Websecurity - Веб безпека

За повідомленням www.xakep.ru, користувачі Go Daddy постраждали від масового взлому.

Масова атака на 445 сайтів полягала у впровадженні шкідливого редиректа у файли .htaccess. Go Daddy швидко усунули шкідливий код, щоб убезпечити своїх клієнтів і відновити повний контроль над зараженими сайтами.

Не тільки на серверах українських хостерів відбуваються масові взломи (про що я пишу регулярно), але й на серверах західних хостерів, зокрема такого великого хостінг і домен провайдера як Go Daddy.

Подібні атаки зі зміною .htaccess файлів давно відомі. Такий вид шахрайства часто є невід’ємною частиною маніпуляційних атак на пошукові системи, розроблених з метою переадресації користувачів, що знаходяться в пошуку визначеного контента.

За повідомленням hackzona.com.ua, Microsoft заснувала конкурс з розробки нових технологій комп’ютерного захисту.

Корпорація Microsoft заснувала конкурс BlueHat Prize для експертів в області комп’ютерної безпеки. Про це було оголошено на конференції Black Hat.

Майкрософт обіцяє призи за розробку інноваційних засобів протидії атакам, в ході яких задіюються уразливості, пов’язані з організацією пам’яті.

За повідомленням www.xakep.ru, DigiNotar оголосила про банкрутство.

Компанія DigiNotar, що випускала SSL-сертифікати безпеки для багатьох відомих сайтів, визнана банкрутом після масштабної хакерської атаки, у результаті якої “під удар” потрапили, як мінімум, 300 тисяч комп’ютерів в Ірані, повідомила нещодавно прес-служба материнської компанії DigiNotar VASCO.

DigiNotar допустила видачу великої кількості підроблених сертифікатів. Про що компанія більше місяця не повідомляла, аж до кінця серпня, коли був публічно опублікований один з цих сертифікатів. Але після того як інформація про інцедент стала відомою, були проведені розслідування і виявлені більше 500 підроблених SSL-сертифікатів сервісів Google, Facebook, Twitter, Skype та інших компаній. Що і призвело до відповідних наслідків для DigiNotar. У випадку Comodo наслідки були не такими жорсткими (бо і підроблених сертифікатів було значно менше).

В серпні, 02.08.2011, через два місяці після виходу Google Chrome 12, вийшов Google Chrome 13.

В браузері зроблено ряд нововведень. А також виправлено 30 помилок у безпеці, з яких 14 уразливостей позначені як небезпечні, 9 - помірні і 7 - незначні. В тому числі виправлена URL Spoofing уразливість, про яку я писав раніше.

• Релиз web-браузера Chrome 13 с исправлением 30 уязвимостей (деталі)

Виявлені численні уразливості в Microsoft SharePoint.

Уразливі продукти: Microsoft SharePoint Server 2007, SharePoint Workspace 2010, Office Groove 2007, Office Forms Server 2007, SharePoint Server 2010.

Міжсайтовий скриптінг, редирекція, впровадження коду, витік інформації.

• XEE vulnerabilities in SharePoint (MS11-074) and DotNetNuke (деталі)
• Reflected Cross Site Scripting in Microsoft SharePoint Portal (деталі)
• Insecure Redirect in Microsoft SharePoint Portal (деталі)
• Microsoft Security Bulletin MS11-074 - Important Vulnerabilities in Microsoft SharePoint Could Allow Elevation of Privilege (деталі)

В період з 09.08.2010 по 11.08.2011 відбувся масовий взлом сайтів на сервері 1GB (по 13 сайтів в 2010 і 2011 році). Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії 1GB. Взлом, що складався з серії взломів (під час яких взломувалися по одному або декілька сайтів), відбувся приблизно в той же час як і згаданий масовий взлом сайтів на сервері Freehost.

Всього було взломано 26 сайтів на сервері української компанії 1GB (IP 195.234.4.52). Це наступні сайти: www.kyivobljust.gov.ua, www.ukrprodresurs.com.ua, www.ffgn.org.ua, palar.com.ua, antares-co.com.ua, hram-krasoty.com.ua, morozovmebel.com, www.s-mobila.com.ua, www.a-e.com.ua, maximhorses.com, oberegy.lviv.ua, stroyderevo.com.ua, www.sopromat.kiev.ua, albomu.com.ua, decibel.com.ua, real-estate.ltd.ua, budka.net.ua, www.zerg.com.ua, marketzoo.com.ua, www.vorzelkurort.com.ua, kreativ.dp.ua, mykolaivka.com.ua, patatuyki.com.ua, kavaratake.com, www.artgallery-nadezhda.com.ua, www.informnk.com.ua. Серед них український державний сайт www.kyivobljust.gov.ua.

26 зазначених сайтів були взломані наступними хакерми: Ashiyane Digital Security Team, iskorpitx, Metropolis, 1923Turk, VHZ-CREW, kaMtiEz, By_aGReSiF, rkh, Hmei7, queSt, AlbanianHackersGr0up та K-E-H.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу невиликої групи сайтів та багатьох взломів маленьких груп сайтів на протязі року, маловірогідно, що вони були взломані через взлом серверу хостінг провайдера (коли через взлом одного сайта, був отриманий root доступ до сервера). Але атаку на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера не можна виключати (бо до деяких з цих сайтів могли дістатися і без root доступа).

Виявлені численні уразливості в Google Chrome.

Уразливі версії: Google Chrome 13.0 та попередні версії.

DoS, витік інформації, пошкодження пам’яті.

• chromium-browser security update (деталі)

У серпні, 18.08.2011, вийшов PHP 5.3.7, а вже через п’ять днів, 23.08.2011, вийшов PHP 5.3.8. В яких виправлено більше 90 помилок, в тому числі й чимало уразливостей. Дані релізи направлені на покращення стабільності та безпеки гілки 5.3.x.

Після виходу версії 5.3.7 вияснилося, що в ній має місце уразливість - в функції crypt(). Тому розробники опублікували на сайті офіційне застереження з цього приводу і вже за добу випустили нову версію, в якій зокрема виправили дану уразливість.

Cеред секюріті покращень та виправлень в PHP 5.3.7:

• Оновлений crypt_blowfish до 1.2.
• Виправлений збій в error_log().
• Виправлений buffer overflow при довгій солі в crypt().
• Виправлений баг #54939 (File path injection уразливість в RFC1867 імені файла для завантаження).
• Виправлений stack buffer overflow в socket_connect().
• Виправлений баг #54238 (use-after-free в substr_replace()).
• Оновлений Sqlite3 до версії 3.7.7.1.
• Оновлений PCRE до версії 8.12.
• Виправлено 20 різних вибивань.

Cеред секюріті покращень та виправлень в PHP 5.3.8:

• Виправлений баг #55439 (crypt() повертав лише сіль для MD5).
• Відмінена зміна в обробці таймаутів, для відновлення поведінки PHP 5.3.6, яка призводила до того, що mysqlnd SSL з’єднання підвисали (баг #55283).

По матеріалам http://www.php.net.

30.08.2011

Виявлена можливість проведення DoS атак проти багатьох HTTP-серверів. Про DoS уразливість в Apache я вже писав нещодавно.

Уразливі продукти: Apache 1.3, Apache 2.0, Apache 2.2.

Обробка заголовків Range і Range-Request може призвести до вичерпання пам’яті.

• HTTPKiller - (Global HTTP DoS) (деталі)
• Advisory: Range header DoS vulnerability Apache HTTPD 1.3/2.x (деталі)
• HTTPKiller - FHTTP Kit by Xianur0 (деталі)
• Apache httpd Remote Denial of Service (memory exhaustion) (деталі)

19.09.2011

Додаткова інформація.

• Apache HTTPd Range Header Denial of Service Vulnerability (деталі)

За повідомленням www.stateofsearch.com, Google Now Warning WordPress Users They Need To Update. Гугл почав сповіщати користувачів WordPress.

Починаючи з 20 червня компанія Google почала сповіщати користувачів движка WordPress про необхідність оновити движок, якщо вони вокористовують застарілу версію WP. Сповіщення відбувається в інтерфейсі Google Webmaster Tools (GWT), а також по емайлу, якщо користувач зараєструвався в GWT.

Дана ініціатива Гугла повинна сприяти підвищенню безпеки веб сайтів на WP за рахунок стимулювання адмінів сайтів оновлювати свій движок. Цілком імовірно, що Гугл з часом почне сповіщати і власників інших популярних CMS.

За повідомленням www.xakep.ru, кібеpзлочинність масштабніше, ніж наркоторгівля.

Загальні світові витрати, пов’язані з кіберзлочинністю, перевищують комбінований вплив на всесвітню економіку контрабанди і торгівлі маріхуаною, героїном і кокаїном. Вони оцінюються в 388 мільярдів доларів, як повідомляється в новому дослідженні.

За повідомленням www.3dnews.ru, Mail.Ru буде попереджати про шкідливі сайти.

Починаючи з минулого тижня у рамках партнерства з міжнародною системою оцінки сайтів WOT (Web of Trust) поштова служба Mail.Ru буде перевіряти всі зовнішні лінки, що містяться в листах. При переході по зовнішньому посиланню з Пошти Mail.Ru користувачу будуть повідомляти про можливу загрозу для його комп’ютера.

Таким чином Mail.ru додали в свою веб пошту захист від шкідливих сайтів від WOT. Про даного конкурента моєї Web VDS я вже розповідав торік. Компанії Mail.ru варто ще додати антивірус в свою пошукову систему.

18.08.2011

Виявленні численні уразливості безпеки в Adobe Flash Player.

Уразливі продукти: Adobe Flash Player 10.3, AIR 2.7.

Пошкодження пам’яті, переповнення буфера, цілочисленні переповнення, міжсайтовий скриптінг.

• Adobe Flash Player ActionScript FileReference Buffer Overflow (деталі)
• Adobe Flash Player BitmapData.scroll Integer Overflow Remote Code Execution Vulnerability (деталі)
• Adobe Flash Player ActionScript Display Memory Corruption Vulnerability (деталі)
• Adobe Flash Player Integer Overflow (деталі)
• Security update available for Adobe Flash Player (деталі)

09.09.2011

Додаткова інформація.

• Adobe Flash Player MP4 sequenceParameterSetNALUnit Remote Code Execution Vulnerability (деталі)

За повідомленням hackzona.com.ua, хакери вкрали дані клієнтів японського Citigroup.

Особисті дані більше 90 тисяч клієнтів японського відділення Citigroup були вкрадені хакерами і, можливо, продані третім особам. Інформація, яка потрапила в руки кіберзлочинців, включає в себе номери рахунків, імена, адреси та дати народження клієнтів Citigroup.

Раніше я вже писав про взлом Citibank - дочернього підприємства Citigroup. Так що після взлому американського сайта даної фінансової установи настала черга й японскього сайта. Банкам та іншим e-commerce сайтам варто більше слідкувати за безпекою ніж вони це роблять зараз.

За повідомленням www.xakep.ru, від взлому DigiNotar так само постраждали доповнення Mozilla, Yahoo, Tor і WordPress.

Сторінка доповнень до Mozilla Firefox постраждала від тієї ж атаки, у ході якої були підроблені сертифікати для сайтів Google, заявляє розробник браузерів. “DigiNotar проінформували нас про те, що вони випустили підроблені сертифікати для addons.mozilla.org у липні, але вони були заблоковані незабаром після виявлення”, - повідомляє Найтінгейл, директор по розвитку компанії Mozilla.

Спачатку виявилося, що DigiNotar видав підроблений сертифікат gmail.com, про що я писав нещодавно, а потім виявилося, що вони і багато інших підроблених сертифікатів видали. В цьому році у видавці сертифікатів з’явилася мода на видачу підроблених сертифікатів - мабудь вони так собі підробляють . А потім кажуть, що це сталося випадково і вони стали жертвою атаки.

За повідомленням www.xakep.ru, виявлений масовий взлом сайтів в Рунеті.

Фахівці компанії “Доктор Веб” зафіксували масовану хакерську атаку, що торкнулася тисячі сайтів у російському сегменті Мережі.

Попереднє розслідування показало, що взломані сайти використовувалися зловмисниками для поширення шкідливого ПЗ Trojan.Mayachok.1 під виглядом драйверів для різних пристроїв. За станом на 31 серпня 2011 року було виявлено більше 21 тисячі адрес веб сайтів, що поширюють згадане шкідливе ПЗ.