PHP corrigiu várias vulnerabilidades que permitiam code execution

PHP

A equipa responsável pela gestão do PHP lançou uma nova versão que corrige três falhas, uma delas considerada critica que permite remote code execution.

A vulnerabilidade identificada como “CVE-2014-3669″ só funciona em sistemas de 32 bits e podia causar o que se apelida de integer overflow quando se tratava dados serializados especialmente criados com unserialize().

Foram também corrigidos outros bugs associados à introdução do ‘null byte‘ na biblioteca do cURL.

Estas vulnerabilidades foram descobertas pela High-Tech Bridge, as versões 5.6.2, 5.5.18 e 5.4.34 corrigem estes problemas

Contadores de electricidade inteligentes vulneráveis em Espanha

Untitled-1

Nos dias que correm os dispositivos inteligentes ou smart devices estão cada vez mais dentro das nossas vidas. Facilmente podemos encontrar um dispositivo que esteja ligado à Internet, desde telemóveis até carros, frigoríficos e televisões, nesses casos a segurança e a privacidade continuam a ser um problema e actualmente enfrentam grandes desafios.

Dois investigadores analisaram os contadores inteligentes que são largamente usados em Espanha e encontraram falhas graves na sua implementação, falhas que permitem por exemplo burlar a leitura do contador, os resultados dessa investigação vai ser apresentado na  Black Hat Europe.

Existem três grandes empresas que usam este tipo de dispositivos Endesa, E.ON  e Iberdrola, actualmente estão instalados em 8 milhões de casas o que representa 30% de todos os lares espanhóis.

Para evitar danos os responsáveis da investigação Javier Vazquez Vidal e Alberto Garcia Illera decidiram não revelar os detalhes do fabricante nem de como executar o ataque até que a situação esteja resolvida.

Durante a investigação destes equipamentos foram utilizadas técnicas de engenharia reversa para entender o seu funcionamento e de que forma comunicavam dentro da rede. Os principais problemas estão relacionados com o software usado pelo fabricante que permite injectar código malicioso e na forma de como estão armazenadas as credenciais, é usado AES-128 para o efeito que pode ser decifrado facilmente usando técnicas de brute-force.

Estas vulnerabilidades permitem desligar remotamente o abastecimento eléctrico das casas, aceder às leituras, transferir leituras de outros contadores e até injectar “network worms” que poderiam causar danos de larga escala na rede eléctrica.

Em cenários reais este tipo de falhas poderá pôr um país às escuras, o que nos dias de hoje representaria um país estagnado.

Facebook verifica contas que foram comprometidas

facebook

O Facebook anunciou recentemente  que criou uma ferramenta que permite verifica contas de Facebook comprometidas que foram divulgadas em leaks.

Segundo fonte oficial, o Facebook não guarda as passwords dos utilizadores em plaintext. O que o sistema faz é obter o email e a password do leak e verificar se a password valida no sistema de processamento normal de autenticação. Basicamente é o mesmo processo que a password passa num login normal.
Se o sistema verifica que a password está correta, o utilizador afetado é alertado para mudar os seus dados de acesso imediatamente.

Esta nova funcionalidade por parte do Facebook é uma nova camada adicional de proteção aos seus utilizadores. Este sistema, juntamente com a autenticação de 2 fatores, aumenta o nível de segurança das contas de mais de 1000 milhões de utilizadores ativos.

SQL Injection no Drupal 7

drupal

Ontem a empresa SektionEins publicou um boletim de segurança que divulga uma falha SQL Injection no Drupal (versões >= 7.0 <= 7.31). Rapidamente a equipa de segurança do Drupal categorizou esta vulnerabilidade como Altamente Crítica e preparou-se prontamente para lançar uma correção – já disponível na versão 7.32.

Leia-se no site oficial do Drupal:

Posted by Drupal Security Team on October 15, 2014 at 4:02pm
Advisory ID: DRUPAL-SA-CORE-2014-005
Version: 7.x
Date: 2014-Oct-15
Security risk: 20/25 ( Highly Critical) AC:Basic/A:None/CI:All/II:All/E:Theoretical/TD:All
Vulnerability: SQL Injection

Resumidamente, a empresa SektionEins conseguiu ultrapassar a proteção do Drupal nas consultas SQL:

SELECT * FROM {users} WHERE name IN (:name_0, :name_1)

Manipulado o parametro para:

SELECT * FROM {users} WHERE name IN (:name_test) OR name = ‘Admin’ — , :name_test)

Claro que esta manipulação não fica pelas consultas (leia-se SELECT) mas também é aplicado às inserções e atualizações (INSERT e UPDATE).

Devido à facilidade de utilizar este exploit e aos requisitos (é remoto e não é necessário autenticação), rapidamente começaram a surgir exploits e ferramentas para explorar versões vulneráveis do Drupal. No Pastebin é já possível encontrar exploits que basta inserir o URL com a versão vulnerável do Drupal e explora adicionando um novo administrador.
Deve ser apenas uma questão de tempo para que os exploit kits dos utilizadores maliciosos serem atualizados com esta falha SQL Injection. Assim, duma forma totalmente automática, diversos sites podem ser comprometidos em curto espaço de tempo.

Concluíndo, é URGENTE a atualização do Drupal.

Fappening, Snappening e afins

Fappening, Snappening e afins

Muito se tem escrito sobre o Fappening, aka Celebgate, onde o leak de diversas fotos e vídeos de personalidades foram publicadas na web.
Utilizadores maliciosos aproveitaram-se da fragilidade nas passwords de algumas celebridades e conseguiram via iCloud (ou Found my iPhone) obter acesso aos conteúdos privados de personalidades como Jennifer Lawrence, Jessica Brown Findlay, Aubrey Plaza, Kate Upton, Kaley Cuoco, etc…
A publicação inicial foi nos sites Reddit e 4chan mas posteriormente espalhados por milhares de sites, tornando muito difícil a restrição destas fotos ou vídeos.

Embora a Apple na altura tenha comunicado que o leak da informação foi devido a passwords quebradas não mencionou a fragilidade de ter um formulário de autenticação sem qualquer tipo de limitações ou proteção. Desta forma os utilizadores maliciosos poderam efetuar inumeras tentativas de brute-force até obterem a password. Entretanto, e após o ataque, a situação foi resolvida, limitando para 5 as tentativas de autenticação. A Apple não prestou declarações sobre este assunto.

Na minha opinião, o Fappening veio focar dois pontos interessantes:

  • Uma password fraca pode ter consequências muito graves
  • Armazenar fotos/vídeos privados na web não é seguro

Quando um utilizador coloca algo na web deve assumir imediatamente que poderá correr o risco de perder essa informação. Num serviço cloud, essa informação estará alojada em diversos locais, tornando a probabilidade de perda de informação maior.
Recorda-me uma frase de um especilista de segurança, no qual não me recordo o nome:

Mais vale ter 1 segredo num esconderijo do que o mesmo segredo em 4 esconderijos.

Contudo, a nuvem é caracterizada pela sua comodidade porque os seus utilizadores têm sempre os seus ficheiros disponíveis (online e off-line).

Tal como aconteceu recentemente com o ataque ao Snapchat, os utilizadores deverão ter sempre noção dos riscos que correm. Os utilizadores mais novos devem ser constantemente relembrados que apenas devem partilhar ou guardar na web o que estão dispostos a perder.

Metade dos utilizadores do Snapchat são adolescentes entre os 13 e os 17 anos. O facto é que com este leak, mais de 100 mil fotos e vídeos enviados através na aplicação ao longo dos últimos anos foram divulgados por utilizadores maliciosos.
Em comunicado oficial, o Snapchat garante que não houve qualquer falha de segurança da sua parte:

Podemos confirmar que os servidores do Snapchat nunca foram comprometidos e não são a fonte destas fugas. Os snapchatters foram vítimas do uso de terceiras aplicações para enviar e receber snaps, uma prática que proibimos expressamente nos nossos termos de serviço, precisamente porque compromete a segurança dos nossos utilizadores.

Por este facto, os utilizadores mais novos devem ser constantemente relembrados que apenas devem partilhar ou guardar na web o que estão dispostos a perder.