Websecurity - Веб безпека

За повідомленням www.xakep.ru, статистика по ботнету Carna.

Аналітик в області інформаційної безпеки Парт Шукла для конференції AusCERT підготував цікаву презентацію, присвячену ботнету Carna. Нагадаю, що саме за допомогою цього глобального ботнета був здійснений найбільший скан Інтернету в наукових цілях - Internet Census 2012.

Про сканування портів всіх IPv4 адрес я вже писав. За десять місяців 2012 року були проскановані всі IP-адреса в адресному просторі IPv4 за допомогою більше 420 тисяч незахищених пристроїв. Для вищезгаданої презентації по ботнету Crana автор добув прямо в анонімного хакера базу з 1,2 млн. уразливих пристроїв в Інтернеті, 30% яких у свій час увійшли в ботнет Carna і використовувалися для здійснення глобального скана.

За повідомленням www.opennet.ru, незвичайна уразливість в Apache mod_rewrite.

У модулі mod_rewrite популярного веб сервера Apache серії 2.2.x виявлена цікава уразливість, що дозволяє віддаленому зловмиснику виконати довільну команду в момент перегляду лог-файла адміністратором сервера.

Уразливість обумовлена тим фактом, що mod_rewrite при записі в лог-файл не екранує спеціальні символи, що дозволяє віддаленому зловмиснику, за допомогою спеціально оформлених запитів до веб сервера, записати туди, наприклад, керуючі послідовності для термінала.

До речі, в nginx подібна уразливість була знайдена в 2009 році. А тепер і в Apache mod_rewrite. Виконання системних команд через логи це дуже популярна функція у розробників веб серверів .

За повідомленням www.xakep.ru, Нью-Йоркський поліцейський взламував емайли колег.

Эдвін Варгас, детектив міської поліції Нью-Йорка в Бронксі, був арештований за обвинуваченням у комп’ютерних злочинах. Відповідно до обвинувачення, протягом двох років Варгас займався нелегальним взломом чужих електронних поштових скриньок.

Що характерно, для виконання брудної роботи Варгас найняв приватну фірму, у якої в зазначений період часу замовив доступ до 43 поштових аккаунтів, що належать 30 користувачам. Серед яких, зокрема, були 19 чоловік з поліцейського департаменту, в тому числі інші детективи.

У травні місяці Microsoft випустила 10 патчів. Що більше ніж у квітні.

У травневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 10 бюлетенів по безпеці. Що закривають 33 уразливості в програмних продуктах компанії. Два патчі закривають критичні уразливості (всі вони стосуються Internet Explorer) та вісім патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT. А також Microsoft Office, Internet Explorer, .NET Framework, Communicator, Lync, Lync Server та Windows Essentials.

У травні, 09.05.2013, вийшли PHP 5.3.25 та PHP 5.4.15. В яких виправлено біля 10 багів. Дані релізи направлені на покращення стабільності гілок 5.3.x і 5.4.x.

Жодних уразливостей в цих версіях PHP виправлено не було. Лише згадується оновлення бібліотеки libmagic.

По матеріалам http://www.php.net.

Два роки тому відбувся масовий взлом сайтів на сервері Hvosting. І в цьому році, в період 18.02.2013-01.05.2013, а також 22.08.2011, відбувся повторний масовий взлом цього ж сервера. Я періодично виявляю повторні взломи серверів і це черговий випадок.

Був взломаний сервер української компанії Hvosting. Взлом, що складався з декількох взломів, відбувся після згаданого масового взлому сайтів на сервері Delta-X.

Якщо першого разу було взломано 17 сайтів, то цього разу було взломано 17 сайтів (з них 1 в 2011 році та 16 в 2013 році) на сервері української компанії Hvosting (IP 91.200.40.39). Це наступні сайти: www.museum.ceramology.gov.ua, elit-dah.if.ua, krgrand.com, www.altrad-mostostal.com.ua, keramdach.com.ua, 7art.if.ua, rimo.if.ua, pozitiv.if.ua, metr.if.ua, metr-tyr.if.ua, ceramology.gov.ua, ceramology-inst.gov.ua, opishne-museum.gov.ua, poshyvailo-potters.gov.ua, selyuchenko-potters.gov.ua, poladm.gov.ua. Серед них українські державні сайти www.museum.ceramology.gov.ua, ceramology.gov.ua, ceramology-inst.gov.ua, opishne-museum.gov.ua, poshyvailo-potters.gov.ua, selyuchenko-potters.gov.ua та poladm.gov.ua (в 2011 та в 2013).

З зазначених 17 сайтів 1 сайт був взломаний хакером iskorpitx, 5 сайтів хакером Hmei7, 6 сайтів хакерами з 1923Turk, 2 сайти хакером Ziko’w та по 1 сайту хакерами Sejeal, HighTech та ghost-dz.

Враховуючи велику кількість окремих дефейсів по одному або кілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів.

Сьогодні, майже через півтора місяці після виходу Google Chrome 26, вийшов Google Chrome 27.

В браузері зроблено декілька нововведень та виправлені помилки. Зокрема реалізована нова секюріті функція - додана підтримка серверного заголовка X-Content-Type-Options: nosniff, розробленого в 2009 році Microsoft для свого браузера Internet Explorer 8. Що є додатковим захистом від XSS атак.

А також виправлено 13 уразливостей, з яких 10 позначені як небезпечні. Це більше ніж у попередній версії браузера.

З виправлених проблем безпеки відзначаються проблеми звертання до вже звільнених блоків пам’яті (Use-after-free) у коді SVG, media loader, в обробниках Pepper, widget, speech і style. Проблеми з виходом за границі буфера усунуті в Web Audio і движку v8. До складу також включена нова версія Flash Player, у якій усунуто 13 уразливостей, що можуть привести до виконання коду при обробці певним чином оформлених swf-файлів.

• Вышел web-браузер Chrome 27 (деталі)

За повідомленням www.xakep.ru, новий вірус атакує клієнтів “iBank 2″.

На початку 2013 року в компанії Group-IB розслідували розкрадання великої суми в юридичної особи через систему дистанційного банківського обслуговування. У процесі розслідування інциденту фахівцями Group-IB була виявлена і розібрана нова шкідлива програма, націлена тільки на банк-клієнт “iBank 2″. Як на момент розкрадання грошей з рахунка юридичної особи, так і на момент проведення розслідування жоден з антивірусних продуктів не виявляв дану програму.

В статті Атаки на банківські системи я вже писав про банківські трояни. Зокрема про шкідливу програму Ibank, що призначена для атак на першу версію системи ДБО iBank, а це виявили троян для другої версії даної системи.

За повідомленням www.opennet.ru, виявлено атаку по впровадженню бекдора на веб сервери з lighttpd і nginx.

Фахівці антивірусної компанії ESET виявили близько 400 серверів, уражених бекдором Cdorked, з яких 50 серверів обслуговують сайти, що входять у список 100000 найбільш популярних ресурсів по рейтингу Alexa. Примітно, що крім випадків, які зустрічалися раніше, упровадження даного бекдора у виконавчий файл http-сервера Apache, нова інформація свідчить про використання варіанта Cdorked, що вражає сервери на базі lighttpd і nginx. Для перевірки впровадження бекдора радиться оцінити цілісність виконавчих файлів httpd, nginx і lighttpd по контрольній сумі.

Подібні бекдори розповсюджують шкідливий код на всіх сайтах на вражених серверах. Раніше я писав про бекдор в Apache, а також про руткіт для nginx та інші випадки впровадження бекдорів у веб сервери. Даний метод розповсюдження інфекції стає все більш поширеним.

За повідомленням www.xakep.ru, взломано базу даних гребель США.

Невідомі зловмисники зуміли одержати доступ до Національного реєстру гребель - бази даних, що веде Інженерний корпус армії США. Це дуже цінна база даних про 79000 гребель на території Америки, із указівкою їхніх слабких місць, оцінкою кількості загиблих у випадку прориву та іншою важливою інформацією.

Несанкціоноване проникнення на сервери із секретною інформацією відбулося в січні і було виявлено тільки в квітні. Таким чином, шпигуни мали доступ до інформації протягом трьох місяців.

Виявлена можливість витоку інформації в cURL і libcurl.

Уразливі продукти: cURL 7.27, libcurl 7.27.

Міждоменний доступ до cookie.

• curl vulnerability (деталі)

У травні, 15.05.2013, вийшов Mozilla Firefox 21. Нова версія браузера вийшла через півтора місяця після виходу Firefox 20.

Mozilla офіційно випустила реліз веб-браузера Firefox 21, а також мобільну версію Firefox 21 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 22 намічений на 25 червня, а Firefox 23 на 6 серпня. Також був випущений Seamonkey 2.18.

Одночасно з Firefox 21 випущені коригувальні релізи гілок із тривалим терміном підтримки - Firefox 17.0.6 і Thunderbird 17.0.6.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 21.0 усунуто 8 уразливостей, серед яких 4 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 21 (деталі)

24.04.2013

Виявлені численні уразливості безпеки в продуктах Oracle, Sun, People Soft і MySQL.

Уразливі продукти: Oracle 10g, Oracle 11g, MySQL 5.1, 5.5 і 5.6, Oracle E-Business Suite 11i, JRockit 28.2, WebLogic Server 12.1, PeopleSoft HRMS 9.1, PeopleSoft PeopleTools 8.53 та інші продукти Oracle.

128 різних уразливостей у різних додатках виправлено в щоквартальному оновленні.

• Oracle Critical Patch Update Advisory - April 2013 (деталі)

15.05.2013

Додаткова інформація.

• Oracle Retail Invoice Manager SQL Injection (деталі)
• Oracle Retail Integration Bus Manager Directory Traversal (деталі)
• Oracle 11g TNS listener remote Invalid Pointer Read (pre-auth) (деталі)
• Oracle 11g TNS listener remote Null Pointer Dereference (pre-auth) (деталі)

Виявлені уразливості безпеки в Apache Tomcat.

Уразливі версії: Apache Tomcat 6.0, Tomcat 7.0.

DoS, перехоплення сеансу, витік інформації.

• Request mix-up if AsyncListener method throws RuntimeException (деталі)
• Session fixation with FORM authenticator (деталі)
• Chunked transfer encoding extension size is not limited (деталі)