PHP 5.6/7.x Remote Execution Schwachstelle

Zeit zum Updaten: PHP eine Remote Code Execution Schwachstelle hat!

Risikostufe 4 – Remote Code Execution

Das BSI schreibt im Advisory:

„Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in PHP ausnutzen, um Informationen offenzulegen, einen Denial of Service herbeizuführen oder Code mit den Privilegien des angegriffenen Dienstes zur Ausführung zu bringen.“

betrifft:

Open Source PHP < 5.6.40
Ooen Source PHP < 7.1.26
Open Source PHP < 7.2.14
Open Source PHP < 7.3.1

Linux nicht der Rede wert, Heise?

Wir schreiben den 9.4. 2019 und Heise hat folgenden Aufmacher :

c’t Security 2019: Zu viel Sicherheit kann schaden

In dem Inhaltsverzeichnis der c’t Security Ausgabe 4.2019 fehlt eine OS Gruppe: Linux. Ist das jetzt gut oder  schlecht, daß die neue c’t  Security Linux als eigen Punkt ausspart ? Ich habe die Gelegenheit benutzt und bei der Heiseredakteurin Ilona Krause nachgefragt.

… jetzt müßte eigentlich Jepardy Musik kommen …

Die Zeit verfliegt …. über die Straße ins Baugebiet…

… „und am Fenster zieht Wolfsburg vorbei“ …

Tja, 9 Tage später und keine Antwort von Frau Krause.

Dann hier aus Transparenzgründen die Fragen, damit nicht einer glaubt, daß diese unzumutbar gewesen wären:

Gesendet am 9.4.2019:

Guten Tag Frau Krause,

Sie haben heute die neue c’t Security 2019 vorgestellt. Ich nehme an, Sie haben sich auch mit dem Inhalt beschäftigt.

Ich hätte da vorab einige Fragen an Sie, da die Ausgabe ja noch nicht erhältlich ist. Die Antworten sollen in meinem Blog veröffentlicht werden, daher bitte nur antworten, wenn Sie damit einverstanden sind. Frage und Antworten werden ungekürzt und unbearbeitet übernommen, außer Grammatik und Rechtschreibung 😉

1.  In der Abteilung Sicherheits-Checklisten wurden einige Betriebssysteme aufgeführt, eins aber ausgelassen: Linux. Wieso?

2. Kann man für Linux eine Antischadsoftwarelösung empfehlen, die wirklich funktioniert?

3. Sie führen in den Checklisten eine Software auf, die vom Amtsgericht Bad Hersfeld als gesetzeswidrig eingestuft wurde: WhatsApp.

Empfehlen Sie diese ganz zu löschen oder unterstützen Sie die Bürger und Bürgerinnen aktiv bei Gesetzesverstößen 😉 ?

( Anmerkung: Mir ist natürlich auch klar, daß es die User sind, die sich dessen nicht klar sind und deswegen gegen Gesetze verstoßen. Die Frage lautet also eigentlich: Müßte man das totschweigen, um nicht
aktiv bei der Verbreitung mitzuwirken? )

4. In der Vergangenheit haben die c’t Redakteure z.b. im Uplink 22.9 bereits über die USB-Stick Verschlüsselung diskutiert.

Kleine Zusammenfassung:
https://marius.bloggt-in-braunschweig.de/2018/07/02/wie-man-besser-usb-sticks-verschluesselt-mit-linux/

Hat sich die Meinung der Redaktion im Vergleich zum Uplink 22.9 geändert?
Seht Ihr LUKS jetzt als eine Alternative an ? (Bitte mit Begründung.)

5. und letzte Frage:  Wieso gibt es keinen Artikel mit dem Thema
„Sicherheit durch Umdenken – Eine Liste mit Dingen, die man einfach nicht macht“ ?

Mir schwebt da so das übliche vor:

„Attachments nur von Emails öffnen, die man selbst angefordert hat“
„Nicht auf jeden Link klicken, ohne die Maus vorher drüber gehalten zu haben“
„Nicht jede App einfach installieren, gerade wenn die nur 100 Downloads hat.“
„Betriebssysteme einsetzen die nicht selbst schon Spionagetätigkeiten durchführen.“
„Eine Smart-Alarmanlage bei Aldi kaufen“
„Den Kühlschrank nicht ans Internet hängen“

so in der Art. Die eine oder andere These wird sicherlich in einem Spartenbeitrag enthalten sein, z.B. NoScript in Seite 143 Webbrowser. Die Frage die sich mir stellt ist, wäre eine Not-Todo-Liste nicht die bessere Herangehensweise, weil diese das Konzept der „Sicherheit durch Hirneinschalten“ sehr viel besser abbilden würde und so zu einem langfristigen Umdenken der Leser führt, statt zu dem Gedanken „Technik macht das schon“, der ja nachweislich falsch ist ?

Ich freue mich jetzt schon auf Ihre Antwort.

 

Jetzt Ihr alle selbst urteilen, ob es so clever war, nicht darauf zu antworten, oder ob ich mich im Ton oder den Fragen vertan habe.

Kleine Anmerkung zu WhatApp:

Das Gericht hat die pauschale und ungehinderte Weitergabe der Kontaktdaten aus dem Telefonbuchs des Handies an WhatsApp als gesetzwidrig erkannt und daraus abgeleitet, daß der Einsatz von WhatsApp SO nicht erlaubt ist. Wenn man vor der Installation von WhatsApp die Kontakte gefragt hat und alle zugestimmt haben, wäre es erlaubt.

Nur dieser letzte Umstand rettet WhatsApp vor dem Status: „illegal“. Aber da kaum jemand seine Kontakte vorher fragt, wird das halt eigentlich in der Praxis „nicht legal benutzt“, daher müßte man das ja mal breiter aufklären und deswegen auch die Frage 😉

so richtig schlechtes Netflix-Phishing

Heute Nacht trudelte so richtig schlechtes Phishing für NetFlixAccounts in unsere Spamfalle,
den ich Euch nicht enthalten will. Schon deswegen, weil das so selten passiert dank funktionierendem SpamFilter 😀

Return-path: <orion@host.searchexperts.net>
Delivery-date: Tue, 16 Apr 2019 00:34:21 +0200
Received: from host.searchexperts.net ([72.52.192.29]) by YYYYYYYYYYYYYY
 (XXXXXXXXXXXXXXXXXXXXX) with ESMTPS (Nemesis) id 1M9p5t-1hAOsQ2HvJ-005wSE
 for <XXXXXXXXXXXXXXXXXXXXXXXXXXX>; Tue, 16 Apr 2019 00:34:11 +0200
Received: from [41.251.250.236] (port=61967 helo=srv-odeis)
	by host.searchexperts.net with esmtpsa (TLSv1:ECDHE-RSA-AES256-SHA:256)
	(Exim 4.91)
	(envelope-from <orion@host.searchexperts.net>)
	id 1hG1s7-0001P1-N5
	for <XXXXXXXXXXXXXXXXX>; Mon, 15 Apr 2019 09:42:08 -0400
MIME-Version: 1.0
From: "Netflix" <orion@host.searchexperts.net>
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - host.searchexperts.net
X-AntiAbuse: Original Domain - web.de
X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]
X-AntiAbuse: Sender Address Domain - host.searchexperts.net
X-Get-Message-Sender-Via: host.searchexperts.net: authenticated_id: sales@orionsolarracking.com
X-Authenticated-Sender: host.searchexperts.net: sales@orionsolarracking.com
Subject:  Please Update Your Payment Method

Die fetten Texte sind die offensichtlichen Fehler, an denen man schon im FROM sieht, das es eine richtig schlechte Fälschung ist. Persönliche Anmerkung: „TLS 1.0“ IM ERNST ??? Mit einem EXIM !??!? … grumpf.

Dear customer,

Sorry for the interruption, but we are having trouble authorizing your credit card. Please visit the account payment page at www.netflix.com/YourAccountPayment to enter your payment information again or to use a different payment method. When you have finished, we will try to verify your account again. If it still does not work, you will want to contact your credit card company.

If you have any questions, we are happy to help. Simply call us at 1-866-579-7172.

Ja, was soll man dazu anderes sagen als: Falsche Sprache Ihr Penner! 😀 Wenn man mit dem Mauszeiger über den angeblichen NetFlix Link geht, sieht man auch die gefälschte (von mir entschärfte ) URL zum gehackten Webserver.

Also ab in die digitale Mülltonne damit 😉

Supermicro IPMI mit Remote-Exploit < FW 3.8

WARNUNG: Wer einen SuperMicro Server betreibt und noch die IPMI Firmware < 3.80 betreibt und extern erreichbare IPs benutzt, wird bald unerwünschten Besuch erhalten!

CVE-2019-6260

In der 3.65 Version der Firmware ist eine Schwachstelle enthalten, über die Hacker Zugriff auf das System bekommen können. Ein sofortiges Update ist angeraten, aber vorher prüfen, ob Ihr nicht schon infiziert seid, weil sonst Beweise vernichtet werden.

Workaround: die IP auf eine lokale IP umstellen

$ ipmitool lan set 1 ipaddr 192.168.1.2
$ ipmitool lan set 1 ipsrc static

Static, damit sich das nicht per DHCP Update wieder umstellt! DHCP als DEFAULT für eine IPMI !!! unglaublich!

Wie kommt man darauf? Wenn man einen Anruf bekommt, daß das Cluster XZY plötzlich so langsam reagiert und ein XenServer Mensch da mal nachsehen soll. Warum war es langsam, weil da jemand BitCoin gemint hat, mit allen 52 Kernen 😀

Für den Fall, daß Euch das auch passiert, hier eine Checkliste:

CHECKLISTE

  1. last -ai
    Wenn im last-Output „tty“ als Konsole auftaucht, ohne IP, dann ist es die IPMI.
  2. /etc/passwdDie müßt Ihr auf einen weiteren Rootuser hin checken, also 0:0 als UID:GID. Wenn da, dann auch in der /etc/shadow löschen
  3. crontab -lPrüfen ob der Miner per Cron neugestartet wird.
  4. CronjobsPrüfen ob die Cronjobs unter /etc/cron* manipuliert oder welche hinzugefügt wurden.
  5. Verbindungen checkenmit „netstat -lnap| grep LISTEN“ prüfen ob da Dienste laufen, die da nicht hingehören.
    mit „netstat -lnap| grep VERBUNDEN“ prüfen, ob da grade aktiv was ausgeleitet wird.
  6. System überprüfen, z.b. „yum reinstall *“ um unveränderte Software zu bekommen, aber Vorsicht, daß kann auf einem Produktionssystem auch in die Hose gehen. Vielleicht weniger invasiv mal nach kürzlich geänderten Dateien suchen:find / -ctime -30
    find / -mtime -30

Im Beispiel sind es 30 Tage. Wenn man dann „verdächtige“ Files hat, kann man z.b. rpm -qf filename benutzen und sieht, ob die über das System kamen oder von Hand sind.

Kleines Update: „rpm -qa | awk ‚{print „rpm -V „$1;}‘ | bash“ sehr nützlich beim prüfen von korrekten Files.

WICHTIG: ERST MIT TAR ARCHIVIEREN, DANN LÖSCHEN! Gilt auch für Logfiles.

Link: https://nvd.nist.gov/vuln/detail/CVE-2019-6260

WordPress Security-GAU in iOS App

In der WordPress iOS App klaffte 2 Jahre eine dicke Sicherheitslücke, die die Authentifizierungstokens der eigenen WordPressinstallation an Dritte übermittelt hat.  „Dritte“ meint hier z.b. Bildhoster wie Flickr, Imgur usw. .

Wer also sein WP Blog mit der iOS App bedient hat, sollte jetzt mal sein Adminpasswort ändern, denn jetzt werden die mit dem Token beglückten Webseiten mal die Logs durchforschen, ob sie das was tolles finden können 😉

Quelle: thehackernews.com/2019/04/wordpress-ios-security.html