GTFOBins / GitHub
Enquanto a maioria dos comentaristas considera o Linux e o grande ecossistema Unix muito mais seguro como um todo do que outras plataformas de tecnologia, uma lista no GitHub discorda. Um projeto com o nome de GTFOBins tem coletado os nomes de binários Unix legítimos que podem ser abusados por invasores para invadir um shell restrito ou elevar privilégios. Como o nome sugere, esses binários podem ser usados para sair de suas operações regulares e entrar em algo que dá a um invasor a capacidade de fazer algo nefasto a uma máquina comprometida.
No verdadeiro espírito do desenvolvimento de código aberto, GTFOBins é um projeto compartilhado e qualquer um pode contribuir com binários adicionais para a lista, bem como novas técnicas que podem ser usadas para fazer mau uso dos que já estão na lista de novas maneiras. Essa ideia com certeza se tornará popular, pois sempre que essas explorações puderem ser detectadas antes que os invasores tentem usá-las, os administradores do sistema saberão o que procurar, se é que alguém o faz.
A maioria dos comandos listados no último commit do GTFOBins são aqueles que usuários experientes do Linux provavelmente verão. Aqueles que trabalham com o projeto relataram usos potencialmente inseguros para binários geralmente seguros como awk, bash e tar.
Alguns desses exploits, como os que envolvem os populares editores de texto vi e emacs, fazem uso da habilidade natural de certos programas de ler e escrever arquivos. Outros aproveitam o fato de que python e ruby podem oferecer um shell de programação interativo e aplicativos de rede como o sftp podem ser usados indevidamente para baixar arquivos de um local remoto para um sistema de arquivos local.
Nenhum dos exploits listados deve enviar ondas de choque através do mundo da segurança do Linux, e alguns, como a capacidade de baixar outros binários com o wget, foram bem compreendidos por anos. O projeto LOLBins de que o repositório foi inspirado lista incontáveis mais exploits para Windows, o que parece indicar que certamente existem menos exploits por design.
No entanto, é importante ter em mente que o projeto GTFOBins apenas se estende até 21 de maio. A reformulação e o esclarecimento de alguns exploits são tão recentes quanto algumas horas atrás, no momento da redação deste artigo. Deve ser interessante ver se algum script popular recebe atualizações para evitar que invasores contornem as restrições de segurança usando os métodos sobre os quais este repositório avisa.
Tag Segurança Linux
