Cái quái gì đang thực sự xảy ra trong các báo cáo lỗ hổng Lion LDAP này?

8

Chỉ cần đọc một luồng Slashdot về sự cố LDAP trên OSX. Bất cứ ai cũng có thể giải thích chính xác những gì đang được bảo mật bởi OpenLDAP và tại sao mọi thứ ngoài dữ liệu được lưu trữ trên máy Lion có thể gặp rủi ro?

Một trích dẫn từ bài báo:

Là một người thử nghiệm bút, một trong những điều đầu tiên chúng tôi làm là tấn công máy chủ LDAP, ông Rob Rob Graham, CEO của công ty kiểm toán Errata Security, cho biết. Một khi chúng tôi sở hữu một máy chủ LDAP, chúng tôi sở hữu mọi thứ. Tôi có thể đi đến bất kỳ máy tính xách tay nào (trong một tổ chức) và đăng nhập vào nó.

Làm thế nào để đi từ việc hack một máy chủ LDAP mac ngẫu nhiên để sở hữu toàn bộ doanh nghiệp?

security  mac-osx  ldap 
xe tải
nguồn
2
Slashdot, Sổ đăng ký và MacRumors chứa đầy thông tin sai lệch và cường điệu. Lấy tuyên bố của họ với một hạt muối cho đến khi bạn đọc về nó trên một nguồn có uy tín. Những bài viết này rất nhẹ về chi tiết, và có một sự nhầm lẫn khá lớn về việc nếu điều này ảnh hưởng đến bất cứ điều gì ngoài tài khoản trên máy cục bộ . Có tin đồn rằng vấn đề này là "cơn ác mộng bảo mật doanh nghiệp" hoặc có thể cho phép người dùng sở hữu máy chủ LDAP, nhưng điều đó dường như không thể xảy ra. Khách hàng LDAP bị hỏng và tùy chỉnh không có gì mới.
Stefan Lasiewski
Đây là một câu hỏi hay. Hầu như mọi bài viết tôi đã đọc là vô cùng thiếu chi tiết.
Zoredache

Câu trả lời:

8

Đừng lo lắng. Đây không phải là một mối đe dọa lớn đối với các mạng doanh nghiệp được đề xuất bởi bài viết này trong Đăng ký .

Apple Lion là một tính năng mới và do đó, lỗi này đang nhận được sự chú ý không tương xứng khi so sánh với các lỗ hổng tương tự trên các hệ điều hành khác. Dưới đây là một số mô tả bình tĩnh hơn cho cùng một vấn đề:

Đây là một khai thác cục bộ trên hệ thống Apple Lion chỉ ảnh hưởng đến hệ thống đó. Apple vẫn chưa cung cấp bất kỳ chi tiết nào. Đây là cách tôi hiểu vấn đề: nếu ai đó đăng nhập vào hệ thống Apple Lion một lần thành công, thì bất kỳ ai khác cũng có thể đăng nhập vào cùng hệ thống với bất kỳ mật khẩu nào. Đây là một vấn đề nghiêm trọng đối với hệ thống đó, nhưng thiệt hại chủ yếu chỉ giới hạn ở hệ thống cụ thể đó. Thật không may, hệ thống đó bây giờ ít tin cậy hơn và có thể được bật trên mạng của bạn.

Vấn đề này KHÔNG cho phép tin tặc sở hữu máy chủ AD / LDAP của bạn. Các máy chủ AD / LDAP của bạn vẫn sẽ từ chối mọi yêu cầu cấp phép LDAP không chính xác từ bất kỳ máy khách LDAP nào. Để bỏ qua điều này sẽ yêu cầu một lỗ hổng lớn trên máy chủ LDAP hoặc giao thức LDAP hoặc máy chủ bị định cấu hình sai, đây là một vấn đề hoàn toàn khác sau đó là vấn đề được mô tả ở trên.

Hãy nhớ rằng vấn đề này chỉ ảnh hưởng đến các hệ thống Apple Lion sử dụng LDAP để xác thực. Trong hầu hết các tổ chức, đây sẽ là một số lượng rất nhỏ khách hàng. Một máy chủ Apple Lion có thể dễ bị tổn thương hơn, nhưng Apple cần phải giải quyết vấn đề này và họ vẫn chưa được đưa ra về vấn đề này. Bạn có thể tưởng tượng RedHat giữ lại thông tin về một lỗ hổng được biết đến công khai trong một thời gian dài như vậy không?

Stefan Lasiewski
nguồn
3

Vấn đề với lỗ hổng được giải thích khá rõ trong bài viết được liên kết bởi slashdot.

Vấn đề thực sự là một khi ai đó truy cập vào bất kỳ máy Lion nào trên mạng đang sử dụng LDAP làm phương thức Ủy quyền thì bạn có thể đọc nội dung của thư mục LDAP. Điều này sẽ cung cấp cho bạn quyền truy cập vào tất cả các tài khoản trên mạng sử dụng xác thực trung tâm. Ngoài ra, nó cho phép bạn truy cập vào bất cứ thứ gì được bảo mật bởi hệ thống ủy quyền LDAP. Về cơ bản, bây giờ bạn sở hữu mọi thứ trên mạng đó.

Là một lưu ý phụ, tôi tò mò liệu đó có phải là lỗi trong ủy quyền LDAP hoặc hệ thống xác thực cơ bản (có thể là kerboros) hay không.

Ngoài ra, nếu bạn không sử dụng LDAP làm nguồn ủy quyền của mình (OpenLDAP, Active Directory, NDS, v.v.) thì bạn không bị ảnh hưởng bởi điều này.

Để trả lời bạn câu hỏi cụ thể:

Bất cứ ai cũng có thể giải thích chính xác những gì đang được bảo mật bởi OpenLDAP

Câu trả lời là "Nó phụ thuộc ..." vào cơ sở hạ tầng CNTT của bạn đã thiết lập để sử dụng LDAP để ủy quyền.

Zypher
nguồn
3
Ngoài ra, nó cho phép bạn truy cập vào bất cứ thứ gì được bảo mật bởi hệ thống ủy quyền LDAP. - Làm thế nào có thể lấy một máy khách LDAP bị hỏng (Hoặc một máy khách LDAP được tùy chỉnh độc hại) và sử dụng nó để có quyền truy cập vào các tài nguyên được bảo mật bởi LDAP? Điều này sẽ không yêu cầu một lỗ hổng trong giao thức LDAP hoặc trên chính máy chủ LDAP?
Stefan Lasiewski
Để rõ ràng, các câu hỏi của tôi liên quan đến các tài nguyên khác trên mạng ("Về cơ bản, bây giờ bạn sở hữu mọi thứ trên mạng đó.").
Stefan Lasiewski
Bạn có chắc chắn rằng bạn thực sự có thể đọc / kết xuất nội dung của thư mục không? Làm thế nào điều này sẽ được thực hiện? Kerberos không bắt buộc trong thiết lập OSX. Một khách hàng chấp nhận một người dùng không hợp lệ là xác thực không có nghĩa là máy chủ sẽ chấp nhận nó như là xác thực. Nếu máy chủ LDAP không cho phép đọc ẩn danh và người dùng không cung cấp mật khẩu hợp lệ, thì làm sao họ có thể đọc được bất cứ điều gì?
Zoredache
Đó là một thư mục. Tất nhiên người dùng có thể đọc những thứ trong thư mục. Bạn có thể đọc thuộc tính userPassword mà không cần liên kết không?
jldugger
@jldugger, Trên thư mục của tôi (không phải OD), bạn thậm chí không thể có được danh sách người dùng mà không có liên kết thành công. Mặc dù vậy, tôi không biết rõ về OSX, liệu nó có xây dựng một bộ thông tin xác thực cho mỗi máy (như AD) không, tôi không nghĩ nó đã làm, nhưng tôi có thể sai. Nếu không có thông tin xác thực cho máy và Apple sẽ không làm điều gì đó ngu ngốc như lưu trữ một bản sao mật khẩu có thể đảo ngược thì tôi không biết lỗi bộ nhớ đệm của khách hàng có nghĩa là bạn có quyền truy cập miễn phí vào thư mục.
Zoredache
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.