Websecurity - Веб безпека

21.11.2012

У вересні, 25.09.2012, відбувся масовий взлом сайтів на сервері OIAC. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії OIAC - Обласного інформаційно-аналітичного центру. На якому хостилося 34 gov.ua сайти. Масовий дефейс відбувся після згаданого масового взлому сайтів на сервері HostPro.

Всього було взломано 37 сайтів на сервері OIAC (IP 193.200.212.35). Це наступні сайти: reports.esco.od.ua, okv.esco.od.ua, siaz.odessa.gov.ua, ananiev-rada.odessa.gov.ua, tarutino-rada.odessa.gov.ua, tatarbunar-rada.odessa.gov.ua, shiryaivo-rada.odessa.gov.ua, sarata-rada.odessa.gov.ua, reni-rada.odessa.gov.ua, rozdilna-rada.odessa.gov.ua, mikolaivka-rada.odessa.gov.ua, lybashivka-rada.odessa.gov.ua, savran-rada.odessa.gov.ua, ovidiopol-rada.odessa.gov.ua, krasnookn-rada.odessa.gov.ua, orsf.odessa.gov.ua, iac.odessa.gov.ua, customs.odessa.gov.ua, invest.odessa.gov.ua, oblrada.odessa.gov.ua, ved.odessa.gov.ua, oda.odessa.gov.ua, kotovsk-rada.odessa.gov.ua, v-mihailivka-rada.odessa.gov.ua, komintern-rada.odessa.gov.ua, frunzivka-rada.odessa.gov.ua, kodima-rada.odessa.gov.ua, bolgrad-rada.odessa.gov.ua, bd-rada.odessa.gov.ua, arciz-rada.odessa.gov.ua, ivanivka-rada-t.odessa.gov.ua, bilyaivka-rada.odessa.gov.ua, berezivka-rada.odessa.gov.ua, izmail-rada.odessa.gov.ua, kiliya-rada.odessa.gov.ua, balta-rada-t.odessa.gov.ua, esco.od.ua. Всі вони - це українські державні сайти (34 в зоні gov.ua та 3 в зоні od.ua).

Всі зазначені сайти були взломані хакером HighTech.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх 37 сайтів, то вони могли бути атаковані хакером HighTech через взлом серверу хостінг провайдера. Коли через взлом одного сайта, через уразливості в програмному забезпеченні самого сервера, атаковані інші сайти на даному сервері. Або вони могли бути атаковані через взлом одного сайта та подальшого взлому всіх сайтів в акаунті.

08.05.2014

У листопаді, 12.11.2013, відбувся повторний масовий взлом сайтів на сервері OIAC. До 37 сайтів дефейснутих раніше додалися ще 14 сайтів.

Було взломано 14 сайтів (всього 51 сайтів) на сервері 193.200.212.35 компанії OIAC. Це наступні сайти: touregion.odessa.gov.ua, reklama.odessa.gov.ua, customs.odessa.gov.ua, balta.odessa.gov.ua, reports.esco.od.ua, okv.esco.od.ua, esco.od.ua, iac.odessa.gov.ua, oblrada.odessa.gov.ua, orsf.odessa.gov.ua, siaz.odessa.gov.ua, ved.odessa.gov.ua, oda.odessa.gov.ua, invest.odessa.gov.ua. Всі вони - це українські державні сайти (в зонах gov.ua та od.ua).

Всі зазначені сайти були взломані хакером zerobyte.

У березні, 25.03.2014, вийшов Mozilla Firefox 28.0.1. Нова версія браузера вийшла лише через сім днів після виходу Firefox 28. І в ній виправлені баги та одна уразливість допущені в останньому релізі.

Mozilla представила коригувальний випуск Firefox 28.0.1 у якому усунута наступна уразливість:

• Mozilla Foundation Security Advisory 2014-33 - лінки протоколу file: зкачуються до SD карти по замовчуванню.

Виявлені численні уразливості безпеки в Adobe Flash Player.

Уразливі продукти: Adobe Flash Player 13.0, Air 13.0.

Використання пам’яті після звільнення, переповнення буфера, обхід обмежень, міжсайтовий скриптінг.

• Adobe Flash ExternalInterface Use-After-Free Code Execution (Pwn2Own) (деталі)
• Security updates available for Adobe Flash Player (деталі)
• Security updates available for Adobe Flash Player (деталі)
• Security updates available for Adobe Flash Player (деталі)
• Security updates available for Adobe Flash Player (деталі)
• Security updates available for Adobe Flash Player (деталі)
• Security updates available for Adobe Flash Player (деталі)

Виявлені race condition уразливості в OpenSSL.

Уразливі версії: OpenSSL 1.0.

Короткочасні умови приводять до DoS чи можливості ін’єкції даних.

• OpenSSL vulnerabilities (деталі)
• FreeBSD Security Advisory FreeBSD-SA-14:09.openssl (деталі)

Виявлена уразливість використання пам’яті після звільнення в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10, 11 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1.

Use-after-free уразливість в VGX.DLL активно використовується in-the-wild.

• Microsoft Security Bulletin MS14-021 - Critical Security Update for Internet Explorer (2965111) (деталі)

За повідомленням www.opennet.ru, в OpenSSL виявлена критична уразливість, що може привести до витоку закритих ключів.

У OpenSSL виявлена одна із самих серйозних уразливостей (CVE-2014-0160) в історії проекту, що стосується величезного числа сайтів, серверних систем і клієнтських додатків, що використовують OpenSSL 1.0.1 для організації обміну даними через захищене з’єднання. Суть проблеми виявляється в можливості доступу до 64 Кб пам’яті клієнтського чи серверного процесу з яким встановлене шифроване з’єднання.

Практична небезпека уразливості пов’язана з тим, що в підданому витоку області пам’яті можуть розміщатися закриті ключі чи паролі доступу, що потенційно можуть бути витягнуті віддаленим зловмисником. Уразливість має місце в коді реалізації TLS-розширення heartbeat.

За повідомленням threatpost.ru, NSS оцінила браузерний захист від шкідливого ПЗ.

Дослідницька компанія NSS Labs опублікувала результати перевірки ефективності популярних веб-браузерів як засобу захисту від шкідливих програм, розповсюджуваних за допомогою соціальної інженерії. Крім п’яти регулярних учасників експерти випробували також трьох новачків - китайські браузери Kingsoft Liebao, Qihoo 360 Safe Browser і Sogou Explorer.

Кращі результати, як і раніше, продемонстрував Internet Explorer, що лідирував по всіх основних показниках. Ефективність блокування IE під час іспитів у середньому склала 99,9%. На другому місці браузер Liebao, на третьому Google Chrome.

У тестуванні NSS завжди перемагає IE. Результат передбачуваний, як це завжди буває в проплачених Microsoft дослідженнях .

За повідомленням www.opennet.ru, платформа Android уразлива до атаки PileUp.

Дослідники з Індіанського університету і компанії Microsoft опублікували статтю, у якій описали новий клас уразливостей у Package Management Service на платформі Android. Уразливими на даний момент є всі апарати, що працюють під керуванням Android, для яких є оновлення на наступну головну версію, ще не встановлене користувачем.

Суть PileUp уразливості полягає в наступному. Різні версії ОС Android мають різний набір дозволів для додатків і в нових версіях ОС цей набір розширюється. Зловмисник може підготувати додаток, що запитує доступ до привілейованих операцій, що з’явились у свіжій версії платформи.

Також була виявлена небезпечна DoS уразливість в Android 2.3, 4.2.2, 4.3 і можливо інших випусках. Встановлення підготовленого зловмисниками пакета APK може привести до зациклених перезавантажень, що не усуваються, тобто приводить до непрацездатності пристрою до виконання перепрошивання.

Раніше я писав про березневі DDoS атаки в Україні, а зараз розповім про ситуацію в квітні.

В зв’язку з сепаратистськими і терористичними акціями на сході України, в цьому місяці хакерська активність продовжила бути значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Проросійськими та іноземними хакерами були атаковані наступні сайти:

DDoS на DNS сервери FREEhost.ua - 01-02.04.2014
DDoS на gp.gov.ua - 04.04.2014 і 09.04.2014
Взломаний vrada.gov.ua - 07.04.2014
Взломаний gp.gov.ua - 09.04.2014
Взломаний pol.gp.gov.ua - 09.04.2014
DDoS на kmu.gov.ua - 10.04.2014 і 14.04.2014

Також на протязі квітня відбулися численні DDoS атаки на російські опозиційні сайти.

Проукраїнськими хакерами були атаковані наступні сайти:

DDoS на www.rada.crimea.ua - 01-30.04.2014 (сайт працював з перервами)
DDoS на www.crimea-portal.gov.ua - 01-30.04.2014
DDoS на www-ki.rada.crimea.ua - 01-30.04.2014 (сайт працював з перервами)

Проукраїнськими хакерами були взломані наступні сайти:

sevispolkom.info - 02.04.2014 - хакери розмістили на сайті номер 565. А потім повністю відібрали сайт, через захоплення домену.

З 16.01.2012 по 09.04.2014 відбувся масовий взлом сайтів на сервері TheHost. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер компанії TheHost. Дефейс відбулися після згаданого масового взлому сайтів на сервері Delta-X. Взлом складався з багатьох окремих дефейсів. 28 сайтів були дефейснуті в 2012 році, 415 сайтів в 2013 році і 8 сайтів в 2014 році.

Всього було взломано 451 сайтів на сервері української компанії TheHost (IP 91.223.180.100). Перелік сайтів можете подивитися на www.zone-h.org.

Враховуючи велику кількість окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів.

У квітні місяці Microsoft випустила 4 патчі. Що менше ніж у березні.

У квітневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 4 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Два патчі закривають критичні уразливості та два патчі закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1 та RT 8.1. А також Microsoft Office, Office Services, Office Web Apps та Internet Explorer. Це останній випуск патчів для Windows XP, підтримку якої компанія припинила в цьому місяці.

Виявлені численні уразливості безпеки в Google Chrome та Chromium.

Уразливі продукти: Google Chrome 34.0, Chromium 34.0.

Міжсайтовий скриптінг, цілочисленні переповнення, DoS, пошкодження пам’яті, підміна URL.

• chromium-browser security update (деталі)