Websecurity - Веб безпека

Минулого тижня відбувся взлом drupal.org та groups.drupal.org. Як мінімум наприкінці травня адміни цих сайтів виявили сліди компрометації ресурсів.

Про це я дізнався 30.05.2013 від представників Drupal. Так що я отримав цю інформацію не з онлайн ЗМІ, а саме від власників сайта drupal.org. Бо ще на початку минулого року я зареєструвався на цьому сайті, коли повідомляв стосовно дірки в одному з модулів. От ця реєстрація і стала в нагоді, щоб отримати термінове повідомлення від адміністрації сайтів.

Цей підхід може служити таким собі методом відстеження взломів сайтів . Я користуюся ним багато років. Коли сайт, на якому ти зареєструвався, буде взломаний, то ти отримаєш повідомлення про це від адмінів (якщо вони чесні), або прийде повідомлення, що вони “з будь-яких міркувань” вирішили змінити паролі всім користувачам (якщо вони бояться признатися про взлом свого ресурсу). Або тобі на емайл почне активно приходити спам (при тому, що є впевненість, що самі власники ресурсу не продали базу емайлів спамерам). З першими ситуаціями стикався рідко, а от з другими ситуаціями стикався неодноразово.

Чи були в мене сумніви, що сайт Друпала взломають? Не було жодних. Тому жодної приватної чи важливої інформації я не залишив на сайті (як це я завжди і роблю). Не залишайте приватної інформації на різних сайтах і при їх взломі й витоку БД, ви не постраждаєте - це моя порада. А Друпальщики радять всім користувачам цих ресурсів зайти на сайти і оновити паролі через відповідний функціонал та рекомендують використовувати надійні паролі (та інші базові поради). Тобто роблять хорошу міну, при поганій грі.

Виявлена можливість проведення DoS атаки проти ModSecurity.

Уразливі версії: ModSecurity 2.7.

Звертання по нульовому вказівнику за певних умов.

• [ModSecurity] Remote Null Pointer Dereference (деталі)

Торік відбувся масовий взлом сайтів на сервері Besthosting. Пізніше, в період 19.12.2012-07.02.2013, відбувся повторний масовий взлом цього ж сервера. Я періодично виявляю повторні взломи серверів і це черговий випадок.

Був взломаний сервер української компанії Besthosting. Взлом, що складався з декількох взломів, відбувся перед згаданим масовим взломом сайтів на сервері Hvosting.

Якщо першого разу було взломано 42 сайти, то цього разу було взломано 11 сайтів (з них 7 в 2012 році та 4 в 2013 році) на сервері української компанії Besthosting (IP 194.28.172.69). Це наступні сайти: romen-region.gov.ua, www.rdc.org.ua, www.auba.com.ua, www.lpbp.lviv.ua, hutir.net, vaspe.org, www.promix.lviv.ua, ugcc.zp.ua, www.zpk.zp.ua, www.znamenka.dn.ua, it-symphony.com. Серед них український державний сайт romen-region.gov.ua.

З зазначених 11 сайтів 1 сайт був взломаний хакерами з Kosova Hackers Crew, 1 сайт хакером Sejeal, 2 сайти хакером Hmei7 та 7 сайтів хакером EviLHaCk.

Якщо дефейси EviLHaCk могли бути проведені при взломі серверу хостінг провайдера (також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів). То інші дефейси явно були зроблені при взломах окремих сайтів.

Виявлені численні уразливості безпеки в Mozilla Firefox та Thunderbird.

Уразливі продукти: Mozilla Firefox 20.0, Firefox ESR 17.0, Thunderbird 17.0.

Пошкодження пам’яті, використання після звільнення, підвищення привілеїв, витік інформації.

• Mozilla Foundation Security Advisory 2013-41 (деталі)
• Mozilla Foundation Security Advisory 2013-42 (деталі)
• Mozilla Foundation Security Advisory 2013-43 (деталі)
• Mozilla Foundation Security Advisory 2013-44 (деталі)
• Mozilla Foundation Security Advisory 2013-45 (деталі)
• Mozilla Foundation Security Advisory 2013-46 (деталі)
• Mozilla Foundation Security Advisory 2013-47 (деталі)
• Mozilla Foundation Security Advisory 2013-48 (деталі)

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server.

Витік інформації, численні використання пам’яті після звільнення.

• Microsoft Internet Explorer 10-9-8-7-6 VML Remote Integer Overflow (MS13-037 / Pwn2Own) (деталі)
• Microsoft Internet Explorer 10-9 Object Confusion Sandbox Bypass (MS13-037 / Pwn2Own) (деталі)
• Microsoft Security Bulletin MS13-037 - Critical Cumulative Security Update for Internet Explorer (2829530) (деталі)
• Microsoft Security Bulletin MS13-038 - Critical Security Update for Internet Explorer (2847204) (деталі)

За повідомленням www.xakep.ru, статистика по ботнету Carna.

Аналітик в області інформаційної безпеки Парт Шукла для конференції AusCERT підготував цікаву презентацію, присвячену ботнету Carna. Нагадаю, що саме за допомогою цього глобального ботнета був здійснений найбільший скан Інтернету в наукових цілях - Internet Census 2012.

Про сканування портів всіх IPv4 адрес я вже писав. За десять місяців 2012 року були проскановані всі IP-адреса в адресному просторі IPv4 за допомогою більше 420 тисяч незахищених пристроїв. Для вищезгаданої презентації по ботнету Crana автор добув прямо в анонімного хакера базу з 1,2 млн. уразливих пристроїв в Інтернеті, 30% яких у свій час увійшли в ботнет Carna і використовувалися для здійснення глобального скана.

За повідомленням www.opennet.ru, незвичайна уразливість в Apache mod_rewrite.

У модулі mod_rewrite популярного веб сервера Apache серії 2.2.x виявлена цікава уразливість, що дозволяє віддаленому зловмиснику виконати довільну команду в момент перегляду лог-файла адміністратором сервера.

Уразливість обумовлена тим фактом, що mod_rewrite при записі в лог-файл не екранує спеціальні символи, що дозволяє віддаленому зловмиснику, за допомогою спеціально оформлених запитів до веб сервера, записати туди, наприклад, керуючі послідовності для термінала.

До речі, в nginx подібна уразливість була знайдена в 2009 році. А тепер і в Apache mod_rewrite. Виконання системних команд через логи це дуже популярна функція у розробників веб серверів .

За повідомленням www.xakep.ru, Нью-Йоркський поліцейський взламував емайли колег.

Эдвін Варгас, детектив міської поліції Нью-Йорка в Бронксі, був арештований за обвинуваченням у комп’ютерних злочинах. Відповідно до обвинувачення, протягом двох років Варгас займався нелегальним взломом чужих електронних поштових скриньок.

Що характерно, для виконання брудної роботи Варгас найняв приватну фірму, у якої в зазначений період часу замовив доступ до 43 поштових аккаунтів, що належать 30 користувачам. Серед яких, зокрема, були 19 чоловік з поліцейського департаменту, в тому числі інші детективи.

У травні місяці Microsoft випустила 10 патчів. Що більше ніж у квітні.

У травневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 10 бюлетенів по безпеці. Що закривають 33 уразливості в програмних продуктах компанії. Два патчі закривають критичні уразливості (всі вони стосуються Internet Explorer) та вісім патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT. А також Microsoft Office, Internet Explorer, .NET Framework, Communicator, Lync, Lync Server та Windows Essentials.

У травні, 09.05.2013, вийшли PHP 5.3.25 та PHP 5.4.15. В яких виправлено біля 10 багів. Дані релізи направлені на покращення стабільності гілок 5.3.x і 5.4.x.

Жодних уразливостей в цих версіях PHP виправлено не було. Лише згадується оновлення бібліотеки libmagic.

По матеріалам http://www.php.net.

Два роки тому відбувся масовий взлом сайтів на сервері Hvosting. І в цьому році, в період 18.02.2013-01.05.2013, а також 22.08.2011, відбувся повторний масовий взлом цього ж сервера. Я періодично виявляю повторні взломи серверів і це черговий випадок.

Був взломаний сервер української компанії Hvosting. Взлом, що складався з декількох взломів, відбувся після згаданого масового взлому сайтів на сервері Delta-X.

Якщо першого разу було взломано 17 сайтів, то цього разу було взломано 17 сайтів (з них 1 в 2011 році та 16 в 2013 році) на сервері української компанії Hvosting (IP 91.200.40.39). Це наступні сайти: www.museum.ceramology.gov.ua, elit-dah.if.ua, krgrand.com, www.altrad-mostostal.com.ua, keramdach.com.ua, 7art.if.ua, rimo.if.ua, pozitiv.if.ua, metr.if.ua, metr-tyr.if.ua, ceramology.gov.ua, ceramology-inst.gov.ua, opishne-museum.gov.ua, poshyvailo-potters.gov.ua, selyuchenko-potters.gov.ua, poladm.gov.ua. Серед них українські державні сайти www.museum.ceramology.gov.ua, ceramology.gov.ua, ceramology-inst.gov.ua, opishne-museum.gov.ua, poshyvailo-potters.gov.ua, selyuchenko-potters.gov.ua та poladm.gov.ua (в 2011 та в 2013).

З зазначених 17 сайтів 1 сайт був взломаний хакером iskorpitx, 5 сайтів хакером Hmei7, 6 сайтів хакерами з 1923Turk, 2 сайти хакером Ziko’w та по 1 сайту хакерами Sejeal, HighTech та ghost-dz.

Враховуючи велику кількість окремих дефейсів по одному або кілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів.

Сьогодні, майже через півтора місяці після виходу Google Chrome 26, вийшов Google Chrome 27.

В браузері зроблено декілька нововведень та виправлені помилки. Зокрема реалізована нова секюріті функція - додана підтримка серверного заголовка X-Content-Type-Options: nosniff, розробленого в 2009 році Microsoft для свого браузера Internet Explorer 8. Що є додатковим захистом від XSS атак.

А також виправлено 13 уразливостей, з яких 10 позначені як небезпечні. Це більше ніж у попередній версії браузера.

З виправлених проблем безпеки відзначаються проблеми звертання до вже звільнених блоків пам’яті (Use-after-free) у коді SVG, media loader, в обробниках Pepper, widget, speech і style. Проблеми з виходом за границі буфера усунуті в Web Audio і движку v8. До складу також включена нова версія Flash Player, у якій усунуто 13 уразливостей, що можуть привести до виконання коду при обробці певним чином оформлених swf-файлів.

• Вышел web-браузер Chrome 27 (деталі)