暗藏深層代碼之中的十大“長(cháng)壽”漏洞
發(fā)布時(shí)間:2021-07-08 20:58
來(lái)源:數世咨詢(xún)
閱讀:0
作者:nana
欄目: 網(wǎng)絡(luò )安全
2021年����,某現代計算底層系統中曝出一個(gè)漏洞�。攻擊者可迫使該系統執行任意代碼����。令人驚訝的是�����,存在漏洞的代碼竟然已有54年歷史�,而且沒(méi)有補丁可用���,估計以后都不會(huì )有補丁推出了����。
不過(guò)�,這個(gè)系統是圖靈獎獲得者馬文·明斯基(Marvin Minsky)在1967年實(shí)現的通用圖靈機����,盡管對計算機科學(xué)領(lǐng)域具有重大理論意義���,卻從未實(shí)際構建到實(shí)用計算機中���。沒(méi)有補丁似乎無(wú)傷大雅�����。但在明斯基設計出這款圖靈機之后十年左右的時(shí)間里���,早期版本的Unix和DOS系統誕生�,直到21世紀的今天�,這兩大操作系統的后裔仍然常伴我們左右��。其中一些系統的漏洞暗藏深層代碼之中已經(jīng)數年甚至數十年了�����。
下面我們舉出十個(gè)近年來(lái)發(fā)現的重大漏洞��。
漏洞清單
- 日產(chǎn)汽車(chē)遠程信息控制模塊基帶漏洞
- sudo堆溢出漏洞Baron Samedit
- Linux GRUB2 Secure Boot漏洞
- LioWiki本地文件包含漏洞
- Domain Time II旁觀(guān)者(man-on-the-side)攻擊
- Linux SCSI 子系統漏洞
- Windows DNS服務(wù)器遠程代碼執行漏洞SIGRed
- PuTTY 堆溢出漏洞
- win32k.sys漏洞
- PrintDemon本地提權漏洞
日產(chǎn)汽車(chē)遠程通信控制模塊基帶漏洞
年齡:7歲
引入日期:2010
修復日期:2017
早在2011年��,安全研究員Ralf-Philipp Weinmann在手機基帶處理器中發(fā)現了一個(gè)最近才引入的隱秘漏洞:黑客可設置虛假手機信號塔���,誘騙手機連接此虛假信號塔����,然后劫持其網(wǎng)絡(luò )連接�����。手機制造商的修復動(dòng)作不可謂不快����,但修復后拋諸腦后的速度也一樣快�。
這就留下了一個(gè)問(wèn)題:手機并不是使用此類(lèi)芯片的唯一一種設備����。安全公司Eclypsium首席網(wǎng)絡(luò )安全研究員Jesse Michael表示:“基本上��,同樣的蜂窩基帶芯片組也用在日產(chǎn)聆風(fēng)和其他多款車(chē)型上�。”多位研究人員在從廢車(chē)場(chǎng)淘來(lái)的車(chē)上實(shí)驗過(guò)后也發(fā)現了同樣的漏洞��。
Michael稱(chēng):“這個(gè)漏洞在多個(gè)不同市場(chǎng)領(lǐng)域已經(jīng)眾所周知很久了��,比我們在汽車(chē)市場(chǎng)中發(fā)現它時(shí)早了近七年時(shí)間��。由于廣泛存在于多個(gè)市場(chǎng)領(lǐng)域且供應鏈復雜����,此前沒(méi)人意識到汽車(chē)也會(huì )遭遇和手機一樣的漏洞利用��。”行業(yè)孤島問(wèn)題確實(shí)值得重視了��。
sudo堆溢出漏洞Baron Samedit
年齡:9歲6個(gè)月
引入日期:2011年7月
修復日期:2021年1月
sudo命令是Unix管理員工具箱中的重要工具�����,可以賦予調用者超級用戶(hù)權限�����。但“能力越大���,責任越大”�,很有必要給這條命令設置使用門(mén)檻�,防止用戶(hù)在系統中橫沖直撞����。例如���,可以在shell模式下帶-c參數調用sudo命令���,該參數后跟隨的一系列shell命令就能以超級用戶(hù)權限執行了���。但是��,此模式容易遭到緩沖區溢出攻擊�����,插入這些指令中的特殊字符會(huì )誘使系統將代碼寫(xiě)入所分配的內存緩沖區之外�,可能使攻擊者獲得root權限����。
一般情況下���,sudo會(huì )在執行前識別此類(lèi)特殊字符����,從而抵御此類(lèi)攻擊��。然而����,2011年�����,sudo中意外插入了一個(gè)漏洞����,令緩沖區溢出攻擊成為可能�,而這個(gè)漏洞就在眾人眼皮子底下潛伏了十年之久��。該漏洞并不存在于sudo命令本身���,而是藏身在輔助命令sudoedit中�����。sudoedit命令允許用戶(hù)以超級用戶(hù)權限訪(fǎng)問(wèn)和編輯文件����,而不授予編輯器程序本身完整的超級用戶(hù)權限���。正如2021年1月Qualys博客中指出的���,該漏洞可導致嚴重的提權攻擊���,修復迫在眉睫�。幾乎所有Unix系操作系統均受影響����,包括Linux����、Solaris和macOS����。
Linux GRUB2 Secure Boot漏洞
年齡:10歲
引入日期:2010
修復日期:2020年7月
作為BIOS的替代品引入的時(shí)候�,UEFI被認為具有相當先進(jìn)的安全功能���,能夠對抗操作系統引導加載軟件級攻擊����。個(gè)中關(guān)鍵在于UEFI采用了名為Secure Boot的機制��,用簽名加密ssl/' target='_blank'>證書(shū)聯(lián)鎖鏈驗證每個(gè)引導加載程序的合法性���。UEFI的根證書(shū)由微軟簽名��,Linux發(fā)行版將其具備經(jīng)驗證證書(shū)的引導加載程序放在鏈的下游��。
然而�,廣為使用的Linux引導加載程序GRUB2不僅具備UEFI就緒證書(shū)���,還包含了緩沖區溢出漏洞�����,可被插入其配置文件中的惡意代碼利用�����。(盡管GRUB2自身經(jīng)過(guò)簽名�����,但其可被本地管理員編輯的配置文件并沒(méi)有經(jīng)過(guò)簽名�。)安全公司Eclypsium發(fā)現了這一漏洞�。雖然攻擊者需要一定程度的目標機器本地控制權來(lái)實(shí)施攻擊���,但只要成功實(shí)施了����,他們就能確保在每次啟動(dòng)時(shí)都能繼續控制這臺電腦���,很難將他們從系統中驅逐出去����。
LioWiki本地文件包含漏洞
年齡:11歲11個(gè)月
引入日期:2008年11月
修復日期:2020年10月
LionWiki是款采用PHP語(yǔ)言編寫(xiě)的極簡(jiǎn)維基引擎�。不同于很多流行維基引擎���,比如維基百科底層引擎�,LionWiki不使用數據庫�,而是完全基于文件的�����。由于其目標就是簡(jiǎn)潔�����,完全基于文件是LionWiki的優(yōu)勢�,但也導致了重大漏洞的引入����。
從本質(zhì)上講���,用戶(hù)通過(guò)相應頁(yè)面URL中的文件和路徑名訪(fǎng)問(wèn)特定LionWiki實(shí)例下的各種文件�。這意味著(zhù)���,借助正確構造的URL��,攻擊者可以遍歷托管此LionWiki實(shí)例的服務(wù)器上的文件系統����?��?梢酝ㄟ^(guò)配置URL過(guò)濾來(lái)阻止文件系統遍歷嘗試�,但正如信息安全研究所網(wǎng)絡(luò )靶場(chǎng)工程師June Werner發(fā)現的�,繞過(guò)URL過(guò)濾簡(jiǎn)直太容易了���。
Werner指出��,盡管多次嘗試修復����,但該漏洞仍持續存在了很久����。“2009年7月就首次推出了一些緩解措施�,然后2012年1月又鋪開(kāi)了更廣泛的緩解措施��。但盡管實(shí)施了緩解措施���,代碼還是無(wú)法抵御同類(lèi)型的攻擊�����。直到2020年10月隨著(zhù)繞過(guò)這些緩解措施的方法一起被重新發(fā)現�,該漏洞在代碼中又留存了八年��。”
正式上報之后�,漏洞被開(kāi)發(fā)人員修復了��。
Domain Time II旁觀(guān)者(man-on-the-side)攻擊
年齡:14歲
引入日期:2007
修復日期:2021年4月
如果同一網(wǎng)絡(luò )上的兩臺計算機不能就時(shí)間問(wèn)題達成一致����,所造成的后果可能從單純的煩人直到無(wú)法收拾的災難�����。時(shí)間同步問(wèn)題是計算領(lǐng)域的老生常談了�,目前最成熟的企業(yè)解決方案是Domain Time II��,這是一款廣泛部署在Windows�、Linux和Solaris上的閉源應用����。
Domain Time II從誕生之日起就存在一個(gè)非常嚴重的漏洞����。時(shí)不時(shí)地�����,或者在用戶(hù)可以設置的條件下�����,這個(gè)軟件會(huì )向其供應商Greyware Automation Products運營(yíng)的更新服務(wù)器發(fā)送UDP查詢(xún)請求���。如果服務(wù)器回復URL����,Domain Time II會(huì )以管理員權限運行程序���,下載并安裝來(lái)自此URL的更新�。
問(wèn)題出在哪兒呢?如果惡意黑客搶在Greyware的更新服務(wù)器之前成功回復查詢(xún)請求��,那他/她就能發(fā)送自己構造的回復��,促使Domain Time II下載攻擊者想要安裝的任何惡意軟件��。在真正的中間人攻擊中����,攻擊者會(huì )雙向攔截;相較之下�����,Domain Time II攻擊是所謂的旁觀(guān)者(man-on-the-side)攻擊:攻擊者不攔截發(fā)往其目標的回復�,而是搶在合法回復之前發(fā)送他/她自己構造的回復�。在實(shí)踐中��,這意味著(zhù)攻擊者需要已掌控目標本地網(wǎng)絡(luò )上的一臺計算機;但此類(lèi)攻擊代表著(zhù)攻擊者可以升級入侵���,染指目標主機本地網(wǎng)絡(luò )上其他更有價(jià)值����、更安全的機器�����。發(fā)現此漏洞的安全公司Grimm指出����,至少早在2007年���,這個(gè)漏洞就出現在該軟件的各個(gè)版本中了�。
Linux SCSI 子系統漏洞
年齡:15歲
引入日期:2006
修復日期:2021年3月
如果你是懷舊派��,那你可能還記得SCSI:上世紀80年代的數據傳輸標準�����?����;蛟S你的第一塊硬盤(pán)就是用它接入你的IBM PC或經(jīng)典Mac機的��。直至今日��,SCSI在某些環(huán)境中仍然在用�。而一貫追求靈活性和通用性的Linux更是還為有需求的系統保留著(zhù)一套擴展SCSI子系統�?��?梢酝ㄟ^(guò)自動(dòng)模塊加載功能使用這些模塊�,其中操作系統在需要時(shí)獲取并安裝所需系統代碼����。這在你想給Linux機器掛載SCSI硬盤(pán)���,但又不想費事尋找各種必要支持代碼的時(shí)候真是非常有用����,但也同樣有助于攻擊者利用代碼中的漏洞��。
2021年3月�����,網(wǎng)絡(luò )安全咨詢(xún)機構Grimm發(fā)布了在Linux SCSI代碼中發(fā)現的一系列漏洞�����。其中一個(gè)緩沖區溢出漏洞可使普通用戶(hù)獲得root權限�����,其他漏洞則可造成信息從內核泄漏到用戶(hù)空間��,而且全部漏洞都可用于獲取機密信息���,或者對受影響機器展開(kāi)DoS攻擊����。Grimm稱(chēng)這些漏洞可追溯至2006年���,并冷冷指出�,“這些漏洞是編程實(shí)踐缺乏安全考慮的表現�����,而此類(lèi)編程實(shí)踐在此代碼開(kāi)發(fā)當時(shí)十分普遍���。”
Windows DNS服務(wù)器遠程代碼執行漏洞SIGRed
年齡:17歲
引入日期:2003
修復日期:2020
DNS是被低估的互聯(lián)網(wǎng)骨干系統���,計算機通過(guò)給定URL解析出關(guān)聯(lián)IP地址就靠DNS了�����。DNS是層級化的�����,域名解析請求在DNS金字塔各層間上下流轉��,找尋能回答“這臺計算機在哪兒?”這個(gè)問(wèn)題的DNS服務(wù)器���。因此�,所有主流操作系統都內置了DNS�。
2020年�,微軟披露了其DNS中一個(gè)潛伏了17年的關(guān)鍵漏洞�,盡管沒(méi)有證據表明該漏洞曾經(jīng)被非法利用過(guò)��。發(fā)現此漏洞的Check Point研究人員將之名為為SIGRed��。這是個(gè)Windows DNS服務(wù)器緩沖區溢出漏洞�����,可被藏身DNS數據包簽名中的漏洞利用代碼觸發(fā)��。惡意名稱(chēng)服務(wù)器可向域名解析請求響應此類(lèi)數據包����,繞過(guò)大多數安全防護措施���,獲取微軟DNS服務(wù)器的遠程訪(fǎng)問(wèn)權限�����。該攻擊還可以蠕蟲(chóng)化�����,也就是說(shuō)��,可以在沒(méi)有用戶(hù)干預的情況下自動(dòng)傳播��。
PuTTY 堆溢出漏洞
年齡:20歲9個(gè)月
引入日期:1999年1月
修復日期:2019年10月
PuTTY是一款開(kāi)源免費工具套件�����,包含串行控制臺���、終端模擬器和各種網(wǎng)絡(luò )文件傳輸應用�,還內置了SSH和各類(lèi)其他加密方案�。PuTTY最初是為了將Unix管理員慣用的系統自帶工具集引入Windows和經(jīng)典Mac OS而開(kāi)發(fā)的�����,但現已擴大了范圍���,連Unix系統上也在用了�。雖然PuTTY旨在保護網(wǎng)絡(luò )連接���,但其核心代碼卻被曝出暗藏漏洞��。該漏洞是另一種形式的緩沖區溢出問(wèn)題(此處是堆溢出)�,可由過(guò)短SSH密鑰觸發(fā)���,造成PuTTY運行崩潰��,甚至遠程代碼執行�����。
歐盟EU-FOSSA項目發(fā)起的漏洞賞金計劃中�����,該漏洞被提交到HackerOne���,為提交者賺取了3645美元的賞金����,以及來(lái)自PuTTY團隊的感謝�����。PuTTT團隊指出��,早在1999年���,此漏洞就出現在PuTTY源代碼的早期版本中了��。
win32k.sys漏洞
年齡:23歲
引入日期:1996
修復日期:2019
2019年�����,微軟Windows Win32 API曝出兩大漏洞�。第一個(gè)漏洞發(fā)現于4月�����,是一個(gè)釋放后使用(User-After-Free)漏洞�,程序可利用操作系統編碼錯誤訪(fǎng)問(wèn)本應受到保護的系統內存����。安全研究人員在發(fā)現惡意黑客嘗試利用此漏洞獲取計算機控制權的過(guò)程中檢測到了此漏洞����。另一個(gè)漏洞是藏身于操作系統窗口切換功能中的提權漏洞�,在12月份被發(fā)現����。與前者類(lèi)似��,這個(gè)漏洞也是在主動(dòng)攻擊過(guò)程中檢測到的���,當時(shí)這些攻擊為制造內存泄漏而模擬擊鍵�����。
兩個(gè)漏洞都可追溯至Windows操作系統的早期階段��?���?ò退够呒壈踩芯繂TBoris Larin解釋道:“問(wèn)題源于WIN32K隨Windows NT 4.0首次亮相的時(shí)候���,當時(shí)多數Win32圖形引擎都從用戶(hù)級轉移到內核以提高性能�。”雖然這兩個(gè)具體漏洞已被修復��,但微軟多年前做出的圖形引擎內移決策卻影響甚廣�����,而且影響可能還會(huì )持續下去�����。這些年來(lái)����,Windows中發(fā)現的內核安全漏洞恐怕半數以上都得歸咎于WIN32K組件�����。
PrintDemon本地提權漏洞
年齡:24歲
引入日期:1996
修復日期:2020年5月
打印機可謂IT行業(yè)常見(jiàn)痛點(diǎn)����,因為種類(lèi)實(shí)在是太多了��,而且并非由計算機和操作系統供應商制造����,用戶(hù)卻期望能夠插上就能開(kāi)始打印�。尤其是微軟���,在其早期階段就努力想讓用戶(hù)能夠相對容易地安裝打印機驅動(dòng)�����。但近期發(fā)現的PrintDemon漏洞表明��,微軟可能在上世紀90年代走得太遠了一點(diǎn)�����,直到今天還在為此付出代價(jià)����。
漏洞的核心在于三個(gè)事實(shí):非管理員用戶(hù)可以向Windows機器添加打印機;底層實(shí)現機制允許打印到文件而非物理打印設備;Windows上關(guān)鍵打印服務(wù)以SYSTEM權限運行����。這意味著(zhù)���,只要做對了���,就可以構造“打印機”驅動(dòng)���,在文件系統(甚至是特權目錄)的任何位置創(chuàng )建文件(甚至是可執行文件)�。這么多年來(lái)�����,黑客設計了大量漏洞利用程序利用這些設計缺陷����,大名鼎鼎的震網(wǎng)(Stuxnet)也是其中之一���。但2020年發(fā)現的PrintDemon尤為特殊�����,而且成型于微軟多年來(lái)的修復不過(guò)是補丁而非完全重構整個(gè)打印子系統�����。正如Winsider描述的�����,“只需對文件系統做一點(diǎn)點(diǎn)改動(dòng)���,你就可以實(shí)現不屬于任何進(jìn)程的文件復制/寫(xiě)入行為�,尤其是在重啟后�。借助一個(gè)精心設計的端口名稱(chēng)�,你就可以讓Spooler進(jìn)程幫你在磁盤(pán)上任意位置放置[可移植可執行]文件��。”怎么聽(tīng)都不像是個(gè)好消息……
追溯漏洞的年紀有意義嗎
這種“長(cháng)壽”漏洞列表總能讓人猛然意識到�����,原來(lái)自己的電腦可能因為克林頓時(shí)期的打印機子系統漏洞而被黑��。但了解這些已經(jīng)沒(méi)有必要立即修復的“老”漏洞是有現實(shí)意義的��。Grimm首席漏洞研究員Adam Nichols稱(chēng):“獨立研究工作中�,我們在找到漏洞時(shí)會(huì )做的一件事就是嘗試確定這個(gè)漏洞到底已經(jīng)存在多久了��。遺憾的是��,這并非行業(yè)標準��。不過(guò)��,其他研究人員有時(shí)候也會(huì )這么做�。多走這一步來(lái)查清人們面臨被黑風(fēng)險多久了不算是分內的工作���,但我覺(jué)得這是研究工作的重要組成部分���。”
Sandy Clark的研究顯示��,普遍的代碼重用現象造成了巨大的已知漏洞攻擊面����,長(cháng)期使用的代碼庫中潛伏的漏洞可能最終會(huì )演變?yōu)槁┒蠢贸绦?。這與傳統的軟件工程教條背道而馳��,傳統的軟件工程教條認為��,大多數漏洞會(huì )在代碼庫使用早期遭遇現實(shí)問(wèn)題和攻擊時(shí)即得到修復�����。但事實(shí)上�,用Clark論文標題的話(huà)來(lái)說(shuō)���,“熟悉會(huì )滋生蔑視”�。
【編輯推薦】
