8 мая вышел майский набор критических обновлений от компании SAP. На этот раз закрыто целых 11 уязвимостей, обнаруженных сторонними исследователями.
Наиболее критичная из уязвимостей, обнаруженных сотрудниками исследовательской лаборатории Digital Security Research Group – это отказ в обслуживании при обработке XML-пакетов web-интерфейсом приложения SAP NetWeaver ABAP. Вообще в майском обновлении превалируют уязвимости отказа в обслуживании – так, например, компания Core Security выпустила отчет об множественных уязвимостях, обнаруженных в протоколе DIAG. Это основной протокол, используемый в SAP для передачи данных между клиентом и сервером через клиентское приложение SAP GUI. В данном протоколе недавно уже были выявлены проблемы с небезопасным шифрованием, а точнее, кодированием. Теперь в нем обнаружены и другие уязвимости. В результате эксплуатации данных уязвимостей возможен вызов атаки типа «отказ в обслуживании» на сервер приложений SAP NetWeaver, что приведет к остановке работы системы до ее перезагрузки.
Помимо отказа в обслуживании, одна из уязвимостей может привести к выполнению произвольного кода на сервере SAP, то есть к получению доступа ко всем критичным для бизнеса данным и процессам.
В результате исследований, проведенных с целью сбора статистики по наличию SAP-систем в сети Интернет, было обнаружено, что сервис Dispatcher, который обслуживает соединения по протоколу DIAG и должен быть открыт только для доступа внутри корпоративной сети, у некоторых компаний, тем не менее, доступен удаленно через Интернет в обход SAPRouter.
В ходе выборочного сканирования систем по всему миру было обнаружено порядка сотни SAP-систем с доступным для удаленного подключения портом SAP Dispatcher. Наибольшее количество систем было обнаружено в США (30%), Китае (25%), Германии (10%), Колумбии и Корее. Среди обнаруженных систем найдены также и российские IP-адреса.
По неподтвержденным данным, уязвимость можно реализовать только в случае включенной трассировки, что снижает риск. На данный момент всем компаниям, использующим SAP, рекомендуется установить уровень трассировки протокола DIAG в значение 1 или 0 (по умолчанию), а также установить необходимое уведомление безопасности SAP note 1687910.
Евгений Валентинович Касперский, основатель и глава компании «Лаборатория Касперского», отметил, что у Apple началась чёрная полоса в области безопасности платформы Mac. Как один из авторитетных специалистов компьютерной защиты, он считает, что Apple находится в самой гуще неприятностей.
В интервью Computer Business Review на выставке Info Security 2012 в Лондоне Евгений Валентинович сказал, что в отношении компьютерной безопасности платформа Mac десятилетиями отставала от Microsoft, и Apple стоит кое-чему поучиться у своего конкурента.
«Они очень скоро поймут, что столкнулись с теми же проблемами, что и Microsoft 10—12 лет назад, — отметил господин Касперский. — Им потребуется произвести изменения в отношении цикла обновлений и тому подобном, также им придётся больше инвестировать в свою проверку безопасности программного обеспечения».
«Microsoft уже сделала это раньше после ряда инцидентов вроде Blaster и других более сложных червей, которые поразили миллионы компьютеров за короткое время, — добавил он. — Им потребовалось провести громадную работу по проверке кода на наличие ошибок и уязвимостей. Теперь пришло время Apple».
Основанием для данных заявлений может служить Flashback, выделившийся из вредоносного ПО для Mac, который в пик своего распространения заразил, по оценкам, свыше 600 тысяч Mac по всему миру. Более свежие цифры указывают, что текущий уровень заражения составляет менее 100 тысяч компьютеров.
Apple исправила уязвимость системы, которую использовал Flashback в своих атаках, и выпустила средство очистки для инфицированных компьютеров. Но Apple была раскритикована экспертами в области безопасности за медленные действия. Компании по обеспечению безопасности, включая «Лабораторию Касперского», также доказали слабую реакцию Apple, выпустив собственные средства определения и удаления вируса раньше появления официальных.
В апреле этого года был опубликован патент №114799 ЗАО «НПО «Эшелон» на полезную
модель «Система для определения программных закладок» (заявка от 29.12.11). Авторами
являются 7 сотрудников компании, в том числе Генеральный директор Алексей Марков.
Полезная модель касается компьютерных систем, а точнее систем автоматического составления
описания и кластеризации различных, в том числе и вредоносных объектов, и предназначена
для автоматического составления описания объектов на естественном языке в удобном для
восприятия формате, а также для обнаружения новых или потенциальных вредоносных объектов.
В разработке участвовали 7 сотрудников компании: Василий Вылегжанин, Алексей Маркин,
Алексей Марков, Роман Уточка, Андрей Фадин, Алексей Фамбулов, Валентин Цирлов.
Данная система заложена в фирменную разработку компании «Эшелон» — анализатор исходных текстов АК-ВС. Средство
предназначено для выявления недекларированных возможностей (НДВ) и анализа безопасности
программного кода. Продукт имеет сертификаты соответствия ФСТЭК России и Минобороны
России и является единственным сертифицированным средством проведения сертификационных
испытаний по 2 и 1 уровням контроля отсутствия недекларированных возможностей.
Для тех, кто интересуется вопросами безопасности и уязвимостями Linux, создан обучающий проект exploit-exercises.com с подборкой виртуальных Linux-машин, описаниями уязвимостей, документацией и практическими заданиями.
1. Виртуальная машина Nebula торрент-файл прямая ссылкаСамые общие уязвимости, связанные с эскалацией привилегий в Linux: это SUID-файлы, разрешения, состояние гонки (race conditions), метапеременные оболочки, уязвимости $PATH, уязвимости скриптовых языков, ошибки компиляции бинарных файлов.
Nebula включает в себя 19 уровней, для загрузки уровня следует залогиниться под именем levelXX, где XX — номер уровня от 00 до 19. Некоторые уровни можно пройти только в удалённом режиме. В случае необходимости рутового доступа для изменения каких-то настроек, можно залогиниться с именем nebula, пароль nebula, после чего выполнить команду sudo -s с паролем nebula.
Введение в ошибки памяти Linux/x86: переполнение стека (8 упражнений), сетевое программирование: работа с сокетами и порядок байтов (4 упражнения), форматный вывод (5 упражнений), переполнение кучи (4 упражнения), итоговые упражнения (3).
Войти в систему можно под логином user, с паролем user. Описание уровней находится в директории /opt/protostar/bin.
Продвинутые эксплойты, криптографические задачи, атака по времени, различные сетевые протоколы (Protocol Buffers, Sun RPC и другие), а также демонстрация некоторых механизмов защиты, таких как рандомизация адресного пространства, исполнение кода в зависимости от позиции (Position Independent Executables), неисполняемая память, фортификация исходного кода (_DFORTIFY_SOURCE=), защита от переполнения буфера (ProPolice / SSP), всего 28 упражнений.
Виртуальные машины идут в архивах ova: краткая справка по Open Virtualization Format. Архив вмещает саму виртуальную машину и файл с настройками. В программе VMware Workstation файл импортируется командой File → Open, а в VirtualBox — командой File → Import Appliance. Как вариант, для VirtualBox можно предварительно переконвертировать файл в формат vmx с помощью утилиты ovftool. А для программ линейки VMware ESIx может понадобится конвертация в vmx с помощью программы VMware vCenter Converter Standalone.
