Zestawienie tygodniowe 6 – 13 lipca

Dlaczego warto zaktualizować swojego Junipera?

Ano dlatego, że w tym tygodniu Juniper Networks załatał wiele luk w swoich produktach, głównie takich, które można wykorzystać do ataków typu „odmowa usługi” (DoS). Firma opublikowała kilkanaście porad, które opisują kilka słabych punktów charakterystycznych dla produktów Juniper, a także dziesiątki wad mających wpływ na komponenty innych firm.

Większość słabości wpływa na system operacyjny Junos, ale niektóre dotyczą Juniper Secure Analytics, Junos Space i Junos Space Security Director.

Jedną z najpoważniejszych luk w oprogramowaniu Juniper jest CVE-2020-1647, krytyczny podwójny problem dotyczący zapór ogniowych serii SRX z włączoną usługą przekierowania ICAP. Może pozwolić zdalnemu atakującemu wywołać warunek DoS lub wykonać dowolny kod, wysyłając specjalnie spreparowane wiadomości HTTP.

Kolejnym krytycznym błędem bezpieczeństwa jest CVE-2020-1654, który może również powodować DoS lub zdalne wykonanie kodu. Luka ta wpływa również na zapory SRX, jeśli usługa ICAP jest włączona i można ją wykorzystać przy użyciu złośliwych wiadomości HTTP.

Pół tuzina luk w zabezpieczeniach zostało ocenionych jako bardzo dotkliwe, a wszystkie z nich można wykorzystać do ataków DoS, w tym do ataków trwałych. Wady o średnim stopniu zagrożenia mogą być również wykorzystane do ataków DoS. Firma usunęła również dziesiątki luk w zabezpieczeniach wpływających na komponenty innych firm, w tym problemy rozwiązane przed laty przez ich programistów. Lista obejmuje OpenSSL, oprogramowanie wewnętrzne Intel, Bouncy Castle, Java SE, oprogramowanie Apache i inne.

Juniper Networks twierdzi, że nie wie o żadnych atakach wykorzystujących luki, które załatano w tym tygodniu. W ubiegłym miesiącu kilkunastu urzędników USA wysłało list do Juniper z zapytaniem o wyniki dochodzenia wszczętego w 2015 r. po odkryciu backdoora. Firma otrzymała miesiąc na udzielenie odpowiedzi na osiem pytań, a termin upływa w piątek.

Bug bounty od Facebooka

Facebook ogłosił w piątek, że oferuje znaczące nagrody za pośrednictwem swojego programu premiowania za błędy za luki znalezione w Hermes i Spark AR.

Hermes to silnik JavaScript, który Facebook opublikował rok temu jako open source. Hermes jest używany przez aplikacje React Native na Androida i inne oprogramowanie, w tym Spark AR, platformę rzeczywistości rozszerzonej, która służy do tworzenia efektów na Facebooku, Instagramie, a nawet na inteligentnych wyświetlaczach portalu.

Luki znalezione w natywnym kodzie Facebooka zostały objęte programem premiowym za błędy, ale firma twierdzi, że chce zachęcić badaczy bezpieczeństwa do analizy Hermes i Spark AR, dlatego znacznie zwiększyła liczbę bonusów.

Na przykład „biały kapelusz” może zarobić 25 000 USD, jeśli zgłosi lukę w zabezpieczeniach lub łańcuch exploitów, który umożliwia zdalne wykonanie kodu podczas działania efektu Spark AR. Exploit może atakować bezpośrednio platformę Spark AR lub maszynę wirtualną Hermes JavaScript.

„Kwota może zostać dostosowana w zależności od konkretnego błędu i wykorzystania. Na przykład łańcuch wykorzystujący brak obejścia ASLR może spowodować nieco niższą wypłatę. Podobnie, zapis poza granicami kraju, w którym nie ma wyraźnej ścieżki do RCE, otrzyma niższą wypłatę” – wyjaśnił Facebook.

Luka umożliwiająca atakującemu odczyt danych użytkownika może być warta średnio 15 000 USD. Błędy typu „odmowa usługi” (DoS) wynikające z błędów odczytu lub zapisu poza zakresem mogą zarobić naukowców od 500 do 3000 USD.

Mogą również zarobić premię w wysokości do 15 000 USD, jeśli zapewnią pełny exploit-proof-of-concept (PoC), lub 40 000 USD za lukę w zabezpieczeniach umożliwiającą zdalne wykonanie kodu.