Websecurity - Веб безпека

Учора відбувся масовий взлом сайтів на сервері Faust. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Faust. Взлом відбувся після згаданого масового взлому сайтів на сервері Hvosting.

Всього було взломано 60 сайтів на сервері Faust (IP 195.68.203.245). Це наступні сайти: stc.kiev.ua, activtrade.com.ua, aeg.kiev.ua, agrogest.com.ua, alkor.org.ua, alum.org.ua, amistad.com.ua, ariy.com.ua, artdecor-pro.com.ua, artsv.com.ua, artsv.kiev.ua, avesta.org.ua, best-photovideo.com.ua, bestmedia.kiev.ua, blaucraft.kiev.ua, coe.kiev.ua, colorlumen.com.ua, csdi.kiev.ua, dnsgb.kiev.ua, doctorignatyev.com, expert-ltd.org, fa.kiev.ua, gardiny.kiev.ua, goloseevo.kiev.ua, granduspeh.com.ua, grantes.com.ua, indystria.com.ua, intex.net.ua, itf-taekwondo.org.ua, kaskad.kiev.ua, kolight.org.ua, korneichuk.kiev.ua, kvinta.com.ua, lupus.kiev.ua, mairis.com, map.faust.net.ua, meblis.kiev.ua, medbud.kiev.ua, meddim.com.ua, meregi.kiev.ua, natasha.kiev.ua, oko.org.ua, ortomedina.com.ua, osc-distributor.com.ua, pak.kiev.ua, pak.net.ua, pronetukr.kiev.ua, qualita-mn.com.ua, radiodim.kiev.ua, rm-optica.com, revopravo.kiev.ua, scwm.gov.ua, titools.com.ua, troeschina.kiev.ua, u2.faust.kiev.ua, ukraine-international.kiev.ua, ucrania-espana.com, v1.faust.net.ua, ukrpromgroup.com.ua, ukrpromgroup.kiev.ua. Серед них українські державні сайти: dnsgb.kiev.ua і scwm.gov.ua.

Всі зазначені сайти були взломані 1 березня 2011 року. Дефейси 59 сайтів проведено хакером KriptekS і 1 сайта хакером iskorpitx. А також раніше було ще два дефейси на даному сервері - 24.04.2010 взломаний сайт 220v.net.ua та 08.07.2008 сайт scwm.gov.ua.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Виявлені численні уразливості безпеки в Oracle Java.

Уразливі продукти: Oracle JDK 5.0, JRE 6.0, JDK 6.0.

Понад 20 різний уязвимостей.

• Oracle Java Webstart Trusted JNLP Extension Remote Code Execution Vulnerability (деталі)
• Oracle Java Applet Clipboard Injection Remote Code Execution Vulnerability (деталі)
• Oracle Java XGetSamplePtrFromSnd Remote Code Execution Vulnerability (деталі)
• Oracle Java Unsigned Applet Applet2ClassLoader Remote Code Execution Vulnerability (деталі)
• Oracle Java Runtime NTLM Authentication Information Leakage Vulnerability (деталі)
• Oracle Java SE and Java for Business Critical Patch Update Advisory - February 2011 (деталі)

За повідомленням компанії IBResource, на початку 2011 року почастішали випадки проходження спамерами реєстрацій на форумах IP.Board. Це означає, що організатори цих злочинів знаходять нові шляхи обходу захисту, вбудованого в систему. Розробники безумовно продовжують роботу над удосконаленням захисту, щоб залишатися завжди на кілька кроків попереду спамерів.

Тому компанія нагадує про захисні функції, що є в IP.Board. Серед можливостей движку IPB по захисту від автоматизованих реєстрацій є наступні:

• Антиспам сервіс.
• reCAPTCHA.
• Питання-відповідь.
• Активація реєстрації по e-mail.

Використовуючи ці методи (при необхідності всі разом) ви зможете захистити ваш форум від більшості спамерів.

• Защита от массовых регистраций спамеров (деталі)

Компанія Google в цьому місяці, 04.02.2011, випустила стабільну версію браузера Chrome 9.

Остання версія браузеру дає користувачам кілька нових функцій, що були раніше доступні тільки тестерам, у тому числі Chrome Instant, підтримка WebGL і доступ до Chrome Web Store.

Chrome Instant базується на технології Google Instant, але реалізований у рядку пошуку браузера, однак для користувачів найбільш значними будуть дві останні новинки, що дозволяють працювати із сучасною графікою в Інтернеті та скачувати програми для розширення функціонала браузера.

За рахунок підтримки WebGL, користувачі можуть створювати 3D-графіку, що буде прискорюватися апаратними засобами комп’ютера всередині браузера. А Chrome Web Store - це онлайн магазин, де можна придбати додатки, ігри, розширення та теми для Google Chrome.

• Вышла девятая версия Google Chrome (деталі)

За повідомленням www.xakep.ru, на RSA 2011 опублікували дослідження ведучих світових спам-ботнетів.

На конференції RSA 2011 року в Сан-Франциско було встановлено, що найбільший і самий продуктивний спам-ботнет у світі на сьогоднішній день - це Rustock, що нараховує 250000 ботів. І його розмір, а також неослабна міць нерозривно пов’язані з технологіями, що постійно розвиваються, говорить нове дослідження.

За повідомленням hackzona.com.ua, відбувся розпродаж взломаних сайтів основних відомств США.

Велика кількість ресурсів опинилися в асортименті одного хакера, який влаштував розпродаж на підпільному форумі. У списку пропонованих лотів були веб сайти, що належать різним урядовим (.Gov), військовим (.Mil) і освітнім (.Edu) установам.

Залежно від рівня доступу та організації, якій належить ресурс, вартість варіювалася від 55 до 500 доларів США.

За повідомленням oszone.net, чергова уразливість в ОС Windows: повернення проблеми 2004 року.

Корпорація Microsoft випустила бюлетень по безпеці, що попереджає про нову незакриту уразливість в операційних системах Windows. Якщо бути більш точним, то уразливості піддаються всі версії ОС Windows. Дана уразливість дозволяє зловмисникам запускати шкідливі скрипти на віддалених комп’ютерах при відвідуванні користувачами спеціально створених веб сторінок.

Уразливість була виявлена 15 січня і вона пов’язана з обробником MHTML. В 2006 році я вже писав про подібну уразливість пов’язану з MHTML, що торкалася IE6 та IE7. Зазначу, що ця уразливість не була виправлена в останньому вівторку патчів від Microsoft - компанія лише випустила спеціальну утіліту для виправлення дірки, а патч вона явно планує випустити вже в березні.

В лютому місяці Microsoft випустила 12 патчів. Що значно більше ніж у січні.

У лютневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло дванадцять бюлетнів по безпеці. Що закривають уразливості в програмних продуктах компанії. Зокрема три патчі закривають критичні уразливості, а інші дев’ять патчів виправляють важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2. А також Internet Explorer, Internet Information Services (IIS) та Visio.

Виявлені численні уразливості безпеки в Google Chrome.

Уразливі версії: Google Chrome 9.0.

Пошкодження пам’яті, DoS умови, міжсайтовий скриптінг.

• chromium-browser security update (деталі)

Виявлена DoS уразливість в PHP grapheme_extract.

Уразливі версії: PHP 5.3.

Звертання по нульовому вказівнику.

• PHP 5.3.5 grapheme_extract() NULL Pointer Dereference (деталі)
• Re: PHP 5.3.5 grapheme_extract() NULL Pointer Dereference (деталі)

У листопаді місяці відбувся масовий взлом сайтів на сервері Inter-Telecom. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української ISP компанії Inter-Telecom. Взлом відбувся перед згаданим масовим взломом сайтів на сервері Delta-X.

Всього було взломано 273 сайти на сервері Inter-Telecom (IP 62.80.178.142). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти dcssm.gov.ua та kyiv-oblosvita.gov.ua.

Всі зазначені сайти були взломані 11 листопада 2010 року. А також було ще 2 окремих дефейси, що відбулися в 2008 і 2010 роках (перед цим масовим взломом проведеним T0r3x). Дефейси 273 сайтів проведено хакером T0r3x, 1 сайта хакерами з KDS і 1 сайта хакерами з v4 Team. Причому v4 Team взломали сайт fpo.krok.edu.ua 19.08.2008, а KDS взломали цей же сайт 10.06.2010 (тобто це був редефейс), так що окремих сайтів було дефейснуто 274.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Виявлене переповнення буфера в СУБД IBM Informix.

Уразливі продукти: IBM Informix Database Server.

Переповнення буфера в опції USELASTCOMMITTED не усунуто на протязі більше двох років.

• IBM Informix Dynamic Server SET ENVIRONMENT Remote Code Execution Vulnerability (деталі)