Durva zero-day hibát javított a FireEye
A sérülékenységre a Google Project Zero szakemberei találtak rá, a FireEye nagyon gyorsan reagált: az átmeneti javítást órákon belül, a végleges javítást pedig két nap elteltével tette közzé.
Kritikus sérülékenységre bukkant a Google híres Project Zero biztonsági kutatócsapatának két tagja, Tavis Ormandy és Natalie Silvanovich a FireEye több termékcsaládjában. A hibát a szakemberek december 4-én fedezték fel a szakemberek, a FireEye pedig annak súlyossága miatt néhány órán belül kiadott egy átmeneti javítást, december 7-én pedig egy további frissítéssel végleg befoltozta a biztonsági rést. A sérülékenység az NX, EX, AX, FX sorozatú termékeket érintette, illetve érinti – azoknál a vásárlóknál, akik nem engedélyezték az automatikus frissítést.
Az említett FireEye eszközök a vevők belső informatikai hálózatában specializált, passzív forgalomfigyelést- és elemzést végeznek, és kiemelt hozzáférési státuszuk miatt rendkívül nagyértékű célpontnak számítanak. Ha egy támadó távoli kódfuttatásra tud jogosultságot szerezni egy ilyen gépen, megütheti a főnyereményt: rengeteg értékes információhoz férhet hozzá, a jogosultság szintjétől függően pedig a kompromittált FireEye-gép teljes eszköztárát bevetheti saját céljai érdekében – esetleg további támadó eszközökkel kiegészítve.
Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
A Project Zero szakértői az NX 7500 statikus fájlelemzéséért felelős alrendszerében, a MIP működésében (Malware Input Processor) találtak hibát. Ez a modul különböző, több esetben nyílt forrású programok és pluginek használatával bontja ki és ellenőrzi az elemezni kívánt állományokat – a JAR (Java Archive) fájlokat például a jarsigner és a JODE segítsétével. Utóbbi egy kódvisszafejtő, és saját virtuális gépet is tartalmaz a string deobfuszkációhoz szükséges bájtkód-futtatáshoz. A Google "zérósok" a JODE forráskódját vizsgálva ismerték fel, hogy a program egy megfelelően szerkesztett JAR állománnyal tetszőleges kód futtatására vehető rá.
Igazi problémává mindezt az a tényező emeli, hogy a FireEye a fent említett segédprogramok futtatásakor nem használ homokozó (sandboxing) mechanizmust, így azok teljes hozzáféréssel rendelkeznek az eszköz erőforrásaihoz. A távoli kódfuttatással elért eredménynek így csak a jogosultság lehetőségei szabnak határt. Persze a segédprogramok nem rootként futnak, de Ormandy és Silvanovich egy, a FireEye kérésére egyelőre titokban tartott, de szerintük egyszerű jogosultságemeléses módszerrel root jogkört szereztek.
A Project Zero szakértői szerint a FireEye (nem meglepő módon) teljes mértékben együttműködött velük, a vizsgálathoz használt eszközt is a cég biztosította. A FireEye továbbá az aktív terméktámogatással már nem rendelkező vevőinél is segít elhárítani a sérülékenységet – az ilyen kéréseket a cég a support@fireeye.com címre várja.