Security Week 51: zero day в Joomla, Twitter предупреждает, утечка базы MacKeeper

В предпоследнем эпизоде нашего сериала в этом году обсудим следующие новости:

• Twitter рассылает предупреждения пользователям о том, что их, возможно, атакует какая-то спецслужба. Получателей немного, но некоторые из них так или иначе связаны с темой защиты информации (ну или политическим активизмом на ниве Интернета). В том числе предупреждение получила Руна Сандвик, ранее участвовавшая в разработке и продвижении проекта Tor.
• В CMS Joomla обнаружена серьезная уязвимость: двухэтапный метод взлома предусматривает внедрение закладки, позволяющей в дальнейшем передавать и запускать на уязвимой системе произвольный код на языке PHP. Уязвимость активно эксплуатировалась минимум за два дня до публикации патча.
• Данные о 13 млн пользователей набора утилит MacKeeper оказались в открытом доступе. Нет, компанию-разработчика не взломали, имела место неправильная конфигурация.

Традиционные правила: каждую неделю редакция новостного сайта Threatpost выбирает три наиболее значимые новости, к которым я добавляю расширенный и беспощадный комментарий. Все эпизоды сериала можно найти по тегу. На следующей неделе — нестандартный топ новостей о безопасности за весь 2015 год. Тем временем можно вспомнить, что произошло в 2014-м.

Б/у сертификаты, кража данных из детских игрушек и другие интересные события недели: https://t.co/2rdnT5Ffg3 pic.twitter.com/G33R6J3jYL

— Kaspersky Lab (@Kaspersky_ru) December 4, 2015

У MacKeeper чуть не украли базу пользователей, которая плохо лежала

Новость. Обсуждение на Reddit. Advisory разработчика.

Краткий пересказ событий вокруг MacKeeper, произошедших на этой неделе, выглядит примерно так:

• Исследователь Крис Викери (Chris Vickery) через специализированный поиск Shodan нашел открытую базу клиентов компании Kromtech, разработчика разнообразных утилит для компьютеров Apple.
• Исследователь попробовал связаться с вендором, но ему не удалось.
• Исследователь запостил информацию в конференцию маководов на Reddit, не раскрывая детали утечки и приложив единственный скриншот в качестве подтверждения. Вот этот:

• После этого Крису таки удалось связаться с компанией, и дыра была закрыта.
• Впрочем, нет, исследователь обнаружил еще минимум три IP-адреса, по которым база была по-прежнему доступна.
• Дыру залатали окончательно, после чего Крис поделился деталями находки.

А дело было вот в чем: база данных MongoDB, используемая компанией Kromtech, была доступна снаружи, причем без какой-либо защиты, паролей и прочего. Крис Викери использовал специализированную поисковую систему Shodan, заточенную на поиск подобных провалов в конфигурации. Он не исследовал разработчиков MacKeeper специально: случайно наткнулся на их базу при поиске по фразе «port:27017». Это дефолтный порт, обеспечивающий доступ к MongoDB.

MacKeeper пришлось срочно блокировать около 13 млн пользовательских записей после утечки базы данных: https://t.co/XHoY4zXoik

— Kaspersky Lab (@Kaspersky_ru) December 17, 2015

Кажется, в этот раз пронесло: в достаточно оперативном заявлении компании утверждается, что в логах зафиксирован только один случай доступа извне, то есть, кроме исследователя (который, надо полагать, базу использовать не будет), на данные пользователей больше никто не покушался. Впрочем, в таких случаях нельзя быть уверенным на сто процентов, тем более что пароли в базе были захешированы с использованием алгоритма MD5 без дополнительного модификатора (соли), то есть не самым надежным методом. Надо отдать должное сотрудникам Kromtech: после инцидента они не только инициировали сброс паролей для всех пользователей, но и отрапортовали о внедрении более надежного алгоритма их хеширования.

И вроде бы инцидент закончился не так плохо, но в любом случае остается то самое ощущение неловкого момента, когда:

Тем более что MacKeeper ожидаемо оказался не единственным случаем. По данным Джона Матерли (John Matherly), создателя Shodan, в свободном доступе находятся 35 тыс. баз MongoDB с общим объемом незащищенной информации около 680 терабайт.

Twitter предупреждает пользователей о возможной атаке с толстым слоем господдержки

Новость.

Nation-state sponsored attack — это еще один труднопереводимый на русский пример ИБ-новояза. В большинстве случаев он еще и некорректный: спецслужбы данные о своих операциях раскрывать не торопятся, поэтому их участие в той или иной кибероперации можно только предполагать. Предположение делается исходя из сложности атаки: если операция требует так много ресурсов, что любителям-одиночкам или киберкриминалу она явно не по плечу, то вывод понятен.

12 декабря небольшое количество пользователей Twitter получили сообщение от компании, предупреждающее, что они, возможно, являются целью атаки, за которой предположительно стоит государственная структура. Вот пример предупреждения:

We received a warning from @twitter today stating we may be "targeted by state-sponsored actors" pic.twitter.com/oZm83eVFC5

— coldhak (@coldhakca) December 11, 2015

Предупреждение выглядит так, будто в него было инвестировано немало человеко-часов работы высокооплачиваемых юристов: формулировки максимально расплывчатые. Более-менее очерчены интересы атакующих: имена, номера телефонов, IP-адреса. Утверждается также, что, скорее всего, эти данные пока не удалось получить. Остальное — рекомендации по сохранению анонимности со ссылками на методички EFF.

Что будет, если средства, которыми пользуются спецслужбы для взлома и шантажа, попадут в чужие руки: http://t.co/8qDXX7qmbD #ничегохорошего

— Kaspersky Lab (@Kaspersky_ru) October 9, 2014

Руна Сандвик, бывший разработчик Tor и специалист по безопасности, справедливо критикует Twitter за эту самую расплывчатость: если уж за кем-то пытаются следить, то этому человеку было бы неплохо хотя бы в общих чертах знать, как именно это делают. Впрочем, поставьте себя на место Twitter: вашу инфраструктуру то ли пытаются взломать, то ли уже что-то в ней взломали, ну или вы получаете странные запросы от госорганов какой-то страны. Поскольку вы связаны крепкими канатами международного и местного законодательства, возможно, у вас есть единственный вариант хоть как-то предупредить пользователей. Вот такой. И еще один момент: хотя Twitter и рекомендует использовать Tor для маскировки своего IP-адреса, именно такой вариант доступа, по словам Руны Сандвик, часто приводит к блокировке самим Twitter.

Twitter suggests I use Tor to protect my online identity, yet frequently blocks accounts accessed over Tor. pic.twitter.com/5ChKERPscC

— Runa A. Sandvik (@runasand) December 11, 2015

Дальше — лучше: если Twitter предупреждает о попытке узнать номера телефонов, то почему он так настойчиво требует привязать свой аккаунт к номеру? В общем, нелегко нынче быть соцсетью: с одной стороны, ваша прибыль зависит в том числе от того, насколько активно пользователи делятся с вами информацией. С другой — именно владение этими данными делает вас целью и для киберкриминала, и еще для кое-кого.

Уязвимость нулевого дня в Joomla

Новость. Security advisory. Подробное описание.

Критическая уязвимость в CMS Joomla затрагивает версии до 3.4.6, в том числе уже не поддерживаемые 1.5.x и 2.x. Эксплуатация этой уязвимости позволяет запускать на атакуемой системе произвольный код, и, к сожалению, обнаружена она была не в рамках исследования, а в результате детектирования реальной атаки. Эксплуатация уязвимости проходит в два этапа. Сначала происходит инъекция объекта с помощью модифицированной строки HTTP user agent. Затем через этот бэкдор на скомпрометированной машине можно выполнить произвольный PHP-код. Строка user agent выглядит примерно так (цитата из блога компании Sucuri, обнаружившей атаку, здесь строка слегка модифицирована, чтобы не давать готовый рецепт взлома):

Патч для всех версий Joomla был выпущен в понедельник — тем, кто использует актуальную версию CMS, достаточно обновиться до 3.4.6. Для неподдерживаемых версий (2.5 и ранее) выпущены хотфиксы. К сожалению, случаи атак на сайты, основанные на Joomla, были зафиксированы минимум за два дня до релиза, так что обновляться необходимо чем быстрее, тем лучше.

Что еще произошло:

В Бразилии обнаружен новый банковский троян, атакующий пользователей преимущественно через соцсети и какое-то время хостившийся на облачной платформе Google (уже снесли). Бразилия с точки зрения информационной безопасности вообще особая страна. Как мы недавно писали в специальном исследовании, разгул киберпреступности там таков, что потерять данные и деньги не рискуют только те, кто вообще не пользуется Интернетом (впрочем, от кражи плохо защищенной базы данных госструктуры даже это не спасет).

Как купить футболку в Бразилии за 30 тысяч баксов: http://t.co/p7ZNVRzIWW #кардеры #мошенники

— Kaspersky Lab (@Kaspersky_ru) July 14, 2014

Найдена пачка уязвимостей в ПО к маршрутизаторам Cisco. Компания в том числе проводит аудит систем, использующих библиотеку Apache Commons Collections, о баге в которой я писал ранее.

Древности:

«HH&HH-4091»

Неопасный резидентный вирус. Зашифрован. Стандартно заражает .COM-файлы при их запуске. При заражении переименовывает файл в *.A*, записывается в него, а затем переименовывает обратно. По понедельникам записывает 0 в порт A0h. Ищет на экране строку «Esik» и, если таковая обнаружена, через некоторое время переходит в графический видеорежим и выводит на экран скачущий шар. Перехватывает int 1Ch, 21h. Содержит текст: «#(-28=CIPV]HARD HIT & HEAVY HATE the HUMANS!!! [ H.H.& H.H. the H.]».

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страница 69.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.