O que diabos realmente está acontecendo nesses relatórios de vulnerabilidade LDAP do Lion?

Basta ler um tópico do Slashdot sobre a quebra do LDAP no OSX. Alguém pode explicar exatamente o que está sendo protegido pelo OpenLDAP e por que algo além de dados armazenados em uma máquina Lion pode estar em risco?

Uma citação do artigo:

"Como testadores de caneta, uma das primeiras coisas que fazemos é atacar o servidor LDAP", disse Rob Graham, CEO da empresa de auditoria Errata Security. “Depois que possuímos um servidor LDAP, possuímos tudo. Posso ir até qualquer laptop (em uma organização) e entrar nele. ”

Como passar do hackeamento de um servidor LDAP aleatório do Mac para a propriedade de toda a empresa?

security mac-osx ldap

— jldugger
fonte

Slashdot, The Register e MacRumors estão cheios de informações erradas e exageradas. Leve as declarações deles com um grão de sal até ler sobre uma fonte respeitável. Esses artigos são muito claros nos detalhes, e há uma grande quantidade de confusão sobre se isso afeta algo além das contas na máquina local . Há rumores de que esse problema é um "pesadelo de segurança da empresa" ou pode permitir que os usuários sejam donos do servidor LDAP, mas isso parece improvável. Clientes LDAP quebrados e personalizados não são novidade.

— Stefan Lasiewski

Essa é uma boa pergunta. Quase todos os artigos que li são extremamente carentes de detalhes.

— Zoredache

Respostas:

Não se assuste. Essa não é uma grande ameaça para as redes corporativas, sugerida por este artigo no The Register .

O Apple Lion é novo e, portanto, esse bug está recebendo uma quantidade desproporcional de atenção quando comparado a falhas semelhantes em outros sistemas operacionais. Aqui estão algumas descrições mais calmas desse mesmo problema:

"O Mac OS X Lion falha ao verificar senhas ao se autenticar via LDAP ".
Paul Ducklin, do nakedsecurity.sophos.com, escreveu um artigo mais fundamentado sobre esse problema e o hype por trás dele.

Essa é uma exploração local em um sistema Apple Lion que afeta apenas esse sistema. A Apple ainda não forneceu detalhes. Eis como entendo o problema: se alguém fizer login no sistema Apple Lion uma vez com êxito, qualquer outra pessoa poderá fazer login no mesmo sistema com qualquer senha. Esse é um problema sério para esse sistema, mas o dano é limitado principalmente a esse sistema específico. Infelizmente, esse sistema agora é menos confiável e pode estar na sua rede.

Esse problema NÃO permite que um hacker possua seus servidores AD / LDAP, por si só. Seus servidores AD / LDAP ainda rejeitarão qualquer solicitação de autorização LDAP incorreta de qualquer cliente LDAP. Para contornar isso, seria necessária uma falha grave no servidor LDAP ou no protocolo LDAP ou em um servidor configurado incorretamente, o que é um problema completamente diferente do problema descrito acima.

Lembre-se de que esse problema afeta apenas os sistemas Apple Lion que usam LDAP para autenticação. Na maioria das organizações, esse será um número muito pequeno de clientes. Um servidor Apple Lion pode ser mais vulnerável, mas a Apple precisa detalhar o problema e eles ainda não foram muito informados sobre esse problema. Você pode imaginar o RedHat retendo informações sobre uma vulnerabilidade conhecida publicamente por tanto tempo?

— Stefan Lasiewski
fonte

O problema com a vulnerabilidade é bastante bem explicado no artigo vinculado pelo slashdot.

O verdadeiro problema é que, depois que alguém entra em qualquer máquina Lion na rede que usa LDAP como método de autorização, é possível ler o conteúdo do diretório LDAP. O que daria acesso a todas as contas na rede que usam autenticação central. Além disso, fornece acesso a qualquer coisa protegida pelo sistema de Autorização LDAP. Basicamente, agora você possui tudo nessa rede.

Como uma observação lateral, estou curioso para saber se é um erro na autorização LDAP ou no sistema de autenticação subjacente (provavelmente kerboros).

Além disso, se você não estiver usando LDAP como sua fonte de autorização (OpenLDAP, Active Directory, NDS, etc), isso não será afetado.

Para responder a uma pergunta específica:

Alguém pode explicar exatamente o que está sendo protegido pelo OpenLDAP

A resposta é "Depende ..." do que sua infraestrutura de TI configurou para usar o LDAP para autorização.

— Zypher
fonte

Além disso, fornece acesso a qualquer coisa protegida pelo sistema de Autorização LDAP. - Como é possível pegar um cliente LDAP quebrado (ou um cliente LDAP personalizado com códigos maliciosos) e usá-lo para obter acesso a recursos protegidos pelo LDAP? Isso não exigiria uma falha no protocolo LDAP ou no próprio servidor LDAP?

— Stefan Lasiewski

Para deixar claro, minhas perguntas são relativas a outros recursos na rede ("Basicamente, agora você possui tudo nessa rede").

— Stefan Lasiewski

Tem certeza de que pode realmente ler / despejar o conteúdo do diretório? Como isso seria realizado? O Kerberos não é necessário em uma configuração do OSX. Um cliente que aceita um usuário inválido como autêntico não significa que o servidor o aceitará como autenticado. Se o servidor LDAP não permitir leituras anônimas e o usuário não fornecer uma senha válida, como eles poderão ler alguma coisa?

— Zoredache

É um diretório. Obviamente, os usuários podem ler coisas nos diretórios. Você consegue ler o atributo userPassword sem ligação?

— precisa saber é o seguinte

@ jldugger, No meu diretório (não OD), você não pode nem obter uma lista de usuários sem uma ligação bem-sucedida. Porém, eu não conheço muito bem o OSX, ele cria um conjunto de credenciais por máquina (como o AD), eu não achava que sabia, mas poderia estar errado. Se não houver credenciais para a máquina, e a Apple não estiver fazendo algo estúpido como armazenar uma cópia reversível da senha, não sei como um bug de cache do cliente significa que você obtém acesso gratuito ao diretório.

— Zoredache