Szerző: Voith Hunor

2015. december 16. 18:25

Durva zero-day hibát javított a FireEye

A sérülékenységre a Google Project Zero szakemberei találtak rá, a FireEye nagyon gyorsan reagált: az átmeneti javítást órákon belül, a végleges javítást pedig két nap elteltével tette közzé.

HIRDETÉS

Kritikus sérülékenységre bukkant a Google híres Project Zero biztonsági kutatócsapatának két tagja, Tavis Ormandy és Natalie Silvanovich a FireEye több termékcsaládjában. A hibát a szakemberek december 4-én fedezték fel a szakemberek, a FireEye pedig annak súlyossága miatt néhány órán belül kiadott egy átmeneti javítást, december 7-én pedig egy további frissítéssel végleg befoltozta a biztonsági rést. A sérülékenység az NX, EX, AX, FX sorozatú termékeket érintette, illetve érinti – azoknál a vásárlóknál, akik nem engedélyezték az automatikus frissítést.

Az említett FireEye eszközök a vevők belső informatikai hálózatában specializált, passzív forgalomfigyelést- és elemzést végeznek, és kiemelt hozzáférési státuszuk miatt rendkívül nagyértékű célpontnak számítanak. Ha egy támadó távoli kódfuttatásra tud jogosultságot szerezni egy ilyen gépen, megütheti a főnyereményt: rengeteg értékes információhoz férhet hozzá, a jogosultság szintjétől függően pedig a kompromittált FireEye-gép teljes eszköztárát bevetheti saját céljai érdekében – esetleg további támadó eszközökkel kiegészítve.

Egészségbiztosítási program, külföldbiztos kódolás, átlátható drótváz (x)

A MediHelp költséghatékonyan, egyszerűen nyújt nemzetközi egészségbiztosítást.

Egészségbiztosítási program, külföldbiztos kódolás, átlátható drótváz (x) A MediHelp költséghatékonyan, egyszerűen nyújt nemzetközi egészségbiztosítást.

A Project Zero szakértői az NX 7500 statikus fájlelemzéséért felelős alrendszerében, a MIP működésében (Malware Input Processor) találtak hibát. Ez a modul különböző, több esetben nyílt forrású programok és pluginek használatával bontja ki és ellenőrzi az elemezni kívánt állományokat – a JAR (Java Archive) fájlokat például a jarsigner és a JODE segítsétével. Utóbbi egy kódvisszafejtő, és saját virtuális gépet is tartalmaz a string deobfuszkációhoz szükséges bájtkód-futtatáshoz. A Google "zérósok" a JODE forráskódját vizsgálva ismerték fel, hogy a program egy megfelelően szerkesztett JAR állománnyal tetszőleges kód futtatására vehető rá.

Igazi problémává mindezt az a tényező emeli, hogy a FireEye a fent említett segédprogramok futtatásakor nem használ homokozó (sandboxing) mechanizmust, így azok teljes hozzáféréssel rendelkeznek az eszköz erőforrásaihoz. A távoli kódfuttatással elért eredménynek így csak a jogosultság lehetőségei szabnak határt. Persze a segédprogramok nem rootként futnak, de Ormandy és Silvanovich egy, a FireEye kérésére egyelőre titokban tartott, de szerintük egyszerű jogosultságemeléses módszerrel root jogkört szereztek.

A Project Zero szakértői szerint a FireEye (nem meglepő módon) teljes mértékben együttműködött velük, a vizsgálathoz használt eszközt is a cég biztosította. A FireEye továbbá az aktív terméktámogatással már nem rendelkező vevőinél is segít elhárítani a sérülékenységet – az ilyen kéréseket a cég a support@fireeye.com címre várja.

Sokan szembesülnek a cloudos számlájuk elhízásával. Mint ahogyan a test számára is lehetséges egy jó étrend kialakítása a súlyfelesleg elkerülése érdekében, úgy egy kis tervezéssel a felhő költségei optimalizálhatók. Többek között ilyen témákkal foglalkozik a december 9-i HWSW meetup.

a címlapról

Hirdetés

FinOps: a fájdalommentes diéta titka a felhőben

2021. december 8. 08:44

Sokan szembesülnek a cloudos számlájuk elhízásával. Mint ahogyan a test számára is lehetséges egy jó étrend kialakítása a súlyfelesleg elkerülése érdekében, úgy egy kis tervezéssel a felhő költségei optimalizálhatók. Többek között ilyen témákkal foglalkozik a december 9-i HWSW meetup.