W okresie od 19 do 21 lipca 2014 sieć honeypotów systemu ARAKIS zarejestrowała wzmożone skanowanie portu 80 w poszukiwaniu podatnych serwerów PHP. Wykorzystywana była podatność CVE-2012-1823 występująca w serwerach, które mają skonfigurowaną obsługę języka PHP jako skrypty CGI.
Zarejestrowaliśmy ok. 17 000 połączeń kierowanych na port 80/TCP z żądaniami wykorzystującymi wspomnianą dziurę w php-cgi.
W ubiegłym tygodniu wiadomości o tematyce bezpieczeństwa zdominowały doniesienia o luce w bibliotece OpenSSL (CVE-2014-0160). O tym, jak wygląda problem z perspektywy polskich serwerów pisaliśmy poprzednio na naszym blogu. Warto jednak zauważyć, iż biblioteka OpenSSL jest wykorzystywana nie tylko w oprogramowaniu serwerowym. Jest ona również bardzo często elementem oprogramowania klienckiego. Czytaj więcej
Na początku maja 2013 roku CERT Polska we współpracy z CERT.GOV.PL wykrył stronę w domenie gov.pl, która została przejęta w celu rozprzestrzeniania złośliwego oprogramowania. Na stronie, w zależności od konfiguracji maszyny ofiary, dodawana była ramka (iframe), która przekierowywała do exploita. Następnie za pomocą systemu o nazwie „Smoke Loader” ściągane były dwie złośliwe aplikacje. Pierwsza to oprogramowanie typu FakeAV, czyli złośliwe oprogramowanie udające program antywirusowy. Po „wykryciu” zagrożeń oprogramowanie to zachęca użytkownika do zakupu (za pomocą karty kredytowej) pełnej wersji, która pozwoli usunąć wykryte zagrożenia. Druga z nich to koń trojański Kryptik, który służy do kradzieży danych logowania z wielu popularnych klientów FTP, SSH czy WWW. Oprócz tego wykrada certyfikaty służące do podpisywania aplikacji oraz przeprowadza atak słownikowy na konto zalogowanego użytkownika. Zawiera on również ciekawe techniki zabezpieczające przed deasemblacją i analizą wykonania. Czytaj więcej
Nie przebrzmiały jeszcze echa po wykryciu poważnego błędu w oprogramowaniu Oracle, a pojawiły się doniesienia o odkryciu luki w kolejnej popularnej aplikacji, mianowicie w przeglądarce Internet Explorer. Podatne są wersje 6,7,8 oraz 9, a zatem wszystkie obecnie używanych wersje. Lista podatnych systemów jest również długa i obejmuje wszystkie obecnie wspierane systemy z rodziny Windows. Zgodnie z informacją Microsoftu podatność nie dotyczy Internet Explorer 10 oraz Windows 8 i Windows 2012, jednak te produkty nie doczekały się jeszcze oficjalnego wydania. Luka jest groźna, gdyż dotyczy znaczącej liczby Internautów. Przykładowo w Polsce szacuje się, że z przeglądarek IE8 i IE9 korzysta około 20% użytkowników sieci – liczby te są jeszcze wyższe w Europie Zachodniej i USA. Wprawdzie Microsoft dotychczas nie opublikował oficjalnej poprawki, lecz jak można przeczytać w tym artykule, prace nad nią trwają i prawdopodobnie wkrótce doczekamy się wydania łaty.
19 września Microsoft opublikował rozwiązanie Fix it, które zapobiega wykorzystaniu luki.
21 września Microsoft opublikował poprawkę usuwającą lukę. Łata dostępna jest przez Windows Update lub można ją pobrać z tej witryny.
Pod koniec sierpnia Oracle zdecydowało o wydaniu uaktualnienia oprogramowania Java przed planowanym na 16 października terminem publikacji CPU (Critical Patch Update). Zgodnie z doniesieniami zostały wprowadzone 4 poprawki bezpieczeństwa. W sumie w tym roku Oracle wprowadził już 32 poprawki bezpieczeństwa w różnych wersjach oprogramowania Java. Bezpośrednią przyczyną do wydania nowej wersji była luka oznaczona sygnaturą CVE-2012-4681. Jednak nie zanosi się, abyśmy mogli spodziewać się braku informacji o kolejnych lukach w najbliższej przyszłości.
Firma Armorize poinformowała na swoim blogu o odkryciu infekcji na witrynach zasilanych przez popularny framework osCommerce. Do tej pory ilość infekcji szacuje się na ponad 300.000 (w domenie .pl: 19.000) a liczba ta stale rośnie (w porównaniu do odpowiednio: 90.000 i 400 infekcji w dniu 25.07). Hakerzy na atakowanych witrynach wstrzykują zapisy przekierowujące przeglądarkę na strony z exploitami. Jeśli przeglądarka i system użytkownika jest podatna na któryś z exploitów, dochodzi do infekcji jego komputera. W systemie operacyjnym tworzone są nowe procesy, które pobierają z Internetu resztę złośliwego oprogramowania – boty spamujące. W efekcie komputer użytkownika zamienia się w rozsyłającą spam maszynę-zombie.
Według wstępnych oszacowań ponad 90.000 stron internetowych (w tym niemal 400 w domenie .pl) mogło paść ofiarą masowej „infekcji” (wstrzyknięcia przekierowania iframe). Po wejściu na zainfekowaną stronę przeglądarka przekierowywana jest na inną witrynę, na której znajduje się szkodliwy skrypt JavaScript. Skrypt ten próbuje doprowadzić do przejęcia kontroli nad wykonaniem kodu na komputerze użytkownika przy wykorzystaniu następujących (zidentyfikowanych na chwilę obecną) luk:
Jeśli system i oprogramowanie użytkownika jest podatne na atak, uruchamiane są na nim niezidentyfikowane programy. Złośliwy skrypt umieszczany jest na witrynach pracujących na frameworku osCommerce.
Aby zapobiec infekcji CERT Polska doradza użytkownikom wyłączenie obsługi JavaScript w przeglądarce do czasu uzyskania nowych informacji o zagrożeniu.
Jeśli posiadasz witrynę pracującą w oparciu o osCommerce, sprawdź, czy nie padła ona ofiarą ataku (np. czy w ramkach iframe nie ma odniesień do nieznanych lub dziwnych witryn).
O wynikach analizy zagrożenia będziemy informować w kolejnych komunikatach na naszym blogu.
Z wynikami wstępnej analizy można zapoznać się na blogu Armorize.
Zabezpieczenia typu ASLR (ang. Address Space Layout Randomization) oraz DEP (ang. Data Execution Prevention) to techniki mające na celu zabezpieczenie systemu operacyjnego przed włamaniami przez wykorzystanie błędów w oprogramowaniu użytkowym. W systemie Windows funkcjonują one począwszy od wersji XP SP 2, jednak pod koniec roku 2010 w sieci pojawiły się exploity omijające oba te zabezpieczenia nawet w jego w najnowszych wersjach (np.: exploity w dokumentach PDF). W artykule „Nowe techniki przełamywania zabezpieczeń Windows 7 w malware” prezentujemy wyniki badań nad tymi exploitami. Szczegółowo omówiony został proces przejmowania kontroli nad wykonywanym w podatnych aplikacjach kodem oraz przedstawione zostały sposoby zabezpieczenia systemu przed atakami tego rodzaju. Zapraszamy do lektury!
Niedawno (5 listopada) pisaliśmy o błędzie przepełnienia bufora w aplikacji ProFTPd. System ARAKIS zarejestrował próby włamania z wykorzystaniem exploitów na tę lukę. Jako źródło ataku określiliśmy sieć znajdującą się na terenie Stanów Zjednoczonych, a zastosowany do ataku exploit to prawdopodobnie skrypt Perl opublikowany na liście full-disclosure kilka dni po ujawnieniu luki. W najbliższym czasie należy się spodziewać zwiększonej częstotliwości skanowań usług FTP oraz ślepych prób ich wykorzystania.
W okresie od 19 do 21 lipca 2014 sieć honeypotów systemu ARAKIS zarejestrowała wzmożone skanowanie portu 80 w poszukiwaniu podatnych serwerów PHP. Wykorzystywana była podatność CVE-2012-1823 występująca w serwerach, które mają skonfigurowaną obsługę języka PHP jako skrypty CGI.
W ubiegłym tygodniu wiadomości o tematyce bezpieczeństwa zdominowały doniesienia o luce w bibliotece OpenSSL (
