Заметки о сетевой безопастности

Специалисты по кибербезопасности обнаружили новую глобальную хакерскую атаку, в ходе которой были взломаны системы почти 2500 компаний и похищены огромные объемы данных. Атаки осуществляли хорошо организованные хакерские группы из Европы и Китая.

Согласно новому отчету компании NetWitness, за последние 18 месяцев хорошо организованная группа хакеров из Европы и Китая провела ряд глобальных координированных атак на системы коммерческих компаний и государственных организаций, похитив огромное количество личных и корпоративных данных.

Как отмечают специалисты NetWitness (компания занимается анализом безопасности компьютерных сетей), ущерб от последних кибератак все еще оценивается, а пострадавшие организации вычисляются. По имеющимся сейчас сведениям, хакеры похитили данные 2,411 компаний разного профиля. Среди украденной информации данные о транзакциях по кредитным картам, интеллектуальная собственность и многое другое.

Эта глобальная атака, последняя из обнаруженных на сегодняшний день крупных хакерских нападений на компании, все еще продолжается, а ее масштабы до сих пор полностью не установлены. Также не установлен и полный объем похищенных злоумышленниками данных, и то, каким образом их использовали или планируют использовать.

Известно, что от этих атак пострадали две крупные фармацевтические компании – Merck & Co и Cardinal Health. По словам их представителей, специалисты по безопасности уже решили проблемы в сетях этих компаний.

Эксперты NetWitness установили, что, начиная с конца 2008 г., хакеры, командный центр которых находился в Германии, проникали в корпоративные сети, обманом заставляя работников компаний-жертв переходить по ссылкам на сайты, содержащие вредоносное ПО. В более чем 100 случаях хакеры получили полный доступ к корпоративным серверам, на которых хранились огромные объемы бизнес-данных.

Также неизвестным киберпреступникам удалось проникнуть в сети десяти государственных организаций США. В одной из компаний хакеры получили доступ к корпоративному серверу, который занимался обработкой платежей по кредитным картам. В еще одном случае характер атаки позволил установить очевидное участие во взломе одного из сотрудников самой компании.
via http://www.securitylab.ru/

Программа: Invision Power Board 2.3.6, возможно более ранние версии

Опасность: Низкая

Наличие эксплоита: Нет

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение и выполнить произвольные SQL команды в базе данных приложения.

1. Уязвимость существует из-за того, что приложение некорректно устанавливает MIME тип для загруженного файла. Удаленный пользователь может загрузить вредоносный .txt файл и выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

2. Уязвимость существует из-за недостаточной обработки входных данных в параметре «starter» в сценарии forum/index.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. Для успешной эксплуатации уязвимости требуются привилегии администратора приложения.

URL производителя: www.invisionboard.com

Решение: Установите версию 3.0.5 или выше с сайта производителя.

16 декабря, 2009

Программа: Mozilla Firefox версии до 3.5.6

Опасность: Высокая

Наличие эксплоита: Нет

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности, произвести спуфинг атаку, получить доступ к важным данным и скомпрометировать целевую систему.

1. Уязвимость существует из-за двух ошибок в механизме browser. Удаленный пользователь может вызвать повреждение памяти и потенциально скомпрометировать целевую систему.

2. Уязвимость существует из-за ошибки в механизме JavaScript. Удаленный пользователь может вызвать повреждение памяти и потенциально скомпрометировать целевую систему.

3. Уязвимость существует из-за множественных ошибок в библиотеке liboggplay. Удаленный пользователь может выполнить произвольный код на целевой системе.

4. Целочисленное переполнение обнаружено в видео библиотеке libtheora. Удаленный пользователь может с помощью специально сформированного видео файла вызвать переполнение буфера и выполнить произвольный код на целевой системе.

5. Уязвимость существует из-за ошибки в реализации NTLM протокола, которая позволяет передать NTLM данные произвольному приложению.

6. Уязвимость существует из-за ошибки при обработке HTTP перенаправлений (document.location) на https:// ссылки, которая может привести к некорректному отображению индикатора SSL подключения.

7. Уязвимость существует из-за ошибки при обработке document.location для ссылок, которые не могут быть корректно отображены. Удаленный пользователь может с помощью подмененного URL внедрить произвольные данные в пустую страницу и произвести спуфинг атаку.

8. Уязвимость существует из-за ошибки при открытии окна с данными из окна chrome. Удаленный пользователь может посредством свойства window.opener выполнить произвольный JavaScript код с привилегиями chrome. Эта уязвимость может эксплуатироваться посредством некоторых дополнений, открывающих недоверенные страницы.

9. Уязвимость существует из-за ошибки при генерации сообщений об исключениях в GeckoActiveXObject(). Удаленный пользователь может определить наличие COM объектов и потенциально проследить за сессиями браузера пользователя.

URL производителя: www.mozilla.org

Решение: Установите последнюю версию 3.5.6 с сайта производителя.

Программа: Linux kernel 2.6.x

Опасность: Низкая

Наличие эксплоита: Нет

Описание:
Обнаруженные уязвимости позволяют локальному пользователю вызвать отказ в обслуживании и повысить свои привилегии на системе.

1. Уязвимость существует из-за недостаточной проверки прав доступа при обработке EXT4_IOC_MOVE_EXT IOCTL запросов. Локальный пользователь может с помощью специально сформированного IOCTL запроса перезаписать файлы с привилегиями учетной записи root.

2. Уязвимость существует из-за ошибки в функции ext4_fill_flex_info() в файле fs/ext4/super.c. Локальный пользователь может с помощью специально сформированной файловой системы вызвать деление на ноль.

3. Уязвимость существует из-за ошибки в функции ext4_decode_error() в файле fs/ext4/super.c. Локальный пользователь может с помощью специально сформированной файловой системы вызвать разыменование нулевого указателя и повысить свои привилегии на системе.

URL производителя: www.kernel.org

Решение: Установите исправление из GIT репозитория производителя.

Компания Microsoft анонсировала новое программное обеспечение под названием PhotoDNA, которое позволит некоммерческим организациям, правоохранительным органам и Интернет-провайдерам успешно бороться с распространением детской порнографии в глобальной сети.

В приложении используется методика под названием «устойчивое к помехам хэширование» (robust hashing), которая позволяет с высокой точностью идентифицировать обрезанные, отредактированные или модифицированные иным способом фотоснимки.

Программное обеспечение PhotoDNA не может самостоятельно отличить безобидный детский снимок от порнографического. Вместо этого приложение сканирует снимок, идентифицирует его цифровые «отпечатки пальцев» и сравнивает исходное изображение с сотнями тысяч известных порнографических фотоизображений и видеороликов, хранимых в базе данных. Эксперты уверены, что инновационный инструмент существенно облегчит их работу, ведь многие снимки встречаются в сети на протяжении нескольких лет, перемещаясь с сайта на сайт.

В ходе испытаний решение PhotoDNA продемонстрировало исключительную производительность, тратя на обработку одного изображения не более пяти миллисекунд. По словам организаторов тестирования, точность идентификации цифровых снимков составляет примерно 98%, а число ложных срабатываний ограничивается одним случаем на миллиард.

Распространяться новое программное обеспечение будет совершенно бесплатно.