Beveiligingslek in Linux-schijfversleuteling ontdekt
Er is een beveiligingslek in de schijfversleuteling van Linux-systemen ontdekt waardoor een aanvaller door het inhouden van de entertoets voor 70 seconden roottoegang kan krijgen, zo heeft de Spaanse beveiligingsonderzoeker Hector Marco aangetoond.
Het probleem is aanwezig in Cryptsetup, dat samen met Linux Unified Key Setup-on-disk-format (LUKS) wordt gebruikt voor het versleutelen van Linux-systemen. Het scriptbestand dat voor het opstartproces verantwoordelijk is en de gebruiker om zijn encryptiewachtwoord vraagt blijkt een fout in de wachtwoordcontrole te hebben. Als de gebruiker het maximale aantal toegestane inlogpogingen heeft gehad zal het opstartproces gewoon worden uitgevoerd, ook al is het juiste encryptiewachtwoord niet opgegeven.
Het echte probleem is volgens de onderzoeker de verwerking van hardwarefouten door Cryptsetup. In dit geval weet het script niet wat de oorzaak van de fout is en geeft de gebruiker een rootshell. Het inhouden van de entertoets voor 70 seconden is in dit geval voldoende. Volgens Marcro is de systeempartitie in dit geval nog steeds versleuteld en is voor zover bekend niet mogelijk te ontsleutelen. Het kan echter zijn dat andere partities niet zijn versleuteld.
Verder kan de aanvaller via de kwetsbaarheid zijn rechten op het systeem verhogen, toegang tot alle schijven krijgen en die naar een extern apparaat kopiëren om later proberen die te ontsleutelen of een denial of service te veroorzaken door alle informatie op de schijven te verwijderen. Daarnaast is het mogelijk om de kwetsbaarheid ook uit te buiten op systemen waar een aanvaller geen fysieke toegang toe heeft. Het gaat dan om cloudomgevingen. Volgens de onderzoeker is het probleem waarschijnlijk geïntroduceerd bij het toevoegen van nieuwe features. "Het is algemeen bekend dat complexiteit de grootste vijand van security is", merkt hij op.
Zo'n programmeerfout duidt op gebrek aan reviewing, eerder dan door toevoegen van complexiteit?
Ter compensatie: de open code stelt de onderzoekers in staat de fout zelf op te zoeken, dat snel herstel ten goede kan komen.
My two cents...
Als een aanvaller fysieke toegang heeft - zoals in dit geval - dan kan die altijd al de boot-code aanpassen. De genoemde bug is niet meer dan dat, een bug. Sop en Kool.
Je moet dan wel een (onversleutelde) locatie vinden waar je een dergelijke kit kunt plaatsen en waar vandaan die dan ook opgestart wordt.
Peter
Je moet dan wel een (onversleutelde) locatie vinden waar je een dergelijke kit kunt plaatsen en waar vandaan die dan ook opgestart wordt.
Peter
Hoeveel systemen hebben:
* BIOS passwd +
* USB disabled +
* Grub passwd +
* LUKS+Cyptsetup
Maar staan jou wel fysieke toegang toe?
Neemt niet weg dat het gewoon niet moet kunnen en dit snel gefixed moet en gaat worden.
Als je fysiek toegang hebt kun je ook een hardware keylogger plaatsen. Maar dat is het punt niet. Het punt is dat je bijvoorbeeld een USB Rubber ducky kunt gebruiken om deze aanval, zelfs onder camera toezicht, te kunnen uitvoeren.
Het open maken van servers gaat vallen terwijl deze aanval op een veel subtielere wijze kan plaatsvinden.
My two cents....
Als een aanvaller fysieke toegang heeft - zoals in dit geval - dan kan die altijd al de boot-code aanpassen. De genoemde bug is niet meer dan dat, een bug. Sop en Kool.
Aan de andere kant, als je fysieke toegang heb kan je ook de HDD/SSD eruit slopen, in een ander systeem zetten en dan /boot mounten en een andere kernel installeren.
Zou dat de zaak veiliger maken, immers als je iets aanpast aan /boot zal dat gedetecteerd worden.
Hoeveel systemen hebben:
* BIOS passwd +
* USB disabled +
* Grub passwd +
* LUKS+Cyptsetup
Maar staan jou wel fysieke toegang toe?
Neemt niet weg dat het gewoon niet moet kunnen en dit snel gefixed moet en gaat worden.
Hoeveel systemen hebben:
* BIOS passwd +
* USB disabled +
* Grub passwd +
* LUKS+Cyptsetup
Maar staan jou wel fysieke toegang toe?
Neemt niet weg dat het gewoon niet moet kunnen en dit snel gefixed moet en gaat worden.
Goed... Ik dacht "nu ben ik de onzin ook meer dan zat, ik ga het gewoon uitproberen".
Even mijn Linux installatie rebooten dus. Euh... Hoe ging dat ook alweer, dat rebooten? ;-)
Na mijn BIOS wachtwoord krijg ik de prompt voor het wachtwoord voor mijn versleutelde /home partitie. Enter toets vasthouden met de stopwatch erbij voor die 70 seconden. Wat blijkt: al na een paar seconden word ik eruit gegooid want maximaal aantal retries overschreden (waarschijnlijk drie).
Het hele probleem blijkt dus niet te bestaan (op mijn openSUSE Tumbleweed Linux in ieder geval niet en die gebruikt Dracut ook nog). Ik weet niet waar dit soort onzinverhalen vandaan komt (misschien dat die beveiligingsonderzoekers net zo lang zoeken totdat ze die ene zwakke Linux distro hebben gevonden waar een probleem in zit) maar het is (alweer) een storm in een glas water!
Heb je uberhaupt wel het artikel van die onderzoeker gelezen? Gezien je reactie niet. Misschien moet je dat eens doen.
Link: http://hmarco.org/bugs/CVE-2016-4484/CVE-2016-4484_cryptsetup_initrd_shell.html
Het is een non-issue.
Vandaar dat er een CVE nummer enzo aan gehangen word, omdat jij het een non-issue vind. :')
Zo'n programmeerfout duidt op gebrek aan reviewing, eerder dan door toevoegen van complexiteit?
Ter compensatie: de open code stelt de onderzoekers in staat de fout zelf op te zoeken, dat snel herstel ten goede kan komen.
Misschien kan ik zonder elleboog ook opstarten van USB disk, etc...
(BIOS beperkingen zijn makkelijk te omzeilen.)
Ik zou het nu niet bepaald bagatelliseren, maar een beetje plaatsen.
Het is inderdaad een belangrijk security issue dat je zo makkelijk een rootshell kan krijgen op een systeem, maar het feit dat het een vrij obscure bug is waarbij er aan zoveel randvoorwaarden voldaan moet worden om het te kunnen exploiten, lijkt mij op 2 dingen te wijzen:
1: Dat, omwille van de vele nodige randvoorwaarden, het opensouce model waarbij vele mensen naar de code kunnen kijken best wel werkt, want het is geen triviaal te vinden issue.
2: Dat, omwille van sommige van deze randvoorwaarden, het issue niet zo belangrijk is. Als het issue wel als kritisch beschouwd wordt, dan is het aanwezig zijn van dergelijke nodig randvoorwaarden op z'n minst al even kritisch.
physical access == root access, dat weten we al sinds de eerste computer.
Pure clickbait, wat een kolder sensatie verhaal.
physical access == root access, dat weten we al sinds de eerste computer.
Pure clickbait, wat een kolder sensatie verhaal.
physical access != root access
Voor medewerkers die hun pwd wareen vergeten, een brute-force attack gedaan.
Na twee weken (en miljoenen pogingen) nog steeds geen suc6
Verhaal gaat dus niet altijd op.
physical access == root access, dat weten we al sinds de eerste computer.
Pure clickbait, wat een kolder sensatie verhaal.
physical access != root access
Voor medewerkers die hun pwd wareen vergeten, een brute-force attack gedaan.
Na twee weken (en miljoenen pogingen) nog steeds geen suc6
Verhaal gaat dus niet altijd op.
root access != data access
On topic, razendsnel fixen dit.
Toch, bij fysieke toegang, of evt via mistige wolkenservers toegang is de encryptiesoftware al te manipuleren als door een evil maid.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
