Websecurity - Веб безпека

За період з 24.04.2012 по 28.04.2012 відбувся масовий взлом сайтів на сервері VinNest. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії VinNest. Взлом складався з серії взломів, які відбулися після згаданого масового взлому сайтів на сервері Cityhost.

Всього було взломано 58 сайтів на сервері української компанії VinNest (IP 193.243.158.18). Це наступні сайти: vinnitskaya-svadba.com.ua, www.kohana-kohaniy.com.ua, chumak.vn.ua, www.djenta.com.ua, drlab.com.ua, jewishtravel.com.ua, vipdom.vn.ua, dad.vn.ua, compquartal.vn.ua, www.vtranspribor.com.ua, www.handbook.com.ua, centershow.com.ua, erunit.com, filin.vn.ua, axioma-cr.vn.ua, bocconcino.com.ua, golos-narodu.com.ua, glycerin.com.ua, edem-agency.com, altecs.com.ua, czechclub.com.ua, aurora-salon.com.ua, 10a.vn.ua, healthslao.com.ua, www.voa.vn.ua, www.vakhovskyy.com.ua, vorota.vn.ua, yursana.com, ukrpain.com.ua, spec.vn.ua, www.t.vn.ua, www.klondikeband.com.ua, roza.vn.ua, www.vininvest.gov.ua, www.vipcard.vn.ua, www.vinnychany.kiev.ua, www.vininfo.vn.ua, tsk-ukraine.com.ua, soloha.vn.ua, www.sobaka.vn.ua, vinrda.gov.ua, ros.ua, www.raduga.vn.ua, pay.bird4.nest.vn.ua, minitv.vn.ua, mashtab.com.ua, www.magicenter.com.ua, www.vintrans.vn.ua, lux.vn.ua, www.planet-m.com.ua, itcentre.net.ua, www.vipmed.vn.ua, www.vin-ocsssdm.com.ua, vitacom.vn.ua, serdechko.bird4.nest.vn.ua, www.vincor.vn.ua, www.vmc.vn.ua, vinoblzem.gov.ua. Серед них українські державні сайти www.vininvest.gov.ua, vinrda.gov.ua та vinoblzem.gov.ua.

З зазначених 58 сайтів 5 сайтів були взломані хакером Dj_Taleh, 1 сайт хакерами з TOP-TEAM та 52 сайти були взломані хакером TURK KURSUNU.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх 52 сайтів, немає сумнівів, що вони були взломані TURK KURSUNU через взлом серверу хостінг провайдера (всі інші дефейси проводилися під час взломів окремих сайтів). Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Учора, 05.06.2012, вийшов Mozilla Firefox 13. Нова версія браузера вийшла через півтора місяця після виходу Firefox 12.

Mozilla офіційно представила реліз веб-браузера Firefox 13. Крім того, випущений коригувальний реліз гілки з тривалим терміном підтримки - Firefox 10.0.5. Реліз Firefox 14 очікується в середині липня, а Firefox 15 вийде в кінці серпня.

Також були випущені Thunderbird 13.0 і Seamonkey 2.10, а найближчим часом вийде нова версія Firefox for Android.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 13.0 усунуто сім уразливостей, серед яких присутні чотири проблеми, що мають критичний ступінь небезпеки, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок.

• Релиз web-браузера Firefox 13 (деталі)

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey

Уразливі продукти: Mozilla Firefox 12.0, Firefox ESR 10.0, Thunderbird 12.0, Thunderbird ESR 10.0, SeaMonkey 2.9.

Численні пошкодження пам’яті в основному коді і різних бібліотеках, міжсайтовий скриптінг, витік інформації.

• Mozilla Foundation Security Advisory 2012-20 (деталі)
• Mozilla Foundation Security Advisory 2012-21 (деталі)
• Mozilla Foundation Security Advisory 2012-22 (деталі)
• Mozilla Foundation Security Advisory 2012-23 (деталі)
• Mozilla Foundation Security Advisory 2012-24 (деталі)
• Mozilla Foundation Security Advisory 2012-25 (деталі)
• Mozilla Foundation Security Advisory 2012-26 (деталі)
• Mozilla Foundation Security Advisory 2012-27 (деталі)
• Mozilla Foundation Security Advisory 2012-28 (деталі)
• Mozilla Foundation Security Advisory 2012-29 (деталі)
• Mozilla Foundation Security Advisory 2012-30 (деталі)
• Mozilla Foundation Security Advisory 2012-31 (деталі)
• Mozilla Foundation Security Advisory 2012-32 (деталі)
• Mozilla Foundation Security Advisory 2012-33 (деталі)

У травні, 15.05.2012, через півтора місяці після виходу Google Chrome 18, вийшов Google Chrome 19.

В браузері зроблено ряд нововведень. А також виправлено 20 уразливостей, з яких 8 позначені як небезпечні, 7 - помірні і 5 - незначні. Чимало з виправлених уразливостей виявлені за допомогою інструментарію address-sanitizer, призначеного для автоматизованого визначення фактів звертання до звільнених областей пам’яті, виходу за межі границь виділеного буфера і деяких інших типів помилок при роботі з пам’яттю.

Серед небезпечних уразливостей: звертання до вже звільненої пам’яті через маніпуляції з елементом style, через API Indexed DB, при обробці таблиць і PDF-файлів, некоректний запис даних у реалізації регулярних виразів движка v8, запис за границі буфера при роботі OGG-контейнерів, вихід за границі буфера в PDF-переглядачі. Окремо відзначені уразливості, що проявляються через проблеми в сторонніх компонентах: уразливість через помилку в Linux-драйвері для відеокарт NVIDIA і вихід за границі буфера в libxml.

• Релиз web-браузера Chrome 19 (деталі)

За повідомленням www.xakep.ru, Blizzard підтвердила численні взломи акаунтів Diablo III.

Наприкінці травня на форумах Battle.net з’явилися повідомлення користувачів про пропажу золота, одягу героїв і артефактів. На початку було незрозуміло, чи це технічний глюк на серверах Blizzard, чи це хакерська атака.

Незабаром журнал Eurogamer виступив на підтримку другої версії: вони повідомили про декілька випадків взлому акаунтів Diablo III. Також з’явилися чутки, що в неділю європейські сервери Diablo III пішли в офлайн на чотири години через SQL ін’єкцію. Компанія Blizzard підтвердила наявність уразливостей на їхньому сайті.

Не встиг Diablo 3 вийти, як його онлайнові сервера почали успішно атакувати. А незважаючи на свої доходи, Blizzard традиційно недостатньо слідкує за безпекою.

За повідомленням www.opennet.ru, GlobalSign тимчасово призупинив видачу SSL-сертифікатів через можливу компрометацію.

Ще у вересні, засвідчуючий центр GlobalSіgn повідомив про ініціювання внутрішньої перевірки безпеки в зв’язку з появою в мережі анонімної заяви, у якій від імені ініціаторів атаки стверджується, що крім взлому DigiNotar, удалося одержати доступ ще до чотирьох засвідчуючих центрів, серед яких StartCom і GlobalSign. Також стверджується, що незважаючи на широкий резонанс після взлому засвідчуючого центра Comodo, в нападників ще залишився доступ до систем деяких реселерів Comodo.

Після останніх взломів видавців SSL сертифікатів, таких як Comodo, DigiNotar, Digicert Sdn. Bhd, Gemnet та VeriSign, це може бути ще одним таким випадком.

За повідомленням nakedsecurity.sophos.com, games developer Rockyou fined $250K for not securely storing customer data.

Як повідомляється, у березні Federal Trade Commission (FTC) оштрафувала американську компанію Rockyou на $250000 за те, що вона не слідкувала за безпекою власного сайту. Взлом якого призвів до витоку великої кількості даних клієнтів цієї компанії. Це перший відомий мені випадок накладання штрафу за дірки на сайті (що призвели до взлому). Зараз FTC варто зайнятися Blizzard .

Нагадаю, що в 2009 році сайт компанії Rockyou, розробника онлайнових ігор, був взломаний через SQL Injection уразливість. В результаті взлому були скомпрометовані дані авторизації 32 млн. зареєстрованих користувачів.

25.04.2012

Виявлені численні уразливості безпеки в продуктах Oracle, Sun, People Soft і MySQL.

Уразливі продукти: Oracle 10g, Oracle 11g, MySQL 5.1, MySQL 5.5, Oracle Application Server 10g, Oracle E-Business Suite Release 11i, PeopleSoft Enterprise HRMS 8.9, Oracle BI Publisher 10.1, PeopleSoft Enterprise CRM 9.1, PeopleSoft Enterprise SCM 9.0 та інші продукти Oracle.

Більше 90 уразливостей у різних продуктах усунуто в щоквартальному оновленні.

• The history of a -probably- 13 years old Oracle bug: TNS Poison (деталі)
• OCIPasswordChange API leaks information of password hash (деталі)
• Some failed authentication attempts using OCIPasswordChange API are not recorded (деталі)
• Incomplete protection of Oracle Database locked accounts (деталі)
• SQL Injection in Oracle Enterprise Manager (compareWizFirstConfig web page) (деталі)
• SQL Injection in Oracle Enterprise Manager (searchPage web page) (деталі)
• HTTP Response Splitting in Oracle Enterprise Manager (prevPage parameter) (деталі)
• HTTP Response Splitting in Oracle Enterprise Manager (pageName parameter) (деталі)
• OCIPasswordChange API leaks information of password hash (деталі)
• Oracle Enterprise Manager vulnerable to Session fixation (деталі)
• Oracle Critical Patch Update Advisory - April 2012 (деталі)

02.06.2012

Додаткова інформація.

• Re: The history of a -probably- 13 years old Oracle bug: TNS Poison (деталі)
• Oracle TNS Poison vulnerability is actually a 0day with no patch available (деталі)
• Patch Notification: Oracle Grid Engine sgepasswd Buffer Overflow (деталі)

Виявлені численні уразливості безпеки в Adobe Shockwave Player.

Уразливі версії: Adobe Shockwave Player 11.6.

Численні пошкодження пам’яті.

• Adobe Shockwave Player Remote Code Execution (CVE-2012-2031) (деталі)
• Adobe Shockwave Player Remote Code Execution (CVE-2012-2029) (деталі)
• Adobe Shockwave Player Remote Code Execution (CVE-2012-2030) (деталі)
• Security update available for Adobe Shockwave Player (деталі)

У травні, 08.05.2012, через п’ять днів після виходу PHP 5.3.12 та PHP 5.4.2, вийшли PHP 5.3.13 та PHP 5.4.3. В яких виправлені дві уразливості. Дані релізи направлені на покращення безпеки гілок 5.3.x і 5.4.x.

Cеред секюріті виправлень в PHP 5.3.13 та PHP 5.4.3:

• Повністю виправлена можливість відправки довільних команд PHP інтерпретатору (що була лише частково виправлена в версіях 5.3.12 та 5.4.2).

Як я вже зазначав, до цієї атаки уразливі деякі CGI-орієнтовані інсталяції (Apache+mod_php і nginx+php-fpm не є вразливими).

Cеред секюріті виправлень лише в PHP 5.4.3:

• Виправлена Buffer Overflow уразливість в apache_request_headers() (яка стосується лише гілки 5.4.x).

По матеріалам http://www.php.net.

У травні місяці Microsoft випустила 7 патчів. Що значно менше ніж у квітні.

У травненому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 7 бюлетенів по безпеці. Що закривають 23 уразливості в програмних продуктах компанії. З них 3 патчі закривають критичні уразливості, а 4 патчі закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2. А також Microsoft Office.

За повідомленням ain.ua, МВС України закрило проект hack-ентузіастів VX Heavens.

МВС України припинило роботу веб проекта VX Heavens, що довгий час служив площадкою для hack-ентузіастів. Як повідомляється на головній сторінці проекту, “у п’ятницю, 23 березня, сервер був вилучений співробітниками міліції в зв’язку з порушенням кримінальної справи по статті 361-1 КК України (Створення шкідливих програм з метою поширення чи збуту) по сигналу про “розміщення для вільного доступу шкідливих програмних засобів, призначених для несанкціонованого втручання в роботу електронно-обчислювальних машин, автоматизованих систем, комп’ютерних мереж”. Абсурдність даного твердження нам доведеться доводити в суді”.

Окрім закриття міліцією сайтів, що публічно займалися розповсюдженням вірусів (наприклад, їх продажем), подібне закриття сайтів може бути спровоковане через дірки на сайтах, про що я напишу окрему статтю.

За повідомленням www.xakep.ru, статистика по ДБО від Центробанку РФ.

Центральний банк Російської Федерації опублікував статистику за 2011 рік по шахрайствах, чиненим за допомогою терміналів, банкоматів та інших засобів дистанційного банківського обслуговування (ДБО). Цифри оголосив начальник головного управління безпеки і захисту інформації Банку Росії Олег Крилов на засіданні круглого столу з проблем безготівкових і готівкових розрахунків.

Торік обсяг фродових транзакцій через ДБО виріс на 40%. Перше місце займають розкрадання через віддалені термінали, на їхню частку приходиться 58% обсягу фрода, 40% коштів викрадається через банкомати, а 2% приходяться на електронні гроші.

За повідомленням ain.ua, збиток від шахрайства в сфері українського інтернет-банкінга перевищив 9 млн. гривень за рік.

У 2011 році зловмисники подвоїли кількість неправомірних операцій із платіжними системами і банківськими картами в Україні, зумівши вкрасти майже в півтора рази більше коштів: 9,1 млн. грн. Представники банків і платіжних систем скаржаться, що основні проблеми виникають при інтернет-платежах, а також через крадіжку персональних даних шляхом скіммінга. Чипові картки можуть зробити транзакції захищеними, але експерти ремствують на низькі темпи їхнього впровадження.