Security Week 29: витік на форумі Ubuntu, проксі-уразливість в PHP, Go і Python, 276 латочок Oracle

14 липня в Canonical дізналися, що хтось володіє (можливо і намагається продати) базою логінів і паролів двох мільйонів користувачів форум Ubuntu. Розслідування швидко показало, що інформація схожа на правду, після чого форуми були просто тимчасово відключені. Треба сказати, це дуже правильний хід, хоча в іншій компанії і в іншій ситуації на нього могли б і не зважитися: як же так, адже всі дізнаються, що у нас проблеми з безпекою, а так може нікого і не зламають. Власне, ми всі це знаємо завдяки докладному опису інциденту на сайті розробників Ubuntu, так що начебто все закінчилося добре.

Чи ні? Витік (докладний опис подій у цій новини) почалася з експлуатації уразливості в плагіні Forumrunner, встановленого на vBulletin, за допомогою SQL-ін'єкції. Атака стала можливою через використання застарілої версії плагіна. Ін'єкція відкрила доступ на читання до всієї бази даних форуму, але, як стверджує Джейн Сильбер, директор Canonical, зломщикові вдалося завантажити тільки частина користувацької бази з «застарілими» паролями, які до того ж були захешированы з сіллю.

У тому, що актуальні паролі не витекли, Canonical впевнені. Також там припускають, що зломщикові не вдалося розвинути атаку і отримати доступ до чогось ще. При всьому зразковій поведінці компанії даному випадку, не можна не відзначити цю загальну невпевненість. Іншими словами — переконалися там, де це дозволяли зробити логи, а далі — ну хто ж його знає. Начебто все добре, тим більше, що перш ніж піднімати форум, його мало не перевстановили з нуля. Історія з хепі-ендом, але мабуть з чим потрібно боротися у сфері ІБ, так саме з такою непевністю. Ну і дізнаватися про злом хочеться не від доброзичливців, а самостійно, і відразу, але тут вже як пощастить.

HTTPoxy: уразливість в реалізації інтерфейсу CGI зачіпає велику кількість мережевого софта
Новость.

У нас ще одна уразливість з привабливим брендом і навіть логотипом, але здається ми до такого вже звикли. Тим більше, що уразливість заслуговує уваги широченним охопленням схильного до софту. Як правило такі універсальні дірки виявляються в багаторазово використовуваних бібліотеках: можна згадати минулорічний приклад з Apache Commons Collections. HTTPoxy (сайт уразливості крутіше по радіусу ураження, так як це вразливість не в софті, а в реалізації інтерфейсу CGI. Це, наприклад, стандартні бібліотеки для мов програмування PHP, Go і Python, і відповідно, реалізовані на них веб-програми та скрипти. Таких існує безліч, як готових, так і самописних, і краще рішення — заблокувати можливість експлуатації уразливості для всього відразу, внісши зміни в конфіги Apache, NGINX, lighttpd та іншого софта.



А суть проблеми була досить проста. У ситуації, коли потрібно задати робочого оточення Linux проксі-сервер для доступу до мережі, для цього часто використовується змінна HTTP_PROXY. У деяких реалізаціях CGI описується заголовок Proxy, який може бути переданий сервером під час обміну даними, і на стороні сервера ця інформація зберігається в змінну HTTP_PROXY. Власне все, проблема якраз конфлікт імен, і це дозволяє в багатьох ситуаціях направляти дані через проксі-сервер, який був заданий зовні. Ким завгодно, що веде до атаки типу Man in the middle. Що цікаво, специфікації на змінну ніде толком (наприклад в документі RFC 3875 не прописані. Рішення очевидно: потрібно заблокувати передачу такого заголовка. Але це для початку, а взагалі треба правити реалізацію обробки даної змінної скрізь, де тільки можна.

Fun fact на закуску: уразливості 15 років. Вперше її побачили і пофиксили в бібліотеці libwww_perl в березні 2001 року. У квітні того ж року виправили аналогічну проблему в утиліті curl. У 2012 році уникли вразливою реалізації стандарту розробники Ruby (і написали про це у документації). В 13-му і 15-му роках, за даними дослідників HTTPoxy, компанії VendHQ, проблема декілька раз спливала на форумах і в поштових розсилках. В одному випадку топікстартер був настільки вражений банальністю біди, що додав «напевно я тут щось упустив». Але немає. Гарна історія про особливий напрямок в безпеці: правильний збір, обробка та інтерпретація доступною всім (роками!) інформації.

Oracle закриває 276 вразливостей в своїх продуктах
Новость.

У січні цього року Oracle випустила рекордний кумулятивний патч, закривши одним махом 248 вразливостей. У липні рекорд побитий з запасом: щомісячний security-апдейт закриває 276 вразливостей в 84 продуктах. Знаючи, як складно тестувати одразу багато продуктів в різних сценаріях, цю новину треба безумовно оцінити як позитивну, хоча наприкінці року вендор напевно потрапить в черговий некоректний список найбільш небезпечних розробників. Втім, виявлені проблеми від цього не спрощуються: 276 вразливостей 159 можуть бути эксплуатированы віддалено, 19 (в дев'яти продуктах) оцінені у 9,8 бала за шкалою CVSS.


Втім, Java, колись найбільш часто атакується програмі, а нині поступилася сумнівне лідерство Adobe Flash, виявлено та закрито всього 13 вразливостей, з них 9 з можливістю віддаленої експлуатації. Це третя на сьогодні новину з ефектом «ложечки знайшлися, а осад залишився». Oracle, звичайно, молодці. Але не думаю, що адміністратори корпоративного софта Oracle будуть сильно ради необхідності все кинути і накочувати настільки гігантські патчі. А адже доведеться.

Що ще сталося:
Розвивається тема поведінкового аналізу та блокування криптолокеров за характером зміни шифруемых даних. Дослідники з двох американських університетів разработали алгоритм, який задетектировал все з 500 (не так вже багато серйозного тесту) семплів троянів-вимагачів. Але, на жаль, з втратою файлів, мабуть, з причини того, що алгоритм розпізнавав характерні зміни не відразу. У кожному з тестів трояни щось, так встигали зашифрувати. В залежності від ситуації губилися від 3 до 29 файлів.

Закрыта уразливість в мережевих пристроях Juniper.

У дарквебе нашли супердешевий троян-вимагач, всього 39 доларів. З кожної жертви вимагають близько 600 доларів і, що незвично, по закінченні певного часу починають потихеньку видалятися зашифровані файли. Кримінальний бізнес класу економ.

Давнину:
«V-1260»

Нерезидентный нешкідливий вірус-«привид». Вражає .COM-файли вірусів за алгоритмом «Vienna». Зашифрований, при цьому використовують два цікавих алгоритму. Перший алгоритм реалізує властивість «примари», завдяки чому два штами цього вірусу з великою ймовірністю не будуть збігатися ні на одному байті. Основне тіло вірусу шифрується в залежності від таймера за 16777216 варіантами, а розшифровувача вибирається з більш ніж 3,000,000,000,000,000,000,000 варіантів (довжина расшифровщика — 39 байт). Другий алгоритм досить успішно заважає трасуванні вірусу — використовується динамічне рас/зашифрування кодів вірусу за допомогою int 1 і int 3.

Цитата по книзі «Комп'ютерні віруси в MS-DOS» Євгена Касперського. 1992 рік. Сторінка 90.

Disclaimer: Дана колонка відображає лише приватна думка її автора. Воно може збігатися з позицією компанії «Лабораторія Касперського», а може і не збігатися. Тут уже як пощастить.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.