Архів за Травень, 2014

Новини: взлом eBay, вірус на сервері ЦВК та безпека мобільного банкінга

22:49 24.05.2014

За повідомленням eBay, відбувся витік БД користувачів eBay.

Нещодавно, 21.05.2014, компанія eBay повідомила про взлом свого сайту. Як заявили працівники компанії, компрометація системи відбулася наприкінці лютого, лише зараз вони виявили цей інцидент і провели примусову зміну паролів всіх користувачів онлайн аукціону. Тому всі користувачі аукціону повинні будуть змінити свої паролі при наступному вході в систему.

Як зазначається в повідомленні eBay, нападники отримали доступ до облікових записів працівників компанії, що дозволило їм отримати доступ до бази даних. При цьому була викрадена лише база даних з хешами паролів, але не фінансові дані користувачів (як то дані платіжних карт), що зберігаються окремо. Тому користувачам лише потрібно змінити свої паролі на сайті.

Про уразливості на eBay я писав неодноразово, тому нічого дивного, що їх взломали.

За повідомленням www.pravda.com.ua, СБУ ліквідувала вірус, що мав знищити результати виборів.

В четвер на сервері ЦВК було виявлено і ліквідовано вірус, який мав знищити результати президентських виборів. Про це повідомив голова СБУ Валентин Наливайченко на брифінгу.

Ця заява Наливайченка виглядає як піар СБУ. А в суботу Арсен Аваков заявив на власному сайті, що інформаційно-аналітична системи “Вибори” була взломана. Але потім ЦВК і сам Аваков спростували цю інформацію, а Аваков заявив про взлом свого сайта.

За повідомленням www.xakep.ru, результати дослідження безпеки мобільного банкінга.

Компанія Digital Security оголосила результати нового дослідження “Безпека мобільного банкінга: можливість реалізації атаки MiTM (Man-in-The Middle, Людина посередині)».

У рамках дослідження розглядалися ОС Android та iOS, як найбільш розповсюджені і які мають найбільшу кількість додатків для мобільного банкінга. Виявилося, що з усіх розглянутих мобільних банк-клієнтів з iOS 14% піддані крадіжці грошей тільки за допомогою MitM-атаки, а з Android 23%.

Вийшов WordPress 3.9.1

19:21 24.05.2014

У травні, 08.05.2014, вийшла нова версія WordPress 3.9.1.

WordPress 3.9.1 це багфікс випуск нової 3.9 серії. В якому розробники виправили 34 баги.

Офіційно жодних уразливостей не виправлено, лише баги. Але треба враховувати, що розробники WP полюбляють виправляти дірки приховано. Лише в минулому році я виявив десятки приховано виправлених уразливостей в WP, про що я писав раніше.

Добірка уразливостей

17:18 24.05.2014

В даній добірці уразливості в веб додатках:

  • WD My Net N600, N750, N900, N900C - Plain Text Disclosure of Admin Credentials (деталі)
  • User Identity Spoofing in Bitrix Site Manager (деталі)
  • SQL Injection in InstantCMS (деталі)
  • Path Traversal in eduTrac (деталі)
  • Certain HP LaserJet Pro Printers, Remote Information Disclosure (деталі)

Передвиборчі витоки персональних даних

23:59 23.05.2014

В статті Проблеми з витоками персональних даних в Україні я писав, що в Україні багато проблем з захистом персональних даних громадян і держава не докладає достатньо зусиль для боротьби з витокам персональних даних. Ні законодавство в цій сфері не є досконалим, ні Державна служба України з питань захисту персональних даних не працює ефективно (вона більше б’є байдики, ніж захищає дані громадян).

Я неодноразово знаходив випадки витоків персональних даних в Уанеті. Як витік бази даних сайта solor.da-kyiv.gov.ua, в якій містилися персональні дані. Так і уразливості на сайтах, зокрема українських сайтах (під час комерційних та соціальних аудитів безпеки), що дозволяють отримати дані користувачів. І ось черговий випадок.

Позавчора, 22.05.2014, я отримав листа від Юлії Тимошенко (всього прийшло два листи мені й моїй матері). Це штаб “Батьківщини” розсилає листи “від Юлі”, де вона закликає проголосувати за неї на виборах президента. Ну вислали листи, які проблеми, агітують таким чином. Але вони вислали іменні листи.

Тобто була злита БД з особистими даними деяких громадян, такими як ПІБ та адреса. Щоб ВО “Батьківщина” могла надіслати іменні листи. Після цього я знайшов в Інтернеті підтвердження, що не тільки в Києві, але й в інших містах України були розіслані такі іменні листи. Мій аналіз показав, що це база даних пенсійного фонду. Тобто ПФУ незаконно злив свою базу даних “Батьківщині”, щоб громадянка Тимошенко (яка навіть не є держслужбовцем) розіслала свої листи. І з такими та іншими витоками персональних даних потрібно боротися.

Похакані сайти №262

22:43 23.05.2014

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://uzh-rda.gov.ua (хакером Gabby) - 07.04.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://bereg-rda.gov.ua (хакером Gabby) - 07.04.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://www.oczi.com.ua (хакером Darkcrowtr)
  • http://lady-ukraine.com (хакером Erfan Nikotin) - 02.03.2014, зараз сайт не працює
  • http://bezposrednikov.com.ua (хакером Erfan Nikotin) - 02.03.2014, зараз сайт не працює

Уразливості в різних Ruby gem

19:35 23.05.2014

29.01.2014

Виявлені уразливості безпеки в різних Ruby gem.

Уразливі продукти: Gem Webbynode 1.0, Gem Bio Basespace SDK 0.1, Gem sprout 0.7, Gem i18n 0.6.

Міжсайтовий скриптінг, виконання коду, витік інформації.

  • Command injection in Ruby Gem Webbynode 1.0.5.3 (деталі)
  • Bio Basespace SDK 0.1.7 Ruby Gem exposes API Key via command line (деталі)
  • Command injection vulnerability in Ruby Gem sprout 0.7.246 (деталі)
  • ruby-i18n security update (деталі)

23.05.2014

Додаткова інформація.

  • Remote Command Injection in Ruby Gem sfpagent 0.4.14 (деталі)
  • Remote Command Injection in Arabic Prawn 0.0.1 Ruby Gem (деталі)

Добірка експлоітів

17:21 23.05.2014

В даній добірці експлоіти в веб додатках:

  • Oracle Identity Manager 11g R2 SP1 (11.1.2.1.0) - Unvalidated Redirects (деталі)
  • ASUS RT-AC68U Remote Command Execution Vulnerability (деталі)
  • ASUS RT-AC68U Cross Site Scripting Vulnerability (деталі)
  • XAMPP 3.2.1 & phpMyAdmin 4.1.6 - Multiple Vulnerabilities (XSS & CSRF) (деталі)
  • Halon Security Router (SR) =< v3.2-winter-r1 Multiple Vulnerabilities (деталі)
  • Safari User-Assisted Download / Run Attack (деталі)
  • SolidWorks Workgroup PDM 2014 pdmwService.exe Arbitrary File Write Exploit (деталі)
  • HP Data Protector Backup Client Service Remote Code Execution Exploit (деталі)
  • Yokogawa CENTUM CS 3000 BKBCopyD.exe Buffer Overflow Vulnerability (деталі)
  • Yokogawa CENTUM CS 3000 BKHOdeq.exe Buffer Overflow Vulnerability (деталі)

Переповнення буфера в Adobe Flash Player

23:54 22.05.2014

Продовжуючи розпочату традицію, після попереднього відео про атаку на OpenSSL, пропоную нове відео на веб секюріті тематику. Цього разу відео про переповнення буфера в Adobe Flash Player. Рекомендую подивитися всім хто цікавиться цією темою.

Adobe Flash Player Shader Buffer Overflow (APSB14-13 CVE-2014-0515) Metasploit Demo

В даному відео ролику демонструється використання експлоіта для проведення атаки на Buffer Overflow уразливість в Adobe Flash Player 13.0. Це свіжа уразливість в Flash Player, яка призводить до віддаленого виконання коду в браузері з Flash плагіном (показано на прикладі браузера IE10) при відкритті сторінки з кодом експлоіту. Що дозволяє нападнику отримати контроль над атакованим комп’ютером.

Атака відбувається при відвідуванні в браузері з флеш плагіном спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на веб браузери.

Тестування SSL серверів на Heartbleed

22:45 22.05.2014

Раніше я писав про тестування SSL серверів. Онлайн сервіс SSL Server Test підтримує багато перевірок SSL, в тому числі нещодавно була додана підтримка перевірки Heartbleed уразливості.

Розповім про онлайн сервіси, які призначені безпосередньо для тестування SSL серверів на Heartbleed. Що з’явилися після оприлюднення Heartbleed уразливості в OpenSSL.

Для перевірки SSL серверів на наявність Heartbleed уразливості можна використати наступні сервіси:

http://possible.lv/tools/hb/

http://filippo.io/Heartbleed/

Численні уразливості в Microsoft Internet Explorer

20:11 22.05.2014

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10, 11 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1.

Численні пошкодження пам’яті.

  • Microsoft Security Bulletin MS14-018 - Critical Cumulative Security Update for Internet Explorer (2950467) (деталі)
  • Microsoft Security Bulletin MS14-021 - Critical Security Update for Internet Explorer (2965111) (деталі)
  • Microsoft Security Bulletin MS14-029 - Critical Security Update for Internet Explorer (2962482) (деталі)