image

Lek in Pi-hole maakte remote code execution mogelijk

maandag 30 maart 2020, 16:34 door Redactie, 8 reacties

Een beveiligingslek in de populaire advertentie- en trackerblocker Pi-hole maakte het mogelijk voor geauthenticeerde aanvallers om op afstand code op het systeem uit te voeren. Pi-hole is een applicatie die oorspronkelijk voor de Raspberry Pi verscheen maar inmiddels op allerlei hardware te installeren is.

Het blokkeert trackers en advertenties voor alle apparaten die hun verkeer of dns via de Pi-hole laten lopen. Zodoende is het ook mogelijk om bijvoorbeeld op smart-tv's en IoT-apparaten die geen trackingbescherming ondersteunen toch trackers en advertenties tegen te houden. Beveiligingsonderzoeker Francois Renaud-Philippon ontdekte vorige maand een kwetsbaarheid in de software.

Om de ingebouwde dhcp-server te configureren maakt Pi-hole gebruik van een webinterface. Daarmee kan de gebruiker verschillende zaken met betrekking tot de dhcp-server instellen. Bij het verwerken van gebruikersinvoer in de vorm van mac-adressen werd de invoer niet goed gecontroleerd. Daardoor was het mogelijk om willekeurige commando's met de rechten van de lokale gebruiker op de server uit te voeren.

De aanval kende wel twee voorwaarden. Ten eerste moest de webinterface toegankelijk vanaf het internet zijn. Daarnaast moest een aanvaller op de interface kunnen inloggen. Renaud-Philippon laat op Reddit weten dat hij 150 Pi-hole-machines heeft gevonden waarvan de interface voor iedereen toegankelijk is. Zoekmachine Shodan stelt zelfs dat het om 5500 machines gaat, maar de onderzoeker is naar eigen zeggen sceptisch over die cijfers. Het beveiligingslek werd op 10 februari aan de ontwikkelaars van Pi-hole gerapporteerd en met de release van Pi-hole Webinterface 4.3.3 op 18 februari verholpen. Details over de kwetsbaarheid zijn nu openbaar gemaakt.

Reacties (8)
30-03-2020, 16:49 door Anoniem
Tja, als je het admincenter internet-toegankelijk maakt, dan vraag je ook om problemen!
30-03-2020, 17:25 door Anoniem
Door Anoniem: Tja, als je het admincenter internet-toegankelijk maakt, dan vraag je ook om problemen!

Precies, al is het alleen al omdat je inlog ook niet over https gaat.
30-03-2020, 20:57 door Anoniem
Je moet wel al authenticated zijn. Dus je bent als admin ingelogd.... Dus zomaar je admin panel public hebben staan is niet voldoende.
30-03-2020, 21:43 door Anoniem
Linux servers hebben een soortgelijk beveiligingslek. Wanneer je als root in kan loggen op het systeem, kun je zomaar allerlei opdrachten uitvoeren. Zo kun je bijvoorbeeld bepaalde poorten open zetten in de firewall, waardoor het mogelijk is om bijvoorbeeld zomaar websites op de machine te draaien!

Niet direct gerelateerd, maar ook zeer gevaarlijk is de zogenaamde "home hack". Wanneer je de sleutel hebt van een woning, zou het theoretisch mogelijk zijn om daar zomaar naar binnen te gaan en een pak melk uit de koelkast te halen. Deze kan je dan vervolgens zomaar meenemen, met alle gevolgen van dien. Zo gaat er het gerucht dat het mogelijk is om zelfs dit pak melk op een andere locatie op te drinken.

De wereld is echt ingewikkeld geworden de laatste jaren. Pas goed op wat je doet!
31-03-2020, 06:53 door Anoniem
Ik vind het niet vreemd. Het is een leuk stukje software lekker makkelijk installeren. wget <url> | bash
Als de ontwikkelaar zoiets bouwt dat je online een url piped naar bash als root, dan klopt er iets niet.
31-03-2020, 07:14 door Anoniem
Door Anoniem: Je moet wel al authenticated zijn. Dus je bent als admin ingelogd.... Dus zomaar je admin panel public hebben staan is niet voldoende.

Klopt zolang je wachtwoord niet "Passw0rd" is :)
31-03-2020, 11:54 door Anoniem
Door Anoniem: Linux servers hebben een soortgelijk beveiligingslek. Wanneer je als root in kan loggen op het systeem, kun je zomaar allerlei opdrachten uitvoeren. Zo kun je bijvoorbeeld bepaalde poorten open zetten in de firewall, waardoor het mogelijk is om bijvoorbeeld zomaar websites op de machine te draaien!

Niet direct gerelateerd, maar ook zeer gevaarlijk is de zogenaamde "home hack". Wanneer je de sleutel hebt van een woning, zou het theoretisch mogelijk zijn om daar zomaar naar binnen te gaan en een pak melk uit de koelkast te halen. Deze kan je dan vervolgens zomaar meenemen, met alle gevolgen van dien. Zo gaat er het gerucht dat het mogelijk is om zelfs dit pak melk op een andere locatie op te drinken.

De wereld is echt ingewikkeld geworden de laatste jaren. Pas goed op wat je doet!

Dat is al eerder in een andere context gemeld: gebruik geen sleutels. Want er blijft in het sleutelgat altijd een onbeveiligde doorgang (backdoor) aanwezig. Pentesters kunnen deze backdoor waarnemen als het buiten waait: dan tocht het. Bewijs van de hackpoging kan worden gevonden in de vorm van merkwaardig verpakte pakketjes achter de voordeur, waarvan vermoed wordt dat die via deze backdoor worden afgeleverd als het ware. Buitenlandse (hack) groepen gebruiken het Tor-netwerk, met entry node servers in Spanje, om deze backdoor te exploiteren, met name rond eind november. Kaspersky meldt na 6 december een significante daling in het misbruik.
31-03-2020, 15:40 door Anoniem
Door Anoniem: Ik vind het niet vreemd. Het is een leuk stukje software lekker makkelijk installeren. wget <url> | bash
Als de ontwikkelaar zoiets bouwt dat je online een url piped naar bash als root, dan klopt er iets niet.

Daar is ook altijd voor gewaarschuwd op de site van Pi-Hole:

Piping to bash is controversial, as it prevents you from reading code that is about to run on your system. Therefore, we provide these alternative installation methods which allow code review before installation:
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.