Websecurity - Веб безпека

В період з 30.04.2011 по 10.03.2013 відбувся новий масовий взлом сайтів на сервері Freehost. Третій масовий взлом сайтів на сервері Freehost відбувся раніше.

Був взломаний сервер української компанії Freehost. Взлом в 2011-2013 роках складався з декількох дефейсів та одного крупного дефейса сайтів. Масовий дефейс відбувся після згаданого масового взлому сайтів на сервері Astratelcom.

Всього було взломано 33 сайти на сервері хостера Freehost (IP 91.206.31.130). Це наступні сайти: doippo.dp.ua, www.kiyana.com.ua, www.tmk.te.ua, mebel.ng.gov.ua, roo.ng.gov.ua, shop.ng.gov.ua, vm.ng.gov.ua, www.ng.gov.ua, dogtorska.com, legkoves.com, shpola.gov.ua, xkc.com.ua, www.bistfor.kiev.ua, www.all-monte.ru, www.elite-mebel.kiev.ua, www.bushinkan-honbu.info, www.benito.com.ua, www.staff-shoes.kiev.ua, test.web-service.kiev.ua, www.knigi-online.com.ua, www.jiu-jitsu.com.ua, www.kovka-metall.com.ua, www.kutsevych.com, www.legalland.kiev.ua, www.oldcenter.info, www.web-service.kiev.ua, www.jiu-jitsu-kiev.com, www.xn--80ahscp.in.ua, www.xn--80aa2agsg.com, lodkacapral.com, www.grimarine.com, www.antikrazka.com.ua, kinderland.org.ua. Серед них українські державні сайти mebel.ng.gov.ua, roo.ng.gov.ua, shop.ng.gov.ua, vm.ng.gov.ua, www.ng.gov.ua та shpola.gov.ua.

З зазначених 33 сайтів 3 сайти були взломані хакером Hmei7, 1 сайт хакером Anonymous Albania, 4 сайти хакером LaMiN3 DK, 4 сайти хакером Sejeal, 15 сайтів хакером urbanr00ts та 6 сайтів хакером iskorpitx.

У випадку крупного дефейса urbanr00ts, сайти могли бути атаковані хакером через взлом серверу хостінг провайдера. А всі невеликі дефейси по одному або декілька сайтів явно були зроблені при взломах окремих сайтів. Також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів.

Виявлена можливість виконання коду в Microsoft Silverlight.

Уразливі версії: Microsoft Silverlight 5.

Пошкодження пам’яті.

• Microsoft Security Bulletin MS13-022 - Critical Vulnerability in Silverlight Could Allow Remote Code Execution (2814124) (деталі)

12.02.2013

Виявлені численні уразливості безпеки в Oracle Java.

Уразливі версії: Oracle JRE 6, JDK 6, JDK 7, JRE 7.

Виправлено близько 50 різних уразливостей.

• Details of issues fixed by Feb 2013 Java SE CPU (деталі)

27.03.2013

Додаткова інформація.

• The “allowed behavior” in Java SE 7 (Issue 54) (деталі)
• Oracle Java Contains Multiple Vulnerabilities (деталі)
• Java for OS X 2013-002 and Mac OS X v10.6 Update 14 (деталі)
• One more attack affecting Oracle’s Java SE 7u15 (деталі)
• New security issues affecting Oracle’s Java SE 7u15 (деталі)
• Oracle Java Multiple Vulnerabilities (деталі)
• Updated Release of the February 2013 Oracle Java SE Critical Patch Update (деталі)
• Oracle Java SE Critical Patch Update Advisory - February 2013 (деталі)

У лютому, 22.02.2013, майже через півтора місяці після виходу Google Chrome 24, вийшов Google Chrome 25.

В браузері зроблено декілька нововведень та виправлені помилки. А також виправлено 22 уразливості, з яких 8 позначені як небезпечні. Це майже стільки ж як у попередній версії браузера.

Уразливості, що мають статус небезпечних, відзначені в звуковій підсистемі, IPC, SVG, коді для роботи з БД, декодувальнику vorbіs, обробнику URL і системі плагінів. Окремо відзначається відключення за замовчуванням підтримки MathML через виявлення проблем безпеки і необхідності переробки представленої в минулому випуску реалізації.

Чимало з виправлених уразливостей виявлені за допомогою інструментарію address-sanitizer, призначеного для автоматизованого визначення фактів звертання до звільнених областей пам’яті, виходу за межі границь виділеного буфера і деяких інших типів помилок при роботі з пам’яттю.

• Релиз web-браузера Chrome 25 (деталі)

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server.

Численні уразливості використання пам’яті після звільнення.

• Microsoft Internet Explorer 10-9-8-7-6 “OnMove” Use-after-free (MS13-021 / CVE-2013-0087) (деталі)
• Microsoft Internet Explorer 10-9-8-7-6 “OnResize” Use-after-free (MS13-021 / CVE-2013-0087) (деталі)
• Microsoft Security Bulletin MS13-021 - Critical Cumulative Security Update for Internet Explorer (2809289) (деталі)

За повідомленням www.xakep.ru, взлом TLS і SSL через уразливість у шифрі RC4.

На цьому тижні в Сінгапурі пройшла криптографічна конференція Fast Software Encryption. Головною подією став виступ Дена Бернстейна, професора університету Іллінойсу, що представив нову техніку для розкриття протоколів Transport Layer Security (TLS) і Secure Sockets Layer (SSL), якщо в них використовується шифр RC4.

За повідомленням ain.ua, Україна на 4 місці у світі по кількості вихідних кібератак.

Ведучий німецький оператор зв’язку Deutsche Telekom візуалізував карту країн-джерел кібератак, на якій Україна виявилася на 4 місці після Росії, Тайваню і Німеччини. За останній місяць з українських серверів було зроблено 566531 атака.

На порталі в реальному часі показані атаки і країни, з яких вони виходять, а також статистика найбільш частих видів атак, зрізи по регіонах з найбільшим числом активних серверів, що атакують. У компанії підкреслюють, що число інтернет-загроз постійно зростає - щодня виявляють близько 200 тисяч нових зразків шкідливого коду. Тільки в пастках Deutsche Telekom збираються записи про 450 тисяч атак у день.

За повідомленням www.xakep.ru, опубліковано кредитну історію Білла Гейтса.

На сайті Exposed.su опубліковані персональні дані на декількох знаменитостей. Інформація викрадена з деякого банківського сайта, де зберігається кредитна історія всіх громадян. Кредитна історія містить у собі статистику витрат по кредитних картках, платежі по усіх виданих кредитах, а також базову інформацію про громадянина - дата народження, адреса, усі минулі адреси, ім’я, усі минулі імена, місця роботи та інше. Зокрема оприлюднена кредитна історія Білла Гейтса.

Сам знаходив під час пентестів уразливості на сайтах українських банків, що дозволяли отримати доступ до кредитної історії та персональних даних громадян. Тому такі уразливості трапляються і вони несуть ризики для клієнтів банків.

Виявлена можливість проведення DoS проти Apache mod_dav_svn.

Уразливі продукти: Apache mod_dav_svn 1.6.

Звертання по нульовому вказівнику при обробці MKACTIVITY і PROPFIND.

• Apache Subversion mod_dav_svn DoS via MKACTIVITY/PROPFIND (деталі)

У лютому, 27.02.2013, вийшов Mozilla Firefox 19.0.1, а вже 07.03.2013 вийшов Mozilla Firefox 19.0.2. Нові версії браузера вийшли лише через, відповідно, вісім та шістнадцять днів після виходу Firefox 19. І в них виправлені деякі баги та уразливості допущені в останньому релізі.

Mozilla представила коригувальний випуск Firefox 19.0.1 у якому усунутий один баг. Це виправлення стосується лише Windows 8 - покращена стабільність на деяких графічних картах AMD Radeon HD (тобто виправлене вибивання браузера). Хоча Мозіла і не відзначила це як виправлення безпеки, що типово для неї, але я відношу це до секюріті виправлення (бо це була DoS в браузері).

Також Mozilla представила коригувальний випуск Firefox 19.0.2 у якому усунута одна дірка. Це Use-after-free уразливість в HTML-редакторі. Дана уразливість стосується Mozilla Firefox, Thunderbird і Seamonkey, які були оновлені.

Виявлений витік пам’яті в Perl.

Уразливі версії: Perl 5.8, 5.10, 5.12, 5.14, 5.16.

Витік пам’яті при роботі з хеш-таблицями.

• perl security update (деталі)

Використання пам’яті після звільнення в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 19.0, Firefox ESR 17.0, Thunderbird 17.0, SeaMonkey 2.16.

Use-after-free уразливість в HTML-редакторі. Дана уразливість була виправлена в Firefox 19.0.2, Firefox ESR 17.0.4, Thunderbird 17.0.4 та SeaMonkey 2.16.1.

• Mozilla Foundation Security Advisory 2013-29 (деталі)