Websecurity - Веб безпека

За повідомленням www.xakep.ru, огляд ринку 0day-експлоітів.

Останнім часом ринок 0day-експлоітів став об’єктом суспільного інтересу. Хоча найбільші ІТ-компанії почали платити хакерам за виявлення уразливостей у своїх продуктах, але на чорному ринку експлоіти можна продати набагато дорожче. Про цей чорний ринок відомо небагато, тому компанія NSS Labs провела дослідження.

Причому компанія переважно розповіла та навела статистику публічного ринку експлоітів. А про чорний ринок лише зробила деякі припущення.

За повідомленням www.facebook.com, витік інформації на сайті Укрзалізниці.

Наслідки витоку інформації можуть бути сумними. Контент-редактора сайта Укрзалізниці було звільнено, після того як на сайті оприлюднили інформацію (причому приблизну) про кількість потягів з мітингувальниками на Антимадайн. Яких влада привезла у Київ для акції на свою підтримку. Коли ця інформація була оприлюднена на Facebook активістами Євромайдану і про це стало відомо керівництву Укрзалізниці, даного працівника звільнили.

Тому в наших реаліях навіть така незначна інформація для влади може вважатися конфіденційною. Так що окрім DDoS атак, грудень виявився насиченим в Україні в контексті ІБ.

За повідомленням www.xakep.ru, ботнет використовує Fіrefox для взлому сайтів.

Був виявлений дуже незвичний ботнет. Шкідлива програма поширювалася під виглядом розширення для Firefox. За півроку з травня 2013 розширення встановили як мінімум 12500 разів, якщо вірити скріншоту адміністративної панелі.

Після встановлення програма намагалася здійснити SQL-ін’єкції практично на всіх сайтах, що відвідував користувач. Надалі зловмисники використовували заражені сайти для атак типу drive-by, тобто для подальшого збільшення армії ботів.

Стосовно шкідливого коду під виглядом розширення для Firefox я вже писав раніше. Але це перший випадок, коли така malware використовувалася для пошуку уразливостей на сайтах.

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10, 11 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1.

Численні пошкодження пам’яті і підвищення привілеїв.

• Microsoft Security Bulletin MS13-097 - Critical Cumulative Security Update for Internet Explorer (2898785) (деталі)

Нещодавно, 12 грудня, вийшли PHP 5.3.28, 5.4.23 і 5.5.7. У версії 5.3.28 виправлено дві уразливості, у версії 5.4.23 виправлено біля 10 багів та одна уразливість, а у версії 5.5.7 виправлено декілька багів та одна уразливість. Дані релізи направлені на покращення стабільності та безпеки гілок 5.3.x, 5.4.x і 5.5.x.

У PHP 5.3.28 виправлено:

• Дві уразливості в модулі OpenSSL (CVE-2013-4073 і CVE-2013-6420).

У PHP 5.4.23 і PHP 5.5.7 виправлено:

• Уразливість в модулі OpenSSL (CVE-2013-6420).

По матеріалам http://www.php.net.

Виявлена можливість виконання коду в HTTP::Body.

Уразливі продукти: HTTP::Body 1.17 модуль для Perl.

Небезпечна робота з тимчасовими файлами.

• libhttp-body-perl security update (деталі)

Виявлені уразливості безпеки в Ruby.

Уразливі версії: Ruby 2.1.

DoS, обхід обмежень.

• Ruby vulnerabilities (деталі)

У грудні, 10.12.2013, вийшов Mozilla Firefox 26. Нова версія браузера вийшла через півтора місяця після виходу Firefox 25.

Mozilla офіційно випустила реліз веб-браузера Firefox 26, а також мобільну версію Firefox 26 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 27 намічений на 7 лютого, а Firefox 28 на 18 березня.

Також був випущений Seamonkey 2.23 та оновлені гілки із тривалим терміном підтримки Firefox 24.2.0 і Thunderbird 24.2.0.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 26.0 усунуто 14 уразливостей, серед яких 5 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

Також до покращень безпеки можна віднести блокування Java по замовчуванню та розширення підтримки технології Content Security Policy (CSP). Усі Java-аплети відтепер будуть за замовчуванням відключені, а пов’язаний з ними контент зажадає для своєї активації кліка на спеціальній області (Click to Play). Якщо раніше показ контента блокувався тільки для окремих версій Java-плагінів, занесених у чорний список через наявність уразливостей, то тепер за замовчуванням буде блокуватися будь-який Java контент.

• Релиз Firefox 26 (деталі)

На початку грудня відбулося чимало атак в зв’язку з політичними подіями. Як я писав раніше, ви можете подивися мої відео з Євромайдану в Києві, що я знімаю починаючи з 25.11.2013.

Починаючи з 30.11.2013 і до середини місяця відбулося чимало DoS і DDoS атак в Уанеті.

Українські хакери в якості акції протесту провели DDoS атаки на державні сайти (атака на сайт МВС тривала протягом тижня):

DDoS на mvs.gov.ua - 30.11.2013
DDoS на president.gov.ua - 01.12.2013
DDoS на kmu.gov.ua - 01.12.2013

Міліція провела штурми офісів політичних партій та ЗМІ, в результаті яких вилучила сервери, що призвело до тимчасового блокування роботи їхніх сайтів:

DoS на batkivshchyna.com.ua (після штурму МВС офісу “Батьківщини”) - 09.12.2013
DoS на gazetavv.com (після штурму МВС офісу газети) - 09.12.2013
DoS на intv.ua (після штурму МВС офісу газети) - 09.12.2013
DoS на censor.net.ua (після штурму МВС офісу газети) - 09.12.2013

Також невідомими хакерами (явно провладними) були атаковані сайти ЗМІ:

DDoS на 5.ua - 07.12.2013
DDoS на hromadske.tv - 09.12.2013
DDoS на liga.net - 14.12.2013

За повідомленням www.xakep.ru, 130 000 000 паролів Adobe виклали у відкритий доступ і частково розшифрували.

У першому повідомленні про крадіжку паролів мільйонів своїх користувачів компанія Adobe сказала, що громадянам немає чого побоюватися, тому що паролі зашифровані.

Поки співтовариство не одержало базу з паролями, фраза про “зашифровані” паролі була незрозумілою. Можна було припустити, що Adobe мала на увазі хешування.

Але істина виявилася не такою радісною. Файл із 130 324 429 паролями незабаром потрапив у відкритий доступ, так що усі одержали можливість переконатися, як саме зашифровані паролі. Adobe використовувала симетричний блоковий шифр 3DES у режимі Electronic Code Book (ECB). При цьому з’ясувалося, що витік даних має безпрецедентний масштаб: мова йде зовсім не про 2,9 мільйонів паролів, як раніше стверджувала Adobe.

За повідомленням www.opennet.ru, виявлено техніку MITM-атак, засновану на підстановці фіктивних BGP-маршрутів.

Компанія Renesys, що спеціалізується на моніторингу роботи глобальної мережі, зафіксувала успішні спроби проведення атаки, спрямованої на перенапрямок потоків трафіка. Це може використовуватися для MITM-атак.

Атака організується через формування підставних BGP-маршрутів, що у сумі дозволяють вплинути на пріоритети вибору шляху проходження трафіка й організувати проходження потоку через підконтрольну територію. Наприклад, подібним чином може бути організоване перехоплення локального трафіка однієї країни спецслужбами іншої країни.

За повідомленням www.xakep.ru, взлом сайтів знайомств Cupid Media: 42 млн. паролів відкритим текстом.

Продовжується низка великих взломів з витоками мільйонів паролів. Слідом за Adobe така неприємність сталася з компанією Cupid Media, якій належить більше 30 нішевих сайтів знайомств у різних районах світу, у тому числі в Росії й Україні.

Раніше на сервері хакерів були знайдені вихідні тексти програм і зашифровані паролі 130 млн користувачів Adobe. Зараз виявився ще один цікавий файл, що містить 42 млн паролів Cupid Media відкритим текстом, із зазначенням адреси електронної пошти, імені, прізвища і дати народження кожного користувача.

Великі взломи персональних даних відбуваються регулярно: витоки були як в попередні роки, так і в цьому році. Витоки даних Adobe та Cupid Media будуть одними з найбільших в 2013 році.

В період з 13.10.2012 по 02.12.2012 та з 15.01.2013 по 26.04.2013 відбувся третій масовий взлом сайтів на сервері Hetzner. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер німецької компанії Hetzner, на якому хостилися українські та російські сайти. Взлом складався з декількох дефейсів сайтів. Раніше я писав про другий масовий взлом сайтів на сервері Hetzner.

Всього було взломано 62 сайти на сервері компанії Hetzner (IP 5.9.7.9). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт kpdozvil.gov.ua. Це черговий державний сайт, що хоститься закордоном.

Якщо невеликі дефейси по одному або кілька сайтів явно були зроблені при взломах окремих сайтів, то стосовно дефейсу HighTech можна сказати, що враховуючи дефейс великої кількості сайтів за один день, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Виявлені численні уразливості безпеки в Google Chrome та Chromium.

Уразливі продукти: Google Chrome 31.0, Chromium 31.0.

Численні пошкодження пам’яті, підміна адреси, перехоплення TLS-з’єднання.

• chromium-browser security update (деталі)