Vi har observert en formidabel økning i scanninger etter sårbare Apache/PHP-installasjoner de siste dagene. Anbefaler en dobbeltsjekk av at alle systemer er patchet.
Tre nordmenn er dømt for grovt skadeverk etter DDoS-angrep. Safari lagrer sesjonsdata - inkludert brukernavn og passord - ukryptert. Botnettangrep ansvarlig for 2 millioner kompromitterte passord til sosiale medier. Distribuert SQL-injection-sårbarhetsscanning via falsk Firefox-plugin.
Omfattende scanninger etter sårbare PHP-installasjoner de siste dagene.
| TSOC har observert en formidabel økning i scanninger etter Linux-maskiner med sårbar installasjon av Apache / PHP 5.x de siste dagene (Se referanser for varianter av selve exploiten). Dersom en maskin lar seg utnytte, lastes det ned en IRC-basert DDoS-bot. Det settes også opp en cron-jobb for å søke etter ukentlige oppdateringer. Vi oppfordrer alle som benytter Apache og PHP på Linux om å verifisere at systemet er oppdatert med de seneste oppdateringene. |
||||
| Referanser | ||||
|---|---|---|---|---|
| http://blog.spiderlabs.com/2013/11/honeypot-alert-more-php-cgi-scanning-apache-magikac.html http://www.exploit-db.com/exploits/29290/ |
Tre nordmenn dømt for grovt skadeverk etter DDoS-angrep.
| Tre unge menn er dømt for grovt skadeverk etter å ha utført DDoS-angrep mot nettsteder som DnB, PST, It-avisen, digi.no, Norsk Tipping m.fl. våren 2012. Angrepene gjorde flere av sidene utilgjengelig i timesvis. Angrepene ble utført ved å kjøpe DDoS-tjenester på nettet og krevde ingen teknisk innsikt. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://www.aftenposten.no/nyheter/iriks/Domt-for-nettangrep-mot-DnB_-bloggtjenester-og-PST-7406658.html |
Botnet ansvarlig for 2 millioner passord på avveie
| McAfee rapporterer om et angrep som medførte 2 millioner kompromitterte passord - hovedsaklig til sosiale medier. Angrepet ble utført av det såkalte Pony-botnettet. Passordene ble fanget opp via keylogging. 57% av passordene tilhørte Facebook. Google, Yahoo og Twitter var også sterkt representert. Formålet med angrepet skal være å servere malware på sosiale medier og dermed ekspandere botnettet ytterligere. |
||||
| Referanser | ||||
|---|---|---|---|---|
| http://blogs.mcafee.com/consumer/pony-botnet-steals-2-million-passwords |
Distribuert SQL-injection-sårbarhetsscanning via falsk Firefox-plugin
| Brian Krebs forteller om en falsk Firefox add-on som infiserer brukeren og misbruker systemet til å kjøre automatiserte SQL-injection-angrep mot praktisk talt alle nettsider som besøkes. Sårbare maskiner rapporteres til bakmennene. Malwaren har også komponenter for å stjele passord og sensitiv informasjon fra vertsmaskinen, men dette ser ikke ut til å ha vært benyttet i stor grad. |
||||
| Referanser | ||||
|---|---|---|---|---|
| http://krebsonsecurity.com/2013/12/botnet-enlists-firefox-users-to-hack-web-sites/ |
Microsoft blir med i FIDO
| Microsoft blir med i FIDO Alliance (Fast IDentity Online) - en gruppe som arbeider med å lage en protokoll for passordløs identifikasjon på nettet. Resultatet av arbeidet i alliansen skal bli en standardisert løsning for nøkkelbasert tofaktorautentisering. Andre aktører i gruppen er Google, BlackBerry, PayPal, Lenovo, og MasterCard. |
||||
| Referanser | ||||
|---|---|---|---|---|
| http://arstechnica.com/security/2013/12/microsoft-joins-fido-group-hoping-to-replace-passwords-with-public-key-cryptography/ |
Safari lagrer sesjonsdata ukryptert
| Safari, i likhet med mange andre nettlesere, har muligheten til å gjennoppta foregående sesjon ved oppstart. Det viser seg imidlertid at dataene fra foregående sesjon - inkludert passord til websider som krever autentisering - lagres ukryptert på disk. Det eneste som er gjort for å beskytte dataene er å plassere dem i en skjult fil. Angripere kan enkelt få tak i dataene fra denne filen om maskinen blir infisert. |
||||
| Anbefaling | ||||
|---|---|---|---|---|
| Apple har foreløpig ikke kommentert svakheten. En workaround kan være å logge ut av alle tjenester før nettleseren lukkes. | ||||
| Referanser | ||||
|
http://www.securelist.com/en/blog/8168/Loophole_in_Safari
http://threatpost.com/safari-stores-previous-secure-browsing-session-data-unencrypted/103188 | ||||