens zelf automagisch updaten.
Java nu ook ineens al?
Wellicht bedoel je het automatisch controleren op updates?
Maar automatisch controleren is nog geen automatisch updaten.
http://www.java.com/nl/download/help/java_update.xml#howto
http://www.java.com/en/download/help/java_update.xml#howto
30-03-2012, 21:30 door dnmvisser
Wellicht bedoel je het automatisch controleren op updates?
ja dat bedoelde ik.
31-03-2012, 10:35 door Anoniem
Java is bij mij ook exit. Iemand toch een idee hoe bepaalde tools kunnen worden gedraaid die wel java gebruiken? Ik bedoel een makkelijke manier.
31-03-2012, 11:37 door Anoniem
Door Eerde:
Door SirDice:
Door Eerde:
"We hebben de exploit op verschillende platformen getest, ~~~ zou je shell op zijn systeem moeten krijgen."
En dan ?
Hoe krijg je root access ?
Er is geen root nodig om een machine om te toveren tot een spammende zombie.
Ook met SELinux & AppArmor ?
SELinux? Who cares... Die mem_write waar eerder naar werd verwezen deed het prima met SElinux aan... En over kernel 3.xxx en geen sudo... De tijd zal het leren. Tot zolang kun je natuurlijk in naiviteit blijven baden, je kunt ook oog proberen te hebben voor mogelijke, niet al te fictieve scenario's.

Afgezien daarvan, de meeste systemen hebben users anders dan {root|administrator} waar je leuke dingen mee kunt doen. M.a.w. je hoeft geen root te zijn om bv. wget of nc te starten...
31-03-2012, 14:45 door Bitwiper
Door Eerde:
Door Bitwiper:
Door Eerde:
"We hebben de exploit op verschillende platformen getest, ~~~ zou je shell op zijn systeem moeten krijgen."
En dan ?
Hoe krijg je root access ?
Bijvoorbeeld via de kernel functie mem_write (http://people.canonical.com/~ubuntu-security/cve/2012/CVE-2012-0056.html) of via sudo (http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=657985)?
Tsja,
Linux kernel 2.6.39 and other versions, when ASLR is disabled
1. We zitten al op kernel versie 3.1.x.x en ASLR = enabled...
en
2. Ik heb geen sudo...
Door Eerde:
Door SirDice:
Door Eerde:
"We hebben de exploit op verschillende platformen getest, ~~~ zou je shell op zijn systeem moeten krijgen."
En dan ?
Hoe krijg je root access ?
Er is geen root nodig om een machine om te toveren tot een spammende zombie.
Ook met SELinux & AppArmor ?
Oh Eerde, je bent werkelijk FANTASTISCH en BRILJANT!!!!!!! WE LOVE YOU!!!!!!!!!!!!!!

PS wat doe je eigenlijk op dit forum als je zelf alles zo perfect voor elkaar hebt en je je niet in de situatie van "minder bedeelden" kunt inleven (en je je kennelijk bezighoudt met trollen van anderen die zich zorgen maken over die enorm grote groep?)
01-04-2012, 10:33 door Anoniem
Heren, heren (neem ik aan) toch !
Als digibeet - ongetwijfeld in vergelijking met u - heb ik via Java Control Panel een dagelijkse automatische update aangeklikt.
Secunia, u ongetwijfeld bekend, staat ingeschakeld. Verder normaal onderhoudswerk via de Verkenner.
Kortom, onuitsprekelijk gezegd: Blijf blij-de-tijd!
01-04-2012, 14:12 door Anoniem
Door /usr/local/dick:
Het zou echt mooi zijn als er een middel zou zijn om de updates met uit te kunnen rollen, een soort WSUS achtige oplossing, maar dan voor Java. Adobe zou ook iets dergelijks moeten kunnen maken, zodat systeembeheerders makkelijk kunnen zien welke clients bijgewerkt zijn en dergelijke. Met andere woorden, er moet meer grip op deze situatie komen met tooling die door de leveranciers aangeboden wordt.

Die tool is er al: Secunia PSI
http://secunia.com/vulnerability_scanning/personal/

De recente Java en Flash versies kunnen trouwens zelf automagisch updaten.
Dat scheelt al heel veel omdat iedereen die apps geinstalleerd heeft. (En ga nu niet lopen zeuren dat je ook wel zonder Flash en Java kan, want dat dus gewoon niet. Als je die apps niet gebruikt ben je een wereldvreemde internetgebruiker. Of een Linux gebruiker met OpenJDK en Gnash, maar dat komt feitelijk op hetzelfde neer).

Met PSI hoor je dus automatisch bij de 20% die niet kwetsbaar zijn voor CVE-2012-0507, want daar is eind februari (dus ruim een maand geleden) al een update voor verschenen.

Ik ben bekend met secunia PSI, maar dit is niet wat ik bedoel. Bedrijfsmachines wil je niet rechtstreeks executables laten downloaden door eindgebruikers (bijvoorbeeld op een citrix-server). Je wilt dat je dit net als met WSUS kunt managen. Oftewel, 1 punt waarop je de updates download en vervolgen intern kunt distribueren. Is dit mogelijk met Secunia PSI? Ik wil namelijk ook kunnen zien welke clients er nog updates nog hebben en het liefst op welke datum ze een update geïnstalleerd hebben. Dit uiteraard voor het geval er zich een calamiteit voordoet.
02-04-2012, 07:10 door Anoniem
Op Windows is men doorgaans admin. Op Linux niet. Ergo: dat er veel Linux-systemen worden overgenomen moet ik nog zien.

Twee mensen noemden PSI. Ik ik had en heb Secunia PSI maar toch moest ik nog handmatig Java upgraden.
02-04-2012, 08:36 door Anoniem
Java is al de deur uit ..
02-04-2012, 08:43 door SirDice
Door Eerde:
Door SirDice:
Door Eerde:
"We hebben de exploit op verschillende platformen getest, ~~~ zou je shell op zijn systeem moeten krijgen."
En dan ?
Hoe krijg je root access ?
Er is geen root nodig om een machine om te toveren tot een spammende zombie.
Ook met SELinux & AppArmor ?
Ook daarmee. Je wilt tenslotte een bruikbaar werkstation. Dus kun je mailen, surfen, chatten, etc. Alles wat jij kan doen kan malware ook.
02-04-2012, 11:39 door [Account Verwijderd]
[Verwijderd]
02-04-2012, 12:01 door [Account Verwijderd]
[Verwijderd]
02-04-2012, 12:03 door Spiff has left the building
Door Anoniem, zo.1-4, 14:12 uur:
Ik ben bekend met secunia PSI, maar dit is niet wat ik bedoel. Bedrijfsmachines wil je niet rechtstreeks executables laten downloaden door eindgebruikers (bijvoorbeeld op een citrix-server). Je wilt dat je dit net als met WSUS kunt managen. Oftewel, 1 punt waarop je de updates download en vervolgen intern kunt distribueren. Is dit mogelijk met Secunia PSI? Ik wil namelijk ook kunnen zien welke clients er nog updates nog hebben en het liefst op welke datum ze een update geïnstalleerd hebben. Dit uiteraard voor het geval er zich een calamiteit voordoet.
Secunia PSI is een product voor thuisgebruikers, en niet bedoeld voor bedrijfsnetwerken.
Mogelijk dat een van de Secunia Corporate producten wel bruikbaar is voor wat je wilt, maar houd er wel rekening mee dat die erg pittig geprijsd zijn.
http://secunia.com/products/corporate/
02-04-2012, 15:52 door meinonA
Door Krakatau: De Telegraaf is onlangs overgestapt op Java technologie voor haar site! (zie:http://w3techs.com/sites/info/telegraaf.nl).

Net zoals bv. De Volkskrant, Trouw, Eindhovens dagblad. Het zal je verbazen hoeveel sites Java server technologie (zijn gaan) gebruiken. De voordelen daarvan zijn dat het veel krachtiger en veiliger (!) is dan de op PHP stacks gebaseerde oplossingen.
Wat een kwats. Een site is zo veilig als dat hij geprogrammeerd is, niet op wat voor platform hij draait. Krachtiger is ook onzin. Niemand heeft iets op Java gemaakt en gratis vrijgegeven, je moet alles zelf doen. Bij een platform als Drupal (etc) kun je in een paar klikken een complete website incl allerhande Web 2.0 shit maken. Hoe krachtig is dat!?!

... en dan is het ook nog eens server-side Java, waar eindgebruikers helemaal, maar dan ook helemaal niets van zien. Hij poept gewoon HTML uit.
02-04-2012, 18:19 door [Account Verwijderd]
[Verwijderd]
02-04-2012, 18:38 door meinonA
Door Krakatau: Haha, die cron.php van Drupal :-) Dat ding moet van buiten Drupal worden aangeroepen om enige scheduler achtige functionaliteit te verkrijgen... In Java EE gebruik je daar een @Schedule voor (zie http://docs.oracle.com/cd/E19226-01/820-7627/giqlg/index.html). Ach, onder PHP kan je alleen code uitvoeren binnen een HTTP request cycle?
Als je niks van Drupal weet, zeg dan niks. Alsof je php scripts niet vanaf je CLI aan kan roepen?
02-04-2012, 19:22 door [Account Verwijderd]
[Verwijderd]
02-04-2012, 19:27 door meinonA
Door Krakatau: Je kan PHP code aanroepen vanaf de command line interface maar dat is natuurlijk van de dolle! Het platform zelf zou daar ondersteuning voor moeten bieden (mits het krachtig genoeg is waarschijnlijk).
En ik vind het achterlijk dat een website als process draait.

Agree to disagree?
02-04-2012, 19:41 door [Account Verwijderd]
[Verwijderd]
02-04-2012, 20:14 door Anoniem
Even serieus mensen,voor welke programma's ,applicaties,te bezoeken websites heb ik nu eigenlijk Java nodig? Ik weet dat bijv de F-Secure online virusscanner met Java werkt,dat schijnen ze daar bij F-Secure niet anders te kunnen of te willen doen.Jammer genoeg.En ook een leuke vraag aan dit forum:is er dan helemaal geen alternatief voor Java!? Zo ja,wat/welke is dat dan?
02-04-2012, 20:24 door dnmvisser
En weer een discussie die ontspoort in een irrelevante oorlog, dit maal PHP-Java.
Maarja, we zitten tenslotte op een IT forum.
Webmasters, van mij mag deze thread wel dicht...
02-04-2012, 21:11 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.