Shadow Brokers, NSA, WannaCry и глобальные кибер-катастрофы

В апреле нынешнего года группа хакеров Shadow Brokers опубликовала архив с эксплоитами для ОС Windows, полученных в ходе утечки в Агентстве национальной безопасности США. Один из эксплоитов был использован в создании заразившего более 400 млн. машин червя-шифровальщика WannaCry.

WannaCry использует уязвимость EternalBlue, эксплуатируя незащищенный Server Message Block (SMB) протокол в ОС Windows (98% жертв пользовались Windows 7). Затем  он устанавливает на зараженный компьютер DоublePulsar, который скачивает и устанавливает скрипт WannaCry, зашифровывающий все данные на компьютере и требующий около 300$ в биткоинах за расшифровку. Оплата выкупа не гарантирует расшифровку данных.

Оплата отправляется на три счета. Биткоиновские транзакции не раскрывают пользователя, но злоумышленникам будет сложно использовать полученные биткоины, так как множество лиц круглосуточно следит за состоянием заявленных биткоин счетов и их дальнейшими транзакциями.

Возвращаясь к Shadow Brokers, с которых все и началось, группа объявила о ежемесячной подписке на новые эксплоиты, полученные в ходе утечки из Агентства национальной безопасности. Примерная стоимость – 23000$. Первая рассылка планируется в первой половине июля, и неизвестно, какие еще уязвимости там могут скрываться. Учитывая тяжелые последствия их первой публикации, стоит готовиться к новым проблемам глобального масштаба.

Samba под угрозой

Если вы радовались, что WannaCry обошел стороной пользователей Linux, следует насторожиться, поскольку на данный момент более 100 тыс. машин подвержено  уязвимости удаленного исполнения кода (CVE-2017-7494) в Samba, который позволяет обращаться к сетевым дискам и принтерам на различных ОС по протоколу SMB/CIFS. Уязвимость  существует с марта 2010 года. Она позволяет злоумышленнику загрузить на сервер сформированную специальным образом общую библиотеку и инициировать ее загрузку сервером. Уязвимость была исправлена, всем пользователям следует как можно скорее провести обновление до последней версии продукта.

Утечки данных

Анонимный пользователь опубликовал огромную базу данных с более чем 560 млн. email-адресов и паролей, собранных с разных источников. Архив содержит 75 Гб данных, включая аккаунты с Linkedin, Last.fm, MySpace, Dropbox, Adobe, Neopets и другие.

Мусульманский сайт знакомств PureMatrimony.com оповестил пользователей о возможной утечке. 120 тыс. захешированных паролей найдены в свободном доступе. Скопрометированные пароли зашифрованы алгоритмом MD5, который считается устаревшим и небезопасным уже более 10 лет. Представители сайта перекладывают ответственность за утечку на сторонний сервис.

Взломан сайт шрифтов DaFont. Скомпрометированы данные 699 тыс. аккаунтов, включая пароли, хэшированные алгоритмом MD5. 98% паролей уже расхешированы. Злоумышленники воспользовались уязвимостью, позволяющей осуществить SQL инъекцию.

Крупный индийский онлайн-гид по ресторанам Zomato разместил информацию об утечке. Скомпрометированы около 17 млн. логинов и хешированных паролей пользователей. Судя по утверждению представителей сайта, номера кредитных карт и другие платежные данные хранятся в отдельной базе данных, удовлетворяющих требованиям PCI DSS. Zomato активно ищет источник утечки и подозревает инсайдерскую деятельность.

Новые уязвимости СУБД

PostgreSQL

CVE-2015-6817
Рейтинг опасности CVSS: 8.1
Использование параметра auth_user в PgBouncer позволяет злоумышленнику удаленно получить доступ от лица auth_user.

CVE-2017-7486
Рейтинг опасности CVSS: 7.5
PostgreSQL версий позже 8.4-9.6 подвержены утечке паролей от сторонних серверов из каталога pg_user_mapping, котоые могут получить пользователи с привилегиями USAGE.

CVE-2017-7485
Рейтинг опасности CVSS: 5.9
Переменная среды PGREQUIRESSL больше не обеспечивает SSL/TLS соединение к серверу PostgreSQL. Это может быть использовано в MITM-атаке (человек посередине).

CVE-2017-7484
Рейтинг опасности CVSS: 7.5
Оказалось, что в каталоге pg_statistic нет проверки привилегии пользователя на просмотр таблицы, что может привести к утечке данных.

Teradata

CVE-2015-5401
Рейтинг опасности CVSS: 7.5
Teradata Gateway и TDExpress позволяют злоумышленнику удаленно вызвать отказ в обслуживании через измененное сообщение CONFIG REQUEST.

Apache Hive

CVE-2016-3083
Уязвимость в SSL квитировании для TCP/HTTP соединений, которая появляется при подтверждении сертификата сервера. JDBC клиент посылает SSL-запрос для сайта xyz.com, сервер отвечает сертификатом для abc.com, клиент принимает сертификат как подходящий и осуществляет SSL-квитирование.

SAP HANA

CVE-2017-8915
При использовании Sinopia (приватный npm сервер) в SAP HANA, злоумышленник может удаленно вызвать отказ в обслуживании (падение сервера) посылкой пакета с файлом, содержащим символ «$» или «%».

CVE-2017-8914
Еще одна уязвимость при интеграции с Sinopia. Позволяет злоумышленнику удаленно перехватить nmp-пакеты или произвольно выбранные файлы посредством небезопасного механизма создания сервера.

  Безопасность баз данных | дайджест за апрель 2017
Безопасность баз данных | дайджест за март 2017
Безопасность баз данных | дайджест за февраль 2017
Комментарии