Kaspersky - īpaša aizsardzība pret šifrējošajiem izspiedējvīrusiem!
Sākumlapa » Apdraudējumi » Drošības nedēļa 1-2 2017: box.com ievainojamība, paroļu pikšķerēšana ar PDF, uzbrukumi MongoDB

Drošības nedēļa 1-2 2017: box.com ievainojamība, paroļu pikšķerēšana ar PDF, uzbrukumi MongoDB

Apskatot šī gada pirmās divas nedēļas, vispirms pievērsīsimies interesantai pikšķerēšanai ar PDF palīdzību, par kuru informē SANS Institute. Kad lietotājs mēģina atvērt šādu PDF dokumentu, viņš saņem paziņojumu, ka dokuments ir „bloķēts”, un prasību ievadīt savu lietotājvārdu un paroli. Pēc tam parole tiek pārraidīta uz noziedznieka serveri. Te ir divi interesanti aspekti. Pirmkārt, tā ir pikšķerēšana uz labu laimi, jo lietotājs var ievadīt jebkādu paroli — datora, e-pasta vai vēl kādu citu. Noziedzniekiem tas nav svarīgi — jo viņi cer, ka šī parole visiem lietotāja izmantotajiem pakalpojumiem ir vienāda.

 

Lietotāja datu pieprasījums, atverot krāpniecisko PDF failu.

Lietotāja datu pieprasījums, atverot krāpniecisko PDF failu.

Otrkārt, Adobe Reader brīdina par datu pārraidīšanu uz serveri, bet, piemēram, programmā Microsoft Edge iebūvētais PDF lasītājs pārraida ievadīto informāciju bez iebildumiem. Līdzīgs paņēmiens (paziņojums par it kā bloķētu saturu) tiek izmantots MS Word dokumentu pielikumos, bet tur šīs manipulācijas mērķis ir piespiest lietotāju izpildīt kaitīgo kodu.

Box.com likvidē ievainojamību, kas ļāva ar Google atrast konfidenciālus dokumentus

Pētnieks Markuss Neiss no uzņēmuma Swisscom bija atradis interesantu ievainojamību. Izmantojot diezgan vienkāršus meklētāja iestatījumus, viņam izdevās tikt klāt servisa Box.com korporatīvo kontu lietotāju konfidenciālajiem dokumentiem. „Noplūde” notika, kad lietotājs vēlējās dalīties ar informāciju un tādēļ izveidoja īpašu saiti. Tādā gadījumā šim saturam vajadzētu būt pieejamam tikai ar minētās saites palīdzību, bet pētnieks noskaidroja, ka meklētājs indeksē arī koplietošanas mapes.

Šī problēma ir tik triviāla, ka to grūti nosaukt par ievainojamību, taču tādu gadījumu bijis diezgan daudz. Box.com pārstāvji pat apgalvoja, ka meklētājs ieguvis saites tikai tādēļ, ka kāds tās ievietojis brīvi pieejamos resursos. Taču pēc tam uzņēmums tomēr nolēma liegt meklētājiem indeksēt nosacīti publisko saturu.

No nepareizi konfigurētu MongoDB datu bāzu īpašniekiem izspiež naudu

Un vēl viena ziņa par nepareiziem iestatījumiem. Viktors Heverss no GDI Foundation pērnā gada nogalē konstatēja vairākus uzbrukumus nepareizi konfigurētām MongoDB datu bāzēm. Tām varēja brīvi piekļūt no tīkla. Uzbrukuma norise bija šāda: uzbrucējs serverī izdzēsa visu datu bāzes saturu un atstāja paziņojumu ar izpirkuma prasību (0,2 bitmonētas jeb aptuveni 165 EUR). Pēdējās divās nedēļās tādu uzbrukumu skaits ir vairākkārtīgi palielinājies. Līdz 9. janvārim pētnieki konstatējuši uzbrukumus vairāk nekā 28 000 serveru.

 

 

Nav ziņu par to, kā uzskaitīti uzlauztie serveri, bet šķiet, ka šim nolūkam izmanto tos pašus līdzekļus, ar kuriem veic uzlaušanu: meklē ar specializēto meklētāju Shodan un tad skenē atrastos serverus. Pēc šo notikumu izpaušanas uzlauztajiem serveriem uzbrukts vēl vairākas reizes: nu tie bijuši visiem pieejami, tādēļ daudziem no tiem uzbrukušas vēl citas noziedznieku grupas. Bieži vien iepriekšējās grupas izpirkuma prasības vietā ievietota jauna — savējā. MongoDB izstrādātāji jau ir publicējuši sīku instrukciju, kā pareizi konfigurēt datu bāzi.

Izmantoti Kaspersky Lab materiāli.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

− 4 = 6

Kaspersky - īpaša aizsardzība pret šifrējošajiem izspiedējvīrusiem!
Uz augšu