Lek in Pi-hole maakte remote code execution mogelijk
Een beveiligingslek in de populaire advertentie- en trackerblocker Pi-hole maakte het mogelijk voor geauthenticeerde aanvallers om op afstand code op het systeem uit te voeren. Pi-hole is een applicatie die oorspronkelijk voor de Raspberry Pi verscheen maar inmiddels op allerlei hardware te installeren is.
Het blokkeert trackers en advertenties voor alle apparaten die hun verkeer of dns via de Pi-hole laten lopen. Zodoende is het ook mogelijk om bijvoorbeeld op smart-tv's en IoT-apparaten die geen trackingbescherming ondersteunen toch trackers en advertenties tegen te houden. Beveiligingsonderzoeker Francois Renaud-Philippon ontdekte vorige maand een kwetsbaarheid in de software.
Om de ingebouwde dhcp-server te configureren maakt Pi-hole gebruik van een webinterface. Daarmee kan de gebruiker verschillende zaken met betrekking tot de dhcp-server instellen. Bij het verwerken van gebruikersinvoer in de vorm van mac-adressen werd de invoer niet goed gecontroleerd. Daardoor was het mogelijk om willekeurige commando's met de rechten van de lokale gebruiker op de server uit te voeren.
De aanval kende wel twee voorwaarden. Ten eerste moest de webinterface toegankelijk vanaf het internet zijn. Daarnaast moest een aanvaller op de interface kunnen inloggen. Renaud-Philippon laat op Reddit weten dat hij 150 Pi-hole-machines heeft gevonden waarvan de interface voor iedereen toegankelijk is. Zoekmachine Shodan stelt zelfs dat het om 5500 machines gaat, maar de onderzoeker is naar eigen zeggen sceptisch over die cijfers. Het beveiligingslek werd op 10 februari aan de ontwikkelaars van Pi-hole gerapporteerd en met de release van Pi-hole Webinterface 4.3.3 op 18 februari verholpen. Details over de kwetsbaarheid zijn nu openbaar gemaakt.
Precies, al is het alleen al omdat je inlog ook niet over https gaat.
Niet direct gerelateerd, maar ook zeer gevaarlijk is de zogenaamde "home hack". Wanneer je de sleutel hebt van een woning, zou het theoretisch mogelijk zijn om daar zomaar naar binnen te gaan en een pak melk uit de koelkast te halen. Deze kan je dan vervolgens zomaar meenemen, met alle gevolgen van dien. Zo gaat er het gerucht dat het mogelijk is om zelfs dit pak melk op een andere locatie op te drinken.
De wereld is echt ingewikkeld geworden de laatste jaren. Pas goed op wat je doet!
Als de ontwikkelaar zoiets bouwt dat je online een url piped naar bash als root, dan klopt er iets niet.
Klopt zolang je wachtwoord niet "Passw0rd" is :)
Niet direct gerelateerd, maar ook zeer gevaarlijk is de zogenaamde "home hack". Wanneer je de sleutel hebt van een woning, zou het theoretisch mogelijk zijn om daar zomaar naar binnen te gaan en een pak melk uit de koelkast te halen. Deze kan je dan vervolgens zomaar meenemen, met alle gevolgen van dien. Zo gaat er het gerucht dat het mogelijk is om zelfs dit pak melk op een andere locatie op te drinken.
De wereld is echt ingewikkeld geworden de laatste jaren. Pas goed op wat je doet!
Dat is al eerder in een andere context gemeld: gebruik geen sleutels. Want er blijft in het sleutelgat altijd een onbeveiligde doorgang (backdoor) aanwezig. Pentesters kunnen deze backdoor waarnemen als het buiten waait: dan tocht het. Bewijs van de hackpoging kan worden gevonden in de vorm van merkwaardig verpakte pakketjes achter de voordeur, waarvan vermoed wordt dat die via deze backdoor worden afgeleverd als het ware. Buitenlandse (hack) groepen gebruiken het Tor-netwerk, met entry node servers in Spanje, om deze backdoor te exploiteren, met name rond eind november. Kaspersky meldt na 6 december een significante daling in het misbruik.
Als de ontwikkelaar zoiets bouwt dat je online een url piped naar bash als root, dan klopt er iets niet.
Daar is ook altijd voor gewaarschuwd op de site van Pi-Hole:
Piping to bash is controversial, as it prevents you from reading code that is about to run on your system. Therefore, we provide these alternative installation methods which allow code review before installation:
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
