Πάρτε τον έλεγχο ενός συστήματος Linux σε 70 δεύτερα

Επιτιθέμενοι χρειάζονται λίγο περισσότερο από ένα λεπτό για να αποκτήσουν πρόσβαση σε συστήματα Linux, κρατώντας πατημένο το πλήκτρο Enter για 70 δευτερόλεπτα ακριβώς. Το συγκεκριμένο “hack” τους κάνει δώρο ένα root initramfs shell.

To απλό υπάρχει λόγω ενός bug στο Linux Unified Key Setup () που ται από δημοφιλείς διανομές του Linux.
linux-bug

Να αναφέρουμε ότι με την shell πρόσβαση, ένας εισβολέας θα μπορούσε να αποκρυπτογραφήσει συστήματα. Η επίθεση λειτουργεί επίσης και σε εικονικά συστήματα Linux στο Cloud.

Το Debian και το Fedora είναι δύο διανομές που έχει επιβεβαιωθεί ότι είναι ευπαθείς στο πρόβλημα.

Το πρόβλημα εντοπίστηκε από τον Hector Marco, λέκτορα στο University West of Scotland, μαζί με επίκουρο καθηγητή Ismael Ripoll από το Polytechnic University of Valencia. Οι ερευνητές λένε ότι το πρόβλημα δεν απαιτεί ιδιαίτερη διαμόρφωση του συστήματος και αναφέρουν:

Αυτή η ευπάθεια επιτρέπει [στον hacker] να αποκτήσει ένα root initramfs shell στα επηρεαζόμενα συστήματα. Η ευπάθεια είναι πολύ αξιόπιστη, γιατί δεν εξαρτάται από συγκεκριμένα συστήματα ή διαμορφώσεις.

Οι επιτιθέμενοι μπορούν να αντιγράψουν, να τροποποιήσουν ή να καταστρέψουν το σκληρό δίσκο, καθώς να δημιουργήσουν ένα δίκτυο για να εξάγουν τα . Η ευπάθεια είναι ιδιαίτερα σοβαρή σε περιβάλλοντα όπως βιβλιοθήκες, ΑΤΜ, ματα αεροδρομίου, εργαστήρια, κλπ, όπου για την όλη διαδικασία εκκίνησης η προστασία είναι στο password του BIOS και στο GRUB και διαθέτουν μόνο ένα πληκτρολόγιο ή και ένα ποντίκι.

Το exploit έχει επιδιορθωθεί σύμφωνα με τους Marco και Ripoll.

http://hmarco.org/bugs/CVE-2016-4484/CVE-2016-4484_cryptsetup_initrd_shell.html

Get the best viral stories straight into your inbox!















giorgos

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).