image

Linux-lek laat aanvallers malware in webverkeer injecteren

donderdag 11 augustus 2016, 11:41 door Redactie, 26 reacties
Laatst bijgewerkt: 11-08-2016, 12:31

Onderzoekers hebben een ernstige kwetsbaarheid in een internetprotocol ontdekt waar Linux gebruik van maakt en waardoor het voor aanvallers mogelijk is om in het verkeer tussen websites en hun bezoekers malware te injecteren of de verbinding van bezoekers te verbreken.

Het probleem (pdf) bevindt zich in de implementatie van de RFC 5961-standaard, bedoeld om verschillende soorten aanvallen te voorkomen. De standaard blijkt internetgebruikers echter aan aanvallen bloot te stellen. Aanvallers, ongeacht waar ze zich bevinden, kunnen via de kwetsbaarheid namelijk detecteren wanneer twee partijen met elkaar op het internet communiceren. Vervolgens is het mogelijk om de verbinding te verbreken en in het geval het om een onversleutelde verbinding gaat kan er zelfs kwaadaardige code in het verkeer worden geïnjecteerd.

De onderzoekers van de Universiteit van Californië en het Onderzoekslaboratorium van het Amerikaanse leger hebben gisteren tijdens een beveiligingsconferentie in de Verenigde Staten een demonstratie gegeven, waarbij ze malware op de inlogpagina van USA Today injecteerden. USA Today maakt geen gebruik van encryptie, waardoor de onderzoekers kwaadaardige JavaScript-code aan bezoekers van de inlogpagina konden voorschotelen.

RFC 5961 is nog niet volledig op Windows en Mac OS X geïmplementeerd. De meeste Linux-distributies ondersteunen het wel. Inmiddels is er een update voor Linux uitgekomen om het probleem te verhelpen, maar die is onder de meeste grote distributies nog niet uitgerold. Om de aanval te laten slagen moet één van de twee partijen kwetsbaar zijn, wat inhoudt dat veel grote websites die op Linux draaien kunnen worden aangevallen, zo meldt Ars Technica. Hieronder een video waarin de aanval wordt gedemonstreerd.

Image

Reacties (26)
11-08-2016, 11:49 door Anoniem
Tijdelijke oplossing: The Register meldt dat er een tussentijdse oplossing is door de regel net.ipv4.tcp_challenge_ack_limit = 999999999 aan /etc/sysctl.conf toe te voegen en sysctl -p uit te voeren als root.

Bron: http://www.theregister.co.uk/2016/08/10/linux_tor_users_open_corrupted_communications/
11-08-2016, 12:08 door Anoniem
TOP, altijd https gebruiken. Verder houd jouw software updater in de gaten en kijk naar een update voor dit geval.
11-08-2016, 12:09 door Anoniem
Geldt niet voor oudere Linux kernels, bijv. 2.6 en lager.
11-08-2016, 12:26 door Anoniem
Lijkt mij niet simpel voor een leek die van Windows overgestapt is omdat hij / zij gelezen heeft dat Linux helemaal veilig is.
11-08-2016, 14:47 door potshot
pfew ! ik heb gelukkig windows..!
11-08-2016, 14:57 door [Account Verwijderd] - Bijgewerkt: 11-08-2016, 14:57
[Verwijderd]
11-08-2016, 15:00 door [Account Verwijderd]
[Verwijderd]
11-08-2016, 15:01 door Anoniem
Door potshot: pfew ! ik heb gelukkig windows..!
Grappig dat je het zegt. Misschien sarcasme? Hopelijk.... In windows zitten er namelijk veel meer lekken, dit is 1 van de zeldzame bekend making van een linux lek. Bij windows hoor je dagelijks wel een lek artikel, al was het over een virus of exploit. Daarnaast is een oplossing gegeven (eerste post), als je het zelf moest doen in windows ben je dagelijks wel wat minuten kwijt of is er gewoon geen oplossing vrijgegeven, buiten dat je moet wachten op de reactie van windows update die dagen lang kan duren terwijl de lek daar dan ook dagen lang in blijft zitten.
11-08-2016, 15:04 door Anoniem
Updaten is goed! Upgraden is beter!
11-08-2016, 16:27 door Anoniem
@Taxus @Bert Linux: Ubuntu 16.04 gebruikt kernel 4.4 en die is ook kwetsbaar hiervoor.
11-08-2016, 17:02 door Anoniem
Door Anoniem:
Door potshot: pfew ! ik heb gelukkig windows..!
Grappig dat je het zegt. Misschien sarcasme? Hopelijk.... In windows zitten er namelijk veel meer lekken, dit is 1 van de zeldzame bekend making van een linux lek. .

Inderdaad grappig dat zelfs in 2016 er nog altijd mensen zijn die dat sprookje geloven.

Kijk eens op CVEDetails, bijvoorbeeld voor Ubuntu: http://www.cvedetails.com/product/20550/Canonical-Ubuntu-Linux.html?vendor_id=4781

En dan moet je hierbij bedenken dat het om puur en alleen het core-OS gaat. Daar moeten alle cve's van de services en applicaties die er op draaien nog bij.

Er zit geen, geen millimeter verschil tussen de diverse OS'n als het gaat om kwetsbaarheden. Ze worden allemaal door mensen gemaakt, en die maken allemaal fouten. Er zit wel verschil in hoe aantrekkelijk een OS is om aan te vallen. En vooruit: in de manier waarop de producent software voortbrengt. En geloof het of niet, maar op dat vlak wordt Microsoft gezien als voorbeeld (zoek eens op 'Secure Development Lifecycle').

En nee, 'open source' en dat andere sprookje van 'many eyes' veranderd daar niks aan. Niks mis met open source (mooi zelfs!) maar niemand gaat voor de lol security bugs zoeken in miljoenen regels open source. Daar verdien je nou eenmaal niks mee.
11-08-2016, 17:21 door Anoniem
Zowiezo vreemd dat een protocol toevoeging wat eigenlijk alleen zinvol is op routers die 24/7 aan staan EN voor veel verschillende soorten klanten actief zijn geimplementeerd moest worden op client-systemen.

Alsof je BGP gaat draaien op de linux doos...
En dan nog, als je BGP peers niet kunt vertrouwen, wat voor nut heeft het uberhaupt dan nog?
Dit ruikt echt zo ontzettend als een NSA plantage...

Een RFC maken voor een probleem wat geen probleem is op een plek (werkstations) waar die problemen helemaal niet plaats vinden.
Als je al vind dat je BGP sessies afgeluisterd en overgenomen kunnen worden moet je DAAR iets aan doen...
Als er iemand tussen mijn router en de AMS-IX kan wroeten op de BGP laag (afgezien van dat ik dat automatisch laat doen door de box van AMS-IX zelf) dan moet ik misschien toch eens gaan nadenken waarom ik in de IT zit.

In ieder geval heeft deze rotzooi RFC niets te zoeken op mijn Windows 10-16 bak noch op mijn Ubuntu 16.04 bak.
11-08-2016, 18:11 door karma4
Een server die kwetsbaar Is is veel ernstiger dan wat apart staande werkstations. Even bijwerken? Met een beetje pech wordt zo'n ding echt gebruikt met applicaties. Als die kritisch zijn heb je voor het weet een vele maandenlang kostbaar testtraject voor de boeg. Als je met een cloud dan wel appliance zit mag je kijken wat je leverancier gaat doen. Je hebt niet veel in te brengen. Hoe zou het met al die AWS servers zijn? Enige planning impact of wat dan ook gehoord..
11-08-2016, 18:21 door potshot
Door Anoniem:
Door potshot: pfew ! ik heb gelukkig windows..!
Grappig dat je het zegt. Misschien sarcasme? Hopelijk.... In windows zitten er namelijk veel meer lekken, dit is 1 van de zeldzame bekend making van een linux lek. Bij windows hoor je dagelijks wel een lek artikel, al was het over een virus of exploit. Daarnaast is een oplossing gegeven (eerste post), als je het zelf moest doen in windows ben je dagelijks wel wat minuten kwijt of is er gewoon geen oplossing vrijgegeven, buiten dat je moet wachten op de reactie van windows update die dagen lang kan duren terwijl de lek daar dan ook dagen lang in blijft zitten.

wat denk je dat er zou gebeuren als linux een marktaandeel zou hebben zoals windows?
dan vielen de hackers over elkaar heen om linux binnenste buiten te keren.
'safety in obscurity'..
11-08-2016, 19:21 door Anoniem
Door Anoniem: Updaten is goed! Upgraden is beter!

Nee je kunt beter even de kat uit de boom kijken, en zeker niet voorop lopen met je upgrades. Ik ken genoeg mensen die meteen gratis windows10 installeren, of het nieuwste van het nieuwste willen hebben, en dan als 'test' panel dienen om alle bugs er alsnog uit te halen.
12-08-2016, 07:15 door [Account Verwijderd]
[Verwijderd]
12-08-2016, 08:34 door [Account Verwijderd] - Bijgewerkt: 12-08-2016, 08:36
[Verwijderd]
12-08-2016, 08:55 door Anoniem
Oud nieuws:
http://www.openwall.com/lists/oss-security/2016/03/03/11
12-08-2016, 11:58 door Anoniem
Door Muria: wat denk je dat er zou gebeuren als linux een marktaandeel zou hebben zoals windows?
dan vielen de hackers over elkaar heen om linux binnenste buiten te keren.
'safety in obscurity'..
Linux heeft een marktaandeel zoals Windows, als je verder kijkt dan desktopsystemen. Kijk eens naar servers, routers, embedded systemen, tv's (mijn tv van Sony draait bijvoorbeeld op Linux) smartphones (Android gebruikt de Linux-kernel, en dit is een probleem in de kernel), en dan zie je dat Linux alom aanwezig is.
Door karma4: Een server die kwetsbaar Is is veel ernstiger dan wat apart staande werkstations. Even bijwerken? Met een beetje pech wordt zo'n ding echt gebruikt met applicaties. Als die kritisch zijn heb je voor het weet een vele maandenlang kostbaar testtraject voor de boeg.
Nou, nee. De Linux-kernel heeft stabiele API's voor applicaties. Binnen het domein van de kernel is dat anders, daar kunnen interfaces veranderen en alle aanroepers binnen de kernel worden dan meeveranderd (makers van proprietaire drivers kunnen daar last van hebben), maar de API's die de kernel aan applicaties aanbiedt zijn stabiel. Dat de kernel wordt gebruikt door applicaties betekent nog niet dat de precieze kernel-versie kritisch is voor die applicaties. Dat zal maar zelden het geval zijn, en hier zal het repareren van de fout alleen tot een ander patchlevel leiden en die API's dus al helemaal niet raken. Het risico is dus heel klein.

En ook een omgeving die in beginsel alle wijzigingen grondig test moet voorzieningen hebben om noodpatches door te voeren. Een beetje systeembeheerder weet precies wat hij moet doen om het systeem terug te brengen in de staat van voor de wijziging als die problemen met applicaties blijkt te geven.
12-08-2016, 19:03 door karma4
Door Muria: [Knoeier... In wat voor omgeving werk jij? (Applicaties die afhankelijk zijn gemaakt van de onderliggende software infrastructuur - bah!.)
Je kan/kon het terug vinden in het Limux verhaal dika strac it@m, met het 9 vlaks model van maes is dat verklaarbaar.
De evaluatie van de situatie nu is nog terug te vinden als fase 1. De volgende reorganisatie is al weer gepland.

Door Muria:
Door karma4:
Als je met een cloud dan wel appliance zit mag je kijken wat je leverancier gaat doen. Je hebt niet veel in te brengen.Hoe zou het met al die AWS servers zijn? Enige planning impact of wat dan ook gehoord...
Maak je niet druk, dat zijn professionals die hun zaakjes wel voor elkaar hebben...
Zoek het eens goed uit in plaats van de marketing mensen zo maar te geloven. Die professionals hebben de verdiensten in de ogen staan, dacht je nu echt dat ze meteen aan het updaten gaan en dan aangesproken worden op ellende daar van.

Vandaag, 11:58 door Anoniem
Een beetje systeembeheerder weet precies wat hij moet doen om het systeem terug te brengen in de staat van voor de wijziging als die problemen met applicaties blijkt te geven. ...
Eén enkele beheerder die overal toegang tot heeft zelfstandig beslissingen neemt wat wanneer en hoe en zelf buiten elke controle valt? Sorry dat is een niet professionele situatie.
Wat is de praktijk:
- Sponsors die hebben het geld ingebracht en zij bepalen uiteindelijk wat er gebeurt.
- Proces managers waaronder het change management proces waarbij de keten (ijzer / OS / tools - paketten-software / klant applicaties) geregisseerd wordt.
- uitvoerenden / operationeel beheerders. Compleet afgeblokt in de mogelijkheden om wat te doen. De weerstand tegen een update wordt constant groter bij elke tegenslag. Redenen budget / tijd /politiek - strategie.
- Er wordt op aanraden van externe leveranciers beslissingen genomen. Die zitten echt niet te wachten op patches van derden. Het verkopen als doel dan gaat het naar wat de gebruikers leuk vinden. Degelijk beheer is maar lastig en te vaak te kostbaar. Je mag al blij zijn als er een wil tot samenwerking is om wat goeds af te leveren.

En ja ben het met je eens als je goede beheerders hebt die a/ weten wat ze doen en b/ weten hoe ze heen en weer kunnen en c/ de waardering en vrijheid krijgen om het werk goed te doen, dat zou een prima situatie zijn. Helaas iets te veel utopie. Die ervaring is vanuit die server omgevingen. Een desktop interesseert me niet zo veel.
12-08-2016, 22:04 door [Account Verwijderd]
[Verwijderd]
12-08-2016, 22:18 door [Account Verwijderd]
[Verwijderd]
14-08-2016, 08:47 door Anoniem
Door Anoniem: Geldt niet voor oudere Linux kernels, bijv. 2.6 en lager.

Uhm, wie werkt er nog met kernel 2.6? Ook Linux moet je up to date houden...
14-08-2016, 08:50 door Anoniem
Door Anoniem: Lijkt mij niet simpel voor een leek die van Windows overgestapt is omdat hij / zij gelezen heeft dat Linux helemaal veilig is.

Linux is ook niet helemaal 100% veilig want dat is geen enkel OS. Maar Linux is nog altijd vele malen veiliger dan welke Windows versie dan ook...
15-08-2016, 16:23 door Anoniem
Door Anoniem:
Door Anoniem: Lijkt mij niet simpel voor een leek die van Windows overgestapt is omdat hij / zij gelezen heeft dat Linux helemaal veilig is.

Linux is ook niet helemaal 100% veilig want dat is geen enkel OS. Maar Linux is nog altijd vele malen veiliger dan welke Windows versie dan ook...

En dat is gebaseerd op welke objectieve maatstaf?

In elk geval niet op het aantal kwetsbaarheden dat gevonden wordt: http://www.cvedetails.com/product/20550/Canonical-Ubuntu-Linux.html?vendor_id=4781

Of de lekken die in het wild gevonden worden: https://www.wired.com/2016/01/hack-brief-years-old-linux-bug/ of http://www.computerworld.com/article/2860843/vulnerability-in-embedded-web-server-exposes-millions-of-routers-to-hacking.html, etc, etc

Maar een mening hebben mag natuurlijk.

Mijn mening is dat de beveiliging van een systeem primair afhangt van hoe goed hij beheerd wordt.
16-08-2016, 08:03 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.