The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Серьёзная уязвимость в системе управления конфигурацией Ansi..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Серьёзная уязвимость в системе управления конфигурацией Ansi..."  +/
Сообщение от opennews (??) on 12-Янв-17, 11:17 
В системе управления конфигурацией Ansible (https://www.ansible.com/)  выявлена (https://www.computest.nl/advisories/CT-2017-0109_Ansible.txt)  уязвимость (CVE-2016-9587 (https://security-tracker.debian.org/tracker/CVE-2016-9587)), позволяющая организовать выполнение команд на стороне управляющего сервера Ansible (Controller) через манипуляции на подчинённых хостах. Например, в случае компрометации одного из клиентских серверов, конфигурация которого настраивается через Ansible, атакующие могут получить доступ к управляющему серверу и через него ко всем остальным управляемым через Ansible хостам сети.

Проблема проявляется во всех выпусках Ansible и устранена (http://www.mail-archive.com/ansible-project@googlegroup...) в предварительных выпусках 2.1.4 и 2.2.1, которые пока имеют статус кандидатов в релизы. Исправление также доступно (https://github.com/ansible/ansible/commit/ec84ff6de6eca9224b...) в виде патча. Уязвимость связана с возможностью применения в команде lookup (http://docs.ansible.com/ansible/playbooks_lookups.html) переменной ansible_python_interpreter, позволяющей организовать выполнение кода на стороне управляющего сервера, вернув в ответ на запрос сервера специально оформленный набор атрибутов.

Доступен (https://www.computest.nl/advisories/CT-2017-0109_Ansible.txt) рабочий прототип эксплоита.


URL: http://www.mail-archive.com/ansible-project@googlegroup...
Новость: http://www.opennet.dev/opennews/art.shtml?num=45842

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."  +/
Сообщение от Клыкастый (ok) on 12-Янв-17, 11:19 
знойная дырка
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

54. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."  +/
Сообщение от Аноним (??) on 13-Янв-17, 07:27 
А говорили питон безопаснее пхп. А оказалось одинаково.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."  –2 +/
Сообщение от anonymous (??) on 12-Янв-17, 12:19 
А я ведь точно такую же новость читал совсем недавно. Про crush-report в убунте. На чужих ошибках учиться решительно не желаем!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."  +/
Сообщение от Аноним (??) on 12-Янв-17, 15:29 
Ansible принадлежит RedHat.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

11. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."  +4 +/
Сообщение от rshadow (ok) on 12-Янв-17, 13:13 
На мобильнике эта новость за экран выползла (сижу на mobile.opennet.ru). Поправьте пожалуйста верстку.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."  +15 +/
Сообщение от Аноним (??) on 12-Янв-17, 13:39 
Единственный комментарий, имеющий отношение к новости -)
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

15. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."  +/
Сообщение от rshadow (ok) on 12-Янв-17, 13:42 
:-)
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

17. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."  +6 +/
Сообщение от Аноним (??) on 12-Янв-17, 14:01 
У них нет CSS-разработчика и HTML архитектора.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

16. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."  –5 +/
Сообщение от IB on 12-Янв-17, 13:45 
Как будто никто не знал что это хипсторский "мега-продукт".

Впрочем огород на баше и ССШ будет с большой вероятностью ещё хуже.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."  –2 +/
Сообщение от Аноним (??) on 12-Янв-17, 14:41 
> Впрочем огород на баше и ССШ будет с большой вероятностью ещё хуже.

Фишка огорода в том что его "автоматическими способами" сложно сломать, т.к. у каждого свой забор.

p.s. Даже если у вас левая админка на сайте доступна для всех у кого есть url (admin.site.zone/dgosidhygwut3oihgfwpeoriwpifpfs) то ожидать взлома можно только при индивидуальном подходе.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

23. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."  +4 +/
Сообщение от Crazy Alex (ok) on 12-Янв-17, 14:50 
Это вы здесь за проприетарщину и security by obscurity агитировать пытаетесь?
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

26. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."  –2 +/
Сообщение от Аноним (??) on 12-Янв-17, 15:00 
> Это вы здесь за проприетарщину и security by obscurity агитировать пытаетесь?

Нет просто контр-аргумент :)

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

24. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."  +/
Сообщение от rshadow (ok) on 12-Янв-17, 14:50 
А потом окажется что кто-то отправил ссылку по почте в незашифрованном виде, а где то стоит сканер и собирает все урлы *admin*.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

25. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."  +/
Сообщение от Аноним (??) on 12-Янв-17, 15:00 
> А потом окажется что кто-то отправил ссылку по почте в незашифрованном виде,
> а где то стоит сканер и собирает все урлы *admin*.

И? А там нестандартная админка, в ручную всё разбирают?

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

35. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."  +1 +/
Сообщение от www2 (ok) on 12-Янв-17, 17:26 
Всё проще - открыл в хроме и гугль уже запустил по этой ссылке своих ботов для поиска, а дальше весь интернет об этой ссылке знает.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

36. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."  +/
Сообщение от Аноним (??) on 12-Янв-17, 17:31 
> Всё проще - открыл в хроме и гугль уже запустил по этой
> ссылке своих ботов для поиска, а дальше весь интернет об этой
> ссылке знает.

Да даже если бы это было правдой, какова вероятность что кто-то зайдёт по ней и что-то сделает ( да ещё и составит такой запрос который её покажет не на 1000-й странице, ведь там столько интересных и уникальных текстов, в самописной админке то?) А даже банальный пароль на уровне apache уже сделает сценарий несанкционированного доступа без инсайда совсем невероятным.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

47. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."  +/
Сообщение от Аноним (??) on 12-Янв-17, 22:45 
Я бы не стал надеяться на то, что кто-то что-то не найдёт хоть на тысячной странице, хоть на десятитысячной. Искать всё равно будут — если будут — не вручную. А боту всё равно сколько страниц, он железный.
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

40. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."  +/
Сообщение от Аноним84701 (ok) on 12-Янв-17, 18:56 
> А потом окажется что кто-то отправил ссылку по почте в незашифрованном виде,
> а где то стоит сканер и собирает все урлы *admin*.

Если по скайпу, то не "где-то" ;)

http://www.h-online.com/security/news/item/Skype-with-care-M...
> A reader informed heise Security that he had observed some unusual network traffic following a Skype instant messaging conversation ... It turned out that an IP address which traced back to Microsoft had
> accessed the HTTPS URLs previously transmitted over Skype. Heise Security then reproduced the events by sending two test HTTPS URLs, one containing login information and one pointing to a private cloud-based file-sharing service.
> A few hours after their Skype messages, they observed the following in the server log:
> 65.52.100.214 - - [30/Apr/2013:19:28:32 +0200]
> "HEAD /.../login.html?user=tbtest&password=geheim HTTP/1.1"
>  The access is coming from systems which clearly belong to Microsoft.
> Source: Utrace They too had received visits to each of the HTTPS URLs transmitted over Skype from an IP
> address registered to Microsoft in Redmond.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

43. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."  +/
Сообщение от Ъ on 12-Янв-17, 21:42 
> Даже если у вас левая админка на сайте доступна для всех у кого есть url (admin.site.zone/dgosidhygwut3oihgfwpeoriwpifpfs) то ожидать взлома можно только при индивидуальном подходе.

А потом однажды обнаруживается, что подобный суперсекретный путь проиндексировался Google... Знаем, проходили.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

49. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."  +1 +/
Сообщение от Led (ok) on 13-Янв-17, 00:53 
> Впрочем огород на баше и ССШ будет с большой вероятностью ещё хуже.

Ну, огороднику виднее...

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

52. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."  –1 +/
Сообщение от Аноним (??) on 13-Янв-17, 06:37 
> Ну, огороднику виднее...

А что, садоводы уже вынесли у себя третий баш, чтобы над огородниками стебаться?

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

20. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."  +1 +/
Сообщение от csa (??) on 12-Янв-17, 14:48 
# ansible --version
ansible 2.1.1.0

запускает такую команду:
ssh -C -q -o ControlMaster=auto -o ControlPersist=60s \
  -o KbdInteractiveAuthentication=no \
  -o PreferredAuthentications=gssapi-with-mic,gssapi-keyex,hostbased,publickey \
  -o PasswordAuthentication=no -o ConnectTimeout=10 \
  -o ControlPath=/home/user/.ansible/cp/ansible-ssh-%h-%p-%r \
  -tt \
  <hostname> /bin/sh -c '....'

-o ForwardAgent=no я там не вижу, а значит как только админ с ForwardAgent=yes в конфиге ssh зайдет на инфицированный хост - все хосты, куда подходит его ключ, будут доступны

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."  +/
Сообщение от csa (??) on 12-Янв-17, 14:50 
хихи, как подсказывают коллеги, и отключить-то не всегда можно, особенно когда нужен git с приватного репа
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

28. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."  –3 +/
Сообщение от nemo (??) on 12-Янв-17, 15:37 
Админ с ForwardAgent=yes в конфиге ssh -- это либо лентяй, либо суицидальник припадочный. Такие должны погибать.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

38. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."  +5 +/
Сообщение от angra (ok) on 12-Янв-17, 18:31 
Либо понимает как это работает, какие потенциальные риски несет и как их избежать. В отличии от дилетанта, который просто где-то прочитал, что ForwardAgent это опасно, но не удосужился понять почему и тупо как обезьянка его отключает.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

42. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."  +/
Сообщение от anonymous (??) on 12-Янв-17, 20:53 
> Админ с ForwardAgent=yes в конфиге ssh -- это либо лентяй, либо суицидальник
> припадочный. Такие должны погибать.

А каким ещё образом можно использовать бастион-хост? Не, ну можно держать запароленные ключи прямо на нём и делать ssh-add, но всё равно в итоге у тебя на хосте открытый сокет, с помощью которого можно соединиться с другими хостами от твоего имени.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

48. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."  +/
Сообщение от solardiz (ok) on 12-Янв-17, 23:58 
> А каким ещё образом можно использовать бастион-хост?

Вот таким: http://openwall.info/wiki/internal/ssh#How-to-access-intrane...

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

55. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."  +1 +/
Сообщение от Аноним (??) on 13-Янв-17, 10:41 
Это хреновый способ, т.к. надо вручную пробрасывать порты, что довольно геморно и люди на это забьют. Правильный способ, если боишься компрометации бастиона - ProxyJump или ProxyCommand: https://en.wikibooks.org/wiki/OpenSSH/Cookbook/Proxies_and_J...
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

56. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."  +/
Сообщение от solardiz (ok) on 14-Янв-17, 23:57 
> Правильный способ, если боишься компрометации бастиона -
> ProxyJump или ProxyCommand: https://en.wikibooks.org/wiki/OpenSSH/Cookbook/Proxies_and_J...

Спасибо, хорошее описание, особенно начиная с https://en.wikibooks.org/wiki/OpenSSH/Cookbook/Proxies_and_J... (выше этого места описаны и небезопасные способы тоже). Добавил эту ссылку на Openwall wiki.

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

46. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."  +1 +/
Сообщение от Аноним (??) on 12-Янв-17, 22:41 
$ grep -i 'forwardagent.*yes' ~/.ssh/config | wc -l
14

Приезжай в любое время и погибни меня, ламер.

Понабирали каких-то попугаев в админы и на опеннет комментировать отправили.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

34. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."  +/
Сообщение от анонимус вульгарис on 12-Янв-17, 17:04 
Багрепорт-то отправил, умник?
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

31. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."  +/
Сообщение от анонимус вульгарис on 12-Янв-17, 16:22 
Эта штука написана таким образом, чтобы интерпретировать всё подряд как код. Чему тут удивляться. Впрочем, это вполне в традициях python way.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру