Websecurity - Веб безпека

У травні, 15.05.2012, через півтора місяці після виходу Google Chrome 18, вийшов Google Chrome 19.

В браузері зроблено ряд нововведень. А також виправлено 20 уразливостей, з яких 8 позначені як небезпечні, 7 - помірні і 5 - незначні. Чимало з виправлених уразливостей виявлені за допомогою інструментарію address-sanitizer, призначеного для автоматизованого визначення фактів звертання до звільнених областей пам’яті, виходу за межі границь виділеного буфера і деяких інших типів помилок при роботі з пам’яттю.

Серед небезпечних уразливостей: звертання до вже звільненої пам’яті через маніпуляції з елементом style, через API Indexed DB, при обробці таблиць і PDF-файлів, некоректний запис даних у реалізації регулярних виразів движка v8, запис за границі буфера при роботі OGG-контейнерів, вихід за границі буфера в PDF-переглядачі. Окремо відзначені уразливості, що проявляються через проблеми в сторонніх компонентах: уразливість через помилку в Linux-драйвері для відеокарт NVIDIA і вихід за границі буфера в libxml.

• Релиз web-браузера Chrome 19 (деталі)

В даній добірці уразливості в веб додатках:

• Barracuda CudaTel v2.0.029.1 - Multiple Web Vulnerabilities (деталі)
• XSS and Blind SQL Injection Vulnerabilities in ExponentCMS (деталі)
• Chengdu Bureau of Commerce - SQL Injection Vulnerability (деталі)
• Havalite CMS v1.0.4 - Multiple Web Vulnerabilities (деталі)
• IPhone TreasonSMS - HTML Inject & File Include Vulnerability (деталі)
• VMware vCenter Chargeback Manager Information Leak and Denial of Service (деталі)
• phpMyBible 0.5.1 Mutiple XSS (деталі)
• typo3-src security update (деталі)
• idev Game Site CMS v1.0 - Multiple Web Vulnerabilites (деталі)
• osCmax Shop CMS v2.5.1 - Multiple Web Vulnerabilities (деталі)

Торік я писав про знайдену мною уразливість Certificate Spoofing в Google Chrome для Android. А нещодавно я навів відео-ролик з подібною уразливістю - в ньому демонструється експлоіт для SSL Spoofing в Mozilla Firefox. У відео не зазначалося, яка саме версія є вразливою, тому я провів власні дослідження в різних браузерах.

Сьогодні я виявив, що дана SSL Spoofing уразливість наявна не тільки в Firefox, але і в Internet Explorer. Дана уразливість дозволяє підробити URL в адресному рядку браузера і отримати SSL сертифікат від іншого сайта (точніше сказати, вона дозволяє для одного сайта підставити адресу іншого сайта в адресний рядок і в його SSL сертифікат), що може бути використано для проведення фішинг атак. Для перевірки я розробив експлоіт аналогічний показаному в відео-ролику.

Уразливі Mozilla Firefox 3.0.19 та Internet Explorer 6 (6.0.2900.2180).

При цьому Firefox 3.6.8, 4.0 beta 2 і вище невразливі, так само як Google Chrome і Opera. В IE7 та IE8 код не працює із-за несумісності (в цих версіях дощо змінена підтримка JS), але якщо зробити код під ці версії Internet Explorer, то експлоіт цілком може запрацювати.

За повідомленням www.xakep.ru, Blizzard підтвердила численні взломи акаунтів Diablo III.

Наприкінці травня на форумах Battle.net з’явилися повідомлення користувачів про пропажу золота, одягу героїв і артефактів. На початку було незрозуміло, чи це технічний глюк на серверах Blizzard, чи це хакерська атака.

Незабаром журнал Eurogamer виступив на підтримку другої версії: вони повідомили про декілька випадків взлому акаунтів Diablo III. Також з’явилися чутки, що в неділю європейські сервери Diablo III пішли в офлайн на чотири години через SQL ін’єкцію. Компанія Blizzard підтвердила наявність уразливостей на їхньому сайті.

Не встиг Diablo 3 вийти, як його онлайнові сервера почали успішно атакувати. А незважаючи на свої доходи, Blizzard традиційно недостатньо слідкує за безпекою.

За повідомленням www.opennet.ru, GlobalSign тимчасово призупинив видачу SSL-сертифікатів через можливу компрометацію.

Ще у вересні, засвідчуючий центр GlobalSіgn повідомив про ініціювання внутрішньої перевірки безпеки в зв’язку з появою в мережі анонімної заяви, у якій від імені ініціаторів атаки стверджується, що крім взлому DigiNotar, удалося одержати доступ ще до чотирьох засвідчуючих центрів, серед яких StartCom і GlobalSign. Також стверджується, що незважаючи на широкий резонанс після взлому засвідчуючого центра Comodo, в нападників ще залишився доступ до систем деяких реселерів Comodo.

Після останніх взломів видавців SSL сертифікатів, таких як Comodo, DigiNotar, Digicert Sdn. Bhd, Gemnet та VeriSign, це може бути ще одним таким випадком.

За повідомленням nakedsecurity.sophos.com, games developer Rockyou fined $250K for not securely storing customer data.

Як повідомляється, у березні Federal Trade Commission (FTC) оштрафувала американську компанію Rockyou на $250000 за те, що вона не слідкувала за безпекою власного сайту. Взлом якого призвів до витоку великої кількості даних клієнтів цієї компанії. Це перший відомий мені випадок накладання штрафу за дірки на сайті (що призвели до взлому). Зараз FTC варто зайнятися Blizzard .

Нагадаю, що в 2009 році сайт компанії Rockyou, розробника онлайнових ігор, був взломаний через SQL Injection уразливість. В результаті взлому були скомпрометовані дані авторизації 32 млн. зареєстрованих користувачів.

Продовжу своє дослідження безпеки e-commerce сайтів в Уанеті.

Веб сайти, що займаються електронною комерцією (e-commerce), повинні дбати про свою безпеку. Бо вони заробляють гроші на своїй онлайн діяльності і будь-які проблеми з безпекою на їх сайтах можуть їм коштувати фінансових втрат.

Але нажаль e-commerce сайти в Уанеті достатньо діряві, бо власники цих сайтів за безпекою особливо не слідкують.

В себе в новинах я писав про уразливості в наступних системах Інтернет-банкінга (що використовуються українськими банками):

• IFOBS
• IFOBS
• IFOBS

Також згадував про взломані онлайн магазини та e-commerce сайти в Уанеті:

• www.petsshop.com.ua
• www.shopping.mk.ua
• vsevodnom.com.ua
• maximhorses.com
• decibel.com.ua
• marketzoo.com.ua
• patatuyki.com.ua
• roboexchenge.com
• roboexchange.net
• ups-store.com.ua
• shop.vibroseparator.ua
• 8oda.kiev.ua

А також згадував про інфіковані онлайн магазини в Уанеті:

• www.jasmin.biz.ua
• kityn.kiev.ua
• e-apteka.com.ua
• mirspeciy.com.ua
• tovarnadom.com.ua

Так що українським e-commerce сайтам (та сайтам інших країн) є куди покращувати свою безпеку.

25.04.2012

Виявлені численні уразливості безпеки в продуктах Oracle, Sun, People Soft і MySQL.

Уразливі продукти: Oracle 10g, Oracle 11g, MySQL 5.1, MySQL 5.5, Oracle Application Server 10g, Oracle E-Business Suite Release 11i, PeopleSoft Enterprise HRMS 8.9, Oracle BI Publisher 10.1, PeopleSoft Enterprise CRM 9.1, PeopleSoft Enterprise SCM 9.0 та інші продукти Oracle.

Більше 90 уразливостей у різних продуктах усунуто в щоквартальному оновленні.

• The history of a -probably- 13 years old Oracle bug: TNS Poison (деталі)
• OCIPasswordChange API leaks information of password hash (деталі)
• Some failed authentication attempts using OCIPasswordChange API are not recorded (деталі)
• Incomplete protection of Oracle Database locked accounts (деталі)
• SQL Injection in Oracle Enterprise Manager (compareWizFirstConfig web page) (деталі)
• SQL Injection in Oracle Enterprise Manager (searchPage web page) (деталі)
• HTTP Response Splitting in Oracle Enterprise Manager (prevPage parameter) (деталі)
• HTTP Response Splitting in Oracle Enterprise Manager (pageName parameter) (деталі)
• OCIPasswordChange API leaks information of password hash (деталі)
• Oracle Enterprise Manager vulnerable to Session fixation (деталі)
• Oracle Critical Patch Update Advisory - April 2012 (деталі)

02.06.2012

Додаткова інформація.

• Re: The history of a -probably- 13 years old Oracle bug: TNS Poison (деталі)
• Oracle TNS Poison vulnerability is actually a 0day with no patch available (деталі)
• Patch Notification: Oracle Grid Engine sgepasswd Buffer Overflow (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://dabi.gov.ua (хакером Vprotest) - 15.03.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://vin-osvita.gov.ua (хакерами з BRMC) - 22.03.2012 - похаканий державний сайт, на сайті все ще розміщений txt файл хакерів
• http://www.gtseminary.kiev.ua (хакерами з Kosova Hackers Crew)
• http://ringfb.net (хакером Hybris) - 25.04.2012, зараз сайт вже виправлений адмінами
• http://propipe.com.ua (хакером sovok)

Виявлені численні уразливості безпеки в Adobe Shockwave Player.

Уразливі версії: Adobe Shockwave Player 11.6.

Численні пошкодження пам’яті.

• Adobe Shockwave Player Remote Code Execution (CVE-2012-2031) (деталі)
• Adobe Shockwave Player Remote Code Execution (CVE-2012-2029) (деталі)
• Adobe Shockwave Player Remote Code Execution (CVE-2012-2030) (деталі)
• Security update available for Adobe Shockwave Player (деталі)

У травні, 08.05.2012, через п’ять днів після виходу PHP 5.3.12 та PHP 5.4.2, вийшли PHP 5.3.13 та PHP 5.4.3. В яких виправлені дві уразливості. Дані релізи направлені на покращення безпеки гілок 5.3.x і 5.4.x.

Cеред секюріті виправлень в PHP 5.3.13 та PHP 5.4.3:

• Повністю виправлена можливість відправки довільних команд PHP інтерпретатору (що була лише частково виправлена в версіях 5.3.12 та 5.4.2).

Як я вже зазначав, до цієї атаки уразливі деякі CGI-орієнтовані інсталяції (Apache+mod_php і nginx+php-fpm не є вразливими).

Cеред секюріті виправлень лише в PHP 5.4.3:

• Виправлена Buffer Overflow уразливість в apache_request_headers() (яка стосується лише гілки 5.4.x).

По матеріалам http://www.php.net.

Раніше я розповідав про різні причини, через які в Україні правоохоронні органи можуть закрити веб сайти. В останнє я писав про закриття сайтів через обшук податкової, а також про закриття сайтів через законодавство ЄС (що може стосуватися як європейських сайтів, так і ресурсів інших країн, що направлені на аудиторію ЄС). А зараз розповім вам про закриття сайтів через розміщення шкідливого коду (вірусів).

Після того як в листопаді 2008 СБУ закрила сайт Daily-UA та в грудні 2008 МВС закрила Infostore, я написав статтю про закриття сайтів через їх уразливості, базуючись на цих прикладах (коли сайти закрили через розміщення на них секретних матеріалів та порнографії). Після чого я навів ще багато прикладів українських законів, через які можуть закрити сайти, що їх порушують, та навів випадки подібного закриття веб ресурсів.

Але ще раніше, ще на початку вересня 2008, коли мені потрапив на очі сайт www.crime.org.ua - який є онлайновою версією Кримінального Кодексу України - я звернув увагу на статтю КК України 361.1 (про яку я знав ще з 2004 року), що стосується розповсюдження вірусів, і поглянув на неї під іншим кутом. Як раз з точки зору закриття сайтів зі шкідливим кодом. І з тих пір планував про це написати. Але так як не було прецендентів, то про це я не писав, зате раніше написав статтю про закриття сайтів через секретні матеріали та порнографію, після вищезгаданих випадків з Daily.ua та Infostore. С тих пір дана стаття була лише в планах, чекав доки з’явиться перший прецендент в Україні (хоча писав про випадки закриття сайтів хостерами чи власниками ресурсів саме в зв’язку з розміщенням на них вірусів). Але при спілкуванні з журналістами в останні роки я наводив серед різних причин, чому потрібно слідкувати за безпекою власних сайтів, дані приклади закриття сайтів через законодавство (про які я писав на сайті), в тому числі про можливість закриття в зв’язку з даною статтею КК про розповсюдження вірусів.

І от нарешті з’явився перший прецендент в Україні. Якщо в попередні роки, як я писав в новинах, міліція і СБУ затримували лише продавців “CD з вірусами”, то в цьому році вони вже дісталися до сайтів. При тому, що ще з початку 2000-х років Інтернет є найбільшим джерером розповсюдження вірусів. Як повідомлялося у ЗМІ, 23 березня МВС України припинило роботу веб проекта VX Heavens. Сервер був вилучений співробітниками міліції в зв’язку з порушенням кримінальної справи по статті 361-1 КК (при цьому власники сайта не вважають себе винними). Цей випадок наочно показує, що українські сайти можуть закривати по цій статті КК.

Нагадаю, що в Кримінальному Кодексі стаття 361-1 передбачає відповідальність за “Створення з метою використання, розповсюдження або збуту шкідливих програмних чи технічних засобів, а також їх розповсюдження або збут”. Тобто окрім безпосередньо закриття сайтів, власникам веб ресурсів, які підпали під дію цієї статті, також загрожує штраф, або виправні роботи, або позбавлення волі.

Окрім закриття міліцією сайтів, що публічно займалися розповсюдженням чи продажем вірусів, подібне закриття сайтів може бути спровоковане через розміщення вірусів на сайтах. Тобто це може бути malware для браузерів, що також є вірусом і підпадає під цю статтю. А malware можуть бути розміщені як власниками сайтів, так і через дірки на сайтах. В своїй доповіді про системи виявлення інфікованих веб сайтів на конференції, я описав всі варіанти потрапляння шкідливого коду на сайт.

Тобто, окрім випадків, коли сам власник сайта розміщує віруси на своєму ресурсі, будь-який сайт може бути взломаний через уразливості на ньому та інфікований. Щотижня я повідомляю про нові випадки інфікувань сайтів в Уанеті, в тому числі й державних сайтів. І всі ці сайти по суті підпадають під дану статтю. Так що зловмисники таким чином можуть підставити власника сайта. І дана стаття КК України є гарним приводом для власників веб сайтів для покращення їхньої безпеки.