Arquivo

Archive for the ‘Exploit’ Category

Lista de IPS atualizada do WHATS APP

29 de dezembro de 2015 Deixe um comentário
Whatsapp

IPS WHATSAPP

Lista atualizada de IP’s que o Whats App utiliza para a comunicação do aplicativo com os servidores.  A relação contém todos os blocos IPV4 e IPV6 utilizadas pelo app.

No caso de você querer bloquear o tráfego em sua rede para o Whats App, terá que bloquear todos os IPS na lista. Se não tiver saída v6, bloqueie apenas os IPv4.

LISTA DE IP’s: Clique aqui.

Para bloquear por nome, utilize os DNS listados nesta página: https://github.com/ukanth/afwall/wiki/HOWTO-blocking-WhatsApp

 

Anúncios

Patch para vulnerabilidade Heartbleed no Zimbra

16 de abril de 2014 Deixe um comentário
Exploit Zimbra - Heartbleed

Exploit Zimbra – Heartbleed

Patch para vulnerabilidade  Heartbleed no Zimbra

Aplicando patch de atualização do Openssl para evitar Exploit HeartBleed no Zimbra.

No post anterior eu falo sobre o heartbleed, então neste nós vamos direto meter a mãe na massa e tirar essa vulnerabilidade de nossa rede. Cara, tira esse exploit da tua rede, com isso um hacker consegue retirar informações muito importantes da tua rede, você nem imagina quais. Com uma praga dessa alocada em teu sistema de processamento, o hacker consegue capturar as chaves da criptografia e aí, ele está diretamente no núcleo de teu sistema de segurança.

Para identificar se seu Zimbra está infectado, use os comandos abaixo:

Vulnerável:

$ strings /opt/zimbra/openssl/lib/libssl.so | grep dtls1_heartbeat
dtls1_heartbeat
$

 

Não vulnerável:

$ strings /opt/zimbra/openssl/lib/libssl.so | grep dtls1_heartbeat
$

 

Caso você esteja vulnerável, confirme verificando a versão do seu Openssl:

Openssl version -a

 

Caso sua versão seja uma das listadas abaixo e os comandos acima retornaram dtls1_heartbeat, você precisará aplicar o patch abaixo.

As versões infectadas são:
1.0.1
1.0.2-beta
1.0.2-beta1
1.0.1f
1.0.2

 

Bom, partindo do pressuposto que você está infectado (LIKE ME), você precisará aplicar um patch de correção para limpar o malware. O Patch é bem simples, não necessita de reboot da máquina, apenas do serviço do zimbra, não demora nem 5 minutos a aplicação do patch. e o mesmo é bem simplex! Este pacth é válido para as versões ZCS versions 8.0.3, 8.0.4, 8.0.5, 8.0.6, or 8.0.7 e ZCA versions 8.0.3 or 8.0.4! Entretanto atuliza teu ambiente por sua conta em risco, não vem me culpar por nada depois que eu ainda vou rir.

Método 01 – Mais simples:

Use os comandos como root

cd /tmp/
wget http://files.zimbra.com/downloads/security/zmopenssl-updater.sh
chmod a+rx zmopenssl-updater.sh
./zmopenssl-updater.sh
su - zimbra
zmcontrol restart

 

Método 02 – Manual:

Baixe o pacote certo para sua instalação:
Use os comandos como root

cd /tmp

 

http://files.zimbra.com/downloads/8.0.3_GA/openssl/RHEL6_64/openssl-1.0.1d.tgz
http://files.zimbra.com/downloads/8.0.3_GA/openssl/SLES11_64/openssl-1.0.1d.tgz
http://files.zimbra.com/downloads/8.0.3_GA/openssl/UBUNTU10_64/openssl-1.0.1d.tgz
http://files.zimbra.com/downloads/8.0.3_GA/openssl/UBUNTU12_64/openssl-1.0.1d.tgz
http://files.zimbra.com/downloads/8.0.4_GA/openssl/RHEL6_64/openssl-1.0.1e.tgz
http://files.zimbra.com/downloads/8.0.4_GA/openssl/SLES11_64/openssl-1.0.1e.tgz
http://files.zimbra.com/downloads/8.0.4_GA/openssl/UBUNTU10_64/openssl-1.0.1e.tgz
http://files.zimbra.com/downloads/8.0.4_GA/openssl/UBUNTU12_64/openssl-1.0.1e.tgz
http://files.zimbra.com/downloads/8.0.5_GA/openssl/RHEL6_64/openssl-1.0.1e.tgz
http://files.zimbra.com/downloads/8.0.5_GA/openssl/SLES11_64/openssl-1.0.1e.tgz
http://files.zimbra.com/downloads/8.0.5_GA/openssl/UBUNTU10_64/openssl-1.0.1e.tgz
http://files.zimbra.com/downloads/8.0.5_GA/openssl/UBUNTU12_64/openssl-1.0.1e.tgz
http://files.zimbra.com/downloads/8.0.6_GA/openssl/RHEL6_64/openssl-1.0.1e.tgz
http://files.zimbra.com/downloads/8.0.6_GA/openssl/SLES11_64/openssl-1.0.1e.tgz
http://files.zimbra.com/downloads/8.0.6_GA/openssl/UBUNTU10_64/openssl-1.0.1e.tgz
http://files.zimbra.com/downloads/8.0.6_GA/openssl/UBUNTU12_64/openssl-1.0.1e.tgz
http://files.zimbra.com/downloads/8.0.7_GA/openssl/RHEL6_64/openssl-1.0.1f.tgz
http://files.zimbra.com/downloads/8.0.7_GA/openssl/SLES11_64/openssl-1.0.1f.tgz
http://files.zimbra.com/downloads/8.0.7_GA/openssl/UBUNTU10_64/openssl-1.0.1f.tgz
http://files.zimbra.com/downloads/8.0.7_GA/openssl/UBUNTU12_64/openssl-1.0.1f.tgz

Ou baixe um pacote MD5 disponível em um dos links abaixo, baixe o certo.

http://files.zimbra.com/downloads/8.0.3_GA/openssl/RHEL6_64/openssl-1.0.1d.tgz.md5sum
http://files.zimbra.com/downloads/8.0.3_GA/openssl/SLES11_64/openssl-1.0.1d.tgz.md5sum
http://files.zimbra.com/downloads/8.0.3_GA/openssl/UBUNTU10_64/openssl-1.0.1d.tgz.md5sum
http://files.zimbra.com/downloads/8.0.3_GA/openssl/UBUNTU12_64/openssl-1.0.1d.tgz.md5sum
http://files.zimbra.com/downloads/8.0.4_GA/openssl/RHEL6_64/openssl-1.0.1e.tgz.md5sum
http://files.zimbra.com/downloads/8.0.4_GA/openssl/SLES11_64/openssl-1.0.1e.tgz.md5sum
http://files.zimbra.com/downloads/8.0.4_GA/openssl/UBUNTU10_64/openssl-1.0.1e.tgz.md5sum
http://files.zimbra.com/downloads/8.0.4_GA/openssl/UBUNTU12_64/openssl-1.0.1e.tgz.md5sum
http://files.zimbra.com/downloads/8.0.5_GA/openssl/RHEL6_64/openssl-1.0.1e.tgz.md5sum
http://files.zimbra.com/downloads/8.0.5_GA/openssl/SLES11_64/openssl-1.0.1e.tgz.md5sum
http://files.zimbra.com/downloads/8.0.5_GA/openssl/UBUNTU10_64/openssl-1.0.1e.tgz.md5sum
http://files.zimbra.com/downloads/8.0.5_GA/openssl/UBUNTU12_64/openssl-1.0.1e.tgz.md5sum
http://files.zimbra.com/downloads/8.0.6_GA/openssl/RHEL6_64/openssl-1.0.1e.tgz.md5sum
http://files.zimbra.com/downloads/8.0.6_GA/openssl/SLES11_64/openssl-1.0.1e.tgz.md5sum
http://files.zimbra.com/downloads/8.0.6_GA/openssl/UBUNTU10_64/openssl-1.0.1e.tgz.md5sum
http://files.zimbra.com/downloads/8.0.6_GA/openssl/UBUNTU12_64/openssl-1.0.1e.tgz.md5sum
http://files.zimbra.com/downloads/8.0.7_GA/openssl/RHEL6_64/openssl-1.0.1f.tgz.md5sum
http://files.zimbra.com/downloads/8.0.7_GA/openssl/SLES11_64/openssl-1.0.1f.tgz.md5sum
http://files.zimbra.com/downloads/8.0.7_GA/openssl/UBUNTU10_64/openssl-1.0.1f.tgz.md5sum
http://files.zimbra.com/downloads/8.0.7_GA/openssl/UBUNTU12_64/openssl-1.0.1f.tgz.md5sum

cd /opt/zimbra
mv openssl-OLDVERSION openssl-OLDVERSION.brokenheart
tar xfz /tmp/openssl-NEWVERSION.tgz
su - zimbra
zmcontrol restart

 

Repita os passos:

Vulnerável:

$ strings /opt/zimbra/openssl/lib/libssl.so | grep dtls1_heartbeat
dtls1_heartbeat
$

 

Não vulnerável:

$ strings /opt/zimbra/openssl/lib/libssl.so | grep dtls1_heartbeat
$

 

Caso ainda esteja vulnerável, veja se fez tudo certo.

PS: Estes métodos funcionam no Zimbra de forma perfeita, sem afetar nada de produção e remove 100% a praga em questão. ENTRETANTO eu não testei em outros sistemas do tipo apache, vpn e etc e tals.

 

 

Fontes:

  • Zimbra Google Groups

Testar vulnerabilidade do OPENSSL do HeartBleed

16 de abril de 2014 Deixe um comentário
Exploit HeartBleed

Exploit HeartBleed

A biblioteca criptográfica OpenSSL protege nomes de usuários, senhas, números de cartões de crédito e de débito e outras informações confidenciais do usuário. Uma falha no código SSL pode permitir a um invasor obter acesso à memória do sistema, que potencialmente pode conter informações ou comunicações confidenciais.

O SSL/TLS é amplamente empregado para proteger a comunicação através de websites, e-mail, mensagens instantâneas, etc. Ele pode ser reconhecido pelo prefixo “https” ou por um cadeado na barra de endereços de um navegador.

Portanto, a falha permite que os atacantes extraiam informações de grandes bancos de dados os quais contêm nomes de usuários, senhas e outras informações confidenciais.

Segundo a companhia de segurança Vasco, além de permitir que um hacker obtenha parte da memória de um servidor impactado, sob certas circunstâncias, o bug também permite a obtenção de dados sensíveis que tenham sido trocados no passado através de um servidor SSL/TLS vulnerável. Empregando a chave privada SSL/TLS de uma aplicação na Internet comprometida, o criminoso também pode dar vida a servidores falsos se apresentando graficamente como o original.

Como a ameaça se aproveita de servidores, e não dos dispositivos de consumo, as empresas de serviços online precisam atualizar para a versão mais recente do OpenSSL, a 1.0.1g, a fim de mitigar e corrigir esta brecha na segurança.

– See more at: http://idgnow.com.br/blog/circuito/2014/04/15/heartbleed-tudo-o-que-voce-precisa-saber-sobre-a-falha-no-openssl/#sthash.BmfUYb83.dpuf

Testar vulnerabilidade do OPENSSL do HeartBleed

Bom todos conhecem o OpenSSL e a importância dele em nosso cotidiano. Para ler este post, você devem estar ciente do risco que esta biblioteca pode trazer em sua vida.

O Openssl é uma biblioteca que implementa funções criptográficas através dos protocolos SSL e TLS. Por ser escrita em c++ esta disponível para sistemas operacionais Unix, Linux, Mac OS X, BSD e Ruindows.

O problema é que recentemente foi descoberta uma falha no código SSL que dependendo da versão do Openssl pode permitir que um hacker obtenha acesso à dados contidos na memória do servidor como senhas, e outras informações confidenciais.

O SSL/TLS é amplamente empregado para proteger a comunicação através de websites, e-mail, mensagens instantâneas, etc. Ele pode ser reconhecido pelo prefixo “https” ou por um cadeado na barra de endereços de um navegador.

Portanto, a falha permite que os atacantes extraiam informações de grandes bancos de dados os quais contêm nomes de usuários, senhas e outras informações confidenciais.

Um outro problema grave é que com a exploração um hacker obtém a chave privada TLS/SSL de determinada aplicação, a partir deste ponto o hacker pode dar vida a servidores fake se apresentando graficamente como o servidor original, já que possui a chave TLS/SSL.

As versões vulneráveis do OpenSSL são (Segundo o openssl https://www.openssl.org/news/secadv_20140407.txt):

OpenSSL Security Advisory [07 Apr 2014]
========================================
TLS heartbeat read overrun (CVE-2014-0160)
==========================================
A missing bounds check in the handling of the TLS heartbeat extension can be used to reveal up to 64k of memory to a connected client or server.

Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including 1.0.1f and 1.0.2-beta1.

Thanks for Neel Mehta of Google Security for discovering this bug and to Adam Langley <agl@chromium.org> and Bodo Moeller <bmoeller@acm.org> for preparing the fix.

Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.
1.0.2 will be fixed in 1.0.2-beta2.

Para verificar se seu ambiente está comprometido, faça um teste no site abaixo:

https://filippo.io/Heartbleed/

De acordo com o resultado, aplique o patch necessário em seu ambiente conforme a versão do seu Openssl.

Para ver a versão do seu Openssl utilize:

openssl version -a

 

Após o comando acima, compare sua versão com as versões infectadas acima.

[]’s

 

 

 

Aumentando segurança contra Exploits!!!

2 de fevereiro de 2014 Deixe um comentário
Security_Exploits

Security_Exploits

Aumentando segurança contra Exploits!!!

Um exploit é um software cuja finalidade é explorar algum bug conhecido em outro software fazendo com que este bug explorado tenha algum tipo de comportado determinado, como os abaixo:

– Conceder permissão de acesso a algumas informações,
– Acesso de escrita e leitura nos files do software explorado,
– Que faça com que o software explorado deixe de funcionar,
– Que apague os arquivos do software explorado
– Ou uma das piores formas, conceder acesso privilegiado ao Sistema Operacional
– Dentre outras ações.
 

Em resumo, um exploit é um software mal intencionado que geralmente vai trazer problemas ao Administrador da Rede, principalmente se ele tiver servidores de bunda da lua (Nunca faça isso, tenha amor próprio!!!).

Bom, a solução que vou citar aqui, é a que eu utilizo no meu dia-a-dia. Claro que junto com algumas outras regras de segurança. Enfim, vamos lá.

Na empresa onde eu trabalho, não tenho a necessidade de estar recebendo muitos acessos de fora do Brasil, todos os nossos serviços online são consumidos por IP’s nacionais. Raras são as exceções em que um cliente viaja para fora do Brasil e precisa imprimir um boleto e etc e tal.

Mas como disse, todos os nossos serviços que são disponibilizados na web, são consumidos por IP’S brasileiros. Então por quais motivos eu deixaria o resto do mundo ficar acessando meus serviços on line? Nenhum.

Você já reparou o log de acesso SSH no ser roteador de borda? O log de tentativas telnet? Melhor, dá uma olhada no teu mail.log e veja a quantidade de conexões maliciosas vindas de fora do Brasil. São muitas.

Por conta do exposto acima, eu resolvi bloquear o resto do mundo inteiro da minha rede, conexões do resto do mundo só são permitas caso o Socket já esteja aberta e tenha sido solicitado por parte da minha rede, caso contrário: “Tchau pacote malicioso!”.

Mas antes, vamos pensar numa situação, muitas empresas colocam seus servidores de email em Hosting’s, alguns deles brasileiros outros não, algumas empresas de hosting do Brasil, mantém servidores dedicados fora do Pais pela relação custo-benefício.

Isso acaba gerando um tráfego “gringo” na porta 25, que faz com que muitos pacotes de IPS fora do Brasil cheguem em suas rede sem intenção maliciosa, que no caso, DEVEM ser liberados.

Ou seja, pode bloquear tudo que for de fora do Brasil, mas mantenha aberta a porta 25, que é por onde os servidores de email (Mail Transfer Protocol) se comunicam entre sim para entrega de mensagens.

Para pegar os IPS Brasileiros, eu consulto o site http://www.blockcountryip.com/ onde tem a relação de ips de todos os países (IPv4). A relação já vem pronta pro modelo Cisco IOS (DENY FROM). Este site diz todos os ips que devem ser bloqueados de determinado país.

deny_from_brazil

deny_from_brazil

A lista é grande, são 278 prefixo brasileiros.

Claro que não vamos colocar uma regra bloqueando cada prefixo que não esteja na lista acima, mas sim permitir todos os ips brasileiros e em no final bloquear o resto 0.0.0.0/0. Afinal de contas, devemos sempre otimizar o processamento do roteador

Ou seja, para que possamos fazer um bloqueio bonitinho para IP’s estrangeiros que detém cerca de 95% do tráfego malicioso (Spam, sniffers, exploits, brute force, Pings, Flood UDP), devemos (no meu caso, avalie o seu!) proceder da seguinte forma.

01 – Liberar todo o tráfego na porta 25, independente se o IP é brasileiro ou não.
02 – Manter seu servidor web sempre atualizado e estar antenado em patches de segurança.
03 – Liberar a porta 80 dele, independente se o IP é brasileiro ou não. Sempre tem clientes que viajam para o exterior e precisam gerar o boleto para enviar para alguém no Brasil pagar.  Tenha atenção quanto a regra 02 por favor.
04 – Criar regras para LIBERAR (permit ou accept, varia de IOS para IOS) os 278 prefixos v4 de Origem nacional.
05 – Bloquear todo o tráfego restante representado por 0.0.0.0/0
06 – Observando se houve atualizações na lista (próximo post será sobre atualizações de Ips Brasileiros)

 

Pronto, com isso você eliminou os sniffadores chineses que todo dia varrem todas as portas de todos os seus IP’S, você bloqueou robos de estarem varrendo seu servidor WEB, você bloqueou um ataque de smtp autenticado no seu servidor de email. Você bloqueou qualquer tentativa de acesso SSH, Telnet, FTP ou qualquer outro serviço que o estagiário tenha levantado de teste e esqueceu de stopar o serviço (FDP!!!).

Entretanto, tudo o que foi falado acima não lhe protege contra ataques vindo de IP’S nacionais. 

Com certeza a China, EUA, Coréia… Devem ter servidores no Brasil com o intuito de continuar a sniffar suas portas, seus serviços e seus IP’s, mas dificilmente irão atacar por esses servidores.

Tem dois ditados na área de TI que devem sempre ser seguidos:

– Só Jesus salva, o resto faz Backup!
– Quem AMA, BLOQUEIA!

Se você ainda não teve a chance de contornar um ataque, ouça, é uma situação horrível. Portanto, BLOQUEIE!