Encontraron una vulnerabilidad VFS en Linux que permite la escalada de privilegios

Hace pocos dias se dio a conocer la noticia de que se identificó la vulnerabilidad (ya catalogada bajo CVE-2022-0185) en la API de contexto del sistema de archivos proporcionada por el kernel de Linux que podría permitir que un usuario local obtenga privilegios de root en el sistema.

Se menciona que el problema es que un usuario sin privilegios puede obtener dichos permisos en un contenedor aislado si el soporte para espacios de nombres de usuario está habilitado en el sistema.

Por ejemplo, los espacios de nombres de usuario están habilitados de manera predeterminada en Ubuntu y Fedora, pero no están habilitados en Debian y RHEL (a menos que se usen plataformas de aislamiento de contenedores). Además de la escalada de privilegios, la vulnerabilidad también se puede utilizar para salir de un contenedor aislado si el contenedor tiene la autorización CAP_SYS_ADMIN.

La vulnerabilidad existe en la función legacy_parse_param() en VFS y se debe a la falta de una validación adecuada del tamaño máximo de los parámetros proporcionados en los sistemas de archivos que no son compatibles con la API de contexto del sistema de archivos.

Recientemente, varios amigos de mi equipo CTF Crusaders of Rust y yo encontramos un desbordamiento del montón del kernel de Linux 0-day. Encontramos el error a través de fuzzing con syzkaller y rápidamente lo desarrollamos en un exploit LPE de Ubuntu. Luego, lo reescribimos para escapar y rootear la infraestructura reforzada de CTF de Kubernetes de Google. Este error afecta a todas las versiones del kernel desde la 5.1 (la 5.16 está actualmente en curso) y se le ha asignado CVE-2022-0185. Ya hemos informado esto a la lista de correo de seguridad y distribución de Linux, y el error se corrigió a partir del lanzamiento de este artículo

Al pasar un parámetro demasiado grande, puede provocar un desbordamiento de la variable entera utilizada para calcular el tamaño de los datos que se escriben; el código tiene una verificación de desbordamiento de búfer «if (len > PAGE_SIZE – 2 – size)», que no funciona si el valor de tamaño es mayor que 4094 debido al desbordamiento de enteros a través del límite inferior (desbordamiento de enteros, cuando convierte 4096 – 2 – 4095 a int sin firmar, obtiene 2147483648).

Este error permite, al acceder a una imagen FS especialmente diseñada, provocar un desbordamiento del búfer y sobrescribir los datos del kernel que siguen al área de memoria asignada. Para explotar la vulnerabilidad, se requieren derechos CAP_SYS_ADMIN, es decir, autoridad del administrador.

A partir de 2022, nuestros compañeros de equipo se resolvieron a encontrar un día 0 en 2022. No estábamos muy seguros de cómo comenzar exactamente, pero dado que nuestro equipo tenía un alto grado de familiaridad con las vulnerabilidades del kernel de Linux, decidimos simplemente comprar algunos servidores dedicados. y ejecuta el fuzzer syzkaller de Google. El 6 de enero a las 22:30 PST, chop0 recibió el siguiente informe sobre una falla de KASAN en legacy_parse_param: slab-out-of-bounds Write in legacy_parse_param. Parece que syzbot encontró este problema solo 6 días antes cuando fuzzing Android, pero el problema no se manejó y pensamos ingenuamente que nadie más se dio cuenta.

Finalmente, cabe mencionar que el problema se ha estado manifestando desde la versión del kernel de Linux 5.1 y se solucionó en las actualizaciones que fueron lanzadas hace pocos dias en las versiones 5.16.2, 5.15.16, 5.10.93, 5.4.173.

Ademas de que ya se han publicado actualizaciones de paquetes de vulnerabilidades para RHELDebianFedora y Ubuntu. Mientras que la solución aún no está disponible en Arch LinuxGentooSUSE y openSUSE.

Para el caso de estas se menciona que como solución de seguridad para los sistemas que no utilizan el aislamiento de contenedores, puede establecer el valor de sysctl «user.max_user_namespaces» en 0:

El investigador que identificó el problema ha publicado una demostración de un exploit que permite ejecutar el código como root en Ubuntu 20.04 en la configuración predeterminada. Está previsto que el código de explotación se publique en GitHub dentro de una semana después de que las distribuciones publiquen una actualización que solucione la vulnerabilidad.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/TIMnhOAcb
via IFTTT

Fake Investor John Bernard Sinks Norwegian Green Shipping Dreams

Several articles here have delved into the history of John Bernard, the pseudonym used by a fake billionaire technology investor who tricked dozens of start-ups into giving him tens of millions of dollars. Bernard’s latest victim — a Norwegian startup hoping to build a fleet of environmentally friendly shipping vessels — is now embroiled in a lawsuit over a deal gone bad, in which Bernard falsely claimed to have secured $100 million from six other wealthy investors, including the founder of Uber and the artist Abel Makkonen Tesfaye, better known as The Weeknd.

John Bernard is a pseudonym used by John Clifton Davies, a convicted fraudster from the United Kingdom who is currently a fugitive from justice and residing in Ukraine. Davies’ Bernard persona has fleeced dozens of technology companies out of an estimated $30 million with the promise of lucrative investments.

For several years until reinventing himself again quite recently, Bernard pretended to be a billionaire Swiss investor who made his fortunes in the dot-com boom 20 years ago and who was seeking investment opportunities. Bernard generated a stream of victims by offering extraordinarily generous finder’s fees for investment brokers who helped him secure new clients. But those brokers would eventually get stiffed as well because Bernard’s company would never consummate a deal.

In case after case, Bernard would promise to invest millions in tech startups, and then insist that companies pay tens of thousands of dollars worth of due diligence fees up front. However, the due diligence company he insisted on using — another Swiss firm called Inside Knowledge — also was secretly owned by Bernard, who would invariably pull out of the deal after receiving the due diligence money.

The scam artist John Bernard (left) in a recent Zoom call, and a photo of John Clifton Davies from 2015.

But Bernard would adopt a slightly different approach to stealing from Freidig Shipping Ltd., a Norwegian company formed in 2017 that was seeking the equivalent of USD $100 million investment to bring its green fleet of 30 new offshore service vessels to fruition.

Journalists Harald Vanvik and Harald Berglihn from the Norwegian Business Daily write that through investment advisors in London, Bernard was introduced to Nils-Odd Tønnevold, co-founder of Freidig Shipping and an investment advisor with 20 years of experience.

“Both Bernard and Inside Knowledge appeared to be professionals,” the reporters wrote in a story that’s behind a paywall. “Bernard appeared to be experienced. He knew a lot about start-ups and got into things quickly. Credible and reliable was the impression of him, said Tønnevold.”

“Bernard eventually took on the role of principal investor, claiming he had six other wealthy investors on the team, including artist Abel Makkonen Tesfaye, known as The Weeknd, Uber founder Garrett Camp and Norilsk Nickel owner Russian Vladimir Potanin,” the Norwegian journalists wrote. “These committed to contribute $99.25 million to Freidig.”

So in this case Bernard conveniently claimed he’d come up with almost all of the investment, which came $750,000 short of the goal. Another investor, a Belgian named Guy Devos, contributed the remaining $750,000.

But by the spring of 2020, it was clear that Devos and others involved in the shipping project had been tricked, and that all the money which had been paid to Bernard — an estimated NOK 15 million (~USD $1.67 million) — had been lost. By that time the two co-founders and their families had borrowed USD $1.5 million, and had transferred the funds to Inside Knowledge.

“Further investigations indicated that Bernard was in fact a convicted and wanted Briton based in the Ukrainian capital Kiev,” the Norwegian Business Daily reported. “Guy Devos has sued Nils-Odd Tønnevold with a claim of 750,000 dollars because he believes Tønnevold has a responsibility for the money being transferred to Bernard. Tønnevold rejects this.”

Bernard’s scam is genius because he never approaches investors directly; rather, investors are incentivized to put his portfolio in front of tech firms seeking financial backing. And because the best cons begin as an idea or possibility planted in the target’s mind.

What’s remarkable about Freidig Shipping’s fleecing is that we heard about it at all. In the first of this now five-part series, we heard from Jason Kane, an attorney who focuses on investment fraud. Kane said companies bilked by small-time investment schemes rarely pursue legal action, mainly because the legal fees involved can quickly surpass the losses. What’s more, most victims will likely be too ashamed to come forward.

“These are cases where you might win but you’ll never collect any money,” Kane said. “This seems like an investment twist on those fairly simple scams we all can’t believe people fall for, but as scams go this one is pretty good. Do this a few times a year and you can make a decent living and no one is really going to come after you.”

It does appear that Bernard took advantage of a stunning lack of due diligence by the Freidig co-founders. In this May 2020 post on Twitter — well after their funds had already been transferred to Bernard — Nils-Odd Tønnevold can be seen asking Uber co-founder Garrett Camp if he indeed had agreed to invest in his company:

John Clifton Davies, a.k.a. John Bernard, Jonathan Bibi, John Cavendish, is a U.K. man who absconded from justice before being convicted on multiple counts of fraud in 2015. Prior to his conviction, Davies served 16 months in jail on suspicion of murdering his third wife on their honeymoon in India. The U.K. authorities later dropped the murder charges for lack of evidence. Davies currently resides with his fourth wife in or near Kyiv, Ukraine.

If you liked this story, check out my previous reporting on John Bernard/Davies:

Due Diligence That Money Can’t Buy

Who is Tech Investor John Bernard?

Promising Infusions of Cash, Fake Investor John Bernard Walked Away With $30 Million

Investment Scammer John Davies Reinvents Himself?

from Krebs on Security https://ift.tt/FkNy75PTH
via IFTTT

WINE 7.1 llega con soporte para Vulkan 1.3 en a primera versión de desarrollo para la versión de 2023

WINE 7.1

Después del lanzamiento de la última versión estable, ya volvemos a la normalidad, si entendemos como normalidad a lo que pasa de manera más habitual. WineHQ ha lanzado WINE 7.1, de lo que hay que tener en cuenta que es una versión de desarrollo. Como esta lanzarán algo más de 20 durante 2022, para luego pasar a lanzar las Release Candidates de WINE 8.0 y luego la versión estable de 2023. Con esto quiero dejar claro que la última versión estable es 7.0, y que esta 7.1 es la primera de desarrollo de 8.0.

Como siempre en la fase del desarrollo en la que se lanza una versión cada dos semanas, se han hecho muchos pequeños cambios. En total, se han corregido 42 bugs, pero se han realizado un total de 407 cambios. La lista de novedades destacadas vuelve a ser corta, pero lo realmente interesante está en los cientos de cambios que mencionan más abajo en las notas de lanzamiento.

Novedades más destacadas de WINE 7.1

Esta semana, lo más destacado que ha llegado junto a WINE 7.1 es la compatibilidad con Vulkan 1.3, una serie de correcciones de tematización, mejoras en WebSocket, mejora del recorte del cursor en macOS y correcciones del compilador IDL para C++, además del punto que menciona que se han realizado varias correcciones de errores en general.

WINE 7.1, que volvemos a recordar que es una versión de desarrollo y no una estable, está disponible en este y este otro enlace, aunque es probable que el segundo no funcione en unas horas o nunca. WineHQ siempre lo añade, pero siempre da problemas. En su página de descargas hay información también para añadir el repositorio a sistemas operativos como Debian o Ubuntu, junto a instrucciones para instalarlo en otros sistemas como macOS.

El viernes 11 de febrero lanzarán WINE 7.2, y lo único que podemos decir es que incluirá cientos de pequeños retoques como es habitual en esta fase del desarrollo.

from Linux Adictos https://bit.ly/3HeRVkj
via IFTTT

Cloudy/Wind today!

En Veracruz hoy la condición actual es Cloudy/Wind y una temperatura de 19C.

La máxima temperatura será de 21C y la mínima de 17C.
Durante el día la condición se pronostica como Cloudy/Wind

Sunrise January 29, 2022 at 06:59AM
Sunset January 29, 2022 at 06:15PM

Viento con dirección North y velocidad de 43 Km/h

With a high of 69F and a low of 63F.
via IFTTT