Keamanan Minggu Ini: Mastadon, Perusahaan Perangkat Lunak Palsu, dan ShuffleCake

Karena kebijakan baru Twitter untuk menguji fitur baru pada produksi, minat terhadap Mastodon sebagai pengganti potensial meroket. Dan apa yang tidak untuk dicintai? Anda dapat menghostingnya sendiri, ini adalah bagian dari Fediverse, dan Anda bahkan dapat menjalankan salah satu garpu eksperimental untuk mendapatkan lebih banyak fitur. Tapi ada juga bahaya meletakkan layanan di internet, seperti [Gareth Heyes] diilustrasikan dengan mencuri kata sandi dari, ironisnya, contoh infosec.exchange.

Setiap layanan yang memungkinkan satu pengguna untuk memasukkan teks, dan kemudian menampilkan teks tersebut ke pengguna lain, harus diperkuat dengan skrip lintas situs, XSS. Itulah serangan di mana HTML atau Javascript dapat disuntikkan ke dalam pengalaman pengguna lain. Biasanya pengerasan ini dilakukan dengan filter daripada membersihkan input pengguna. Dua fitur yang dapat memicu ini adalah elemen HTML yang diizinkan, dan fitur parsing khusus. Dalam hal ini, fitur khusus tersebut adalah ikon “terverifikasi” di lidah yang dapat ditambahkan pengguna ke nama tampilan mereka, dengan menambahkan tag :verified:.

Mastodon mengganti tag dengan blok img HTML yang menyertakan tanda kutip ganda untuk menampilkan ikon. Menjadi menarik ketika ikon itu ada di dalam bidang HTML yang disediakan pengguna, seperti tag

Pengelola kata sandi, seperti yang terpasang di Chrome, cukup agresif dalam mengisi formulir secara otomatis, dan tidak ada pemeriksaan apakah formulir tersebut terlihat. Satu-satunya tangkapan adalah bagaimana mengirimkan formulir. Itu harus menjadi tindakan yang diprakarsai oleh pengguna. Solusinya di sini adalah memalsukan pesan kedua, dan memalsukan bilah alat di antara pesan. Ini bukan eksploitasi 0-klik yang sempurna, tetapi hasilnya cukup meyakinkan.

[Gareth] melaporkan kelemahan tersebut ke Mastodon dan garpu Glitch, dan keduanya telah mengeluarkan tambalan untuk mengurangi elemen serangan ini, meskipun inti Mastodon sebenarnya tidak pernah rentan karena tidak mengizinkan atribut di bagian pertama tempat.

Pushwoosh

Sangat umum bagi perusahaan untuk terdaftar di satu tempat, dan secara fisik melakukan bisnis di tempat lain. Di AS, Delaware adalah pilihan populer untuk mengajukan artikel korporasi. Ngomong-ngomong, inilah mengapa kasus pengadilan Twitter vs Musk terjadi di Pengadilan Kanselir Delaware — Twitter adalah perusahaan Delaware. Yang kurang halal adalah perusahaan yang berbasis di satu negara, dan mengklaim berbasis di negara lain, tanpa jejak kertas untuk diungkapkan. Dan sepertinya itulah yang sedang dilakukan Pushwoosh.

Ini akan menjadi cerita yang relatif tidak menarik, kecuali fakta bahwa Pushwoosh tampaknya benar-benar berbasis di Rusia, dan telah mengambil kontrak untuk melakukan pekerjaan DoD. Tampaknya beberapa penanganan data terjadi di server Pushwoosh, termasuk pengumpulan data geolokasi. Tidak jelas bahwa sesuatu yang jahat sedang terjadi, tetapi ini bukanlah risiko yang bersedia diambil oleh Pemerintah AS.

Shufflecake Membawa Penyangkalan

Ingat Truecrypt? Itu adalah perangkat lunak enkripsi disk yang memiliki beberapa fitur tambahan yang bagus, seperti volume tersembunyi untuk penyangkalan yang masuk akal. Anda dapat menyiapkan volume terenkripsi yang akan menampilkan satu set file saat diberi satu kata sandi, dan satu set berbeda dengan yang lain. Pengembangan pada Truecrypt ditinggalkan dalam pergantian peristiwa yang aneh, bertahun-tahun yang lalu. Sekarang ada proyek baru yang ingin mengisi celah penyangkalan yang masuk akal, Shufflecake.

Ini open source, berjalan sebagai modul kernel Linux dan alat userspace, dan mendukung volume tersembunyi sedalam 15. Volume terenkripsi disimpan di ruang perangkat blok yang tidak digunakan, dan sama sekali tidak dapat dibedakan dari bit acak pada disk. Bit penyangkalan yang masuk akal masuk saat mendekripsi dan memasang, karena Anda bisa mendekripsi volume luar dengan satu kata sandi, dan tidak mungkin untuk mengetahui apakah ada volume tambahan, sampai kata sandi yang valid diberikan.

F5 CSRF BESAR-IP

[Ron Bowes] di Rapid7 memiliki beberapa penelitian menyenangkan yang mencapai Eksekusi Kode Jarak Jauh pada perangkat F5 BIG-IP dan BIG-IQ. Ini adalah perangkat jaringan yang kuat yang melakukan pembentukan lalu lintas pada skala ISP, dan mereka menjalankan CentOS di bawah tenda. Kudos to F5 untuk mendapatkan banyak hal dengan benar, seperti membiarkan SELinux diaktifkan, yang tampaknya membuat eksploitasi menjadi jauh lebih sulit. Masalahnya adalah titik akhir API yang tidak memiliki perlindungan Cross-Site Request Forgery (CSRF), dan titik akhir ini dapat dipanggil dari skrip yang berjalan di halaman web yang dikunjungi. Serangannya adalah untuk mengelabui admin agar memuat halaman seperti itu, dan kemudian membajak cookie sesi yang ada untuk memanggil API.

Untuk melakukan pivot ke eksekusi kode, generator spesifikasi RPM disalahgunakan, dan perintah %check disuntikkan. Ini digunakan dalam paket RPM yang sah untuk menjalankan tes pasca-instalasi, tetapi di sini digunakan untuk meluncurkan webshell. Beberapa kelemahan lainnya dirangkai bersama untuk mendapatkan akses tingkat root. Penelitian ini dilaporkan ke F5, dan perbaikan keluar minggu ini.

Pixel 6 Bagian Dua dan Tiga

Kami membahas bagian pertama dan kedua dari cerita ini, tetapi untuk melengkapi lingkaran, bagian ketiga sekarang tersedia, dalam kisah tentang bagaimana bootloader Pixel 6 di-crack. Rintangan pertama di sini adalah menemukan bagian memori yang ditandai dapat dibaca, ditulis, dan dieksekusi. Kemudian mendapatkan kode shell yang benar-benar akan dieksekusi di lingkungan ini adalah sedikit tantangan, tetapi hanya sihir tulis makefile yang menghasilkan kode yang diperlukan. Kumpulan tiga posting adalah primer yang bagus tentang cara memecahkan bootloader Android.