17-letnia podatność w PPPD pozwala na zdalne wykonanie dowolnego kodu

Maciej Olanicki , 06.03.2020 r.
klodka

Co jakiś czas docierają do nas informacje o podatnościach, które znajdowały się w powszechnie wykorzystywanym oprogramowaniu przez lata, niekiedy nawet dziesiątki lat. Pozostaje nam gdybanie, jak wiele osób zdawało sobie sprawę z ich istnienia, i w bazach jak wielu agencji wywiadowczych znajdowały się wyczerpujące informacje, jak tę czy inną lukę wykorzystać.

Do tego grona możemy zaliczyć ujawnioną właśnie podatność PPPD, która narażała nasze bezpieczeństwo od… 17 lat! PPD to powszechnie wykorzystywany w systemach linuksowych protokół służący nawiązywanie połączeń point-to-point. Używany jest między innymi w procesie nawiązywania połączeń z routerami, DSL, a także z VPN-ami. Niestety, opisana przez CERT Carniege Mellon University podatność tkwi w PPPD od wersji 2.4.2, która wydana została w 2003 roku.

Zobacz też: Ewolucja Cerberusa – trojan bankowy umie już wykradać dane Google Authenticatora

Jest to luka umożliwiające atakującemu zdalne wykonanie kodu, co czyni sytuacje jeszcze poważniejszą. Atakujący może wykonać swój kod wykorzystując Extensible Authentication Protocol. Wynika to z błędu w procesie sprawdzania wielkości pakietu przed skopiowaniem go do pamięci. Jeśli walidacja jest niepoprawna, to pamięć może zostać uszkodzona, co może być wykorzystane do zdalnego uruchomienia kodu. Więcej informacji na ten temat znaleźć można na stronach CERT.

Przeczytaj także: Kr00K: groźna podatność w obsłudze szyfrowania WPA2 w miliardach urządzeń

Jak sobie radzić z problemem? Oczywiście dzięki możliwie jak najszybszej aktualizacji PPPD do najnowszej wersji. Załatane wydanie znaleźć można na GitHubie. Co ważne, nie należy zakładać, że maszyny, które nie wykorzystują Extensible Authentication Protocol. Również w ich przypadku atakujący może wysłać odpowiednio spreparowany pakiet, który poskutkuje przepełnieniem bufora, co może być wykorzystanie do zdalnego wykonania kodu.

Najnowsze oferty pracy:

Polecane wpisy na blogu IT: