Niemieccy badacze bezpieczeństwa 14 maja 2018 roku opublikowali pracę dotyczącą występowania możliwych podatności bezpieczeństwa w niektórych implementacjach protokołów OpenPGP oraz S/MIME używanych m.in. do szyfrowania wiadomości e-mail. W niektórych przypadkach, atakujący posiadający dostęp jedynie do zaszyfrowanej wiadomości są w stanie odzyskać pełną treść odszyfrowanej wiadomości.
Parę dni temu została opublikowana łatka oraz exploit na podatność CVE-2017-9805. Luka ta obecna od ośmiu lat w kodzie pluginu REST, pozwala na zdalne wykonanie kodu na serwerze hostującym aplikację we frameworku Apache Struts 2.
Czytaj więcej
W okresie od 19 do 21 lipca 2014 sieć honeypotów systemu ARAKIS zarejestrowała wzmożone skanowanie portu 80 w poszukiwaniu podatnych serwerów PHP. Wykorzystywana była podatność CVE-2012-1823 występująca w serwerach, które mają skonfigurowaną obsługę języka PHP jako skrypty CGI.
Zarejestrowaliśmy ok. 17 000 połączeń kierowanych na port 80/TCP z żądaniami wykorzystującymi wspomnianą dziurę w php-cgi.
W ubiegłym tygodniu wiadomości o tematyce bezpieczeństwa zdominowały doniesienia o luce w bibliotece OpenSSL (CVE-2014-0160). O tym, jak wygląda problem z perspektywy polskich serwerów pisaliśmy poprzednio na naszym blogu. Warto jednak zauważyć, iż biblioteka OpenSSL jest wykorzystywana nie tylko w oprogramowaniu serwerowym. Jest ona również bardzo często elementem oprogramowania klienckiego.
Czytaj więcej
Na początku maja 2013 roku CERT Polska we współpracy z CERT.GOV.PL wykrył stronę w domenie gov.pl, która została przejęta w celu rozprzestrzeniania złośliwego oprogramowania. Na stronie, w zależności od konfiguracji maszyny ofiary, dodawana była ramka (iframe), która przekierowywała do exploita. Następnie za pomocą systemu o nazwie „Smoke Loader” ściągane były dwie złośliwe aplikacje. Pierwsza to oprogramowanie typu FakeAV, czyli złośliwe oprogramowanie udające program antywirusowy. Po „wykryciu” zagrożeń oprogramowanie to zachęca użytkownika do zakupu (za pomocą karty kredytowej) pełnej wersji, która pozwoli usunąć wykryte zagrożenia. Druga z nich to koń trojański Kryptik, który służy do kradzieży danych logowania z wielu popularnych klientów FTP, SSH czy WWW. Oprócz tego wykrada certyfikaty służące do podpisywania aplikacji oraz przeprowadza atak słownikowy na konto zalogowanego użytkownika. Zawiera on również ciekawe techniki zabezpieczające przed deasemblacją i analizą wykonania.
Czytaj więcej
Nie przebrzmiały jeszcze echa po wykryciu poważnego błędu w oprogramowaniu Oracle, a pojawiły się doniesienia o odkryciu luki w kolejnej popularnej aplikacji, mianowicie w przeglądarce Internet Explorer. Podatne są wersje 6,7,8 oraz 9, a zatem wszystkie obecnie używanych wersje. Lista podatnych systemów jest również długa i obejmuje wszystkie obecnie wspierane systemy z rodziny Windows. Zgodnie z informacją Microsoftu podatność nie dotyczy Internet Explorer 10 oraz Windows 8 i Windows 2012, jednak te produkty nie doczekały się jeszcze oficjalnego wydania. Luka jest groźna, gdyż dotyczy znaczącej liczby Internautów. Przykładowo w Polsce szacuje się, że z przeglądarek IE8 i IE9 korzysta około 20% użytkowników sieci – liczby te są jeszcze wyższe w Europie Zachodniej i USA. Wprawdzie Microsoft dotychczas nie opublikował oficjalnej poprawki, lecz jak można przeczytać w tym artykule, prace nad nią trwają i prawdopodobnie wkrótce doczekamy się wydania łaty.
Pod koniec sierpnia Oracle zdecydowało o wydaniu uaktualnienia oprogramowania Java przed planowanym na 16 października terminem publikacji CPU (Critical Patch Update). Zgodnie z doniesieniami zostały wprowadzone 4 poprawki bezpieczeństwa. W sumie w tym roku Oracle wprowadził już 32 poprawki bezpieczeństwa w różnych wersjach oprogramowania Java. Bezpośrednią przyczyną do wydania nowej wersji była luka oznaczona sygnaturą CVE-2012-4681. Jednak nie zanosi się, abyśmy mogli spodziewać się braku informacji o kolejnych lukach w najbliższej przyszłości.
Firma Armorize poinformowała na swoim blogu o odkryciu infekcji na witrynach zasilanych przez popularny framework osCommerce. Do tej pory ilość infekcji szacuje się na ponad 300.000 (w domenie .pl: 19.000) a liczba ta stale rośnie (w porównaniu do odpowiednio: 90.000 i 400 infekcji w dniu 25.07). Hakerzy na atakowanych witrynach wstrzykują zapisy przekierowujące przeglądarkę na strony z exploitami. Jeśli przeglądarka i system użytkownika jest podatna na któryś z exploitów, dochodzi do infekcji jego komputera. W systemie operacyjnym tworzone są nowe procesy, które pobierają z Internetu resztę złośliwego oprogramowania – boty spamujące. W efekcie komputer użytkownika zamienia się w rozsyłającą spam maszynę-zombie.
Według wstępnych oszacowań ponad 90.000 stron internetowych (w tym niemal 400 w domenie .pl) mogło paść ofiarą masowej „infekcji” (wstrzyknięcia przekierowania iframe). Po wejściu na zainfekowaną stronę przeglądarka przekierowywana jest na inną witrynę, na której znajduje się szkodliwy skrypt JavaScript. Skrypt ten próbuje doprowadzić do przejęcia kontroli nad wykonaniem kodu na komputerze użytkownika przy wykorzystaniu następujących (zidentyfikowanych na chwilę obecną) luk:
CVE-2010-0840 – Java Trust
CVE-2010-0188 – PDF LibTiff
CVE-2010-0886 – Java SMB
CVE-2006-0003 – IE MDAC
CVE-2010-1885 – HCP
Jeśli system i oprogramowanie użytkownika jest podatne na atak, uruchamiane są na nim niezidentyfikowane programy. Złośliwy skrypt umieszczany jest na witrynach pracujących na frameworku osCommerce.
O wynikach analizy zagrożenia będziemy informować w kolejnych komunikatach na naszym blogu.
Z wynikami wstępnej analizy można zapoznać się na blogu Armorize.
Oracle ostrzega przed krytyczną luką w Javie (JRE / JDK), która umożliwia napastnikowi wywołanie nieskończonej pętli w aplikacji Javy. Hotfix jest już dostępny na stronach Oracle. Problem wykrył Konstantin Preißer, który zainspirowany problemami z parsowaniem liczby 2.2250738585072011e-308 w PHP odkrył ten sam problem w Javie.
Czytaj więcej
