IBM X-Force 2009 Trend and Risk Report

Подразделением X-Force, компании IBM, опубликован очередной аналитический отчет "X-Force® 2009 Trend and Risk Report". В отчете охвачены следующие наборы данных:

- Уязвимости в целом (раскрытие уязвимостей, уровень опасности, вероятности эксплуатации, распределение уязвимостей по вендору и т.д.).
- Уязвимости и угрозы Web-приложений
- Уязвимости и угрозы на стороне клиента (client-side)
- Угрозы просмотра нежелательного контента
- Вредоносные программы
- Спам
- Фишинг

Стоимость одной неприкрытой SQL-инъекции

В своем последнем финансовом отчете, Heartland Payment Systems сообщила, что понесла убытки в размере 129 миллионов долларов по причине произошедшего инцидента в прошлом году. Heartland Payment Services выступает как стандартный банковский провайдер для почти 250 тысяч организаций. Инцидент был связан с крупной кражей данных кредитных и дебетовых карт, которая стала возможной, по причине использования злоумышленником самой обыкновенной SQL-инъекции :) А ведь Heartland Payment Systems - PCI Compliant.

Выдержка из интервью с Боб Руссо (Bob Russo), генеральным директором PCI Security Standards Council:

"But I thought Heartland executives said they were compliant.
They had that piece of paper that said they were compliant but they weren't. What happened at Heartland was a SQL injection attack [in which an attacker injects commands to a back end database using input fields on a Web site]. That's an old exploit and there are myriad ways to prevent that outlined in the standards. As it turns out they were not complaint at the time of the breach. [Heartland CEO Robert Carr eventually disclosed that the assessors had incorrectly informed the company that it was PCI compliant.]"

Компания Heartland Payment Systems также добавила, что она все еще имеет резерв в размере 100 миллионов долларов на покрытие дополнительных расходов.

Таким образом, SQL-инъекция для Heartland Payment Systems может стоить $229 миллионов.

Ссылки:
- Утечка данных в платежной системе Heartland
- Интервью с Боб Руссо (Bob Russo)
- Стоимость нарушения, Heartland Payment Systems

(20) Code Execution Vulnerabilities in an Adobe product

Много споров наблюдалось за последнее время на тему того, какой браузер обеспечивает большую защищенность компьютера (при посещении сайтов взрослой тематики;)). Причина тому - нашумевшая атака в отношении ИТ-гиганта Google, реализованная с использованием уязвимости нулевого дня в Microsoft Internet Explorer (CVE-2010-0249, "Aurora"). На этой волне Франция и Германия даже призывали своих граждан отказаться от IE и перейти на другой, более безопасный браузер...

Но пока пользователи выбирают и переходят на "защищенные" браузеры, реверсеры копают в сторону продуктов компании Adobe :) Так, VUPEN Security Research вновь радует общественность своими находками. А компания адобе, уже давно уставшая от такого пристального к себе внимания, не успевает выпускать релизы своих продуктов между выпуском потока заплаток к ним... [1] а сколько их еще впереди?

Welcome another 0-day in Adobe products :)

Результаты тестирований на проникновение

Снова коллегой затрагивается тема проведения тестирований на проникновение и тема о результирующих документах по окончанию подобных работ. В типовом отчете, предложенном Александром Дорофеевым, я больше увидел не отчет по тестированию на проникновение, а отчет по инструментальному обследованию с ручной верификацией уязвимостей. На этой ноте предлагаю вашему вниманию типовой шаблон по результатам проведения тестирований на проникновение, используемый в компании Positive Technologies.

SQL-инъекция на сайте ICQ.COM

Из сообщения в комментариях, ваш покорный слуга узнал про имеющуюся уязвимость типа "Внедрение операторов SQL" на сайте icq.com. Помимо самого явления SQL-инъекции на подобном ресурсе, интересен также тот факт, что информация об уязвимости была опубликована около двух лет назад [1], но уязвимость до сих пор является эксплуатабельной.


Несколько сайтов поставщика антивирусных продуктов avast! подверглись дефейсу

За последний месяц сразу восемь сайтов известного антивирусного решения avast! подверглись дефейсу:

 

 

Сайт Колумбийского правительства используется для атак на другие ресурсы Интернет

Зафиксирован случай использования сайта правительства Колумбии www.frentesdeseguridad.gov.co в качестве площадки для проведения атак на другие ресурсы Интернет:


Содержимое файла "respon1.txt", который, по всей видимости, используется в качестве контроля наличия уязвимости автоматизированными ботами, выглядит следующим образом:

Cisco Releases Multiple Security Advisories

Компания Cisco порадовала сегодня очередным выпуском обновлений безопасности. Среди заплаток к оборудованию, мое внимание привлекло уведомление cisco-sa-20100217-csa, в котором упоминалась популярная система проактивной защиты на уровне хоста (aka HIPS) - Cisco Security Agent (CSA). Каким же было мое удивление, когда в адвизори всеми любимого вендора за 2010 год можно прочитать буквально следующее: "The Management Center for Cisco Security Agents is affected by a directory traversal vulnerability and a SQL injection vulnerability". WOW :)

Пояснение. "Management Center for Cisco Security Agents" – это web-based консоль управления CSA на уровне всего предприятия. "directory traversal vulnerability" - уязвимость, которая позволяет выходить за пределы корневой директории Web-сервера (WASC-33). "SQL injection vulnerability" - уязвимость, занимающая вторую позицию в рейтинге CWE/SANS Top 25 Most Dangerous Programming Errors 2010...

Очень сильно сомневаюсь в недостаточной квалификации разработчиков компании Cisco, поэтому налицо недостатки в процессе управления качеством продуктов.

CWE/SANS Top 25 Most Dangerous Programming Errors 2010

Опубликован очередной документ CWE/SANS Top 25 наиболее опасных ошибок программирования, допускаемых разработчиками программного обеспечения, в том числе, и при разработке Web-приложений. Первая тройка распространенных ошибок выглядит следующим образом:

1. Недостаточная проверка поступающих данных в структуру Web-приложения.

Класс уязвимости - "Межсайтовое выполнение сценариев". Вектор атаки направлен на эксплуатацию на стороне клиента (client-side attack).
CWE-79, OWASP A1, WASC-8, WHID: XSS

"Межсайтовое выполнение сценариев" (Cross-Site Scripting (en.), сокр. XSS) связано с возможностью внедрения HTML-кода в уязвимую страницу. Внедрение кода осуществляется через все доступные способы ввода информации. Успешная эксплуатация уязвимости может позволить атакующему использовать значения различных переменных, доступных в контексте сайта, записывать информацию, перехватывать сессии пользователей и т.д.

Австралийский сайт Microsoft собирал ботнет

На этот раз – не Windows, как это можно было бы предположить из заголовка поста :) Компания WebSense обнаружили "заряженный" баннер вредоносным кодом на сайте help.ninemsn.com.au:


Автоматизированный эксплоитинг

В современном мире для атакующего/исследователя/аудитора доступны следующие продукты, объединяющие в себе возможности по обнаружению уязвимостей и функционал для проведения полуавтоматизированной атаки:

- CORE IMPACT компании Core Security Technologies
Лучший продукт данного сегмента по юзабилити. К ключевым возможностям можно отнести функционал пробрасывания сканера и модуля эксплуатации уязвимостей через успешно атакованную систему, а также механизмы аудита после проведения атаки.

- CANVAS, D2 and Tenable Nessus ProfessionalFeed Bundle
Сборка CANVAS (компании Immunity) с D2 Exploit Pack (компании Square Security) интегрированные со сканером обнаружения уязвимостей Nessus позволяют достигнуть аналогичного подхода, заложенного в продукте CORE IMPACT. В отличие от своего конкурента, под платформу CANVAS, помимо собственных сплоитов, доступны также сплоит-паки от третих лиц. Это позволяет CANVAS’у охватить гораздо больше уязвимостей для проведения атаки по сравнению с другими решениями данного сегмента. Вот некоторые из доступных сплоит-паков: VulnDisco, Agora Pack (вырос из Argeniss 0Day Pack), Voip Pack.

- SAINT Vulnerability Scanner && SAINTexploit
Аналог интегрированного CANVAS и Nessus с тем лишь отличием, что у SAINT Vulnerability Scanner и SAINTexploit один производитель (как можно догадаться из названия – компания SAINT).

ExxonMobil Full Disclosure

На сайте в домене exxonmobil.com, исследователем под псевдонимом aXceSS, была обнаружена уязвимость типа "Внедрение операторов SQL". Владельцем домена exxonmobil.com является компания Exxon Mobil (крупнейшая в мире нефтегазовая компания), которая занимается разведкой и добычей нефти и газа, производством нефтепродуктов, а также транспортировкой и продажей сырой нефти, природного газа и нефтепродуктов. Компания является крупнейшим производителем и поставщиком нефтехимической продукции. Тот факт, что компания в данной отрасли имеет недостатки в процессе обеспечения безопасности Web-приложений, лично у меня, не вызывает никаких удивлений :)

Исследователь обнаружил на сайте portsandservices.exxonmobil.com уязвимость класса "Слепое внедрение операторов SQL" (blind SQL Injection) и проэксплуатировал ее самым простым и быстрым методом (error-based SQL Injection):

Trustwave Analysis of 2009 Penetration Tests

Компания Trustwave, занимающаяся вопросами безопасности платежных систем, опубликовала отчет Global Security Report 2010. Помимо анализа произошедших инцидентов за год, рассматриваемых в отчете, большую часть документа занимает анализ основных путей успешно реализованных атак при проведении тестирований на проникновение. В опубликованном отчете собраны наиболее часто встречаемые проблемы при проведении подобных работ по направлениям:
  • Внешний сетевой пентест
  • Внутренний сетевой пентест
  • Атака на беспроводные сети
  • Физический/Социальный пентест
  • Технологический пентест
Рекомендую ознакомиться с данной публикацией: https://www.trustwave.com/whitePapersRequest.php.

CTF на РусКрипто’2010

Ассоциация "РусКрипто" приглашает принять участие в соревновании студенческих команд "РусКрипто CTF'2010", проводимом в рамках конференции 3-го апреля 2010 года. Организаторы соревнований ассоциация "РусКрипто", компания Positive Technologies и НОУ "Академия Информационных Систем".

РусКрипто CTF — это всероссийские соревнования по защите информации, проводимые по принципам игры в capture the flag (захват флага). В начале игры команды получают идентичные серверы с предустановленным набором уязвимых сервисов, выполняющих определенные функции и содержащие предустановленные уязвимости. Помимо уязвимостей, содержащихся в "самописных" сервисах, информационная среда команд соперников содержит распространенные уязвимости, характерные для реальных информационных систем: слабые пароли, публичные уязвимости в ОС/сервисах, недостатки администрирования, реальные уязвимости Web-приложениях (таких, как популярные CMS). В процессе соревнований в среде производятся подготовленные организаторами изменения, которые в свою очередь могут синхронно вносить дополнительные уязвимости в среду функционирования сервисов команд.

Эксплуатация SQL Injection в Insert, Update, Delete, etc

К данной публикации меня сподвигла появившееся на днях тема в форуме sla.ckers.org (SQL Injection, MySql, INSERT INTO). SQL-инъекцию довольно часто можно встретить в SELECT-запросе. Но ровно также уязвимый параметр к проведению инъекции может попасть и в конструкции Insert, Update, Delete, Replace и пр. Рассмотрим, каким же образом в подобных случаях можно получить максимум пользы с позиций атакующего.

Стоит сразу же отметить, что в серьезных СУБД, таких как Oracle, Microsoft SQL Server и им подобным существует возможность разделения запросов через точку с запятой. Поэтому для таких баз данных можно, например, выполнять insert, когда инъекция попадает в select-запрос и наоборот.