Samba heeft een zeer grote kwetsbaarheid CVE-2021-44.142, die net was hersteld in nieuwe releases 4.13.17, 4.14.12, evenals 4.15.5. gevonden door onderzoekers van TrendMicro, deze niet-geverifieerde RCE bug evalueert in een CVSS 9.9. De goedmaker is dat het moet de vrucht VFS module te zijn ingeschakeld, die wordt gebruikt voor MacOS client te ondersteunen evenals server interop. Indien ingeschakeld, de standaardinstellingen zijn kwetsbaar. Aanvallen zijn niet waargenomen in het wild nog niet, maar ga je gang en worden bijgewerkt, zoals PoC is waarschijnlijk zal afnemen binnenkort.
Crypto Down the Wormhole
Een opmerkelijk selling point om cryptocurrencies evenals Web3 zijn wijs contracten, bit computer programma’s die rechtstreeks op de blockchain die blik verhuizing fondsen rond zeer snel, zonder tussenkomst. Het is snel belanden wezen duidelijk dat de fel nadeel is dat zijn computer programma’s die kunnen verhuizing geld rond zeer snel, zonder tussenkomst. Deze week was er nog een voorbeeld van de wijze contracten op het werk, toen een aanvaller heb $ 326 miljoen waarde van Ethereum door het wormgat brug. Een cryptogeld brug is een dienst die bestaat als gekoppelde verstandig contracten op twee verschillende blockchains. Deze contracten kunt u een munt zet in op de ene kant, evenals neem het uit aan de andere kant, efficiënt overbrengen van valuta naar een andere blockchain. het bijstaan van ons besef van wat er mis ging is [Kelvin Fichter], eveneens goed worden begrepen als [smartcontracts].
Wanneer de brug maakt een overdracht worden afgezet tokens in de wijze opdracht op een blockchain, evenals een overdrachtsbericht ontstaat. Dit bericht is als een digitaal inspecteren account in, die u naar de andere kant van de brug naar contant geld. Het andere uiteinde van de brug controleert de handtekening op de “check”, alsmede indien wat wedstrijden, uw geld opdagen. Het probleem is dat een persoon de ene kant van de brug, kan de controle routine worden vervangen door een dummy routine, door de eindgebruiker, evenals de code niet vangen.
Het is een hete inspecteren oplichterij. De aanvaller produceerde een vervalste overdracht bericht, bood een valse controle routine, evenals de brug aanvaard het als echt. Het merendeel van het geld overgedragen terug over de brug, waarbij geldige penningen andere gebruikers werden gehouden, en de aanvaller liep weg met 90.000 van die ETH lopers.
De 9.8 CVE was dat niet
Omgaan met veiligheid en beveiliging rapporten kan een uitdaging zijn. Bijvoorbeeld, Engels is niet ieders eerste taal, dus als een e-mail is beschikbaar in met spelling en grammatica fouten, zou het eenvoudig om het te verwerpen, maar in sommige gevallen deze e-mails werkelijk bent u informeren over een ernstig probleem. evenals dan in sommige gevallen krijg je een rapport omdat iemand Chrome DevTools heeft gevonden voor de allereerste keer, maar ook heeft zij niet erkennen dat de regionale aanpassingen die niet worden geserveerd aan iedereen.
CVE-2022-0329 was een van die. De bundel in de zorg is de Python bibliotheek, loguru, die “Python logging gemaakt (dom) eenvoudig” heeft. Een belangrijke CVE in een logging bibliotheek? De Web kort collectief zette zich schrap voor een meer log4j stijl probleem. daarna begon veel meer mensen nemen een kijkje op de kwetsbaarheid rapport evenals bug rapport, evenals het gieten vraag over de geldigheid van de kwestie. Zozeer zelfs, dat de CVE is ingetrokken. precies hoe een niet-bug krijgen beoordeeld als een dergelijke hoge veiligheid en beveiliging probleem, dat GitHub was zelfs het verzenden van automatische kennis over het?
De theoretische kwetsbaarheid was een deserialisatie probleem, waar de augurk bibliotheek, opgenomen als een afhankelijkheid van loguru, niet veilig vertrouwde gegevens deserialize. Dat is een geldig probleem is echter het rapport niet in geslaagd om aan te tonen hoe loguru onbetrouwbare gegevens moeten worden gedeserialiseerd op een gevaarlijke manier in staat zou stellen.
Er is een idee in het spel, de “luchtdicht luik”. In elk type code base of het systeem, zal er een punt waarop manipuleren programmagegevens kan leiden tot uitvoering code. Dit is achter de luchtdichte luik bij het uitvoeren van die aanval behoeften al met beheer op het programma. In dit geval, als u het item dat augurk zal deserialize kunnen ontwikkelen, heb je al het uitvoeren van willekeurige code. Dat wil niet zeggen het is nooit geschikt om een dergelijk geval te repareren, maar dat de code van verharding, niet een kwetsbaarheid repareren.
Dat is waar deze ontspoorde. [Delgan], de ontwerper achter loguru werd overgehaald dit was niet een echte kwetsbaarheid, maar hij wilde wat code verharding rond het idee te doen, dus was het oorspronkelijke kwetsbaarheid rapport als geaccepteerd. Dit zette de geautomatiseerde machines in beweging, evenals een CVE is afgegeven. Dat CVE werd ingesteld als ongelooflijk serieus, op basis van een naïeve het begrijpen van het probleem, misschien ook een geautomatiseerde handeling. Deze geautomatiseerde razernij verder alle methode om een GitHub adviserend, voordat iemand eindelijk binnenkwamen en snijbloemen de stroom naar de out-of-control AutomatoN.
Windows EOP POC
In januari, Microsoft Patched CVE-2022-21882, een escalatie van het voorrecht in de Win32-code van Windows. Laat die truc je niet, het is ook aanwezig in 64-bits versies van Windows. Als je achterblijft op je updates, wil je misschien druk bezig zijn, omdat een bewijs van-concept nu is gevallen voor deze bug. Dit is gemeld als een patch-bypass, waardoor dit in wezen exact dezelfde onderliggende kwestie is als CVE-2021-1732.
Qnap vereist een update
En individuen zijn aangevinkt
QNAP evenals andere NAS-producenten zijn verplicht om hun veiligheids- en beveiligingsspel op te voeren, aangezien deze stijlgadgets nog een aantrekkelijker doelwit zijn voor Ransomware-dieven. Dus wanneer QNAP een fout heeft gevonden die werd uitgebuit in de malwarecampagne “Deadbolt”, kozen ze ervoor om een force-druk op de update aan te gaan naar elke persoon die automatisch bijgewerkt is ingeschakeld. Dit impliceert dat wanneer updates meestal zouden installeren, evenals aanvraag-instemming om opnieuw op te starten, deze spontaan opnieuw opgestart, misschien het doorgaan van gegevensverlies in het ergste geval.
QNAP heeft hun gedachten verstrekt in een reddit-thread op het onderwerp, evenals er enige geschil over hoe juist dit werkte. Ten minste één persoon is nogal nadrukkelijk dat deze functie is uitgeschakeld, evenals de update die nog steeds automatisch is geïnstalleerd. Wat gebeurd er?
Er is een officieel antwoord. In een eerdere update werd een nieuwe functie toegevoegd, de voorgestelde versie. Dit dient als een automatische update, maar alleen als er een groot probleem is. Dit is de instelling waarmee nodig is dat de vereiste duwt, evenals het standaard in staat is. (In billijkheid was het in de patch-notes.) Handling updates over apparaten zoals deze is altijd moeilijk, evenals het dreigende risico van Ransomware maakt het nog plotseling.
Dus wat denk je, was Qnap gewoon voor klanten zorgen? Of was deze verwant aan de kennisgeving van beschadiging van het huis van Arthur Dent, gepubliceerd in de kelder in de bodem van een vergrendelde archiefkast vastzitten in een niet-gebruikte toilet met een indicatie op de deur met ‘pas op voor de luipaard’. Laten we begrijpen in de opmerkingen, of als Discord jouw ding is, het nieuwe kanaal gewijd aan de kolom!