Lek in Pi-hole maakte remote code execution mogelijk
Een beveiligingslek in de populaire advertentie- en trackerblocker Pi-hole maakte het mogelijk voor geauthenticeerde aanvallers om op afstand code op het systeem uit te voeren. Pi-hole is een applicatie die oorspronkelijk voor de Raspberry Pi verscheen maar inmiddels op allerlei hardware te installeren is.
Het blokkeert trackers en advertenties voor alle apparaten die hun verkeer of dns via de Pi-hole laten lopen. Zodoende is het ook mogelijk om bijvoorbeeld op smart-tv's en IoT-apparaten die geen trackingbescherming ondersteunen toch trackers en advertenties tegen te houden. Beveiligingsonderzoeker Francois Renaud-Philippon ontdekte vorige maand een kwetsbaarheid in de software.
Om de ingebouwde dhcp-server te configureren maakt Pi-hole gebruik van een webinterface. Daarmee kan de gebruiker verschillende zaken met betrekking tot de dhcp-server instellen. Bij het verwerken van gebruikersinvoer in de vorm van mac-adressen werd de invoer niet goed gecontroleerd. Daardoor was het mogelijk om willekeurige commando's met de rechten van de lokale gebruiker op de server uit te voeren.
De aanval kende wel twee voorwaarden. Ten eerste moest de webinterface toegankelijk vanaf het internet zijn. Daarnaast moest een aanvaller op de interface kunnen inloggen. Renaud-Philippon laat op Reddit weten dat hij 150 Pi-hole-machines heeft gevonden waarvan de interface voor iedereen toegankelijk is. Zoekmachine Shodan stelt zelfs dat het om 5500 machines gaat, maar de onderzoeker is naar eigen zeggen sceptisch over die cijfers. Het beveiligingslek werd op 10 februari aan de ontwikkelaars van Pi-hole gerapporteerd en met de release van Pi-hole Webinterface 4.3.3 op 18 februari verholpen. Details over de kwetsbaarheid zijn nu openbaar gemaakt.
Precies, al is het alleen al omdat je inlog ook niet over https gaat.
Niet direct gerelateerd, maar ook zeer gevaarlijk is de zogenaamde "home hack". Wanneer je de sleutel hebt van een woning, zou het theoretisch mogelijk zijn om daar zomaar naar binnen te gaan en een pak melk uit de koelkast te halen. Deze kan je dan vervolgens zomaar meenemen, met alle gevolgen van dien. Zo gaat er het gerucht dat het mogelijk is om zelfs dit pak melk op een andere locatie op te drinken.
De wereld is echt ingewikkeld geworden de laatste jaren. Pas goed op wat je doet!
Als de ontwikkelaar zoiets bouwt dat je online een url piped naar bash als root, dan klopt er iets niet.
Klopt zolang je wachtwoord niet "Passw0rd" is :)
Niet direct gerelateerd, maar ook zeer gevaarlijk is de zogenaamde "home hack". Wanneer je de sleutel hebt van een woning, zou het theoretisch mogelijk zijn om daar zomaar naar binnen te gaan en een pak melk uit de koelkast te halen. Deze kan je dan vervolgens zomaar meenemen, met alle gevolgen van dien. Zo gaat er het gerucht dat het mogelijk is om zelfs dit pak melk op een andere locatie op te drinken.
De wereld is echt ingewikkeld geworden de laatste jaren. Pas goed op wat je doet!
Dat is al eerder in een andere context gemeld: gebruik geen sleutels. Want er blijft in het sleutelgat altijd een onbeveiligde doorgang (backdoor) aanwezig. Pentesters kunnen deze backdoor waarnemen als het buiten waait: dan tocht het. Bewijs van de hackpoging kan worden gevonden in de vorm van merkwaardig verpakte pakketjes achter de voordeur, waarvan vermoed wordt dat die via deze backdoor worden afgeleverd als het ware. Buitenlandse (hack) groepen gebruiken het Tor-netwerk, met entry node servers in Spanje, om deze backdoor te exploiteren, met name rond eind november. Kaspersky meldt na 6 december een significante daling in het misbruik.
Als de ontwikkelaar zoiets bouwt dat je online een url piped naar bash als root, dan klopt er iets niet.
Daar is ook altijd voor gewaarschuwd op de site van Pi-Hole:
Piping to bash is controversial, as it prevents you from reading code that is about to run on your system. Therefore, we provide these alternative installation methods which allow code review before installation:
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.