Category Archives: Various

Le mythe de la sécurité par la virtualisation ou Cloud Computing

23/06/2009VariousCloudwow

De plus en plus d’entreprises se lancent dans la virtualisation de leurs informatiques internes et de leurs informatiques orientées Internet (sites web, serveurs de mail, serveurs de DNS, etc.). Le gain en ressources et l’optimisation de celles-ci est évident, mais la plupart du temps, les infrastructures virtualisées omettent l’aspect de la sécurité. Il n’est pas rare de retrouver sur un hôte virtuel des “guests” privés (qui ne sont pas censés être en contact direct avec Internet) et des “guests” publics (qui sont autorisés d’être exposés à Internet), ou encore l’on peut retrouver des serveurs hôtes qui sont rarement mis à jour, car cela demanderai des migrer ou d’arrêter tous les serveurs “guests” localisés sur ces hôtes.

De plus, le marketing de la virtualisation, pousse a faire croire à leurs clients que la sécurité de ces solutions est éprouvées, le “mythe de la sécurité par la virtualisation”. Ce mythe est de plus en plus mis à mal par les différentes découvertes effectuées par des chercheurs en sécurité informatique.

SecuraBit, un podcast que je vous conseille, a présenté dans son épisode 33, une interview de Kostya Kortchinsky qui a développé un exploit se nommant CLOUDBurst permettant de prendre la main sur l’hôte VMWare et sur tous les “guests” VMWare en passant par un des “guest” VMWare.

La vulnérabilité, permettant que l’exploit CLOUDBurst fonctionne, affecte VMWare WorkStation, VMWare Server, VMWare ESX et VMWare Fusion (CVE-2009-1244).

Il faut tous de même avoir accès à un guest afin de lancer CLOUDBurst, mais pour cela quoi de plus simple que de louer un serveur virtuel

Lien vers la vidéo de démonstration de CLOUDBurst sur Immunity.

Dans le même ordre d’idée, Rob VandenBrink a présenté sur le podcast PaulDotCom, une présentation et démonstration d’une attaque du type SSL MITM lors de la migration VMotion d’un “guest” virtuel, tournant sur VMWare ESX. Cette technique d’attaque SSL MITM va permettre de récupérer tous les contenus affichés actuellement à l’écran (par exemple, les mots de passe que vous êtes en train de saisir, etc.), malgré que les flux entre les deux serveurs VMWare ESX soient chiffrés par défaut.

[vimeo 5219962]

Réveil des Russian Business Network

17/06/2009VariousRBN, Russiawow

Russian Business Network est à l’origine une entitée basée à St. Petersbourg en Russie qui loue des prestations d’hébergement uniquement aux cybercriminels. Ces hébergements sont loués à différents autres prestataires qui eux mêmes ne savent pas l’usage que sera effectué de la prestation vendu.

En novembre 2007, le réseau RBN avait été coupé et l’on pouvait espérer que les différentes activités criminelles de ces réseaux allaient arrêter, mais il ne faut pas compter dessus, RBN a tous simplement migrer vers un nouvel eldorado des pirates, la Chine. Et la location des serveurs à des fins obscures ont pu continuer.

Je n’avais pas eu l’occasion de voir une activité poussée des RBN, mais depuis quelques heures certains réseaux RBN ce sont remis en route et scan à tous va.

July Twitter Month Bug

16/06/2009VariousTwitterwow

Après le mois des bugs Apple, le mois des bugs PHP, le mois des bugs des navigateurs Internet, le mois des bugs du kernel Linux, voici le mois des bugs dans Twitter

Un chercheur en sécurité informatique, Aviv Raff, va durant tous le mois de Juillet dévoiler des vulnérabilités du type XSS (Cross-Site Scripting) et CSRF (Cross-Site Scripting Forgery) des différentes services que délivre l’écosystème Twitter sur le site web http://twitpwn.com/.

Ces vulnérabilités pourraient, suivant les dires du chercheur en sécurité informatique Aviv Raff, permettre de construire éventuellement un vers qui utiliserait la plate forme Twitter pour se propager. Le chercheur donnera 24 heures aux développeurs de Twitter pour corriger la vulnérabilité qui sera dévoilée le lendemain.

Ces chercheurs en sécurité informatique veulent sensibiliser les acteurs du Web 2.0 à la sécurité informatique afin que les utilisateurs finaux prennent conscience du danger que représente des sites web comme Twitter, Facebook et autres.

Il est clair que pour Twitter le mois de Juillet sera un mois chaud. Bon faut pas leur dire, mais ils sont déjà compromis jusqu’à l’os et ne le savent même pas ….

Rumeur de 0day SSH

08/06/2009VariousSSHwow

Je vous annonçais le 23 Juin une augmentation importantes des scan SSH, et cette activité anormale me laissez sur ma faim et je suspectais un 0Day SSH en cours d’exploitation.

La rumeur de 0Day OpenSSH est confirmé par le ISC SANS et par une source qui a contacté le SANS. Cette source confirme l’existence d’un 0Day, que celui-ci est activement utilisé, et sera rendu public avant les conférences BlackHat et DefCon, qui auront lieu fin Juillet.

Les créateurs du logiciels OpenSSH réagissent sur l’éventuel 0Day, et considère que l’alerte n’a pas de sens.

Le premier log sur Secer remonte une trace éventuelle de l’attaque avec simplement ces données :

anti-sec:~/pwn/xpl# ./0pen0wn -h xx.yy.143.133 -p 22 [+] 0wn0wn – anti-sec group [+] Target: xx.yy.143.133 [+] SSH Port: 22

Rien de très particulier à par le nom de l’exploit “0pen0wn” et le fait qu’effectivement il viserai les services SSH-2.0-OpenSSH_4.3 (versionning à prendre avec des pincettes).

Un deuxième log plus intéressant, sur SecurityEagis.com et ici , nous donnes un peu plus de détails sur l’exploit qui serait utilisé.

anti-sec:~/pwn/xpl# ./openPWN -h 66.96.220.213 -p 2222 -l=users.txt [+] openPWN - anti-sec group [+] Target: 66.96.220.213 [+] SSH Port: 2222 [+] List: users.txt [~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~>]

L’on peut remarquer qu’un module du type brute force est aussi implémenté dans l’outil. Quel intérêt d’avoir ce type de module dans un 0Day donnant directement accès à la machine ?? La seul relation serait éventuellement l’énumération possible d’utilisateur autorisé à se connecter en ssh …

Le SANS confirme aussi mon étonnement sur l’utilisation d’un module brute force, et il apparaît de plus en plus que cette alerte n’est qu’un Hoax.

Si cela vous intéresse, vous pourrez retrouver ci-dessous les logs des tentatives de brutes force ssh sur zataz :

Updates :

OVH mets à jour tous les services openssh présents sur l’ensemble de ses prestations “plan“, la menace est prise au sérieux.
HostGator mets à jour tous les service openssh de ces serveurs d’hébergement.
Bugzilla Red Hat ouvert sur l’éventuel 0Day : https://bugzilla.redhat.com/show_bug.cgi?id=510118
Un autre Bugzilla Red Hat ouvert sur l’éventuel 0Day : https://bugzilla.redhat.com/show_bug.cgi?id=510199, intéressant car clos pour le commun des mortels.
Le SANS étonné de l’utilisation d’un module brute force dans le 0Day : http://isc.sans.org/diary.html?storyid=6760

Eric Romang Blog

aka wow on ZATAZ.com

Category Archives: Various

Réveil des Russian Business Network

July Twitter Month Bug

Rumeur de 0day SSH