30/12/2016

Phát hiện 3 lỗ hổng zero-day trong PHP 7


3 lỗ hổng nghiêm trọng zero-day đã được phát hiện cho phép tin tặc kiểm soát hoàn toàn 80% website sử dụng phiên bản mới nhất của ngôn ngữ lập trình web PHP.
Các lỗ hổng nằm trong cơ chế “unserialized” của PHP 7 (cả trong phiên bản PHP 5 cũng tồn tại lỗ hổng) cho phép tin tặc xâm nhập vào website trên nền tảng quản trị nội dung Drupal, Joomla, vBulletin và các máy chủ web khác bằng cách gửi gói tin độc hại từ cookie client.
serialize(array): là phương thức dùng để chuyển một mảng(Array) hoặc Object thành string(chuỗi) dữ liệu theo chuẩn của PHP để ta có thể lưu trữ hoặc truyền tải, khi muốn chuyển nó lại thành lại một mảng hoặc phương thức ta dùng phương thức unserialize().
Ba lỗ hổng có mã định danh CVE-2016-7479, CVE-2016-7480, và CVE-2016-7478 có thể khai thác riêng biệt và được trình bày chi tiết tại báo cáo của Check Point.
  • CVE-2016-7479—Use-After-Free Code Execution (Lỗ hổng thực thi sau khi giải phóng bộ nhớ)
  • CVE-2016-7480—Use of Uninitialized Value Code Execution (Lỗ hổng xảy ra khi một biến không có giá trị)
  • CVE-2016-7478—Remote Denial of Service (Lỗ hổng từ chối dịch vụ từ xa)
Khai thác hai lỗ hổng đầu tiên giúp tin tặc chiếm toàn bộ quyền kiểm soát máy chủ như phát tán mã độc, đánh cắp thông tin người dùng hoặc thay đổi giao diện website… Lỗ hổng thư ba được sử dụng trong tấn công từ chối dịch vụ (DoS), khiến cạn kiệt bộ nhớ và gây sập hệ thống.
Theo các nhà nghiên cứu, chưa có lỗ hổng nào được khai thác ngoài thực tế bởi tin tặc. Check Point đã báo cáo ba lỗ hổng tới PHP vào 6/8 và 15/9 và chỉ 2 trong số đó đã được vá. Bên cạnh đó, Check Point cũng phát hành IPS signature dành cho 3 lỗ hổng vào 18 và 31/10 nhằm bảo vệ người dùng.
Để đảm bảo an toàn cho máy chủ web, người dùng được khuyến cáo nâng cấp lên phiên bản PHP mới nhất.
THN

29/12/2016

Làm gì khi phát hiện website bị tấn công, bị chèn mã độc?

Trong bài viết trước tôi đã hướng dẫn các bạn cách để nhận biết website của bạn đang bị tấn công. Vậy sau khi phát hiện website bị tấn công bạn cần làm gì? Trong bài viết này tôi viết tổng quan những công việc mà các bạn cần làm sau khi phát hiện website của mình bị hack và cách cơ bản để thực hiện.
Bạn cần làm theo các công việc sau
  • Khôi phục lại hoạt động của website, xóa bỏ các trang giả mạo, trang index mà hacker đã thay đổi hoặc tải lên website để website trở lại hoạt động bình thường.
  • Tìm và loại bỏ các mã độc, backup, webshell đang tồn tại trên hệ thống.
  • Tìm nguyên nhân mà website của bạn bị tấn công, ai là người đã tấn công
  • Vá các lỗ hổng mà hacker đã khai thác.
Khôi phục lại hoạt động của website bị tấn công
Trước tiên bạn cần sao lưu lại toàn bộ trạng thái của thư mục web để phục vụ cho việc kiểm tra sau này. Thay đổi các tài khoản của hệ thống, các tài khoản có thể cho phép tin tặc tiếp tục truy cập vào hệ thống của bạn: Tài khoản SSH, tài khoản Remote desktop, tài khoản quản trị của website, tài khoản kết nối CSDL, phpmyadmin…
Trong trường hợp bạn có bản sao lưu của mã nguồn hoàn chỉnh, có thể tải bản mới lên bản mã nguồn mới cho website của bạn, trong trường hợp không có bạn cần thực hiện xóa bỏ các dấu hiệu mà hacker đã để lại, tìm và xóa các trang web lừa đảo mà hacker đã để lại. Có thể sử dụng công cụ Website malware scanner của Sucuri để phát hiện các mã độc mà hacker đã chèn vào wesite của, tại đây. (https://sitecheck.sucuri.net/)
Tìm và loại bỏ các mã độc, backup, webshell đang tồn tại trên hệ thống
Hacker thường để lại mã độc trên website của bạn theo 3 hình thức sau
  • Chèn code mã độc vào các tệp tin trên website của bạn.
  • Tải các tệp tin webshell, backdoor lên website để có thể kiểm soát website của bạn thông qua backdoor này.
  • Cài đặt chương trình độc hại chạy ngầm, mở cổng để hacker truy cập vào trong lần sau.
Để phát hiện các webshell, backdoor bạn cần tìm và quét toàn bộ thư mục web của mình để phát hiện. Bạn có thể sử dụng một số công cụ tìm kiếm: FileSeek, Everything, Webshell Detector… bạn có thể theo dõi thêm bài viết: Kinh nghiệm tìm kiếm WebShell trong mã nguồn để được hướng dẫn chi tiết về cách thực hiện công việc này.
Để phát hiện các mã độc hại được nhúng và mã nguồn website, bận cần tìm và kiểm tra tất cả các tệp tin có ngày thay đổi (date modified) xung quanh thời điểm tấn công. Rất có thể hacker đã chèn các mã độc vào các tệp tin “sạch” của bạn.
Ngoài ra bạn có thể đọc trong Log access để biết các backdoor mà hacker đã truy cập vào trước thời gian mà website của bạn bị tấn công.
Với các tiến trình mã độc trên website, bạn cần thực hiện một cuộc điều tra về các tiến trình đang hoạt động, các tiến trình cho phép khởi động cùng hệ điều hành, các tiến trình được cài đặt để chạy theo lịch trong Crontab. Từ đó phát hiện ra các tiến trình độc hại trên máy chủ của bạn.
Trước tiên bạn cần biết ai là người đã tấn công bạn. hacker đã tấn công bạn như thế nào, hacker đã làm gì trên website của bạn, hacker còn cài đặt, ẩn giấu mã độc gì trên website của bạn?
Tìm nguyên nhân mà website của bạn bị tấn công, ai là người đã tấn công website của bạn?
Để biết được ai là người đã tấn công và nguy nhân của cuộc tấn công, nếu website không có các hệ thống giám sát an ninh mạng để thu thập dữ liệu log trên máy chủ thì cách duy nhất là cần tận dụng các dữ liệu log trên website.
Bạn có thể tìm kiếm các truy cập vào tệp tin mã độc để xác định đối tượng tấn công, đọc log access trong thời gian tệp tin mã độc được tạo hoặc các tệp tin khác bị thay đổi hoặc tạo mới để tìm được cách mà hacker đã thực hiện để tấn công bạn, lọc toàn bộ các yêu cầu được gửi trong log từ địa chỉ IP của đối tượng tấn công.
Bạn cũng có thể đọc thêm các dữ liệu log audit, log secure, history… để biết được hacker đã làm gì với website của bạn.
Vá các lỗ hổng mà hacker đã khai thác
Sau khi đã biết được cách mà hacker đã khai thác, tấn công website bạn cần vá lại các lỗ hổng mà hacker đã khai thác, cập nhật các bản vá mới cho phần mềm, cấu hình phần quyền cho website. Tôi sẽ trình bày chi tiết hơn vấn đề này trong bài viết sau, mời các đón bạn đón đọc.

Lỗ hổng nghiêm trọng trong PHPMailer khiến hàng triệu website có nguy cơ bị tấn công.

Một lỗ hổng nghiêm trọng đã được phát hiện trong PHPMailer – thư viện PHP mã nguồn mở được sử dụng phổ biến bởi hơn 9 triệu người dùng.
Hàng triệu Website PHP và các ứng dụng web mã nguồn mở phổ biến bao gồm WordPress, Drupal, 1CRM, SugarCRM và Joomla đều sử dụng thư viện PHPMailer cho việc gửi email bằng nhiều phương thức khác nhau. Nhà nghiên cứu Dawid Golunski  đã tìm ra lỗ hổng nghiêm trọng CVE-2016-10033 cho phép tin tặc thực thi mã tùy ý từ xa trong máy chủ web và xâm nhập vào ứng dụng web.
“Để khai thác lỗ hổng, tin tặc có thể nhắm tới các thành phần phổ biến trong website như các form liên hệ/phản hồi, form đăng kí, khôi phục mật khẩu và các thành phần khác sử dụng chức năng gửi email thông qua PHPMailer”
Tất cả phiên bản PHPMailer phát hành trước PHPMailer 5.2.18 đều bị ảnh hưởng. Quản trị viên và nhà phát triển web được khuyến cáo cập nhật bản vá mới nhất. Tại thời điểm hiện tại còn rất nhiều trang web chưa vá do đó các nhà nghiên cứu chưa công bố thêm chi tiết kĩ thuật về lỗ hổng.
Golunski cho biết sẽ phát hành thêm thông tin bao gồm cả mã khai thác và video minh họa (PoC) vào một vài ngày tới. Chúng tôi sẽ cập nhật thêm thông tin sớm nhất tới bạn đọc.
THN

Nhóm hacker Nga tấn công 1000 công ty năng lượng


Đã qua rồi những ngày tội phạm mạng chỉ tập trung vào việc phát tán phần mềm độc hại vào máy tính người dùng dù đó là thông tin của một cá nhân bình thường hay một người có tầm quan trọng. Ngày nay, các công ty, tổ chức trong lĩnh vực năng lượng đã trở thành mục tiêu thú vị mới cho tội phạm mạng.
Vài ngày trước, các nhà nghiên cứu bảo mật đã phát hiện một phần mềm độc hại giống như Stuxnet là Havex được lập trình để lây nhiễm phần mềm điều khiển hệ thống công nghiệp của các hệ thống SCADA, với khả năng có thể vô hiệu hóa các đập thủy điện, quá tải nhà máy điện hạt nhân và thậm chí đóng cửa một lưới điện quốc gia chỉ với một phím tắt duy nhất.

Tin tặc Nga tấn công 1000 công ty năng lượng

Một nhóm tin tặc người Nga gọi là Energetic Bear đã gây thiệt hại cho hơn 1.000 công ty năng lượng trong khu vực châu Âu và Bắc Mỹ với một loại vũ khí mạng tinh vi, tương tự như Stuxnet. Nhóm này còn có tên gọi khác là Chuồn chuồn (Dragonfly), hoạt động từ năm 2011, bằng cách sử dụng các trang web lừa đảo và mã độc để nhắm vào các tổ chức cung cấp năng lượng của Mỹ cùng một số nước khác từ năm 2013.
Công ty Symantec tuyên bố rằng “Mục tiêu chính của chúng dường như là để gián điệp. Nhóm xuất hiện để tạo nguồn lực, quy mô và tổ chức. Rất có khả năng là có sự tham gia của chính phủ trong các chiến dịch phần mềm độc hại này–  công ty cho biết thêm.
Theo bài viết trên blog ngày hôm qua của hãng bảo mật Symantec, nhóm Dragonfly chủ yếu nhằm mục tiêu khai thác đường ống dẫn dầu khí, các nhà máy phát điện và các hệ thống điều khiển công nghiệp cung cấp các thiết bị cho ngành năng lượng ở một số nước trên thế giới.

Hoạt động phá hoại

Kể từ năm 2013, Dragonfly được tổ chức để tấn công các hệ thống điều khiển công nghiệp (ICS) quản lý điện, nước, dầu, khí và các hệ thống dữ liệu, làm ảnh hưởng đến hầu hết 84 quốc gia trong một chiến dịch kéo dài 18 tháng, hầu hết các nạn nhân ở Hoa Kỳ, Tây Ban Nha, Pháp, Ý, Đức, Thổ Nhĩ Kỳ và Ba Lan.
Dragonfly ban đầu nhắm mục tiêu các công ty quốc phòng và hàng không tại Mỹ, Canada trước khi chuyển tập trung chủ yếu vào các công ty năng lượng của Mỹ và châu Âu vào đầu năm 2013Dragonfly hoạt động dưới sự bảo trợ của nhà nước, cho thấy một mức độ nguy hiểm cao đối với các công ty, tổ chức và chính phủ các nước.

Hướng tấn công

Dragonfly sử dụng các kỹ thuật khác nhau để lây nhiễm vào các phần mềm công nghiệp với các mã độc được điều kiển từ xa (Remote Access Trojan – RAT) để truy cập vào hệ thống máy tính, các phần mềm độc hại được phát tán bằng cách đính kèm trong email, các trang web tải phần mềm và khai thác các chương trình của bên thứ ba. Nó có khả năng phá hoại hoặc làm gián đoạn các nguồn cung cấp năng lượng của một số quốc gia tại châu Âu.
Dragonfl, muốn tấn công vào một số tổ chức chiến lược quan trọng nhằm mục đích gián điệpNếu chúng sử dụng khả năng phá hoại, chúng có thể gây ra thiệt hại hoặc sự gián đoạn nguồn cung cấp năng lượng ở các nước bị ảnh hưởng”.

Dragonfly liên kết với Havex

Dragonfly sử dụng hai loại công cụ: đầu tiên là Backdoor.Oldrea được sử dụng để thu thập thông tin hệ thống, bao gồm sổ địa chỉ liên lạc trong Outlook của máy tính nạn nhân cùng một danh sách các tập tin và chương trình đã được cài đặt. Thứ hai là Trojan.Karagany được sử dụng để gửi đi các dữ liệu đánh cắp và tải về các tập tin độc hại và chạy chúng trên máy tính bị nhiễm.
Các Oldrea backdoor còn được gọi là Havex. Cả Oldrea và Karagany đều cho phép tội phạm mạng truy cập từ xa vào hệ thống bị nhiễm thông qua các cửa hậu (backdoor) mà chúng đã để lại, cũng như đánh cắp dữ liệu bí mật, tải về và cài đặt các phần mềm độc hại vào hệ thống.
Sâu máy tính Stuxnet nổi tiếng năm 2010 được thiết kế để phá hoại các dự án hạt nhân của Iran. Nó đặc biệt nhắm mục tiêu vào một cơ sở làm giàu uranium để làm cho máy ly tâm vượt khỏi tầm kiểm soát và gây ra thiệt hại vật chất cho các nhà máy ở Natanz, Iran và đã vô hiệu hóa thành công 1.000 máy ly tâm mà Iran đã sử dụng để làm giàu uranium.
Theo The Hacker News

An toàn an ninh và bảo mật trên Linux năm 2016


Trong 10 năm qua, GNU/Linux  đã đạt được những thành quả tưởng chừng như không thể: trang bị rộng rãi ừ thiết bị nhỏ nhất tới thiết bị lớn nhất trên thế giới, mọi thứ đều nằm trong vùng phủ sóng Linux. Năm 2016 dần khép lại với những dấu mốc đáng nhớ, trong cả thế giới thực và thế giới số. Hãy cùng nhìn lại những gì đã diễn ra trong năm qua với Linux.

25 năm tuổi đời của Linux

Năm 2016 diễn ra một sự kiện kỉ niệm 25 năm Linux ra đời. Một trong những phát biểu đầu tiên của nhà sáng lập Linus Torvalds đó là về vấn đề bảo mật.

Sự kiện nổi bật: Backdoor

Backdoor trong Linux Mint (Tháng 2 2016)

Người dùng tải về bản phân phối Linux vào ngày 20/1 có nguy cơ bị tấn công bằng backdoor. Máy chủ của Linux Mint đã bị xâm nhập thông qua WordPress. Tin tặc tải lên tệp tin ISO giả mạo. Nếu bạn tìm thấy tệp tin /var/lib/man.cy thì chắc chắn rằng bản cài đặt của bạn chứa backdoor.
Bài học rút ra: Ngừng sử dụng MD5. Nếu bạn vẫn sử dụng SHA1, hãy bổ sung SHA256 hoặc SHA512

Bảo mật kernel (lõi) Linux và cơ chế tự bảo vệ

Một chủ đề nóng xung quanh vấn đề nâng cao bảo mật kernel Linux và ý tưởng về một cơ chế “tự bảo vệ”. Kernel Linux nên được thiết kế tự chống lại các cuộc tấn công thông thường. Đó là các cuộc tấn công tràn bộ đệm, dẫn tới truy cập trái phép vào bộ nhớ.
Ví dụ với phiên bản Linux 4.9, phần kernel đã được bảo vệ dựa trên kiểu dữ liệu lưu trong bộ nhớ. Mã bộ nhớ được phân thành có thể thực thi và chỉ đọc; với chỉ đọc, dữ liệu không thể thực thi.
Một bổ sung mới đây đó là việc tăng cường bảo mật cho stack. Stack được dùng cho việc duy trì danh sách hoạt động của một tiến trình và xác định bước tiếp theo. Phần kernel giúp tất cả stack của tiến trình ánh sạ với nhau, và xảy ra nguy cơ một tiến trình thực hiện tràn stack (giống tràn bộ đệm). Lớp bảo vệ mới cho phép kernel gửi về thông báo lỗi và tránh các cuộc tấn công tương tự.

Vá Kernel trực tiếp

Công nghệ vá trực tiếp kernel không mới. Một vài công nghệ đã được phát triển trong nhiều năm như:
  • KernelCare
  • kexec
  • kGraft (SUSE)
  • kpatch (Red Hat)
  • Ksplice (Ksplice, hiện tại thuộc Oracle)
Khi một lỗ hổng an ninh mới tấn công vào kernel, các bản phân phối có thể tạo ra một bản vá tương ứng. Sau đó bán vá sẽ được chạy như một mô đun trong kernel và cách li chức năng chứa lỗ hổng.

Lỗ hổng trên Linux

CVE-2015-7547 – glibc

Lỗ hổng tồn tại trong glibc, một thư viện phổ biến ảnh hướng tới hầu hết các hệ thống Linux.

CVE-2016-1247 – nginx (vượt quyền root)

Chức năng tự động xóa tệp tin log trên hệ thống sử dụng nginx trên Debian có thể dẫn tới lỗ hổng vượt quyền.

CVE-2016-0636 – OpenJDK

Một lỗ hổng trong phiên bản Java 7 và 8 tấn công các Windows lẫn Linux. Với xu hướng hiện tại, các chuyên gia bảo mật khuyến cao vô hiệu hóa Java và Flash.

CVE-2016-0800 – DROWN attack

Tấn công DROWN được phát hiện trong SSLv2. Mặc dù rất nhiều máy chủ web được cấu hình đúng, nhưng vẫn có thể bị tin tặc tấn công nếu SSLv2 được bật trên hệ thống khác (ví dụ mail), khi sử dụng chung một khóa cho chứng chỉ SSL

CVE-2016-0728 – Khai thác 0-day Linux root

Một lỗ hổng trong thành phần lõi của Linux có thể dẫn tới rò rỉ dữ liệu. Chi tiết về lỗ hổng được đăng tải tại đây.

CVE-2016-5696 – Lỗ hổng trong Linux kernel 4.6

Không ảnh hưởng máy chủ và thiết bị máy tính, lỗ hổng tập trung chủ yếu vào Android 4.4 KitKat và các phiên bản cũ hơn. Lỗ hổng có thể được sử dụng để tấn công  TCP session.

CVE-2016-6662 – Lỗ hổng nghiêm trọng trong MySQL và MariaDB

Lỗ hổng dẫn tới vượt quyền root. Chi tiết được đăng tải tại đây.

CVE-2016-4484 – Bypass mã hóa ổ đĩa Linux

Lỗ hổng tương tự bypass xác thực GRUD2 được phát hiện vào năm 2015.

CVE-2016-5195 – Dirty COW

Lỗ hổng rò rỉ bộ nhớ Copy-on-write

Mã độc Linux

Mã độc không phải là một điều mới trên Linux và nó tộn tại ngay từ khi Linux ra đời. Vào đầu năm 2000, các nhà nghiên cứu đã tìm ra rootkit, backdoor và một vài công cụ tấn công khiến phần mềm bị treo. Chất lượng và số lượng mã độc ngày càng được nâng cao.

Mirai botnet

Botnet (mạng ma ảo) là một công cụ đắc lực cho tin tặc thực hiện tấn công từ chối dịch vụ, gửi thư rác hay thu thập bitcoin. Các mạng ma ảo đa dạng từ các client IRC có thể thực thi lệnh đến các client mã hóa mạnh mẽ với các cơ chế khác nhau kiểm soát bởi chủ mạng ma.

Tổ chức Core Infrastructure Initiative

Linux Foundation đóng góp nguồn lưc và kinh phí của mình giúp Linux bảo mật hơn, an toàn hơn. Không chỉ trong Linux kernel, các phần mềm được sử dụng rộng rãi trong Linux như OpenSSL và các dự án mã nguồn mở khác cũng được hỗ trợ trong Core Infrastructure Initiative. Hàng loạt các công ty hàng đầu thế giới chịu trách nhiệm và tham gia vào tổ chức như  Amazon Web ServicesCisco SystemsDellFacebookFujitsuGoogleIBMIntel,MicrosoftNetAppRackspaceQualcommVMware …

Các hội nghị bảo mật

O’Reilly Security

Hầu hết các hội nghị bảo mật đều tập trung vào khía cạnh tấn công như Black Hat hay Defcon. Hiếm có hội nghị bảo mật nào tập trung vào việc phòng thủ như O’Reilly. O’Reilly được tổ chức thành hai sự kiện tại New York và Amsterdam.

Linux Security Summit

Là hội nghị thượng đỉnh hàng năm cung cấp đầy đủ thông tin về vấn đề bao mật Linux. Bạn đọc có thể theo dõi thông qua  video được đăng tải tại đây.

linux-audit