3. Mai 2013

Wie heise.de meldet, hat RedTeam Pentesting eine Sicherheitslücke im Mail-Server Exim in Kombination mit Dovecot als Local Delivery Agent gefunden.

Verwendet Exim für die lokale Zustellung den IMAP- und POP-Server Dovecot als Local Delivery Agent und wurde bei dessen Konfiguration der Parameter use_shell gesetzt, können Angreifer mittels manipulierter Absender-Adressen eingebettete Shell-Befehle ausführen (z.B. via wget Programme aus dem Internet laden und diese ausführen).

Mittlerweile ist dieser Parameter auch aus der Beispiel-Konfiguration aus dem offziellen Dovecot-Wiki gestrichen, auch wir empfehlen diese Änderung aus der jeweiligen Transport-Konfiguration zu entfernen.

Autor: Matthias Fraidl

17. April 2013

Inzwischen kennen wir das Spiel: Irgend etwas aufregendes passiert (Erdbeben, Tsunami, Terror, Celebrity-Tode, königliche Hochzeiten/Babys, ..), und schon wird das Thema im Netz diskutiert: Twitter, Facebook, Google+, Blogs, Webforen, ...

Soweit so gut und harmlos, nur werden diese Vorfälle (wie jetzt die Explosionen in Boston) auch immer wieder für verwerfliche Zwecke benutzt. Aktuell sehen wir (und andere: Kaspersky, Techhelplist, Fitsec, ...):

• Website Monetizing: Man registriere eine passende Domain (zusammengesetzt aus Wörtern: "Boston", "attack", "explosion", "terror", "2013", ...), nimmt die üblichen Algorithmen, die bei geparkten Domains passende Schlagwörter in die Seite einbaut, und schalte Werbebanner. Da aktuell viele Leute nach mehr Informationen zu dem Vorfall suchen, bekommt man so leicht zu Besuchern und damit Werbeeinnahmen.
• Fake Charities: Nicht jeder Spenden-Aufruf für die Opfer dieses Anschlags ist legitim. Die Bandbreite reicht von den üblichen, etablierten Organisationen (Rotes Kreuz, MSF, ...), über schlecht geführte (deren Gründungsziel rein das Abschöpfen von möglichst viel "Nebenkosten", "Verwaltungsaufwand" & co ist) bis hin zu reinem Betrug. Ich kann hier nur empfehlen, kein Geld an Organisationen zu senden, die keine langjährige Erfahrung bei der Hilfeleistung bei Katastrophen haben.
• Spam / Exploit-Packs: Ein Bezug auf das Thema des Tages erhöht die Chance, dass unbedarfte Internet-Nutzer auf Links in Spam-Mails klicken. Dahinter warten dann oft Exploit-Packs, die verwundbare Browser (bzw. deren Erweiterungen) angreifen und so Schadsoftware am PC des Nutzers installiert. Eine aktuelle Spam-Kampagnen verweist etwa auf URLs der Form http://IP-Adresse/boston.html oder http://IP-Adresse/news.html, die das Java-Plugin angreifen.
• Verschwörungstheorien: Wir sehen auch schon die ersten Kettenbriefe und Webseiten, die absurde Ideen verbreiten. Wie schon bei 9/11 gibt es auch hier schon die ersten geistigen Dünnbrettbohrer, die von einem Insider-Job der US-Regierung phantasieren.

In Summe: die alte Regel "Zuerst Denken, dann Klicken!" sollte man insbesondere nach solchen medienwirksamen Vorfällen beherzigen.

Autor: Otmar Lendl

27. März 2013

https://kb.isc.org/article/AA-00871 beschreibt einen Bug in BIND (bzw. libdns), der zu Memory Exhaustion führen kann.

Dass das nicht schön ist, ist denke ich klar - ein Security-Risiko an sich ist es aber nicht, da es "nur" auf die Verfügbarkeit geht.

Nameserverbetreiber mit BIND (und alle anderen, die nicht-validierten Input mit gegen libdns gelinkter Software wie 'dig' verarbeiten) sollten wohl eher bald upgraden.

Autor: Robert Waldner

28. Februar 2013

Seit einigen Tagen kursieren im Netz Nachrichten zu einem SSH-Rootkit (Alter und Herkunft unbekannt), nun scheint aber ein wenig Licht ins Dunkel zu fallen: das Unternehmen cPanel, Anbieter der gleichnamigen Web-Administrationslösung, wurde Opfer eines Hacker-Angriffs. Laut offizieller Stellungnahme wurde dabei ein Server geknackt. Es kursierten bereits Gerüchte dass der cPanel-Hack die Hintertür für die verbreitung dieses Rootkits sein könnte.

Nun fordert cPanel per E-Mail alle Kunden, welche Support-Tickets innerhalb der letzten 6 Monate eröffnet haben, auf ihre Root-Passwörter zu ändern - dies ist aber auch für User mit eingeschränkten Rechten empfehlenswert.

Ob der eigene Server eventuell ebenfalls verseucht ist, lässt sich mit folgenden Kommandos feststellen:

Systeme mit dem Red Hat Paketmanager

Der Red Hat Package Manager vergleicht damit die MD5-Hashes der installierten Dateien mit denen der Paketdatenbank, wenn alles in Ordnung ist erhält man keine Ausgabe.

Debian basierte Systeme

Hinweis: Debsums muss auf den meisten Systemen erst nachinstalliert werden.

Weitere Systeme

Wir empfehlen auch auf allen weiteren Servern auf welche im genannten Zeitraum von einem möglicherweise kompromittierten Rechner per SSH zugegriffen wurde, die autorisierten SSH-Keys (~/.ssh/authorized_keys) und Passwörter zu ändern, da diese eventuell entwendet wurden.

Autor: Matthias Fraidl