Apa yang sebenarnya terjadi dalam laporan kerentanan LDAP Singa ini?

8

Cukup baca utas Slashdot tentang kerusakan LDAP di OSX. Adakah yang bisa menjelaskan dengan tepat apa yang sedang diamankan oleh OpenLDAP dan mengapa selain data yang disimpan pada mesin Lion mungkin berisiko?

Kutipan dari artikel:

“Sebagai penguji pena, salah satu hal pertama yang kami lakukan adalah menyerang server LDAP,” Rob Graham, CEO perusahaan audit Errata Security, mengatakan. “Setelah kami memiliki server LDAP, kami memiliki segalanya. Saya bisa berjalan ke laptop mana saja (di organisasi) dan masuk ke dalamnya. ”

Bagaimana cara beralih dari meretas server LDAP mac acak ke kepemilikan seluruh perusahaan?

jldugger
sumber
2
Slashdot, The Register dan MacRumors penuh dengan informasi yang salah dan hype. Bawalah pernyataan mereka dengan sebutir garam sampai Anda membacanya di sumber yang memiliki reputasi baik. Artikel-artikel itu sangat ringan dalam perincian, dan ada cukup banyak kebingungan tentang apakah hal ini memengaruhi sesuatu di luar akun di mesin lokal . Ada desas-desus yang beredar bahwa masalah ini adalah "mimpi buruk keamanan perusahaan" atau dapat memungkinkan pengguna memiliki server LDAP, tetapi itu tampaknya tidak mungkin. Klien LDAP yang rusak dan kustom bukanlah hal baru.
Stefan Lasiewski
Ini pertanyaan yang bagus. Hampir setiap artikel yang saya baca sangat kurang detail.
Zoredache

Jawaban:

8

Jangan khawatir. Ini bukan ancaman besar bagi jaringan perusahaan yang disarankan oleh artikel ini dalam Daftar .

Apple Lion adalah baru, dan dengan demikian bug ini mendapatkan jumlah perhatian yang tidak proporsional jika dibandingkan dengan kekurangan serupa pada sistem operasi lain. Berikut adalah beberapa deskripsi yang lebih tenang dari masalah yang sama ini:

Ini adalah eksploitasi lokal pada sistem Apple Lion yang hanya memengaruhi sistem itu. Apple belum memberikan detail apa pun. Inilah cara saya memahami masalahnya: jika seseorang berhasil masuk ke sistem Apple Lion, maka orang lain dapat masuk ke sistem yang sama dengan kata sandi apa pun. Ini adalah masalah serius untuk sistem itu, tetapi kerusakannya sebagian besar terbatas pada sistem tertentu. Sayangnya sistem itu sekarang kurang dipercaya dan mungkin ada di jaringan Anda.

Masalah ini TIDAK memungkinkan seorang peretas untuk memiliki server AD / LDAP Anda, dengan sendirinya. Server AD / LDAP Anda masih akan menolak permintaan otorisasi LDAP yang salah dari klien LDAP apa pun. Untuk mem-bypass ini akan membutuhkan kesalahan besar pada server LDAP atau protokol LDAP atau server yang salah konfigurasi, yang merupakan masalah yang sama sekali berbeda dengan masalah yang dijelaskan di atas.

Ingatlah bahwa masalah ini hanya memengaruhi sistem Apple Lion yang menggunakan LDAP untuk otentikasi. Di sebagian besar organisasi, ini akan menjadi jumlah klien yang sangat kecil. Server Apple Lion mungkin lebih rentan, tetapi Apple perlu menguraikan masalah ini dan mereka belum begitu terbuka tentang masalah ini. Bisakah Anda bayangkan RedHat menahan informasi tentang kerentanan yang diketahui publik untuk waktu yang lama?

Stefan Lasiewski
sumber
3

Masalah dengan kerentanan dijelaskan dengan cukup baik dalam artikel yang ditautkan oleh slashdot.

Masalah sebenarnya adalah bahwa begitu seseorang masuk ke mesin Lion di jaringan yang menggunakan LDAP sebagai metode Otorisasi itu, Anda dapat membaca konten direktori LDAP. Yang akan memberi Anda akses ke semua akun di jaringan yang menggunakan otentikasi pusat. Selain itu ia memberi Anda akses ke apa pun yang dijamin oleh sistem Otorisasi LDAP. Pada dasarnya, Anda sekarang memiliki semua yang ada di jaringan itu.

Sebagai catatan, saya ingin tahu apakah ini adalah bug dalam otorisasi LDAP atau sistem otentikasi yang mendasari (mungkin kerboros).

Juga, jika Anda tidak menggunakan LDAP sebagai sumber otorisasi Anda (OpenLDAP, Active Directory, NDS, dll) maka Anda tidak terpengaruh oleh ini.

Untuk menjawab pertanyaan spesifik Anda:

Adakah yang bisa menjelaskan dengan tepat apa yang sedang diamankan oleh OpenLDAP

Jawabannya adalah "Itu tergantung ..." pada apa yang telah dipersiapkan infrastruktur TI Anda untuk menggunakan LDAP untuk otorisasi.

Zypher
sumber
3
Selain itu ia memberi Anda akses ke apa pun yang dijamin oleh sistem Otorisasi LDAP. - Bagaimana mungkin untuk mengambil klien LDAP yang rusak (Atau klien LDAP yang disesuaikan secara jahat) dan menggunakannya untuk mendapatkan akses ke sumber daya yang diamankan oleh LDAP? Tidakkah ini membutuhkan cacat pada protokol LDAP atau di server LDAP itu sendiri?
Stefan Lasiewski
Untuk lebih jelasnya, pertanyaan saya berkaitan dengan sumber daya lain di jaringan ("Pada dasarnya, Anda sekarang memiliki semua yang ada di jaringan itu.").
Stefan Lasiewski
Apakah Anda yakin benar-benar dapat membaca / membuang isi direktori? Bagaimana ini bisa dicapai? Kerberos tidak diperlukan dalam pengaturan OSX. Klien yang menerima pengguna yang tidak valid sebagai yang asli tidak berarti bahwa server akan menerimanya sebagai yang diautentikasi. Jika server LDAP tidak mengizinkan pembacaan anonim, dan pengguna belum memberikan kata sandi yang valid, lalu bagaimana mereka dapat membaca apa pun?
Zoredache
Itu sebuah direktori. Tentu saja pengguna dapat membaca hal-hal di direktori. Apakah Anda dapat membaca atribut userPassword tanpa ikatan?
jldugger
@jldugger, Di direktori saya (bukan OD), Anda bahkan tidak bisa mendapatkan daftar pengguna tanpa ikatan yang berhasil. Saya tidak tahu OSX dengan sangat baik, apakah itu membangun satu set kredensial per mesin (seperti AD), saya tidak berpikir begitu, tapi saya bisa salah. Jika tidak ada kredensial untuk mesin, dan Apple tidak melakukan sesuatu yang bodoh seperti menyimpan salinan kata sandi yang dapat dibalik maka saya tidak tahu bagaimana bug caching klien berarti bahwa Anda mendapatkan akses gratis ke direktori.
Zoredache