Websecurity - Веб безпека

За період з 25.10.2010 по 19.03.2012 відбувся масовий взлом сайтів на сервері Cityhost. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Cityhost. Взлом складався з серії взломів і останній взлом відбувся після згаданого масового взлому сайтів на сервері CityNet.

Всього було взломано 46 сайтів на сервері української компанії CityNet (IP 77.120.115.235). Це наступні сайти: rvk.stsrda.gov.ua, rvo.sambirrda.gov.ua, sambirrada.gov.ua, tour.stsrda.gov.ua, ved.svittancu.com.ua, artisthall.com, svittancu.com.ua, test.svittancu.com.ua, www.tramtata.net.ua, impulsbud.com, stabilizatora.net, ukrgasoil.com, www.akit.in.ua, advokat.delok.info, delok.info, ferokupidon.com, poluneeva.org.ua, dobro-diy.com.ua, foto.delok.info, nicer.com.ua, ajure.com.ua, lsu.kiev.ua, georgia-tour.com, radojavor.com, test.delok.info, ur-poslugi.com.ua, avto-boss.com.ua, h.akit.com.ua, test2.delok.info, utic.com.ua, taxi-boss.com.ua, akit.com.ua, brendonmusic.com, jt-fashion.net, for-tour.com.ua, chehoeva.com, www.fds-sales.ru, www.lesnoyray.com, grafplast.com.ua, sharanet.com.ua, www.nimchenko-design.com.ua, rubin.kharkov.ua, www.niidkif.org.ua, www.klt.org.ua, kofeinbest.com.ua, x.akcia.kiev.ua. Серед них українські державні сайти rvk.stsrda.gov.ua, rvo.sambirrda.gov.ua, sambirrada.gov.ua та tour.stsrda.gov.ua.

З зазначених 46 сайтів 4 сайти були взломані хакерами з LatinHackTeam, 4 сайти хакером ghost-dz, 1 сайт хакерами з 1923Turk, 7 сайтів хакером iskorpitx, 25 сайтів хакером Torres, 1 сайт хакером kaMtiEz, 3 сайти хакером EraGoN та 1 сайт хакером Big-SMoke.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх 25 сайтів, немає сумнівів, що вони були взломані Torres через взлом серверу хостінг провайдера (всі інші дефейси проводилися під час взломів окремих сайтів). Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Минулого місяця, 24.04.2012, вийшов Mozilla Firefox 12. Нова версія браузера вийшла через півтора місяця після виходу Firefox 11.

Mozilla офіційно представила реліз веб-браузера Firefox 12. Крім того, випущений коригувальний реліз гілки з тривалим терміном підтримки - Firefox 10.0.4, підтримка гілки 3.6.x припинена. Реліз Firefox 13 очікується в середині червня, а Firefox 14 вийде в кінці липня.

Також був випущений Thunderbird 12, а згодом і Firefox 12 for Android та Seamonkey 2.9. Нагадаю, що версія Firefox 11 for Android була пропущена через неготовність реліза.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 12.0 усунуто 8 уразливостей, серед яких присутні 3 проблеми, що мають високий ступінь небезпеки, і 2 критичні проблеми, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Критичні уразливості знайдені в коді перевірки шрифтів OpenType і в реалізації WebGL-функції textImage2D.

• Релиз web-браузера Firefox 12 и почтового клиента Thunderbird 12 (деталі)

За повідомленням www.xakep.ru, відеокамери спостереження відкриті для хакерів.

Американська компанія Gotham Digital Science разом з розробниками Metasploit з команди Rapid7 випустили новий модуль cctv_dvr_login для взлому, тобто тестування на проникнення, відеокамер зовнішнього спостереження (CCTV).

Використання дефолтних чи простих паролів є поширеним у веб інтерфейсах як веб камер, так і CCTV камер.

За повідомленням ain.ua, з 26 травня вводяться нові правила ЄС стосовно використання cookies на сайтах.

Закон Євросоюзу про нову політику ресурсів стосовно використання cookies був прийнятий у 2011 році, але в ICO (Information Commissioner’s Office) прийняли рішення відстрочити вступ закону в силу на 1 рік. І з 26 травня 2012 року сайти, що не відповідають вимогам нового європейського законодавства про онлайн конфіденційність, можуть бути оштрафовані на суму 500000 євро. Якщо коротко, то новий закон вимагає, щоб веб сайт одержував дозвіл від відвідувачів перш, ніж записувати cookies на їх ПК.

Окрім підвищення приватності користувачів та створення додаткової мороки з кукісами для власників сайтів в ЄС, також це призведе до штрафів для сайтів, що не відповідають новому законодавству. В тому числі ці штрафи можуть бути спровоковані через дірки на сайтах, про що я напишу окрему статтю.

За повідомленням bugtraq.ru, CGI-уразливість в PHP: другий підхід до снаряда.

The PHP Group із другої спроби все-таки закрила уразливість, що дозволяє на деяких конфігураціях переглядати вихідні коди скриптів, виконувати віддалений код і т.п. Крім того, PHP 5.4.3 і PHP 5.3.13 закривають ще одне переповнення буфера у функції apache_request_headers.

Треба сказати, що cgi-уразливість не залишилася без уваги зломщиків - так, хостінг-провайдер Dreamhost за час, що пройшов з моменту її обнародування, зафіксував 234076 спроб її використання на 151275 окремих доменах.

У травні, 03.05.2012, вийшли PHP 5.3.12 та PHP 5.4.2. В яких виправлена критична уразливість. Дані релізи направлені на покращення безпеки гілок 5.3.x і 5.4.x.

Cеред секюріті виправлень в PHP 5.3.12 та PHP 5.4.2:

• Виправлена можливість відправки довільних команд PHP інтерпретатору.

До цієї атаки уразливі деякі CGI-орієнтовані інсталяції (Apache+mod_php і nginx+php-fpm не є вразливими). Команди передаються PHP інтерпретатору через спеціальні GET або HEAD запити. Зокрема за допомогою команди (ключа) “-s” можна читати вихідні коди скриптів.

Для перевірки на наявність даної уразливості в PHP на сервері потрібно відправити наступний запит:
http://site_on_php/?-s

Окрім патча, розробники PHP також запроновували метод захисту від цієї атаки за допомогою правил mod_rewrite. Але ці правила виявилися неефективними й їх можна було легко обійти, тому вже через три дні вони випустили новий варіант правил mod_rewrite для захисту від цієї атаки.

По матеріалам http://www.php.net.

Виявлена можливість пошкодження пам’яті в Adobe Flash Player.

Уразливі версії: Adobe Flash Player 10.3, Flash Player 11.1, Flash Player 11.2.

Пошкодження пам’яті при роботі з об’єктами. Дана уразливість активно використовувалася в травні для атак в Інтернеті.

• Security update available for Adobe Flash Player (деталі)

Виявлений витік інформації в Microsoft Forefront Unified Access Gateway.

Уразливі версії: Microsoft Forefront Unified Access Gateway 2010.

Перенаправлення запиту, обхід контролю доступу (що призводить до витоку важливої інформації).

• Microsoft Security Bulletin MS12-026 - Important Vulnerabilities in Forefront Unified Access Gateway (UAG) Could Allow Information Disclosure (2663860) (деталі)

У квітні, 26.04.2012, вийшли PHP 5.3.11 та PHP 5.4.1. В яких виправлено більше 60 помилок, в тому числі й чимало уразливостей. Дані релізи направлені на покращення стабільності та безпеки гілок 5.3.x і 5.4.x.

Cеред секюріті покращень та виправлень в PHP 5.3.11 та PHP 5.4.1:

• Виправлений баг #54374 (Недостатня перевірка імені завантаженого файла призводить до пошкодження індекса $_FILES). (CVE-2012-1172).
• Додані open_basedir перевірки в readline_write_history і readline_read_history.

Cеред секюріті покращень та виправлень лише в PHP 5.3.11:

• Виправлений баг #61043 (регресія в magic_quotes_gpc виправленні до CVE-2012-0831).

По матеріалам http://www.php.net.

У квітні місяці Microsoft випустила 17 патчів. Що значно більше ніж у березні.

У квітневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 17 бюлетенів по безпеці. Що закривають 63 уразливості в програмних продуктах компанії, що є рекордом в цьому році. З них 12 патчів закривають критичні уразливості, а 51 патч закриває важливі уразливості.

Біля половини з цих уразливостей - це уразливості виду Elevation of Privilege в ядрі Windows.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2. А також Microsoft Office, Internet Explorer та Forefront Unified Access Gateway.

В цьому році, 14.02.2012, відбувся масовий взлом сайтів на сервері CityNet. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії CityNet. Взлом, що складався з серії взломів, відбувся після згаданого масового взлому сайтів на сервері Besthosting.

Всього було взломано 16 сайтів на сервері української компанії CityNet (IP 109.237.81.60). Це наступні сайти: www.yuruslugi.com.ua, www.adu.org.ua, www.cis.in.ua, fpo.detut.edu.ua, www.dkl1.kiev.ua, www.golfstream.kiev.ua, www.dkl2.kiev.ua, ekuzt.detut.edu.ua, fem.detut.edu.ua, ekuzt2009.detut.edu.ua, konferencia.detut.edu.ua, library.detut.edu.ua, 2011.ekuzt.gov.ua, ekuzt.gov.ua, www.kortny.com.ua, hp-canon.com.ua. Серед них українські державні сайти 2011.ekuzt.gov.ua та ekuzt.gov.ua.

З зазначених 16 сайтів 3 сайти були взломані хакером 4cHrf, 11 сайтів хакером 3viL666, 1 сайт хакером DR-MTMRD та 1 сайт хакером Hmei7.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера (це стосується лише дефейсів 3viL666, інші дефейси проводилися під час взломів окремих сайтів). Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

12.04.2012

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8 та 9 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Численні уразливості дають можливість виконання коду.

• Microsoft Security Bulletin MS12-023 - Critical Cumulative Security Update for Internet Explorer (2675157) (деталі)

24.04.2012

Додактова інформація.

• Microsoft Internet Explorer VML Remote Code Execution (MS12-023 / CVE-2012-0172) (деталі)