CISO Summit: KW 35 2018 - #ATtention, Exploit für Apache Struts und RCE bei packagist.org

Antago - CISO Summit

Inhalt bereitgestellt von Antago. Alle Podcast-Inhalte, einschließlich Episoden, Grafiken und Podcast-Beschreibungen, werden direkt von Antago oder seinem Podcast-Plattformpartner hochgeladen und bereitgestellt. Wenn Sie glauben, dass jemand Ihr urheberrechtlich geschütztes Werk ohne Ihre Erlaubnis nutzt, können Sie dem hier beschriebenen Verfahren folgen https://de.player.fm/legal.

6y ago 7:43

MP3•Episode-Home

In Kalenderwoche 35 geht es im CISO Summit um die Sicherheitslücke #ATtention, welche in vielen Android-Firmware-Versionen gefunden wurde. Außerdem sprechen wir über den Exploit für Apache Struts und berichten von einer schweren Sicherheitslücke bei packagist.org. #CISOSummit #ATtention #Exploit Android-Firmware ———————————————————————— Forscher von der Firma Usenix haben über 2.000 Android Firmware-Images von 11 Herstellern untersucht. Dabei war es bei fünf von 14 Geräten standardmäßig möglich, AT-Befehle über eine USB-Verbindung auszuführen. AT-Befehle wurden in den 80er-Jahren von der Firma Hayes entwickelt, um dadurch die damaligen Modems zu steuern. Heute erweitern Hersteller diesen Standard-Befehlssatz um eigene Befehle, wodurch dann auch Displaysteuerung und viele Konfigurationsmöglichkeiten zur Verfügung gestellt werden. Da die Befehle auf Firmware-Ebene laufen, bekommt das Betriebssystem und somit auch die installierten Dienste und Apps nichts von der Code-Ausführung mit. Somit könnte ein Angreifer mit physischem Zugriff auf das Android-Gerät beispielsweise Spionage-Software installieren. Es wurden Android-Versionen bis 7.1.1 getestet, aber vermutlich kann dieser Angriffsvektor auch bei neueren Versionen ausgenutzt werden. Aktuell stehen keine Updates bereit, es ist aber auch Fraglich, ob mit Updates gerechnet werden kann. Um sich vor der Lücke zu schützen sollten Sie den physischen Kontakt zu Ihrem Android-Gerät schützen. Quellen: https://atcommands.org/sec18-tian.pdf Tags: #ATtention #ATBefehle #Android #AndroidCodeExecution Exploit für Apache Struts ———————————————————————— Letzte Woche haben wir von einem wichtigen Patch für Apache Struts berichtet. Der Patch soll eine Sicherheitslücke (CVE-2018-11776) schließen, über die das Ausführen von Systembefehlen möglich ist. Mittlerweile gibt es einen öffentlichen Exploit auf Github um die Sicherheitslücke auszunutzen. Mithilfe des Exploits kann beliebiger Code mit den Benutzerrechten der Struts-Instanz auf dem Server ausgeführt werden. Da der Patch für die supporteten Versionen seit mehr als einer Woche verfügbar ist, sollte dringend gepacht werden, falls noch nicht gepacht wurde. Die abgesicherten Versionsnummer sind 2.3.35 und 2.5.17. Quellen: https://github.com/mazen160/struts-pwn_CVE-2018-11776 Tags: #ApacheStruts #Exploit #RemoteCodeExecution #RCE #CVE201811776 RemoteCodeExecution bei packagist.org ———————————————————————— Der Sicherheitsforscher Max Justicz hat bei packagist.org eine einfach auszunutzende Remote Code Execution gefunden. Über einen unzureichend geprüften Parameter konnte auf dem Webserver des Dienstes Code ausgeführt werden. Dazu hat es gereicht den auszuführenden Code als Command Substitution „$()“ in ein URL-Feld zu schreiben. Anschließend wurde der Code ausgeführt. Der Sicherheitsforscher hat im Vorfeld bereits bei anderen Paket-Managern ähnlich kritische Sicherheitslücken gefunden. Auch wenn Paketmanager das Entwickeln von Programmen vereinfachen, bergen diese ein hohes Risiko. Um die Integrität der verwendeten Quellen zu gewährleisten, sollten die Pakete nach dem herunterladen über einen sicheren Hashing-Algorithmus überprüft werden. Meist bieten Paketmanager einen Hashwert des originalen Paketes an, welchen Sie prüfen sollten. Quellen: https://justi.cz/security/2018/08/28/packagist-org-rce.html Tags: #packagistOrg #RemoteCodeExecution Diese Woche wurde das CISO Summit von Alexander Dörsam präsentiert. Besuchen Sie uns auf https://antago.info

17 Episoden

#Antago #Dörsam #alexander #Nachrichten #Tech News #GmbH #CISO