Виявлені численні уразливості безпеки в Adobe ColdFusion.
Уразливі версії: Adobe ColdFusion 9.0, ColdFusion 10.
Обхід аутентифікації, підвищення привілеїв, витік інформації.
В першому півріччі вже відбувся масовий взлом сайтів на сервері Cityhost, а в другому півріччі відбувся повторний взлом цього сервера. За період з 07.07.2012 по 29.01.2013 відбувся масовий взлом сайтів на сервері Cityhost. Нещодавно я вже розповідав про інші масові взломи.
Був взломаний сервер української компанії Cityhost. Який складався з серії дефейсів.
Всього було взломано 39 сайтів (в сумі 85 сайтів) на сервері української компанії CityNet (IP 77.120.115.235). Це наступні сайти: www.polki.kh.ua, rubin.kharkov.ua, www.deafsport.org.ua, chehoeva.com, eko-water.com.ua, kolopatriotiv.org, teach.co.ua, 1cb.com.ua, buh-audit.com.ua, e-teach.com.ua, orientir.co.ua, xn--j1amdg6b.in.ua, teach.biz.ua, uatraining.com.ua, 1c.orientir.co.ua, moretepla.com.ua, prykarpaty.net, sambir-bojky.prykarpaty.net, sambir-ptycia.prykarpaty.net, sambirkult.prykarpaty.net, sambirlis.prykarpaty.net, stslis.prykarpaty.net, tour.prykarpaty.net, turkamrada.prykarpaty.net, rvo.stsrda.gov.ua, arrs.org.ua, bilak.in.ua, bilaky.prykarpaty.net, dush.prykarpaty.net, favoryt.prykarpaty.net, favoryty.com.ua, gal-elektro.com.ua, jojo-haircosmetics.prykarpaty.net, mam.prykarpaty.net, stsrda.gov.ua, senselight.com.ua, ceramic-design.com.ua, videonik.net.ua, beeart.com.ua. Серед них українські державні сайти rvo.stsrda.gov.ua та stsrda.gov.ua.
З зазначених 39 сайтів 2 сайти був взломаний хакером Hmei7, 5 сайтів хакером Sejeal, 8 сайтів хакером MJHOOL-HKR, 20 сайтів хакером Dr.SHA6H, 3 сайти хакером nesta та 1 сайт хакером DaiLexX.
Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх 20 сайтів, немає сумнівів, що вони були взломані Dr.SHA6H через взлом серверу хостінг провайдера, або акаунтів, в яких було багато сайтів (всі інші дефейси проводилися під час взломів окремих сайтів). Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.
P.S.
У лютому і березні продовжилися взломи сайтів на цьому сервері. Були дефейснуті ще 5 сайтів хакером Sejeal, 1 сайт хакером Hmei7 і 2 сайти хакером s13doeL.
Виявлені Cross-Site Scripting уразливості в Microsoft System Center Operations Manager.
Уразливі версії: Microsoft System Center Operations Manager 2007.
Міжсайтовий скриптінг в веб-консолі.
У січні місяці Microsoft випустила 7 патчів. Що так само як у грудні.
У січневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 7 бюлетенів по безпеці. Що закривають уразливості в програмних продуктах компанії. Два патчі закривають критичні уразливості і п’ять патчів закривають важливі уразливості.
Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT. А також Internet Explorer, Microsoft System Center Operations Manager та .NET Framework.
Також Microsoft випустила оновлення Flash Player для Internet Explorer 10 на Windows 8, Server 2012 і RT для виправлення уразливостей CVE-2013-0630. Adobe також випустила оновлення Flash для всіх платформ для виправлення цих уразливостей.
Виявлена можливість витоку інформації в PHP.
Уразливі версії: PHP 5.3.
Розкриття вмісту пам’яті в openssl_encrypt().
За повідомленням www.xakep.ru, McAfee Labs прогнозує захід руху Anonymous.
У традиційному річному звіті Threat Predictions (Прогноз загроз) експерти McAfee Labs перелічують найбільш небезпечні тенденції в сфері інтернет-безпеки і роблять прогноз на майбутнє. Цікаво, що в 2013 році вони очікують зменшення кількості атак від хактивістського руху Anonymous.
Подивимося чи справдяться прогнози від McAfee та Symantec 
.
За повідомленням news.1k.by, взломаний хмарний сервіс Dropbox: компанія підсилює захист.
Влітку 2012 року постраждали користувачі, що довіряють свої файли хмарному сервісу Dropbox. Сотні користувачів почали скаржитися на велику кількість спам-повідомлень у своїх скриньках, і в Dropbox підтвердили, що це їхня провина: у ході недавнього взлому сайта компанії були вкрадені паролі й адреси електронної пошти користувачів. Повідомляється, що постраждало небагато користувачів.
Після цього випадку компанія додала двохфакторну аутентифікацію в свій сервіс. Як це часто трапляється, двохфакторну аутентифікацію додають лише після взлому (а то і багаторазового) власної системи - таке я бачив у багатьох компаніях, регулярно з’являються повідомлення в новинах про доданий OTP захист на сайтах. А щоб завчасно подумати про безпеку, то на це у компаній бажання немає, тільки коли користувачі й клієнти постраждають, тоді починають чухати потилицю.
При тому, що це не перший інцидент з Dropbox - в 2011 році були оприлюднені уразливості на цьому сервісі, що дозволяли отримати доступ до даних інших користувачів (і без будь-якої аутентифікації). Такі уразливості дозволили б обійти й двохфакторну аутентифікацію, тому це не панацея, як заявляють Dropbox і всі компанії, що впроваджують OTP. І якщо ті дірки в Dropbox вже виправлені, то через нові дірки можна буде обійти аутентифікацію та отримати доступ до даних користувачів.
За повідомленням www.xakep.ru, Google Drive: бекдор в Google-акаунт.
Якщо в користувача на комп’ютері встановлена програма Google Drive, то будь-який сторонній може легко зайти в його Google Account, а після цього - одержати доступ до всіх особистих документів, електронної пошти й щоденника.
Фахівці з безпеки попереджають, що ця уразливість присутня в усіх версіях десктопних клієнтів під Windows і Mac OS X. Програма не запитує пароль ні при запуску, ні при вході в акаунт через браузер.
Ще один дірявий хмарний сервіс для збереження файлів. Цей функціонал Google Drive дозволяє обійти аутентифікацію, в тому числі двохфакторну, в Google Account. Й за наявною інформацією, десктопний клієнт Dropbox працює таким самим чином. Що дозволяє обійти двохфакторну аутентифікацію і в цьому сервісі.
0-day уразливість в Oracle Java використовується для встановлення шкідливого коду.
Уразливі версії: Oracle JDK 7, JRE 7.
Апплет може дати дозвіл самому собі.
Можливе використання пам’яті після звільнення в Microsoft Internet Explorer
Уразливі продукти: Microsoft Internet Explorer 6, 7, 8 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.
Використання пам’яті після звільнення в CButton використовується in-the-wild для встановлення шкідливого коду.
За повідомленням www.xakep.ru, прогноз Symantec по кіберзагрозам на 2013 рік.
Експерти Symantec опублікували прогноз основних тенденцій у світі інформаційної безпеки, що можуть виявити себе в 2013 році. Прогноз складений за результатами обговорення із сотнями штатних і незалежних експертів, так що це не суб’єктивна думка однієї людини, а результат колективного “мозкового штурму”, з урахуванням розвитку ринку в останні роки.
П’ятірка прогнозів від Symantec:
1. Кіберконфлікти стануть звичайною справою.
2. Шкідливі програми з вимогою оплати.
3. Мобільні рекламні віруси стануть набагато популярніше.
4. Монетизація соціальних мереж обіцяє нові небезпеки.
5. Користувачі переходять на мобільні пристрої та в хмару, за ними йдуть і кіберзлочинці.
За повідомленням ain.ua, у Києві затримали хакера, що займався DDoS-атаками на замовлення.
Київська міліція затримала підозрюваного, що проводив DDoS-атаки на українські й закордонні сайти комерційних організацій за замовленням конкурентів - в основному, російські ресурси. Усього йому вдалося провести близько 50 атак.
За заявою головного інспектора відділу по виявленню злочинів у сфері платіжних систем і інформаційної безпеки МВС Богдана Тищенко, це перший випадок затримки хакера, що працював за замовленням. Міліції також удалося встановити, що киянин підтримував зв’язки з міжнародним хакерським рухом.
Це МВС вперше спіймала такого діяча. В 2009 році СБУ вже спіймала DDoS-ера у Дніпропетровську.
За повідомленням www.xakep.ru, аналіз граматичних залежностей у парольній фразі.
Учені з Карнегі-Меллона опублікували цікаве дослідження, у якому оприлюднили результати аналізу алгоритму для взлому довгих парольних фраз, складених з декількох слів, таких як thispasswordrules чи abiggerbetterpassword. Учені склали граф сполучуваності різних слів один з одним. Виявилося, що в мові не так вже багато комбінацій слів: за одним конкретним словом майже завжди випливає обмежена кількість інших, цілком визначених, слів. Існує тверда граматична залежність частин парольної фрази.
Довгі паролі з 20-25 символів звичайно вважаються стійкими до брутфорсу, але при використанні алгоритмів з аналізом граматичних зв’язків вони підбираються набагато швидше. Учені розробили Proof-of-concept алгоритм для “взлому” граматичних конструкцій і збільшення ефективності атаки по словнику.
Виявленні численні уразливості в Google Chrome для Android.
Уразливі версії: Google Chrome 18.0.
Численні способи обходу захисту і підвищення привілеїв.
* 
You are currently browsing the archives for the Новини category.
Copyright © 2006-2025 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.