Stuxnet-lignende sårbarhed i Linux-desktop

KDE Plasma indeholder en sårbarhed, så vilkårlig kode kan eksekveres, når en USB-nøgle bliver isat.

Måske husker du Stuxnet? Dræber-ormen/virussen/malwaren, der var ganske avanceret, og som var skruet sammen til at nedlægge en enhed til uran-berigelse i Iran.

Et af komponenterne i Stuxnet udnyttede en zero day-sårbarhed i Windows-systemer, så kode automatisk blev eksekveret, når en USB-nøgle blev sat i en maskine. Uanset om autorun var aktiveret eller ej. Microsoft patchede denne sårbarhed i 2010 og så lidt mere i 2015.

Det erindrer sikkerhedsmanden Graham Cluley i et indlæg hos Hot For Security.

Indlægget handler egentlig om, at en lignende sårbarhed viser sig at have ligget og luret i Linux-desktop-miljøet KDE Plasma. Fuldstændig som Windows-sårbarheden, så har denne sårbarhed gjort det muligt at eksekvere vilkårlig kode, når en USB-nøgle er blevet sat i en maskine.

Det fremgår af en advisory hos kde.org, som Graham Cluley linker til.

Ifølge advisory'en så er versioner af Plasma KDE før 5.12.0 i udgangspunktet berørt af sårbarheden.

Konkret kan sårbarheden udnyttes ved, når en USB-nøgle bliver mounted via 'device notifier'. Hvis nøglen i sin label har enten:

 ``

eller

$()

... så bliver det, der står mellem henholdsvis `` og () tolket som en shell-kommando. Det vil eksempelvis sige, at hvis en USB-nøgle hedder "$(touch b)", så bliver der oprettet en fil i home-folderen med navnet b på et sårbart system.

Der er frigivet patches, og advisory'en anbefaler i den forbindelse at løse problemet ved at opgradere til Plasma >= 5.12.0 eller Plasma >= 5.8.9.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Benjamin Bach

Seriøst? Ja, okay, det havde da været lidt dummere (ude i de ekstremeste marginaler af dumhed), hvis "device notifier" bare eksekverede alle filerne. Filsystemets volume label er den mest oplagte måde at få eksekveret kode på -- så oplagt, at man ikke engang gad prøve. Så tilpas dumt, at ingen sikkert nogensinde har opdaget det før nu.

Security through stupidity :)

Er der et oprindeligt commit, hvor det er introduceret? Kunne også være en bevist bagdør..

Hans Nielsen

Har USB nøgle så ROOT adgang. Det måske mest oplagt spørgsmål.
Hvis ikke, lyder det ikke særligt farligt.

Hvis ikke - så viser det hvordan tåbeligheder, samt fejl i programmer og GUI, bliver bremset. På grund af den langt højere indbygget sikkehed i Linux ,som er en del af DNA. Hvor der fra starten, er taget nogen beslutninger og hensyn, for netop at sikker, at sådan fejl ikke skal være farlige. Som at daglig brug og administration af OS er adskilt, det vil også virker total tåbelig at gøre andet i et moderne OS.

Hvis der er root adgang, så er det noget af en fejl fra KDE.

Og ja total tåbelig og misvisen overskrift.

Fejlen ligner den samme meget gamle Windows autoboot på flytbare medier, og har meget lidt med Stuxnet at gøre.

Jakob Møllerhøj Journalist

Stuxnet angreb Siemens PLC systemer, og ændrede en del af koden i disse. Jeg har svært ved at se sammenligningen i denne artikel?

Stuxnet var andet end en PLC-virus. Stuxnet var umiddelbart designet til at slippe ind i ellers air-gapped'e systemer (med eksempelvis PLC-adgang) via den omtalte zero-day USB-sårbarhed i Windows. Altså en sårbarhed, der - som Graham Cluley påpeger - minder om den, der nu har vist sig i Plasma KDE.

Og selvfølgeligt er det ikke hensigtsmæssigt, at et styresystem via en bug kan narres til at eksekvere vilkårlig kode fra en USB-nøgle - uanset om det er Windows, Linux eller andet. Jakob - V2

Hans Nielsen

Re: Farligt (dum overskrift) ?
Men selv uden at have root adgang giver det stadigvæk mulighed for at kryptere hele indholdet af dit home directory.

Man behøver ikke root for at lave skade på folks ting, blot en kontekst som matcher de ting man gerne vil ødelægge.


Håber ikke at tab af data ved kryptering af dit home, skulle være noget som ramte dig alvorligt, og virke ødelæggende ?

Altså at indholdet på din PC er så vigtigt at du mister jobbet, familie foto, eksamens opgaver, ........
Hvis du plusenligt ikke længere har adgang til det, så må man også håbe, at følgende heller ikke sker.

  • stjålen
  • brænder
  • selv laver en fejl
    • lager ikke går til. Enten ved småfejl eller nedbrud.
  • OS fucker op
  • at du taber den, og ødelægger den
  • at du glemmer den
  • kærsten bliver sur på dig
  • børnen eller dig taber sodavand i den
  • Virus/mallware
  • Fejl i hardware/CPU/..
  • ..

Alt sammen noget, som ikke er så galt, hvis du har backup.

Vil anbefale alle at få en gratis Dropboks eller ligende, til de meste essentiel ting, og til hjælp med at overfører mobilbilleder osv.
Det vil også hjælpe ved en ufrivillig kryptering, i modsætning til nogle andre løsninger, da der er versions kontrol.
Også at flytte og bruge backup typer til en større mænge data., som gamle foto og andet, som der ikke er plads til i den gratis udgave.
Men gerne noget der køre automatisk, så det bliver foretaget.
OG for din egen skyld, prøv om du kan gendane nogle af data, på en helt andet PC.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder