Nyheter från CERT-SE

CERT-SE:s veckobrev v.5

2012-02-03T13:08:00Z

Nyheter i veckan

SpiderLabs analyserar HOIC (High Orbit Ion Cannon): ett verktyg som används vid överbelastningsattacker
http://blog.spiderlabs.com/2012/01/hoic-ddos-analysis-and-detection.html

Android-telefoner kan läcka känslig information om trådlösa nät, via specialkonstruerade applikationer
http://blog.mywarwithentropy.com/2012/02/8021x-password-exploit-on-many-htc.html

Säkerhetsföretag påstår sig kunna knäcka FileVault 2 på ~40 minuter med hjälp av minnesanalys

http://reviews.cnet.com/8301-13727_7-57369983-263/filevault-2-easily-decrypted-warns-passware

Kristin Paget visade på årets "Shmoocon" hur kreditkort med RFID-chip kan attackeras

http://www.forbes.com/sites/andygreenberg/2012/01/30/hackers-demo-shows-how-easily-credit-cards-can-be-read-through-clothes-and-wallets

"PDF-slides" från ovan presentation

http://www.tombom.co.uk/Paget-shmoocon-credit-cards.pdf (PDF)

S4: Ralph Lagner presenterade sina bevis för att Stuxnet var ämnat för "Natanz" (video)
http://www.digitalbond.com/2012/01/31/langners-stuxnet-deep-dive-s4-video

Google om en ny tjänst som söker efter skadlig kod bland applikationerna på Android Market
http://googlemobile.blogspot.com/2012/02/android-and-security.html

Modifierad variant av botnätet Kelihos/Hlux är tillbaka..
http://www.securelist.com/en/blog/655/Kelihos_Hlux_botnet_returns_with_new_techniques

Verisign utsattes för dataintrång under 2010

http://threatpost.com/en_us/blogs/update-verisign-admits-security-breaches-2010-020212

Verisign uttalar sig själva om intrången

http://verisigninc.com/en_US/news-events/press-room/articles/index.xhtml?artLink=aHR0cHM...

Ökat antal e-postmeddelanden med skadliga .htm-filer bifogade enligt Symantec
http://www.symantec.com/connect/blogs/email-malicious-html-attachments

Infektera någon med skadliga fraktaler inpräntade i skelettet = winning!
http://www.f-secure.com/weblog/archives/00002307.html

CERT-SE i veckan

SR12-023 PHP - Sårbarhet i PHP version 5.3.9
SR12-022 Apache - Sårbarheter rättade i Apache HTTP-server

SR12-021 Apple - Ett flertal sårbarheter i OS X
SR12-020 Mozilla - Sårbarheter i Firefox, Thunderbird och SeaMonkey

SR12-019 VMware - Uppdateringar till ESXi och ESX

SR12-018 HP - Sårbarhet i HP Network Automation

SR12-017 FFmpeg - Ett flertal sårbarheter i FFmpeg

SR12-016 Cisco - IronPort-produkter sårbara

Ny "single-block collision"-attack mot MD5

Malwr.com: Ny webbaserad tjänst för analys av skadlig kod

Färggranna tidslinjer i log2timeline

SR12-023 PHP - Sårbarhet i PHP version 5.3.9

2012-02-03T09:39:54Z

En sårbarhet som kan medge godtycklig kodexekvering har identifierats i PHP 5.3.9 och rättats i version 5.3.10.

Sårbarheten introducerades när en annan brist skulle rättas i version 5.3.9 och den nya sårbarheten kan utnyttjas av en extern angripare för att exekvera godtycklig kod på ett system som använder version 5.3.9 av PHP.

Mer specifikt så finns sårbarheten i "php_register_variable_ex()" och en extern angripare kan skicka specialkonstruerad data för att utnyttja den. Angriparens kod exekveras sedan med samma rättigheter som den sårbara PHP-instansen har.

Stefan Esser identifierade sårbarheten och användare av PHP 5.3.9 uppmanas att uppgradera till 5.3.10 så snart som möjligt.

SR12-022 Apache - Sårbarheter rättade i Apache HTTP-server

2012-02-03T08:55:26Z

Apache har släppt version 2.2.22 av sin HTTP-server och rättar ett antal sårbarheter i produkten.

Totalt är det 6 sårbarheter som rättas och de kan bland annat utnyttjas av lokala användare för att eskalera sina rättigheter, externa angripare i tillgänglighetsattacker samt medge informationsläckage.

För detaljerad information om respektive sårbarhet, se länken nedan.

SR12-021 Apple - Ett flertal sårbarheter i OS X

2012-02-02T13:47:35Z

Apple har släppt APPLE-SA-2012-02-01-1 och rättar ett flertal sårbarheter i OS X.

Sårbarheterna kan bland annat utnyttjas i tillgänglighetsattacker, vid otillbörligt förhöjande av rättigheter samt potentiellt för att exekvera godtycklig kod på ett sårbart system.

Uppdateringen innehåller rättningar till nyligen upptäckta sårbarheter i:

Address Book, CFNetwork, CoreMedia, CoreText, CoreUI, libresolv, OpenGL, Internet
Sharing, Kernel, Time Machine, QuickTime, och WebDAV.

För detaljerad information om respektive sårbarhet, se länkarna nedan.

SR12-020 Mozilla - Sårbarheter i Firefox, Thunderbird och SeaMonkey

2012-02-01T10:26:28Z

Mozilla har släppt uppdateringar som rättar ett antal sårbarheter i Firefox, Thunderbird och Seamonkey.

Totalt är det 9 stycken sårbarheter som rättas varav 5 klassificeras av Mozilla som kritiska. Sårbarheterna finns i Firefox webbläsarfunktionalitet, vilket gör att Thunderbird och SeaMonkey indirekt blir drabbade.

Flera av sårbarheterna beror på problem med hantering av minne och kan potentiellt utnyttjas för godtycklig kodexekvering.

Uppdateringar finns att tillgå. För mer information, se länkarna nedan.

SR12-019 VMware - Uppdateringar till ESXi och ESX

2012-02-01T09:26:00Z

VMware har släppt en bulletin innehållande säkerhetsuppdateringar till tredjepartsprogram för ESXi / ESX och ESX Service Console: VMSA-2012-0001.

Sårbarheterna som rättas finns i följande produkter:

COS Kernel (Console Operating System Kernel)

COS cURL

COS rpm

COS samba

COS python

Python library

För detaljerad information om respektive sårbarhet och rättning, se länkarna nedan.

SR12-018 HP - Sårbarhet i HP Network Automation

2012-01-31T18:51:05Z

Sårbarheten kan utnyttjas av en extern icke-autentiserad användare för att ta kontroll över ett sårbart system.

I skrivandets stund finns det ingen detaljerad information om sårbarheten att tillgå. Versioner tidigare än: HP Network Automation 9.10.02 är sårbara. Versioner till följande plattformar är drabbade:

Microsoft Windows

Linux

Solaris

HP har släppt rättningar, för mer information, se länken nedan.

SR12-017 FFmpeg - Ett flertal sårbarheter i FFmpeg

2012-01-30T15:40:49Z

Ett flertal sårbarheter har identifierats i programbiblioteket FFmpeg. Sårbarheterna kan utnyttjas i tillgänglighetsattacker samt potentiellt för att exekvera godtycklig kod på ett sårbart system.

En angripare kan utnyttja sårbarheterna genom att förmå en användare att köra en specialkonstruerad fil i ett program som använder sig av en sårbar version av FFmpeg.

Lista på produkter som använder sig av FFmpeg: http://ffmpeg.org/projects.html

Sårbarheterna identifierades av Mateusz "j00ru" Jurczyk, Gynvael Coldwind och John Villamil.

För mer information om respektive sårbarhet, se länkarna nedan.

Ny "single-block collision"-attack mot MD5

2012-01-30T14:04:24Z

Säkerhetsforskaren Marc Stevens har publicerat en forskningsrapport i vilken han redogör för ett nytt sätt att attackera den kryptografiska hashfunktionen MD5.

Rapporten är ett svar på den utmaning som Tao Xie och Dengguo Feng formulerade efter att själva ha attackerat MD5 i en så kallad "single-block collision"-attack.

Information om utmaningen finns här: http://eprint.iacr.org/2010/643

Marc Stevens forskningsrapport finns här: http://marc-stevens.nl/research/md5-1block-collision/md5-1block-collision.pdf (PDF).

Malwr.com: Ny webbaserad tjänst för analys av skadlig kod

2012-01-29T17:32:43Z

Malwr.com är ny webbaserad tjänst för analys av skadlig kod. Projektet stöds av Shadowserver och är baserad på "Cuckoo Sandbox". Som grädde på moset är tjänsten gratis.

Mer information:

http://malwr.com/about/

http://www.cuckoobox.org/

http://www.shadowserver.org/

Färggranna tidslinjer i log2timeline

2012-01-28T19:18:47Z

log2timeline är ett verktyg skrivet i Perl som skapar en tidslinje från filer som kan vara i en mängd olika format, exempelvis Apache-loggfiler, Windows event-loggar, PCAP-filer eller Internet Explorer historik. Tanken är att log2timeline ska kunna extrahera tidsstämplar och viss meta-data från alla sorters olika filer och generera en kombinerad tidslinje. På så sätt kan en händelse som är spridd över många loggfiler lätt analyseras. En rad olika utdataformat stöds också, till exempel CSV och SQLite.

I veckan publicerade SANS Excel-mallar som färgkodar den genererade tidslinjen vilket underlättar analysen.

Mer information:

http://log2timeline.net/

http://computer-forensics.sans.org/blog/2012/01/25/digital-forensic-sifting-colorized-super-timeline-template-for-log2timeline-output-files

SR12-016 Cisco - IronPort-produkter sårbara

2012-01-27T14:39:54Z

Telnet-demonen (telnetd) i Cisco IronPort Email Security Appliances (ESA) och Cisco IronPort Security Management Appliances (SMA) innehåller en sårbarhet, vilken kan resultera i att en extern angripare kan exekvera godtycklig kod. Observera att angriparen inte behöver vara autentiserad.

För närvarande finns ingen uppgradering från Cisco. Istället bör telnetd inaktiveras och SSH användas istället (vilket man bör göra i vilket fall som helst).

CERT-SE:s veckobrev v.4

2012-01-27T13:21:08Z

Nyheter i veckan

Tjänst med mänskliga CAPTCHA-knäckare i låglöneländer testad

http://www.troyhunt.com/2012/01/breaking-captcha-with-automated-humans.html

Dan Kaminsky om sårbarheter i WPS (Wi-Fi Protected Setup)

http://dankaminsky.com/2012/01/26/wps2/

Rapport över de 50 mest illasinnade AS-numrerna på internet

http://hostexploit.com/downloads/viewdownload/7/35.html

Google ger förslag på hur TCP kan snabbas upp

http://googlecode.blogspot.com/2012/01/lets-make-tcp-faster.html?m=1

Konferensrum kan buggas genom att videokonferensutrustningen hackas

https://community.rapid7.com/community/solutions/metasploit/blog/2012/01/23/video-conferencing-and-self-selecting-targets

Lätt att hitta hackers med svart färg på hatten

http://online.wsj.com/article/SB10001424052970203471004577145140543496380.html

DNSSEC-trubbel för nasa.gov

http://www.internetsociety.org/deploy360/blog/2012/01/comcast-releases-detailed-analysis-of-nasa-gov-dnssec-validation-failure/

Lavineffekten testad för olika hashfunktioner

http://secworks.se/2012/01/bittester-av-kryptografiska-hashfunktioner/

Åtalade i USA kan tvingas att lämna över lösenordet till krypterade hårddiskar

http://news.cnet.com/8301-31921_3-57364330-281/judge-americans-can-be-forced-to-decrypt-their-laptops/

Tåget försenat på grund av hackat signalsystem

http://www.wired.com/threatlevel/2012/01/railyway-hack/

Vilka lösenord används vid en ssh-gissa-lösenords-attack?

http://www.lightbluetouchpaper.org/2012/01/25/observations-from-two-weeks-of-ssh-brute-force-attacks/

Gameover: Ny variant av Zeus

http://www.computerworld.com/s/article/9223642/Researcher_traces_Gameover_malware_to_maker_of_Zeus

Europaparlamentets webbplats utsatt för en tillgänglighetsattack

http://www.networkworld.com/news/2012/012612-european-parliament-says-its-website-255359.html

10 000 industrisystem åtkomliga via internet enligt forskare

http://www.wired.com/threatlevel/2012/01/10000-control-systems-online/

Världens sämsta, men kanske ärligaste, sekretesspolicy

http://www.forbes.com/sites/andygreenberg/2012/01/25/the-worlds-worst-privacy-policy/

Blygsam och smakfull är inga egenskaper som kan förknippas med Megauploads grundare Kim Dotcom

http://arstechnica.com/tech-policy/news/2012/01/mega-man-the-bizarre-rise-and-sudden-downfall-of-kim-dotcom.ars

CERT-SE i veckan

SR12-015 Symantec - Allvarlig sårbarhet i pcAnywhere

SR12-014 Opera - Två sårbarheter

SR12-013 Google - Flertalet sårbarheter i Chrome

SR12-012 Apache - Struts innehåller allvarlig sårbarhet

SR12-011 Xorg - Innehåller sårbarhet i skärmlåsningsprogram

SR12-010 OpenSSL - Rättning av DTLS innehåller ny sårbarhet

Säkerhetsrekommendationer för pcAnywhere

2012-01-26T09:26:47Z

CERT-SE har tidigare rapporterat om en sårbarhet i pcAnywhere där en extern angripare kan exekvera godtycklig kod genom att skicka riggade paket till port 5631. Scanningar på denna port har ökat enligt ISC Diary. Till denna sårbarhet finns en rättning publicerad som snarast bör läggas på.

Källkoden till pcAnywhere har nyligen läckt som enligt Symantec kan härledas från ett intrång som skedde 2006. Med detta som bakgrund rekommenderar Symantec att temporärt sluta använda programmet tills uppdateringar släpps som rättar säkerhetshålen. Om pcAnywhere måste användas på grund av verksamhetskrav bör ett antal försiktighetsåtgärder vidtas, exempelvis blocka portarna 5631 och 5632. Fler andra sätt att säkra upp pcAnywhere finns beskrivet i Symantec-dokumentet. Det är oklart om Symantec känner till fler sårbarheter än de som publicerats och är rädda att angripare ska hitta dessa då källkoden läckt. Hur som helst bör extra försiktighetsåtgärder vidtas för pcAnywhere.

Mer information

http://www.symantec.com/connect/sites/default/files/pcAnywhere%20Security%20Recommendations%20WP_01_23_Final.pdf

http://www.reuters.com/article/2012/01/25/us-symantec-hacking-idUSTRE80O1UY20120125

http://isc.sans.edu/diary.html?storyid=12463

http://www.scmagazineuk.com/symantec-advises-users-to-stop-using-pcanywhere-as-code-hack-story-persists/article/224717/

SR12-015 Symantec - Allvarlig sårbarhet i pcAnywhere

2012-01-26T08:21:14Z

Fjärradministrationsverktyget Symantec pcAnywhere innehåller två sårbarheter:

En extern angripare kan exekvera godtycklig kod genom att skicka riggade TCP-paket till port 5631. Observera att angriparen inte behöver vara autentiserad.
Möjliget att förhöja privilegier för en lokal inloggad angripare eftersom vissa filer i installationen är skrivbara för alla användare.

Lösning: Installera "hotfix":en som finns beskriven i TECH179526 (se nedan). Att blocka portarna 5631 och 5632 är också att rekommendera.

Tänk på att pcAnywhere finns i ett antal Symantec produkter, exempelvis för säkerhetskopiering.

Tal Seltzer och Edward Torkington (NGS Secure) upptäckte sårbarheterna.