Брешь в Cryptsetup делает Linux-системы уязвимыми для атак

Брешь в Cryptsetup делает Linux-системы уязвимыми для атак

Брешь в Cryptsetup делает Linux-системы уязвимыми для атак

Уязвимость в утилите шифрования дисков Cryptsetup может подвергнуть некоторые системы Linux серьезной опасности локальных и удаленных атак. Однако разработчики на данный момент не считают эту проблему критической.

Дефект, обнаруженный экспертами Гектором Марко (Hector Marco) и Исмаилом Риполлом (Ismael Ripoll) позволяет злоумышленникам получить root-доступ, копировать и изменять данные на жестком диске. Уязвимость получила идентификатор CVE-2016-4484. Если у злоумышленника есть физический доступ к устройству, он может воспользоваться этой брешью, просто удерживая при загрузке клавишу "Enter" в течение примерно 70 секунд.

Уязвимость существует из-за того, что системный раздел шифруется с помощью стандарта шифрования Linux Unified Key Setup (LUKS). Благодаря неправильно реализованной проверке паролей на x86 системах, пользователи могут пытаться ввести пароль 93 раза при загрузке. После того, как этот предел достигнут, система открывает оболочку BusyBox.

Проще говоря, если злоумышленник введет пустой пароль 93 раза, или будет удерживать нажатой клавишу "Enter" в течение примерно 70 секунд, он получит доступ к root-оболочке.

По словам исследователей, злоумышленник, который имеет возможность перезагрузить систему, может повысить свои привилегии, копировать и удалять файлы на системе. Эксперты считают, что эта брешь довольно опасна.

«На самом деле, эта уязвимость очень серьезна, поскольку не зависит от конкретных систем или конфигураций. При этом злоумышленник может копировать, модифицировать, либо вообще уничтожить данные на жестком диске» - утверждают исследователи.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Операторы раскрыли белый список сервисов при отключении интернета

Минцифры опубликовало перечень российских ресурсов и сервисов, доступ к которым будет гарантирован даже в случае отключения мобильного интернета. Крупнейшие федеральные операторы связи к утру понедельника также раскрыли свои версии списков. Они включают наиболее востребованные и социально значимые онлайн-платформы, без которых повседневная жизнь пользователей и работа критической инфраструктуры оказались бы под угрозой.

О том, что ведомство совместно с регуляторами разработало техническую схему, позволяющую обеспечить доступ к определённому набору сервисов при ограничении мобильного интернета, министр цифрового развития Максут Шадаев сообщил месяц назад в кулуарах конференции «Цифровая эволюция».

В перечень, как уточнил министр, должны войти все сервисы, «необходимые для жизни», включая банки, маркетплейсы, службы доставки и заказа такси, а также ряд M2M-решений, прежде всего обеспечивающих работу банкоматов и платёжных терминалов.

Как сообщили источники РБК, к прошлой пятнице Минцифры подготовило список сервисов и сайтов, которые должны функционировать при отключении мобильного интернета. В него вошли «наиболее востребованные и социально значимые российские ресурсы», включая государственные порталы (сайты правительства, администрации президента, Госуслуги, платформу дистанционного голосования), крупнейшие банки (Сбер, Т-Банк, Газпромбанк, Альфа-банк), маркетплейсы Ozon и Wildberries, сервисы Яндекса, соцсети ВК и Одноклассники, сайт торговой сети «Магнит», Авито, Rutube, «Кинопоиск», а также сайты операторов «большой четвёрки».

Уже в пятницу «МегаФон» и «Вымпелком» заявили РБК, что реализовали доступ к сервисам из списка Минцифры. В «Вымпелкоме» также отметили, что помимо обязательных ресурсов будут поддерживать и работу мессенджера MAX.

Через несколько часов о предоставлении доступа к «белому списку» объявил Т2. Перечень этого оператора в целом совпадает с заданным Минцифры, однако был дополнен платформой Дзен.

«Мы понимаем, насколько критичен непрерывный доступ к мессенджерам, Госуслугам, картам и другим социально значимым сервисам. Наше решение позволяет сохранить его в зонах действия ограничений. Это компромиссный вариант, который решает проблему абонентов последних месяцев, не нарушая требований безопасности. Решение разработано совместно с профильными ведомствами и обеспечивает баланс между защитой критической инфраструктуры и поддержкой граждан. Мы будем отслеживать обратную связь от пользователей и при необходимости расширять список доступных ресурсов», — прокомментировала заместитель генерального директора по коммерческой деятельности Т2 Ирина Лебедева.

Сегодня перечень ресурсов, которые будут работать при ограничении мобильного интернета, представил МТС. Как сообщило издание «Рунет», список у этого оператора оказался самым коротким: из банковских сервисов там присутствует только Сбербанк Онлайн, а мессенджер MAX отсутствует.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru