Уязвимость в WordPress используется для установки бэкдоров

14 Февраля 2017, 06:22

Уязвимость в WordPress используется для установки бэкдоров

Массовые атаки на свежую уязвимость в WordPress REST API, исправленную в конце января 2017 года, продолжаются. По данным компании WordFence, уязвимость привлекла внимание как минимум 20 хакерских групп, которым удалось скомпрометировать более 1,5 млн страниц. В настоящий момент количество пострадавших страниц перевалило за два миллиона, а атаки постепенно становятся серьезнее, как и прогнозировали специалисты.

Ticketbleed

12 Февраля 2017, 21:56

Ticketbleed

Новая уязвимость получила громкое название Ticketbleed, в честь знаменитой проблемы Heartbleed, обнаруженной в 2014 году. К счастью, в случае Ticketbleed масштабы происходящего не так велики, ведь баг был обнаружен только в решениях BIG-IP, производства компании F5 Networks. Полный список уязвимых продуктов можно найти на сайте компании.

В чем же проблема? Дело в том, что отправляя уязвимым сайтам специально созданные пакеты, атакующий может извлекать небольшие куски данных из памяти веб-серверов (не более 31 байта за раз). Повторив эту операцию многократно, злоумышленник в итоге сможет извлечь секретные ключи и другие «тайны», которые хранят HTTPS-сессии.

Антивирусы только вредят HTTPS

10 Февраля 2017, 07:31

Антивирусы только вредят HTTPS

Интересный отчет опубликовала сводная группа исследователей, в которую вошли специалисты Mozilla, Google, CloudFlare, а также представители университета Мичигана, иллинойсского университета в Урбане-Шампейне, калифорнийского университета в Беркли и Международного института информатики.

Эксперты изучили влияние антивирусов и различных межсетевых экранов на безопасность HTTPS-трафика. Дело в том, что подобные защитные инструменты вмешиваются в защищенные соединения, и эксперты заподозрили, что из-за этого зашифрованный трафик подвергается риску, а безопасность лишь ослабевает. Как оказалось, эти подозрения были ненапрасны.

Дефейс 100 тысяч сайтов Wordpress

09 Февраля 2017, 11:25

Дефейс 100 тысяч сайтов Wordpress

Как я уже сообщал, 26 января 2017 года, разработчики одной из популярнейших CMS в мире, выпустили WordPress 4.7.2, сообщив, что в новой версии платформы был исправлен ряд проблем. Как выяснилось неделю спустя, релиз WordPress 4.7.2 устранил крайне серьезную уязвимость, связанную с повышением привилегий. В конце января 2017 года брешь обнаружили специалисты компании Sucuri, и они описывают ее как неавторизованную эскалацию привилегий через REST API. Уязвимости подвержены версии 4.7.0 и 4.7.1.

Тогда раскрытие данных об уязвимости сознательно отложили на неделю, чтобы как можно больше сайтов успели спокойно установить обновление, но, судя по всему, это не слишком помогло. Специалисты Sucuri сообщают, что первые попытки эксплуатации бага были замечены в тот же день, когда информация о проблеме была опубликована. Аналитики Sucuri пишут, что их собственные серверы-ловушки (honeypot) обнаружили уже четыре группы атакующих, которые активно эксплуатируют свежую проблему WordPress. 

Так, простой поиск по названию группировки w4l3XzY3 показывает, что компрометации подверглись более 100 000 сайтов. Исследователи пишут, что пока проблему эксплуатируют преимущественно скрипт-кидди, которые скорее развлекаются, чем пытаются нанести реальный вред. Однако специалисты ожидают, что в скором времени злоумышленники будут пытаться монетизировать баг.

Google Chrome не доверяет сертификатам WoSign и StartCom

08 Февраля 2017, 07:12

Google Chrome не доверяет сертификатам WoSign и StartCom

В конце января вышла новая версия Google Chrome 56, и начиная с нее браузер больше не доверяет сертификатам WoSign и StartCom выпущенным позднее 21 октября 2016 года.

При посещении сайта с таким сертификатом выдается ошибка:

NET::ERR_CERT_AUTHORITY_INVALID

В то время, как в системе и остальных браузерах данные сертификаты считаются действительными. Ручное добавление сертификатов в доверенные, так же не решает проблему в Chrome.

Небольшим сайтам, использующих бесплатные SSL-сертификаты от WoSign или StartCom, стоит всерьез задуматься над переходом на Let's Encrypt или Cloudflare, так же предоставляющие бесплатные сертификаты SSL.