Обзор уязвимостей за март 2016

Дата: 05.04.2016
Автор: Вячеслав Москвин, аналитик

В сеть утекла база персональных данных граждан Турции. По всей видимости, данные были взяты из электронной системы MERNIS для учёта демографических данных о гражданах в 2008 году. На данный момент описание базы, послание от хакеров и торрент-файл для скачивания базы расположены по адресу http://185.100.87.84/. 


4 марта стало известно, что вместе с одним из обновлений популярного торрент-клиента для OS X – Transmission пользователям устанавливалось зловредное ПО KeRanger. KeRanger активируется спустя некоторое время после первого запуска и зашифровывает пользовательские данные. Неизвестно, как именно произошел выпуск зловредного обновления, возможно, имел место быть взлом сайта Transmission.

Также в марте исследователи обнародовали сведения об еще одной уязвимости в OpenSSL. Как принято с уязвимостями OpenSSL, для атаки с использованием данной уязвимости подготовили логотип и звучное название – DROWN. Атака позволяет злоумышленнику, перехватившему зашифрованный трафик TLS-соединения, расшифровать его, послав серверу серию специального сформированных пакетов протокола SSLv2. В примере, приводимом исследователями, для осуществления успешной атаки понадобятся мощности Amazon EC2 стоимость около $440.

Исследователь Tavis Ormandy из Google Project Zero продолжает радовать нас уязвимостями в популярных антивирусах. В антивирусе TrendMicro был обнаружен отладочный сервер Node.js, слушающий несколько портов на localhost. В помощью веб-страницы, посылающей специальные запросы на этот сервер, злоумышленник может выполнять произвольные команды на компьютере жертвы. 

Другой интересный баг был найден в антивирусе Comodo. При проверке исполняемых файлов антивирус эмулирует вызовы Win32 API, содержащиеся в файле. Это дает возможность наблюдать за последствиями запуска зараженного файла, не нанося вреда системе. Любопытно, что часть вызовов не эмулировалась – исполняемый файл получал доступ к функциям ОС, в том числе к чтению нажимаемых клавиш клавиатуры и передаче данных по сети. В результате проверка зараженного файла могла привести запуску кейлоггера.

Уязвимости компонентов АСУ ТП

В феврале 2016 года ICS-CERT опубликовала 9 оповещений о найденных уязвимостях в компонентах АСУ ТП, в том числе:

  • В версиях прошивок младше 4.0 контроллеров семейства SIMATIC S7-1200 была обнаружена уязвимость, позволяющая злоумышленнику обойти защиту программных блоков.
  • Уязвимость Cogent DataHub позволяет обладателю ограниченной учетной записи ОС получить привилегии локальной системы.
  • Уязвимость Ethernet-модулей ввода/вывода Moxa ioLogik серии E2200 позволяет удаленному атакующему управлять настройками устройства из-за небезопасно реализованной аутентификации в панели администрирования.