Fedora Çiftliğinde Cross Build Injection ve 0-day
Fedora package imzalayan sunucular bir şekilde hacklenmiş. Bu şu anlama geliyor, sunucular üzerinde package imzalamak için kullanılan pass phrase'ler saldırganların eline gectiyse, kendi kötü niyetli paketlerini ya da bildiğiniz package'lerin üzerine güncelleme yapıp imzalabilir ve doğaya salabilirler, ve bir çok update yaptığını sanan kişi kurban olabilir.
Gerçi pass phrase'lerin sızmadığını söylemiş yetkililer, ama neyin ne olacağı belli olmaz. Bir kaç gün boyunca package yuklemeyip, update yapmamak mantıklı gözüküyor.
Aslnda beni asıl meraklandıran, böyle bir şeyin nasıl gerçekleştiği. Nitekim orta ölçekli bir firmanın sıkıcı excel dosyalarının ve sistem admininin mp3'lerinin barındığı bir sunucu değil bu, shared hosting ile çalıştırdığın web sitesi değil, Fedora Projesinin kritik sunucularından biri. Ne dersiniz, bir 0-day'la karşılaşmış olmayalım ..
Bu sunucu için nasıl bir güvenlik tasarımı mevcut bilmiyorum ama, kritik sunucular için en azından iki-üç katman konulmalı, defansınız kuvvetli olmalı, bir katmandaki yazılımda zafiyet bulunsa bile, diğer katmanı aşamamalı gelen dalgalar.
Redhat maillistindeki açıklama için tıklayın.
// UPDATE
Bazı x86 OpenSSH package'lerini saldırganlar imzalamış, eğer bu package'lere sahipseniz orjinalleri ile değiştirmeniz gerekli. Şu adresten yeni versiyonları çekebilir ve detayları okuyabilirsiniz
Gerçi pass phrase'lerin sızmadığını söylemiş yetkililer, ama neyin ne olacağı belli olmaz. Bir kaç gün boyunca package yuklemeyip, update yapmamak mantıklı gözüküyor.
Aslnda beni asıl meraklandıran, böyle bir şeyin nasıl gerçekleştiği. Nitekim orta ölçekli bir firmanın sıkıcı excel dosyalarının ve sistem admininin mp3'lerinin barındığı bir sunucu değil bu, shared hosting ile çalıştırdığın web sitesi değil, Fedora Projesinin kritik sunucularından biri. Ne dersiniz, bir 0-day'la karşılaşmış olmayalım ..
Bu sunucu için nasıl bir güvenlik tasarımı mevcut bilmiyorum ama, kritik sunucular için en azından iki-üç katman konulmalı, defansınız kuvvetli olmalı, bir katmandaki yazılımda zafiyet bulunsa bile, diğer katmanı aşamamalı gelen dalgalar.
Redhat maillistindeki açıklama için tıklayın.
// UPDATE
Bazı x86 OpenSSH package'lerini saldırganlar imzalamış, eğer bu package'lere sahipseniz orjinalleri ile değiştirmeniz gerekli. Şu adresten yeni versiyonları çekebilir ve detayları okuyabilirsiniz
Re: Fedora Çiftliğinde Cross Build Injection ve 0-day
" defansınız kuvvetli olmalı, bir katmandaki yazılımda zafiyet bulunsa bile, diğer katmanı aşamamalı gelen dalgalar. "
Gene kesin bir sonuc olmaz kı !
mesela bir sistemde bulunan sql injection'u server kısmında istedigin kadar binumum duruma indirgiycek onlemlerı alsan , ornek vereyım işte mod_security ,
sonuc itibari ile işini bilen adam bu kısmı da aşacaktır.
Kesin degil tabi ama bu iller %90 bu sekılde ilerliyor.
Re: Fedora Çiftliğinde Cross Build Injection ve 0-day
Tamam guzel ama bu olay istisna :)
Yani web'den hizmet verecekseniz tabii ki ister istemez cok fazla derin defans yapma imkaniniz yok.
Ama soyle de bir durum var, dedigin durum cok istisnai. Yani adam gibi calisan baska bir WAF kurulabilir. (mod_security detayini bilmiyorum)
Bunun uzerine arkada calisan SQL sunucuda kisitlamalar yapilabilir, sunucuya tam erisim saglayacak stored_procedure'ler kapatilir, administrator haklariyla degil de daha dusuk yetkili haklar ile calistirilir.
Haricinde olay bir tek web sunucu degil ki, atiyorum e-posta servisi veren bir sirket disariya tum e-posta sunucusunu kapatip, calisanlari icin ip bazli duzenlemeler yaparak sadece onlarin e-postalarina erisebilmelerini saglayabilir.
Demek istedigim guvenligi tek katman halinde degil, bir kac katman haline getirip ilk engeli asabilse de saldirganin ikinci engelde takilmasini saglamak.
Yani web'den hizmet verecekseniz tabii ki ister istemez cok fazla derin defans yapma imkaniniz yok.
Ama soyle de bir durum var, dedigin durum cok istisnai. Yani adam gibi calisan baska bir WAF kurulabilir. (mod_security detayini bilmiyorum)
Bunun uzerine arkada calisan SQL sunucuda kisitlamalar yapilabilir, sunucuya tam erisim saglayacak stored_procedure'ler kapatilir, administrator haklariyla degil de daha dusuk yetkili haklar ile calistirilir.
Haricinde olay bir tek web sunucu degil ki, atiyorum e-posta servisi veren bir sirket disariya tum e-posta sunucusunu kapatip, calisanlari icin ip bazli duzenlemeler yaparak sadece onlarin e-postalarina erisebilmelerini saglayabilir.
Demek istedigim guvenligi tek katman halinde degil, bir kac katman haline getirip ilk engeli asabilse de saldirganin ikinci engelde takilmasini saglamak.
Re: Fedora Çiftliğinde Cross Build Injection ve 0-day
Mesut'un görüşlerine katılıyorum,evet web güvenliğinin sağlanması oldukça zor bir konu fakat saldırıları minimum seviyeye indirmekte mümkün,bir çok application firewall yazılım ve donanımı mevcut ancak herşeyin başında bunları iyi yönetecek bir personel gerekiyor. Ancak çok fazla saldırının yapıldığı noktayı bilmesekte bu Fedora meselesinde olay web güvenliğinden farklı bir konumda ve server güvenliği dahilinde gibi gözüküyor ve bunun savunmasıda Web yazılımı güvenliğini sağlamaktan daha kolay bir işlem özellikle Fedora için öyle olması gerekirdi. Fedora gibi bir sisteminde böyle kritik sunucu dizilerinde böyle bir açık bırakmayacağını düşünerek bir 0-Day yakalanmış olabilir.