libvncserver Sicherheitslücke erreicht 9.8/10 und wurde lange nicht gefixt

„WOW“ entfleuchte es mir vorhin kurz, deswegen kommt Ihr jetzt in den Genuß einer drei Jahre alten Sicherheitslücke.

libvncserver Sicherheitslücke erreicht 9.8/10 und wurde lange nicht gefixt

Beim Durchsehen von Securityadvisories bei Red Hat Enterprise Linux stolperte ich über eine CVE Nummer aus 2017:

* libvncserver: websocket decoding buffer overflow (CVE-2017-18922)

For more details about the security issue(s), including the impact, a CVSS
score, acknowledgments, and other related information, refer to the CVE
page(s) listed in the References section.

Da nicht dabei stand, was da los war und wieso das erst jetzt gefixt wurde bei Red Hat, habe ich kurz recherchiert. Was dabei raus kam war diese Meldung von Red Hat:

Date: Tue, 30 Jun 2020 10:50:09 +0200
From: Stefan Cornelius <scorneli@...hat.com>
To: <eine Distri übergreifende ML>
Subject: libvncserver: old websocket decoding patch

Hi,

Upstream libvncserver fixed a websocket decoding issue >3years ago in
https://github.com/LibVNC/libvncserver/commit/aac95a9dcf4bbba87b76c72706c3221a842ca433

AFAICT, this never got a CVE and wasn't backported by some
distributions.

Thanks and kind regards,

[I sent a heads-up about this to distros last Friday, 'embargo' ran out
on Monday 20:00 UTC]
-- 
Stefan Cornelius / Red Hat Product Security

Da fixt also jemand eine drei Jahre alte Sicherheitslücke, weil die damals wohl keine CVE Nummer bekommen hatte, oder jemand diesen Umstand übersehen hat. (Könnte ja auch den besten mal passieren). Wäre das jetzt irgendeine schwer auszunutzende Lücke gewesen, hätte ich das achselzuckend abgehakt, aber das war es nicht.

In der NIST Datenbank findet sich nämlich das hier dazu:

It was discovered that websockets.c in LibVNCServer prior to 0.9.12 did not properly decode certain WebSocket frames. A malicious attacker could exploit this by sending specially crafted WebSocket frames to a server, causing a heap-based buffer overflow.

Severity

Base Score: 9.8 CRITICAL
Vector:  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
9.8 von 10.0 möglichen Punkten auf der Destruktionsskala, also eine leicht auszunutzende Lücke, die ohne Autorisierung am System funktioniert und eine Übernahme des Servers ermöglicht. Und DAS haben die übersehen… => WOW!
Als wenn das nicht schon genug wäre, kommt bei der Durchsicht der Updatemeldungen bei Fedora raus, das da gleich noch 3 andere jahrealte mit CVE Nummern versehen Sicherheitslücken gestopft wurden:
[ 1 ] Bug #1849877 – CVE-2019-20839 (Score 7.5) libvncserver: „ConnectClientToUnixSock()“ buffer overflow https://bugzilla.redhat.com/show_bug.cgi?id=1849877
[ 2 ] Bug #1849881 – CVE-2019-20840 (Score 7.5) libvncserver: unaligned accesses in hybiReadAndDecode can lead to a crash https://bugzilla.redhat.com/show_bug.cgi?id=1849881
[ 3 ] Bug #1849886 – CVE-2018-21247 (Score 7.5)  libvncserver: uninitialized memory contents are vulnerable to Information Leak https://bugzilla.redhat.com/show_bug.cgi?id=1849886
[ 4 ] Bug #1852356 – CVE-2017-18922 (Score 9.8) libvncserver: websocket decoding buffer overflow https://bugzilla.redhat.com/show_bug.cgi?id=1852356
Also das ist sicherheitstechnisch mal gründlich in die Hose gegangen. Jetzt denkt Ihr, betrifft mich nicht, ist ja Fedora und Red Hat.. leider Pech gehabt! betroffen sind auch:  OpenSUSE & Ubuntu. Man darf annehmen, daß Arch & Debian auch mit von der Partie sind. (kann ja mal kurz wer verifizieren, der die jeweiligen Updatesysteme kennt)

Quelle: https://nvd.nist.gov/vuln/detail/CVE-2017-18922
Quelle: https://www.openwall.com/lists/oss-security/2020/06/30/2

AVAST Schlangenöl, das Zweite diese Woche

Moin,

schaut mal was heute in die Mailbox gespült wurde:

30.06.2020____________________________________________________________________________________________________
Betroffene Systeme:
Avast Antivirus < free 20.4
AVG Technologies Anti-Virus < free 20.4
____________________________________________________________________________________________________
Zusammenfassung:
Ein lokaler Angreifer kann eine Schwachstelle in Avast Antivirus und AVG Technologies Anti-Virus 
ausnutzen, um seine Privilegien zu erhöhen.

und das war vor ein paar Tagen, am 25.6. : Es häufen sich die Bugs in AV Software

Da hatte es F-SECURE und BITDEFENDER erwischt. 2020 ist echt nicht das Jahr der Window AV Programme 😀

CVE-2020-8597: Pre-Auth RCE in PPP

Ist Euch mal aufgefallen, daß über eine der dicksten Sicherheitslücken in 2020 so gut wie kein Wort verloren wird?

CVE-2020-8597: Pre-Auth RCE in PPP

Im Point-To-Point-Dienst wurde eine Lücke entdeckt, die es erlaubt Code auszuführen, noch bevor man sich autorisieren muß. Die Brisanz an der Sache ist, daß nicht nur die Server betroffen sind, sondern auch die Clienten. Eingesetzt wird das u.a. bei VPN Systemen.

Was mich an der Sache ein bisschen ärgert ist, daß seit 2 Wochen das Update vom ppp bei Fedora im Bodhi hängt, weil mal wieder keiner zum Testen Zeit & Lust hatte, was mir sehr bekannt vorkommt. Davon mal abgesehen, wurde der aktuelle Chef vom Fedoraprojekt direkt nach entdecken der Lücke über die Brisanz, den Entdecker und die verifizierende Quelle informiert, keine 8 Stunden nach den ersten Gerüchten. Ich weiß das, weil ich das gemacht habe, mit dem Hinweis es an die Security von RH, PPP etc. zu  eskalieren.

Damit mußte eigentlich allen Beteiligten klar sein, daß es sich um ein Critupdate handelt. Kritisch ist das nämlich, weil viele VPN Techniken, außer SSH, auf den ppp setzen und damit eine echt große Angriffsfläche gegeben ist. Die Lücke ist so krass, daß die sogar osübergreifend existiert. Das erlebt man ja auch nicht jeden Tag.

Der, sagen wir mal schweigsame, Umgang mit der Lücke, auch in den Medien führt übrigens dazu, daß Kunden diverser Produkte die den ppp kommerziell einsetzen nicht mal wissen, daß es diese Lücke gibt, was dazu führt, daß es keinen Druck bei den Herstellern gibt. Ich befürchte sogar fast, daß die nicht mal wissen, das es die Lücke gibt, weil das erst heute, 2 Wochen nach bekanntwerden,  über FullDisclosure gelaufen ist und somit auch erst jetzt die Runde macht.

Pro-Linux.de ist übrigens eine der wenigen Seiten in Deutschland, die überhaupt über diesen Bug berichtet haben, aber auch mehr, weil es ein automatisches Advisory von Debian gab und weniger, weil daß jemandem aufgefallen ist. Für eine Pre-Auth RCE mit Eskalation zu Root ist das alles eine sehr seltsame Sache. The Hacker News hat vor 2 Tagen darüber berichtet, aber das wars dann schon. Golem oder Heise vermisst man mal wieder, dabei wäre das ein gefundenes Fressen für die Medien, weil es Millionen betroffener Clients und Server gibt.

Wenn Android hustet, …

…, wo niemand genau weiß, ob jemand wirklich davon betroffen ist, da raschelt es gleich im Blätterwald, aber wenn die Sicherheit von Millionen Hosts in Gefahr ist, dann bleibt alles ruhig?

Dem einen oder anderen stellt sich jetzt vermutlich die Frage, wieso habe ich das nicht gleich im Blog gepostet als ich davon erfuhr? Ich wollte meiner Distro einen kleinen Vorsprung geben, damit der Patch ausgerollt wird, bevor die Masse der Blackhats das mitbekommt. Nachdem Fefe das in seinem Blog rausgehauen hatte, konnte man zu dem annehmen, daß es im Blätterwald sehr schnell die Runde machen würde, was ja dann überraschenderweise nicht passiert ist.

Ihr merkt, bei dieser Lücke ist einiges anders als sonst. Ich frage mir nur gerade, was eigentlich die Lektion ist, die wir daraus lernen sollten: „trotz wager Infos die Posaune rausholen und sofort berichten“ oder „doch abwarten bis es mehr Infos gibt und so riskieren, daß keiner was meldet“? Ich muß gestehen, da bin ich auch überfragt. So etwas wie beim ppp darf sich jedenfalls nicht wiederholen.

Firefox: ungepatchte 17 Jahre alte Sicherheitslücke

Wie uns die TheHackerNews heute mitteilen, gibt es im Firefox eine ungepatche Sicherheitslücke, die streng genommen, seit 17 Jahren im Firefox schlummert.

Same-Origin-Policy versagt

Die Same-Origin-Policy versagt bei Zugriffen auf „file://“ URLs. Was andere Browser schon vor Jahren behoben haben, ist für die Firefox Entwickler nicht wichtig, da es bislang keinen Exploit dafür gab. Das hat sich geändert:

Was wir hier sehen, wenn das Bild denn scharf wird (runterladen per youtube-dl hilft dabei), ist folgendes:

Eine Email mit einem HTML Attachment wird in einem Webmail geöffnet.
Die HTML Datei wird von Firefox abgespeichert, wie man sieht im HOME des Users!
Die HTML Datei wird mit Firefox über file://…  geöffnet und ..
präsentiert uns den Inhalt des Verzeichnisses.

Die HTML Seite enthält Javascriptcode, der über die File und Fetch Api vom Browser das Verzeichnis und die Dateien ausliest und dann mit AJAX die Daten exfiltriert.

Ein Patch dafür ist nicht in Arbeit, da Mozilla die Lücke nicht als solche anerkennt. Mal sehen ob sich das jetzt ändert 😉

Quelle: https://thehackernews.com/2019/07/firefox-same-origin-policy-hacking.html

aktueller FireFox mit Sicherheitsschwachstelle

Wie die Hacker News berichten, ist ein Angriff gegen aktuelle FireFox Browser möglich, bei dem Addons von den Angreifern  installiert werden können. Die Schwachstelle liegt im „Certificate Pinning“ Algorithmus, der entgegen der IETF Richtline anders als Empfohlen von Mozilla implementiert wurde. CP wird eingesetzt um sicherzustellen, daß man einem Seitenbesucher kein gefälschtes SSL Zertifikate unterjubeln kann, wenn dieser eine Webseite besucht. Mit anderen Worten, es merkt sich, wer welches Zert hatte.

Abhilfe schafft das Abschalten der automatischen Updates für Addons. Dazu in die Add-On-Verwaltung reingehen, das Werkzeugicon rechts oben ausklappen und auf „Manuelle“ Updates umstellen. Fertig.

Sicherheitslücke in OpenOffice muß manuell gefixt werden

Für alle unter Euch die OpenOffice einsetzen und die Updates nicht per Distro bekommen: Ihr müßt jetzt aktiv werden!

OpenOffice hat eine „schwere“ Sicherheitslücke : CVE-2016-1513 Ein manipuliertes Officefile zu öffnen reicht schon aus.

Zunächst mal müßt Ihr auf OO 4.1.2 updaten, sofern Ihr das noch nicht gemacht habt. Dazu müssen die Pakete erstmal geladen werden. Hier die Downloadlinks für Fedora/RedHat :

Download

http://netcologne.dl.sourceforge.net/project/openofficeorg.mirror/4.1.2/binaries/de/Apache_OpenOffice_4.1.2_Linux_x86-64_install-rpm_de.tar.gz

Dann braucht Ihr noch den Patch für den HotFix :

https://archive.apache.org/dist/openoffice/4.1.2-patch1/binaries/Linux64/apache-openoffice-4.1.2-patch1-apply-Linux64.zip

Update Openoffice

  1. Das Archiv auspacken und dann in das RPMS Verzeichnis wechseln
  2. mit „su“ Root werden
  3. rpm -U *rpm

Install Patch

  1. Den Patch auspacken. Ihr findet eine Datei namens libtl.so
  2. mv {PFAD zum ausgepackten Archiv}/libtl.so /opt/openoffice4/program/
  3. Die Frage nach de Überschreiben bejahen.

Fazit

Ja, es ist ein HotFix. HotFixe sind dämlich einzuspielen, aber der ganze Updatemechanismus von OpenOffice ist nicht mehr zeitgemäß. Es gibt jetzt zwei Möglichkeiten, ich stelle allen ein Repository zur Verfügung, aber dann gehen Hotfixe unter, oder wir wechseln zu LibreOffice, weil das im Repo von Fedora gepflegt wird.

Pikant an der Lücke ist, das sie seit dem 21.Juli bekannt ist und erst jetzt ein Fix verfügabr ist. Kein Gutes Zeichen für OpenOffice.

wie man zu einem Advisory bei Fulldisclosure kommt

Eigentlich wollte ich nur mal meinen langjährigen, treuen Freund den Netgear DSLRouter RP614v3 einen kleinen Besuch per CURL abstatten, weil in seinem Bekanntenkreis eine Sicherheitslücke gefunden wurde. Die Lücke im N300 FW Router von Netgear konnte ich zwar nicht finden, aber dafür fiel mir was komisches auf.  Wenn ich „curl -i “ benutzte, statt „curl -I“ ( großes i ), bekam ich von meinem Router eine Webseite angezeigt, statt einer 403 Umleitung auf die Loginseite, und dies, obwohl ich per Konsole gar nicht angemeldet war.

Eigentlich sollte „curl -i“ die ganzen Headerinformationen der HTTP Antwort mit ausgeben, aber irgendwas war noch anders. Etwas, das den Router verwirrte. Nach einigen Analysen kam ich dann drauf, curl sendet bei -I einen HEAD Request, vor dem eigentlich GET, und dieser wurde korrekt umgeleitet auf die Loginseite.

# curl -I "http://192.168.1.1/contents1.html"
HTTP/1.0 403 Forbidden

„curl -i“ machte das komischerweise nicht, es sendete gleich den GET Request aus.

# curl -i "http://192.168.1.1/contents1.html"
HTTP/1.0 200 OK
Server: Embedded HTTPD v1.00, 1999(c) Delta Networks Inc.
Content-length: 7158
Accept-ranges: bytes
Content-type: text/html

Ein Exploit war gefunden.

Es stellte sich die Fragen, was kann man damit alles machen  und viel wichtiger, hatte den Exploit schon wer anders gefunden ?

Die erste Frage war leicht zu beantworten: Alles 🙂 Die gesamte Sicherheit des Browserinterfaces lag darin begründet, daß Browser immer ein HEAD vorrausschicken und dann erst ein GET, wenn die Seite nicht mehr aus dem Cache kommen sollte.

Sendete man das GET gleich, kommt man an alle Infos, Formular usw. direkt dran.

Type : Authentication Bypass

Genau so einen Bug hatte auch der N300 FW von Netgear, nur war der Bypass dort anders geartet. Dort hatte die Anwendung ein Loch, hier die Implementierung im Embedded httpd.

Um es kurz zu machen, wer einen RP614v3 egal welcher Firmware im Netz hat, muß damit leben, daß der Router nicht mehr unter der alleinigen Kontrolle des Besitzers ist. Dazu kommt noch ein schöner ROOT Exploit in der Telnetsession, den aber vor Jahren schon jemand anders dokumentiert hatte.

Fulldisclosure

Im Oktober 2015 habe ich Netgear über die Schwachstelle informiert. Keine Reaktion. Wie andere Securityresearcher auch schon erleiden mußten, ist Netgear wenig sensibel für Kontaktaufnahmen, was meint, sie geben sich nicht die größte Mühe erreichbar zu sein. Normalerweise sind deren Produkte sicher genug, daß sie keiner erreichen muß, aber wenn, ist das eine Odysee . Die habe ich mir nicht gegeben. Es war ohnehin extrem fraglich, ob es dafür einen Fix geben würde, da das Produkt schon weiter über 10 Jahre alt war.

Gestern ging die Nachricht dann an die Liste raus. Wer es nachlesen will : http://seclists.org/fulldisclosure/2016/Feb/35

Kleiner Teaser: Im März läuft der nächste FD Timer aus und zu dem gibts eine schöne Story und ein bisschen Backgroundinfos.

Sicherheitslücke in Zwangsroutern von Vodafon und Kabel Deutschland

Gerade schlug bei uns diese Meldung ein:

Fatale Sicherheitsluecken in Zwangsroutern von Vodafone Kabel Deutschland

Überraschend kams nicht wirklich. Was mich aber irritiert hat ist, daß über 1 Million Menschen für 2 Euro im Monat eine Funktion freischalten, die mit einer 20 € Investition 10x besser gelöst werden kann. Das sind 24 Millionen € im Jahr Gewinn für die Anbieter, ohne besondere Gegenleistung. Kein Wunder daß alle Anbieter bei der RegTP-Befragung für Zwangsrouter waren.

Wer sich nicht länger verarschen lassen möchte, geht einfach zum nächsten Elektronikladen und kauft einen WLAN-Accesspoint, vorzugsweise für den 5 Ghz Bereich, die sind schneller.

Sie geben damit einmalig Geld aus, welches sich bereits nach wenigen Monaten amortisiert hat. Da man den Accesspoint irgendwo im Netz einhängen und somit auch irgendwo in der Wohnung aufstellen kann, hat das mehr als nur finanzielle Vorteile.

„Wenn es keine Schafe gäbe, gäbe es auch keine Wölfe.“