De oude bugs zijn de beste bugs

In het weekend plaatste David Maynor een briefje in zijn Blog die beweerde dat de zogenaamde Telnet-server in het Sun Solaris 10/11-besturingssysteem geen vaardigheid of kennis van exploits vereist en kan worden gescript voor massale aanvallen.





Telnet is een programma uit de jaren 70 waarmee mensen op afstand kunnen inloggen op een computer. Het is over het algemeen uitgeschakeld omdat gebruikersnamen en wachtwoorden worden verzonden zonder codering (wat destijds illegaal was om uit de Verenigde Staten te exporteren). Maar hoewel het programma grotendeels is verlaten, levert Sun zijn Solaris 10-besturingssystemen nog steeds met zowel de Telnet-server als clientprogramma's.

In ieder geval neemt de Telnet-server de gebruikersnaam die is opgegeven door de persoon die probeert in te loggen en geeft deze informatie door aan het zogenaamde inlogprogramma. Het is de taak van het inlogprogramma om de gebruikersnaam en het wachtwoord van de gebruiker te vragen. Normaal gesproken doet het dit, en als het wachtwoord correct is, mag de gebruiker inloggen.

Wat Maynor ontdekte, is dat een aanvaller kan proberen in te loggen met een gebruikersnaam als -fbin. De -fbin wordt doorgegeven aan het inlogprogramma, dat de -f verkeerd interpreteert als een opdracht van het besturingssysteem om de gebruiker in te loggen op het opgegeven account zonder om een ​​wachtwoord te vragen. Dus de exploit ziet er als volgt uit:



% telnet -l -fbin 192.168.1.110
192.168.1.110 proberen...
Verbonden met 192.168.1.110.
Escape-teken is '^]'.
Laatste login: zo 11 februari 02:02:23 van 192.168.1.102
sun Microsystems Inc. SunOS 5.10 Generiek Januari 2005
$ id
uid = 2 (bin) gid = 2 (bin)

(Je kunt alle bloederige details lezen hier )

Wat echt verbazingwekkend is, is dat deze kwetsbaarheid voor het eerst openbaar werd gemaakt gemeld door het Computer Emergency Response Team in 1996. Blijkbaar is de bug opnieuw geïntroduceerd door een programmeur die niet bekend is met de geschiedenis. Ik heb gehoord dat het sindsdien is opgelost in Solaris 11.



Dus wat is er mis hier? Veel dingen.

  1. Toen de technici van Sun dit in Solaris 11 hebben opgelost, hadden ze het ook in Solaris 10 moeten oplossen.
  2. Op dit moment zou Sun niet eens een Telnet-server moeten verzenden.
  3. En als ze een server gaan verzenden, moeten ze deze echt valideren. Hoewel ik niet weet wat er bij Sun is gebeurd, vermoed ik dat ze niet de moeite hebben genomen om de server te testen omdat deze standaard is uitgeschakeld.

Tijdens een gesprek met een beveiligingsadviseur op de RSA Security Trade Show vorige week, kreeg ik te horen dat beveiligingsbugs die zijn opgelost in productieservers op banksystemen, vaak opnieuw worden geïntroduceerd wanneer nieuwe releases worden verzonden. Dit is natuurlijk goed nieuws voor beveiligingsadviseurs. Maar het verklaart ook waarom de georganiseerde misdaad het zo gemakkelijk heeft om snel geld te verdienen op internet.

zich verstoppen