image

FreeBSD-systemen via wifi-aanval volledig over te nemen

vrijdag 17 juni 2022, 10:30 door Redactie, 20 reacties
Laatst bijgewerkt: 17-06-2022, 11:37

Een kwetsbaarheid in FreeBSD maakt het mogelijk voor aanvallers om systemen via wifi volledig over te nemen en willekeurige code in de kernel uit te voeren. Daarbij is er geen enkele interactie van gebruikers vereist. FreeBSD kwam afgelopen april met een beveiligingsupdate. Details over de kwetsbaarheid (CVE-2022-23088) alsmede een proof-of-concept exploit zijn nu openbaar gemaakt.

Bij het scannen van beschikbare wifi-netwerken luistert een systeem naar managementframes die door het wifi-accesspoint in de buurt worden uitgezonden. Er zijn verschillende soorten managementframes. Bij één van deze types, het beacon frame, werd de optielengte niet goed door de wifi-stack van FreeBSD gecontroleerd. Door het versturen van een beacon frame met een "oversized" optielengte is het mogelijk om een kernel heap overflow te veroorzaken en zo code in de kernel uit te voeren.

Een aanvaller kan op deze manier een kernelbackdoor creëren die via het versturen van wifi-frames is te gebruiken, zo laat de onderzoeker weten die het probleem ontdekte. De kwetsbaarheid was al dertien jaar in de wifi-stack van FreeBSD aanwezig, zo meldt het Zero Day Initiative dat de bugmelding ontving en doorzette naar FreeBSD.

Reacties (20)
17-06-2022, 10:50 door Anoniem
CVE-2022-23088
17-06-2022, 10:51 door Anoniem
Weer een backdoor minder voor de NSA.
17-06-2022, 12:29 door Anoniem
Oh jee, het o zo veilig Linux systeem!
17-06-2022, 12:43 door Anoniem
Door Anoniem: Oh jee, het o zo veilig Linux systeem!
FreeBSD != Linux
17-06-2022, 12:52 door gradje71
Door Anoniem: Oh jee, het o zo veilig Linux systeem!

Er heeft weer iemand een blik met trollen open getrokken.
17-06-2022, 13:06 door Anoniem
Door gradje71:
Door Anoniem: Oh jee, het o zo veilig Linux systeem!

Er heeft weer iemand een blik met trollen open getrokken.
Och jee er mag dus niets over het heilige Linux systeem gezegd worden!
17-06-2022, 13:14 door Anoniem
Door Anoniem: Oh jee, het o zo veilig Linux systeem!

*Proest* FreeBSD is geen Linux en heeft er helemaal NIETS mee te maken. Inderdaad weer een blik trollen opengetrokken.
17-06-2022, 13:23 door Anoniem
Door Anoniem:
Door Anoniem: Oh jee, het o zo veilig Linux systeem!

*Proest* FreeBSD is geen Linux en heeft er helemaal NIETS mee te maken. Inderdaad weer een blik trollen opengetrokken.
FreeBsd ontwikkeld uit Unix. Linux ontwikkeld uit Unix!
17-06-2022, 13:24 door Anoniem
Door Anoniem:
Door gradje71:
Door Anoniem: Oh jee, het o zo veilig Linux systeem!

Er heeft weer iemand een blik met trollen open getrokken.
Och jee er mag dus niets over het heilige Linux systeem gezegd worden!

Zoals Anoniem 12:43 al zei, BSD is GEEN Linux
17-06-2022, 15:29 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Oh jee, het o zo veilig Linux systeem!

*Proest* FreeBSD is geen Linux en heeft er helemaal NIETS mee te maken. Inderdaad weer een blik trollen opengetrokken.
FreeBsd ontwikkeld uit Unix. Linux ontwikkeld uit Unix!

Linux is not Unix. De naam Linux (acroniem) zegt het al. Verdiep er eens in voordat je roeptoetert (want dat doe je).
17-06-2022, 17:01 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Oh jee, het o zo veilig Linux systeem!

*Proest* FreeBSD is geen Linux en heeft er helemaal NIETS mee te maken. Inderdaad weer een blik trollen opengetrokken.
FreeBsd ontwikkeld uit Unix. Linux ontwikkeld uit Unix!
Wel mooi hoe de Unix community de aandacht weghaald van het feit dat er een flinke kwetsbaarheid in het “zo veilig” gewaande OS. Blijkt gewoon elk systeem lekken te bevatten en helemaal geen enkel systeem veilig te zijn.
17-06-2022, 20:13 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Oh jee, het o zo veilig Linux systeem!

*Proest* FreeBSD is geen Linux en heeft er helemaal NIETS mee te maken. Inderdaad weer een blik trollen opengetrokken.
FreeBsd ontwikkeld uit Unix. Linux ontwikkeld uit Unix!
Wel mooi hoe de Unix community de aandacht weghaald van het feit dat er een flinke kwetsbaarheid in het “zo veilig” gewaande OS. Blijkt gewoon elk systeem lekken te bevatten en helemaal geen enkel systeem veilig te zijn.

Ieder OS heeft kwetsbaarheden. Wie zegt dat FreeBSD een veilig gewaand OS is?
18-06-2022, 10:57 door Anoniem
Door Anoniem: Ieder OS heeft kwetsbaarheden. Wie zegt dat FreeBSD een veilig gewaand OS is?

Het maakt nogal wat uit dat het bij het ene besturingssysteem vrijwel wekelijks raak is, terwijl dat bij het ander zeldzaam is. Wat ook erg veel uitmaakt, is of de oplossing binnen luttele uren beschikbaar is, of dat men een maand of langer moet wachten tot er misschien een verbetering voorhanden is. Dit is ervaring uit de praktijk.
18-06-2022, 13:18 door Anoniem
Door Anoniem:
Door Anoniem: Ieder OS heeft kwetsbaarheden. Wie zegt dat FreeBSD een veilig gewaand OS is?

Het maakt nogal wat uit dat het bij het ene besturingssysteem vrijwel wekelijks raak is, terwijl dat bij het ander zeldzaam is. Wat ook erg veel uitmaakt, is of de oplossing binnen luttele uren beschikbaar is, of dat men een maand of langer moet wachten tot er misschien een verbetering voorhanden is. Dit is ervaring uit de praktijk.
i
Die luttele uren is ook een foute geachte. Het zijn luttele uren, NADAT een update beschikbaar is voor het probleem. Het zegt niets over de tijd van melden en de tijd van de update
18-06-2022, 18:35 door walmare
Dit gebeurd niet vaak en ik vraag me af wie er wifi op een server gebruikt? No problem dus, want een FreeBSD desktop dat zijn er niet veel.
Wel idioot dat de meeste reacties hier gericht zijn op een windows troll met nep nieuws.
18-06-2022, 21:04 door Anoniem
Door Anoniem: FreeBsd ontwikkeld uit Unix. Linux ontwikkeld uit Unix!
Wat versta jij onder "ontwikkeld uit"?

FreeBSD is doorontwikkeld vanuit de broncode van BSD, een officiële Unix-variant, en Linux (de kernel en de GNU-tools eromheen) zijn van scratch af aan ontwikkeld zonder dat daar Unix-broncode aan ten grondslag heeft gelegen.

Een kwetsbaarheid in FreeBSD zit echt niet automagisch ook in Linux. Een kwetsbaarheid in Linux zit echt niet automagisch ook in FreeBSD. Je slaat de plank stevig mis als je denkt dat het wel hetzelfde is.

Door Anoniem: Oh jee, het o zo veilig Linux systeem!
Het bericht gaat niet over Linux maar over FreeBSD, en dat is echt iets anders.
19-06-2022, 02:31 door Anoniem
"De kwetsbaarheid was al dertien jaar in de wifi-stack van FreeBSD aanwezig, zo meldt het Zero Day Initiative dat de bugmelding ontving en doorzette naar FreeBSD."


Ben blij dat ik geen FreeBSD meer gebruik sinds 2004, toen was het hot.

Die security toko die het nog in 2015 gebruikte, liep een beetje achter.

Lang leve Ubuntu/Red Hat / Alma
19-06-2022, 17:54 door Anoniem
Door gradje71:
Door Anoniem: Oh jee, het o zo veilig Linux systeem!

Er heeft weer iemand een blik met trollen open getrokken.


Ik vraag me wel eens af of 'ze' geen opensource mensen recruteren, bijv die naar al die congressen gaan, en die dan volunteering doen bij allerlei projecten... en dan een update doorvoeren en per ongeluk vergeten een stukje controle door te voeren in de code.

Buffer overflows zijn zo klassiek... bagger programmeertaal. Je zou haast denken dat met canaries en sandbox compilaties je de ergste attacks wel kan mitigeren.

Niets is veilig. Waarschijnlijk je Linux met veel meer code ook niet. FreeBSD staat bekend om de redelijk goede kernel programmers die wel weten wat ze doen.
20-06-2022, 09:55 door Anoniem
Wel mooi hoe de Unix community de aandacht weghaald van het feit dat er een flinke kwetsbaarheid in het “zo veilig” gewaande OS. Blijkt gewoon elk systeem lekken te bevatten en helemaal geen enkel systeem veilig te zijn.
Wel vermakelijk hoe jij telkens jouw negatieve aannames als feit presenteerd terwijl de domheid ervan afspat en het zwart op wit chronologisch te volgen is.

"De Unix community" kon nog amper beginnen met inhoudelijk te reageren op jouw tirade.
Maar desgewenst, als Linux hater: dit is best wel een bizarre bug in alle 24 jaren dat ik FreeBSD gebruik.
Maarre, wel fijn dat er transparant over gecommuniceerd wordt, en het niet onder het tapijt geveegd wordt, nietwaar?
20-06-2022, 15:21 door Anoniem
Door Anoniem:
Door gradje71:
Door Anoniem: Oh jee, het o zo veilig Linux systeem!

Er heeft weer iemand een blik met trollen open getrokken.


Ik vraag me wel eens af of 'ze' geen opensource mensen recruteren, bijv die naar al die congressen gaan, en die dan volunteering doen bij allerlei projecten... en dan een update doorvoeren en per ongeluk vergeten een stukje controle door te voeren in de code.

Buffer overflows zijn zo klassiek... bagger programmeertaal. Je zou haast denken dat met canaries en sandbox compilaties je de ergste attacks wel kan mitigeren.

Niets is veilig. Waarschijnlijk je Linux met veel meer code ook niet. FreeBSD staat bekend om de redelijk goede kernel programmers die wel weten wat ze doen.
SELinux beschermt je tegen bufferoverflows. Je kan beweren wat je wilt maar het enige wat telt zijn de incidenten en ransomware is afgerond 100% een windowsaangelegenheid en geen FreeBSD. Dat kan in de code zitten maar waarschijnlijk ook de beheerders.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.