2013.12.16 - Nyhetsbrev

Vi har observert en formidabel økning i scanninger etter sårbare Apache/PHP-installasjoner de siste dagene. Anbefaler en dobbeltsjekk av at alle systemer er patchet.

Tre nordmenn er dømt for grovt skadeverk etter DDoS-angrep. Safari lagrer sesjonsdata - inkludert brukernavn og passord - ukryptert. Botnettangrep ansvarlig for 2 millioner kompromitterte passord til sosiale medier. Distribuert SQL-injection-sårbarhetsscanning via falsk Firefox-plugin.

Omfattende scanninger etter sårbare PHP-installasjoner de siste dagene.

TSOC har observert en formidabel økning i scanninger etter Linux-maskiner med sårbar installasjon av Apache / PHP 5.x de siste dagene (Se referanser for varianter av selve exploiten). Dersom en maskin lar seg utnytte, lastes det ned en IRC-basert DDoS-bot. Det settes også opp en cron-jobb for å søke etter ukentlige oppdateringer. Vi oppfordrer alle som benytter Apache og PHP på Linux om å verifisere at systemet er oppdatert med de seneste oppdateringene.
Referanser
http://blog.spiderlabs.com/2013/11/honeypot-alert-more-php-cgi-scanning-apache-magikac.html http://www.exploit-db.com/exploits/29290/

Tre nordmenn dømt for grovt skadeverk etter DDoS-angrep.

Tre unge menn er dømt for grovt skadeverk etter å ha utført DDoS-angrep mot nettsteder som DnB, PST, It-avisen, digi.no, Norsk Tipping m.fl. våren 2012. Angrepene gjorde flere av sidene utilgjengelig i timesvis. Angrepene ble utført ved å kjøpe DDoS-tjenester på nettet og krevde ingen teknisk innsikt.
Referanser
http://www.aftenposten.no/nyheter/iriks/Domt-for-nettangrep-mot-DnB_-bloggtjenester-og-PST-7406658.html

Botnet ansvarlig for 2 millioner passord på avveie

McAfee rapporterer om et angrep som medførte 2 millioner kompromitterte passord - hovedsaklig til sosiale medier. Angrepet ble utført av det såkalte Pony-botnettet. Passordene ble fanget opp via keylogging. 57% av passordene tilhørte Facebook. Google, Yahoo og Twitter var også sterkt representert. Formålet med angrepet skal være å servere malware på sosiale medier og dermed ekspandere botnettet ytterligere.
Referanser
http://blogs.mcafee.com/consumer/pony-botnet-steals-2-million-passwords

Distribuert SQL-injection-sårbarhetsscanning via falsk Firefox-plugin

Brian Krebs forteller om en falsk Firefox add-on som infiserer brukeren og misbruker systemet til å kjøre automatiserte SQL-injection-angrep mot praktisk talt alle nettsider som besøkes. Sårbare maskiner rapporteres til bakmennene. Malwaren har også komponenter for å stjele passord og sensitiv informasjon fra vertsmaskinen, men dette ser ikke ut til å ha vært benyttet i stor grad.
Referanser
http://krebsonsecurity.com/2013/12/botnet-enlists-firefox-users-to-hack-web-sites/

Microsoft blir med i FIDO

Microsoft blir med i FIDO Alliance (Fast IDentity Online) - en gruppe som arbeider med å lage en protokoll for passordløs identifikasjon på nettet. Resultatet av arbeidet i alliansen skal bli en standardisert løsning for nøkkelbasert tofaktorautentisering. Andre aktører i gruppen er Google, BlackBerry, PayPal, Lenovo, og MasterCard.
Referanser
http://arstechnica.com/security/2013/12/microsoft-joins-fido-group-hoping-to-replace-passwords-with-public-key-cryptography/

Safari lagrer sesjonsdata ukryptert

Safari, i likhet med mange andre nettlesere, har muligheten til å gjennoppta foregående sesjon ved oppstart. Det viser seg imidlertid at dataene fra foregående sesjon - inkludert passord til websider som krever autentisering - lagres ukryptert på disk. Det eneste som er gjort for å beskytte dataene er å plassere dem i en skjult fil. Angripere kan enkelt få tak i dataene fra denne filen om maskinen blir infisert.
Anbefaling
Apple har foreløpig ikke kommentert svakheten. En workaround kan være å logge ut av alle tjenester før nettleseren lukkes.
Referanser
http://www.securelist.com/en/blog/8168/Loophole_in_Safari http://threatpost.com/safari-stores-previous-secure-browsing-session-data-unencrypted/103188