Websecurity - Веб безпека

За повідомленням www.xakep.ru, четверо росіян і один українець здійснили найбільший взлом в історії за допомогою SQL-ін’єкцій.

Міністерство юстиції США повідомляє про найбільший взлом в історії, що вдалося розкрити правоохоронним органам. У федеральному суді Ньюарка (Нью-Джерсі) пред’явлене обвинувачення п’яти хакерам, що несуть відповідальність за крадіжку більше 160 мільйонів “дампів” платіжних карт, що привело до збитку в сотні мільйонів доларів.

Жертвами взломів у 2005-2012 роках сталі компанії фінансового сектора, банки і торгові мережі. Слідчі пояснюють, що за аферою стоять п’ять чоловік - четверо росіян і один українець - у кожного з який була специфічна роль в організації.

За повідомленням bugtraq.ru, HP визнала існування бекдорів у двох лінійках своїх продуктів.

HP визнала існування недокументованих бекдорів у StoreOnce D2D Backup і StoreVirtual Storage, що забезпечують адміністраторський доступ до керуючої системи. Зокрема у випадку StoreOnce досить увійти по SSH користувачем HPSupport і паролем badg3r5 (який підібрали по SHA1 хешу).

Про бекдори у веб додатках, мережевих пристроях та серверних програмах я вже писав неодноразово. Зараз це актуальна тема.

За повідомленням ko.com.ua, нова уразливість дозволяє обійти HTTPS-захист за 30 секунд.

На проведеній у Лас-Вегасі конференції Black Hat була анонсована BREACH - нова техніка атаки на TLS і SSL. Вона продовжує традиції таких технік як BEAST і CRIME.

Як було показано у доповіді на конференції, протокол HTTPS має серйозну уразливість, що дозволяє в багатьох випадках обійти криптографічний захист усього за 30 секунд. Експлоіт BREACH дає можливість одержувати адреси електронної пошти, кукіси та інші дані користувачів із зашифрованих сторінок.

03.07.2013

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird та Seamonkey.

Уразливі продукти: Mozilla Firefox 21.0, Firefox ESR 17.0, Thunderbird 17.0, Seamonkey 2.18.

Пошкодження пам’яті, використання після звільнення, підвищення привілеїв, витік інформації.

• Mozilla Foundation Security Advisory 2013-49 (деталі)
• Mozilla Foundation Security Advisory 2013-50 (деталі)
• Mozilla Foundation Security Advisory 2013-51 (деталі)
• Mozilla Foundation Security Advisory 2013-52 (деталі)
• Mozilla Foundation Security Advisory 2013-53 (деталі)
• Mozilla Foundation Security Advisory 2013-54 (деталі)
• Mozilla Foundation Security Advisory 2013-55 (деталі)
• Mozilla Foundation Security Advisory 2013-56 (деталі)
• Mozilla Foundation Security Advisory 2013-57 (деталі)
• Mozilla Foundation Security Advisory 2013-58 (деталі)
• Mozilla Foundation Security Advisory 2013-59 (деталі)
• Mozilla Foundation Security Advisory 2013-60 (деталі)
• Mozilla Foundation Security Advisory 2013-61 (деталі)
• Mozilla Foundation Security Advisory 2013-62 (деталі)

02.08.2013

Додаткова інформація.

• Mozilla Firefox Maintenance Service Privilege Escalation Vulnerabilities (деталі)

У липні, 18.07.2013, вийшла версія PHP 5.5.1. В якій виправлено біля 20 багів. Даний реліз направлений на покращення безпеки та стабільності гілки 5.5.x.

Серед секюріті виправлень в PHP 5.5.1:

• Виправлена уразливість в XML parser (баг #65236).

По матеріалам http://www.php.net.

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server.

Численні пошкодження пам’яті.

• Microsoft Security Bulletin MS13-055 - Critical Cumulative Security Update for Internet Explorer (2846071) (деталі)

Виявлені уразливості безпеки в Apache.

Уразливі версії: Apache 2.2.

DoS через запит MERGE в mod_dav, маніпуляція лог-файлами в mod_rewrite.

• Vulnerability in Apache (деталі)

У липні місяці Microsoft випустила 7 патчів. Що більше ніж у червні.

У липневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 7 бюлетенів по безпеці. Що закривають 32 уразливості в програмних продуктах компанії. Шість патчів закривають критичні уразливості та один патч закриває важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT. А також Microsoft Office, Visual Studio, Lync, Internet Explorer, .NET Framework, Silverlight і Windows Defender.

У липні, 04.07.2013, вийшла версія PHP 5.4.17. В якій виправлено біля 20 багів. А 11.07.2013, вийшла версія PHP 5.3.27. В якій виправлено біля 10 багів та одна уразливість. Дані релізи направлені на покращення безпеки та стабільності гілок 5.3.x і 5.4.x.

Серед секюріті виправлень в PHP 5.3.27:

• Виправлена уразливість в XML parser (баг #65236).

По матеріалам http://www.php.net.

За повідомленням www.xakep.ru, як заробити $20 тис. за один день на простому базі Facebook.

Протягом декількох років ви могли змінити пароль будь-якому іншому користувачу Facebook, просто змінивши елемент profile_id у формі fbMobileConfirmationForm при аутентифікації з мобільного телефону.

Фахівець з безпеки Джек Уітттен пояснив суть уразливості, що пов’язана з неправильною обробкою параметрів скриптом для підтвердження номера телефону, що прив’язується до аккаунту.

Те, що Facebook дірявий, я писав неодноразово. Сам знаходив багато уразливостей на сайтах цієї соцмережі. А деякі люди навіть заробляють на дірках в Facebook (як от $20000 за цю дірку). Враховуючи, що на Facebook увесь час знаходять різні уразливості і ця дірка існувала на сайті багато років, все це говорить, що власники соцмережі не проводять аудити безпеки (чекаючи, що їм на блюдці принесуть дірки в їхній соціальній мережі).

За повідомленням www.opennet.ru, rubygems.org піддався взлому.

Rubygems.org, популярний репозиторій модулів для додатків на Ruby, був скомпрометований невідомими зловмисниками, що одержали доступ до сервера шляхом експлуатації уразливості в YAML-парсері фреймворка Ruby on Rails, у якому в січні було виправлено кілька критичних проблем безпеки.

Виявлено, що в процесі атаки була задіяна проблема безпеки в парсері Psych YAML, але уразливість була експлуатована не через HTTP, а через інтерфейс обробки метаданих Rubygems.

Торік я писав про взломи репозиторіїв Linux та FreeBSD, а цього року я писав про бекдор у віджеті соціальних мереж для WordPress, що був вставлений в код після компрометації акаунта розробника віджету. А це ще один приклад атаки на репозиторії, для включення бекдорів у вихідний код.

За повідомленням www.xakep.ru, Брайан Кребс розсекретив партнерську програму FeodalCash.

Журналіст і блогер, що спеціалізується на інформаційній безпеці, Брайан Кребс провів нове журналістське розслідування. Цього разу у фокусі його уваги виявилося російськомовне співтовариство FeodalCash, члени якого одержують партнерську винагороду за встановлення шкідливих програм на комп’ютери користувачів. Зокрема трояна Win32/Tarcloin, що здійснює майнінг біткоінів на комп’ютері жертви.

Я вже писав про випадки нелегального майнінга біткоінів. А це ціла партнерка для розповсюдження троянів для генерації Bitcoin.

Виявлені пошкодження пам’яті в PHP.

Уразливі версії: PHP 5.3.

Пошкодження пам’яті при роботі з XML, DoS у функції jdtojewish.

• Vulnerability in PHP (деталі)
• Re: Vulnerability in PHP (деталі)

З 04.11.2012 по 18.05.2013 відбувся сьомий масовий взлом сайтів на сервері Delta-X, після шостого взлому сайтів на сервері Delta-X. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сьомий сервер компанії Delta-X. Взлом складався з багатьох окремих дефейсів. 3 сайти були дефейснуті в 2012 році та 35 сайтів в 2013 році.

Всього було взломано 38 сайтів на сервері української компанії Delta-X (IP 91.206.200.120). Це наступні сайти: dianetica.org.ua, dimitrov-rada.gov.ua, www.budivel-energy.com.ua, www.kremdruk.com.ua, alve.com.ua, newmebel.kiev.ua, xn--b1adem3b.zp.ua (двери.zp.ua), hlebopech.com, advokato.in.ua, www.vidradne.com.ua, www.rakushka.org.ua, www.lamontfaibvre.com, www.vyshka.com.ua, www.ecowood.rv.ua, energyclub.com.ua, lads.com.ua, gcard.com.ua, perha-ledi.com.ua, www.ecotour.com.ua, www.interpreter.kh.ua, stm-instrument.com.ua, autosvet.kiev.ua, princess.od.ua, southts.od.ua, vgcity.com.ua, sosna.kiev.ua, tresdias.net.ua, www.imperiasada.com.ua, www.uachina.org, nechaeva.dp.ua, gruzi.dp.ua, www.poskachey.com, www.handmaderabbit.org.ua, taxi-kiev.co.ua, www.akerman.com.ua, webservis.in.ua, korinv.org.ua, suzir.com.ua. Серед них український державний сайт dimitrov-rada.gov.ua.

Дефейси по одному сайту булу проведені хакерами dr.m1st3r, tn_hacker, Bangladesh Cyber Army, s13doeL, Joulex, Yildiray, Game Over, S4V4S, luckybag, 1923Turk, Dr.SHA6H, 7 сайтів хакером Hmei7, 6 сайтів хакером misafir та 14 сайтів хакером Sejeal.

Враховуючи велику кількість окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів.