[ 安全通報 ] 30 十一月, 2012 15:55
根據近日US-CERT消息指出,
三星的印表機(包含一些由三星製造的DELL 印表機)被發現漏洞,可以讓駭客完全控制印表機! CVE-2012-4964

這批有漏洞的印表機含有寫死的SNMP讀寫權限的community string,
也就是firmware 程式裡寫了一組預留的帳號,被駭客發現並用來去存取有這個漏洞的印表機,更改印表機的設定,甚至是獲取設備和網路資訊來達到更進一步的攻擊行為!

三星表示,在2012年10月31日之後生產的產品不存在此問題,他們也將在2012年11月30日推出修補程式來解決此問題!

此事件更印證了AegisLab一直以來對嵌入式系統安全性的質疑與高度重視!
印表機,WebCam,Monitor,電視機...甚至以後的冰箱,洗衣機...等使用Embedded system的Devices也都有被駭的機會.
 
不是不爆,只是時機未到! 
 
 
by AegisLab 
 
 
[ 安全通報 ] 30 十一月, 2012 10:15

   Piwik是一個開放原始碼的網站流量分析工具,是由PHP+MYSQL開發的,只要將檔案上傳並設定資料庫,就能夠架設一個屬於自己的網站流量分析統計網站,可以用來取代Google Analytics!

  根據Ars Technica(http://arstechnica.com/security/2012/11/malicious-code-added-to-open-source-piwik-following-website-compromise/) 和 Official Piwik Blog(http://piwik.org/blog/2012/11/security-report-piwik-org-webserver-hacked-for-a-few-hours-on-2012-nov-26th/)的消息: 

  在11/26的15:45 ~ 23:59間下載的piwik 1.9.2版程式被發現有後門! Hacker利用了Piwik網頁(Piwik.org)所使用的WordPress plugin的漏洞,駭進了他們的webserver,並植入了malicious code,受害的使用者會發送資料到prostoivse.com!


以下是解析出來會執行的code, 可以看到資料會被發送到hxxp://prostoivse.com/x.php!

 

 

要如何判定所使用的版本是否有問題?

打開"piwik/core/Loader.php",檢查是否被加入了以下幾行malware code:

 

Piwik官網對此也提供了建議的處理方式:

   1.備份 piwik/config/config.ini.php

2.刪除整個piwik目錄

3.下載最新版本的Piwik版本

4.解壓縮並上傳piwik目錄到server上

5.把備份的config.ini.php複製到/piwik/config/

6.完成後,確認Piwik是否能正常運作 

 

我們的WebGuard用戶,請隨時保持最新WG特徵碼,以防止不當的惡意連結. 

by AegisLab 

 

 

[ 安全通報 ] 15 十一月, 2012 15:27

昨天印度一位安員研究人員Shubham Upadhyay (暱稱 Cyb3R_Shubh4M )發現eBay拍賣網頁有XSS漏洞,而且到現在都還沒修復.

AegisLab也隨即測試,果然漏洞還存在. 因為驗證成功用的 alert 小視窗跳出來了.

 

 

因此只要有eBay帳號,就可以在自己的拍賣頁面裡,例如物品簡介的地方植入XSS code,就像這樣:

 iframe:hxxp://vi.raptor.ebaydesc.com/ws /eBayISAPI.dll?ViewItemDescV4&item=181023275832&t=1352728321000&tid=20310&category=172602&seller=pevjack&excSoj=1&rptdesc=1&excTrk=1&tto=1500

 

 

上面的 alert 小視窗就是再插一段:<script>alert('CybeRShubhaM Here \m/ >>>>> XSS');</script>  

 

 

XSS 攻擊並不是什麼新手法,甚至已經是老生常談,最常見的危害就是可竊取瀏覽者的cookie,進而偽冒受害的瀏覽者身分去作任何事,例如:下標,購物,付款,資料設定...很可怕的.  

 

 by AegisLab WG Team.

 

[ 安全通報 ] 12 十一月, 2012 16:42

最近AegisLab發現一個URL:www.hv20.com/payroll/djia-finance.php 已經被汙染.

從Google搜尋的結果開啟這連結(Blackhat SEO),

將會download一個有問題的PDF檔.

整個流程是這樣的: 

Google search -> djia finance

-> hxxp://www.hv20.com/payroll/djia-finance.php

www.hv20.com是無辜的,也完全無害,只是這個URL被利用來當障眼法,整個惡意連結的操作過程都沒經過它,連結會直接跳轉到

-> hopping site:hxxp://78.159.118.51/in.cgi?10

最後的download site:hxxp://proddingappsumo.info/guaranteeing/means_phone- pool_occurs.php?tjn=33:2v:1h:2w:1m&wrgglxs=38&ciooh=33:30:32:2w:30:1n:31:1f:1m:1i&zuhy=1n:1d:1g:1d:1h:1d:1f 

根據AegisLab的分析經驗,此download site的規則,可以判斷這就是Blackhole Exploit Kit 2.0 搞的鬼! 

我們把這個經由惡意連結下載的pdf,送到VirusTotal掃描的結果: 

virustotal(3/44):https://www.virustotal.com/file/e7c42a18ff9a8acdd4eb9f5808ec5bd5cafac1cd8ca6ac1ef6b71cdfe2106f67/analysis/1352442238/

 

截至目前,Google safe browsering都還沒對這個惡意連結標註警告.

 

 

 

WebGuard已將最後的download site:proddingappsumo.info加入rule中阻擋!

在此提醒我們的客戶,隨時保持最新的WG特徵碼.

 

by AegisLab WG Team