Хакеры использовали Drive-by атаку для взлома сотен доменных учетных записей, зарегистрированных через GoDaddy. Хакеры использовали украденные домены для создания поддоменов, связанных с сайтами, на которых находился набор эксплоитов Angler. Многие пользователи даже не замечают манипуляций с их учетными записями, которым Cisco Systems дала название «затемнение доменов» (domain shadowing).
Атака с помощью Angler начинается с просмотра жертвой вредоносной рекламы, которая перенаправляет ее на один из украденных поддоменов. В свою очередь поддомен доставляет Angler или переадресовывает на сайт, где размещается набор эксплоитов.
Почти треть доменных имен в интернете регистрируются через GoDaddy. По крайней мере, 10 тысяч уникальных поддоменов, созданных с помощью скомпрометированных учетных записей, были использованы для атак с применением Angler. «Затенение доменов» трудно остановить из-за невозможности предугадать, какие именно доменные имена будут использоваться в следующей атаке.
Напомним, ИБ-эксперты считают Angler наиболее сложным набором эксплоитов из числа используемых киберпреступниками на сегодняшний день. Недавно была добавлена уязвимость в набор эксплоитов Angler, включающий в себя эксплоиты для Internet Explorer, Adobe Flash Player и Microsoft Silverlight.
В графическом интерфейсе для базы данных MongoDB phpMoAdmin была обнаружена уязвимость, позволяющая скомпрометировать систему. С ее помощью хакеры могут скомпрометировать web-сайты, работающие под управлением популярной базы данных.
Уязвимость была обнаружена хакером с ником sp1nlock, который на подпольных хакерских форумах продает рабочий для этой бреши. Вероятно, что хакеры уже приступили к взлому уязвимых сайтов, причем разработчики phpMoAdmin до сих пор не подтвердили, что им об этом известно.
В целях защиты пользователям рекомендуется воздержаться от использования phpMoAdmin, пока команда разработчиков не выпустит исправление. В качестве альтернативных способов устранения уязвимости можно установить аутентификацию htpasswd для файла moadmin.php.
Федеральные правоохранительные агентства отказываются разглашать информацию о приобретенных и используемых ими эксплоитах для уязвимостей в разнообразном ПО. Эффективность таких уязвимостей и эксплоитов к ним зависит от того, знают ли об их существовании изготовители затронутого ПО. В связи с этим правительство не намерено разглашать информацию о том, какие именно уязвимости в ПО им известны.
5 февраля нынешнего года ACLU получил ответ от управления директора Национальной разведки США (Office of the Director of National Intelligence, ODNI) на запрос, поданный организацией относительно приобретения, использования и разглашения эксплоитов. Правительственное агентство отказалось сообщать подробную информацию на эту тему, поскольку согласно Раздела 1.4(с) Исполнительного приказа №13526 Президента США (Executive Order 13526, Section 1.4(c)), разглашение этих данных может нанести урон государственной безопасности.
Формальная политика США, касающаяся эксплоитов для уязвимостей, гласит, что федеральные агентства должны раскрывать детали всех крупных уязвимостей компаниям-производителям в целях скорейшего их устранения. Тем не менее, исключением из этого правила являются бреши, эксплуатирующиеся в целях обеспечения национальной безопасности или правопорядка. Это значит, что правительство США может без всяких уведомлений эксплуатировать любые бреши, не уведомляя производителей ПО об их существовании.
Несомненно, эксплуатация уязвимостей приносит большую пользу правоохранительным органам и разведслужбам, но это связано с серьезными проблемами и рисками. Те же бреши могут эксплуатироваться правительствами враждебных государств, хакерами и простыми преступниками.
Исследователи из французского института INRIA выявили новый вид атаки на SSL/TLS, который получил название FREAK, по аналогии с ранее выявленными атаками POODLE, BREACH, CRIME и BEAST. Суть атаки сводится к инициированию отката соединения на использование разрешённого для экспорта набора шифров, включающего недостаточно защищённые устаревшие алгоритмы шифрования. Проблема позволяет вклиниться в соединение и организовать анализ трафика в рамках защищённого канала связи, используя уязвимость (CVE-2015-0204), выявленную во многих SSL-клиентах и позволяющую сменить шифры RSA на RSA_EXPORT и выполнить дешифровку трафика, воспользовавшись слабым эфемерным ключом RSA.
Предоставляемый в RSA_EXPORT 512-битный ключ RSA уже давно не применяется в серверном и клиентском ПО, так как считается небезопасным и подверженным атакам по подбору. Для подбора ключа RSA-512 исследователям потребовалось около семи с половиной часов при запуске вычислений в окружении Amazon EC2. Ключ достаточно подобрать для каждого сервера один раз, после чего подобранный ключ может использоваться для перехвата любых соединений с данным сервером (mod_ssl по умолчанию при запуске сервера генерирует один экспортный RSA-ключ и повторно использует его для всех соединений).
На стороне клиента уязвимость затрагивает OpenSSL (исправлено в 0.9.8zd, 1.0.0p и 1.0.1k), браузер Safari и разнообразные встраиваемые и мобильные системы, включая Google Android и Apple iOS. Что касается серверов, то сканирование сети показало, что набор RSA_EXPORT поддерживается приблизительно на 36.7% из общей массы сайтов и на 9.7% из миллиона крупнейших сайтов. Для защиты сервера на базе Apache к параметрам директивы SSLCipherSuite следует добавить "!EXPORT".
D-Link выпустила обновление для прошивки своего двухполосного "облачного" маршрутизатора DIR-820L, исправляющее ряд уязвимостей. Бреши были обнаружены ИБ-экспертом Питером Адкинсом (Peter Adkins), сообщившим о них компании в начале января нынешнего года.
Одна из уязвимостей позволяла злоумышленникам получить полный доступ к устройству, независимо от того, была ли активирована опция "WAN management". Как сообщается в уведомлении D-Link, эксплуатируя брешь, злоумышленник мог без аутентификации использовать маршрутизатор для загрузки утилиты, позволяющей инфицировать компьютер жертвы вредоносным ПО.
Вторая уязвимость присутствовала в утилите ping маршрутизатора и позволяла не аутентифицированному пользователю осуществлять инъекции команд. Эксплуатируя третью брешь, с помощью определенных утилит для прошивки хакер мог раскрыть информацию о конфигурации устройства.
Обновления для затронутых уязвимостями моделей маршрутизаторов DIR-626L, DIR-636L, DIR-808L, DIR-810L, DIR-826L, DIR-830L и DIR-836L будут выпущены до 10 марта 2015 года. Бреши также присутствовали в устройствах TRENDnet TEW-731BR. Производитель выпустил исправления для них в прошлом месяце.
Сканирование отпечатков пальцев уже нельзя назвать нетрадиционным способом идентификации человека. Этот биометрический показатель используется для ограничения доступа к различным устройствам или сервисам, в том числе тем, которые находятся на мобильных телефонах. Например, компания Apple основала свою мобильную платежную систему именно на этой технологии.
Однако несмотря на популярность, система сканирования отпечатков имеет ряд недостатков. Среди них — невозможность распознать биометрический узор на загрязненном либо влажном участке кожи. Благодаря новой разработке американской компании Qualcomm — Snapdragon Sense ID биометрическая аутентификация станет более надежной и позволит избежать технических неполадок.
Ультразвуковая технология 3D-сканирования позволяет новому мобильному сканеру распознавать отпечаток пальца даже сквозь металлическую или пластиковую заднюю панель смартфона. Следовательно, сканер может быть размещен на любом участке смартфона или планшета.
Также сервис сканирования от Qualcomm позволяет достичь более высокого уровня защиты с помощью повышения уникальности снимка. Ультразвуковые волны проникают в верхние слои кожи для того, чтобы построить трехмерную модель отпечатка и выявить дополнительные характеристики. Отпечаток пальца в 3D более подробный чем двухмерное изображение, получаемое с помощью емкостных сенсоров. Следовательно, сервис обеспечит более надежную защиту данных и программ.
Технология была продемонстрирована на выставке Mobile World Congress 2015. 3D-сканер будет запущен в производство во второй половине года. Пока неизвестно, какие производители мобильных устройств воспользуются инновационным сервисом для защиты своих устройств.
Компания-регистратор доменных имен ICANN обнаружила очередную уязвимость в своих системах. Новая брешь позволяет сторонним пользователям раскрывать определенную конфиденциальную информацию об организациях, желающих приобрести тот или иной домен. Более того, эксплуатация уязвимости позволяла конкурентам, участвующим в gTLD-аукционах, следить друг за другом.
Таким образом, подчеркивают IT-эксперты компании, важные коммерческие данные и техническая информация относительно предстоящего расширения сети Интернет находились под угрозой компрометации. В целях предотвращения вероятных атак ICANN остановила работу уязвимых web-сервисов.
Регистратор также отметил, что эта информация включает в себя технические данные о добавлении новых родовых доменов верхнего уровня в корневой DNS, контактную информацию, коммерческие тайны клиентов и т.п.
На официальном сайте камеры GoPro была обнаружена уязвимость, позволяющая раскрыть названия и пароли беспроводных сетей владельцев популярного устройства.
Уязвимость связана с механизмом восстановления пароля через обновление прошивки камеры. Сама по себе процедура достаточно проста, и по ее окончанию пользователь получает ссылку на ZIP-архив, который нужно загрузить на SD-карту, вставить ее в камеру и перезагрузить устройство. Проблема заключается в двух моментах. Первый – содержащий настройки камеры файл settings.in в архиве включает в себя имя и пароль беспроводной сети пользователя в текстовом формате. Второй – ссылка на загрузку ZIP-архива выглядит следующим образом: http://cbcdn2.gp-static.com/uploads/firmware-bundles/firmware_bundle/1234567/UPDATE.zip
где 1234567 – уникальный сериальный номер, связанный с конкретной камерой. Поскольку для загрузки архива не требуется проходить аутентификацию, хакер может с помощью элементарного брутфорса получить вышеуказанные данные, включая логины и пароли беспроводных сетей.
Таким образом, сочетание этих двух уязвимостей позволяет удаленному пользователю раскрыть важную информацию о пользователе.
Популярный сервис заказа такси Uber инициировал судебное разбирательство, связанное с утечкой базы данных, содержащей сведения о персональных данных и номерах водительских удостоверений около 50 тысяч водителей. Примечательно, что в рамках судебного разбирательства, в котором фигурирует неизвестный хакер, Uber потребовал у GitHub предоставить сведения об IP-адресах, с которых был зафиксирован доступ к определённым репозиториям.
Судя по фигурирующей в рамках дела информации, утечка базы данных вызвана не компрометацией инфраструктуры Uber, а использованием штатных ключей аутентификации, которые по недосмотру были опубликованы каким-то сотрудником или подрядчиком в публичном репозитории GitHub. Неавторизированный доступ к серверам Uber был произведён ещё 13 мая 2014 года и привёл к выгрузке данных о приблизительно 50 тысячах водителях.
Инциденты, связанные со случайной публикацией на GitHub параметров аутентификации, происходят достаточно часто и активно отслеживаются потенциальными хакерами. Наличие сервисов, подобных GHTorrent, которые почти в реальном режиме времени отслеживают и зеркалируют все изменения на GitHub, делают безвозвратным попадание закрытой информации в публичные репозитории. Даже в случае оперативного удаления данных, опубликованных по ошибке, эти данные остаются доступными через независимые сторонние архивы.
Например, несколько месяцев назад один из разработчиков случайно сохранил в никому неизвестном тестовом репозитории приложение, забыв удалить параметры входа в Amazon AWS, после чего в течение 5 минут воспользовался инструментом GitHub для полной очистки изменений из репозитория. Не почувствовав подвоха, разработчик не посчитал нужным сменить параметры входа. Через считанные часы хакеры задействовали его аккаунт в Amazon AWS для майнинга bitcoin. Похожим образом были потеряны параметры аутентификации одного из аккаунтов Chromium.org, а также SSH-ключи доступа к серверу одного из крупных китайских Web-сервисов.
Как сообщают исследователи безопасности из компании AdaptiveMobile, им удалось выявить крупную вспышку распространения вредоносного ПО Gazon, инфицирующего Android-устройства посредством SMS. Для распространения вирус использует книгу контактов жертвы и в случае успешного заражения пытается осуществить кражу ваучеров Amazon, а также устанавливает дополнительное вредоносное ПО.
«Атака началась в США и к 25 февраля вирус все еще активно распространялся, успев заразить несколько тысяч смартфонов в 30 странах мира», - отмечают эксперты. – Инцидент затронул пользователей из Канады, Великобритании, Франции, Индии, Кореи, Мексики, Австралии и Филиппин.
Отдельно эксперты отметили эффективность распространения Gazon через SMS, о чем говорит тот факт, что этот метод используется в 99% случаев. При этом из статистики других методов заражения следует, что по вредоносным ссылкам в Facebook и в письмах электронной почты перешли порядка 16 тысяч раз.
Распространяемый под лицензией MIT клиент для различных протоколов удаленного доступа PuTTY обновился д 0.64. В новой версии исправлена брешь, позволявшая удаленному злоумышленнику получить доступ к конфиденциальной информации.
Уязвимость существовала из-за ошибки при аутентификации по ключам, в результате которой закрытый ключ пользователя оставался в памяти процесса. Потенциальный злоумышленник мог получить его, прочитав содержимое памяти. Кроме того, ключ мог оказаться в дампе памяти или разделе подкачки. Считалось, что уязвимость была исправлена в предыдущей версии PuTTY, однако это оказалось не так.
Помимо вышеописанной уязвимости, в обновлении исправлена брешь, возникающая по причине отсутствия проверки диапазонов значений при обмене ключами протокола Диффи-Хеллмана, которая также может считаться проблемой безопасности.
В PuTTY 0.64 также была реализована поддержка совместного использования соединений SSH-2, благодаря чему несколько клиентов PuTTY теперь могут использовать одно соединение к идентичному хосту. Дополнительные опции командной строки позволяют явно определить ключи, используемые для хоста.
Как сообщают исследователи из «Доктор Веб», над пользователями Mac OS X уже второй раз с 2010 года нависла угроза заражения троянским приложением OpinionSpy.
Для своего распространения Mac.BackDoor.OpinionSpy.3 использует трехступенчатую схему. На различных сайтах, предлагающих всевозможное ПО для Mac OS X, появляются с виду безобидные программы, в составе дистрибутивов которых, тем не менее, присутствует файл poinstall, запускаемый инсталлятором в процессе установки. Если во время инсталляции загруженного с такого сайта приложения пользователь соглашается предоставить ему права администратора, poinstall отправляет на сервер злоумышленников серию POST-запросов, а в ответ получает ссылку для скачивания пакета с расширением .osa, внутри которого располагается ZIP-архив. Рoinstall распаковывает этот архив, извлекая исполняемый файл с именем PremierOpinion и XML-файл с необходимыми для его работы конфигурационными данными, после чего запускает эту программу.
Запустившись на атакуемом «маке», PremierOpinion также связывается с управляющим сервером и получает от него ссылку на скачивание еще одного .osa-пакета, из которого извлекается и устанавливается полноценное приложение с таким же названием — PremierOpinion. Это приложение содержит несколько исполняемых файлов: собственно программу PremierOpinion, в которой отсутствует какой-либо вредоносный функционал, и бэкдор PremierOpinionD, реализующий опасные для пользователя Mаc OS Х возможности.
При обмене информацией с управляющим сервером часть данных троянец шифрует, часть — передает в открытом виде. Помимо прочего, Mac.BackDoor.OpinionSpy.3 может собирать и передавать злоумышленникам сведения о видеофайлах, просмотренных пользователем.
ssl)
||
Exploit.IO
Безопасность
Другое