La CIA, Paypal et d'autres attaqués par DOS?

Depuis une semaine environ, le site de la CIA, de Paypal et de centaine d'autres sites subissent un bombardement de million de requêtes SSL provenant du botnet Pushdo. Il en résulte une consommation accrue de ressources, mais visiblement sans grande conséquence pour l'utilisateur jusque là.
Un membre de la Shadowserver Fondation, un collectif de chercheur en sécurité informatique, indique que la fréquentation sur les sites impactés s'est accrue de plusieurs millions de visites, en provenance de centaines de milliers d'adresses IP différentes. Il poursuit en indiquant que cela pourrait être grave si les sites ne recevaient que quelques centaines ou milliers de visiteurs par jour, ou si leur bande passante etait limitée...ce qui n'est visiblement (et heureusement) pas le cas.

315 sites web seraient impactés, la cia et paypal donc, mais également yahoo, ubuntu.com, twitter ou americanexpress. Les PC infectés initialisent une connexion SSL vers ces sites, se déconnectent et recommencent. Ce qui est bizarre est qu'ils ne demandent aucune ressource (image, document, texte), ce qui est pourtant courant dans les attaques par Dénis de service.


Pour avoir accès à la liste complète de site attaqué, c'est sur le site de la shadowserver.

Une vulnérabilité XSS menace les utilisateurs d'Orange

Décidément, les opérateurs télécom ne sont pas tous de bon élève en sécurité Web. Après la vulnérabilité trouvé chez SFR par theSnailSnapper, c'est TinKode qui dévoile un Proof Of Concept sur le site orange.co.uk .

Grâce à une injection de code dans l'URL, TinKode prouve qu'il est possible de voler les cookies d'authentification d'utilisateur. Cette vulnérabilité est d'autant plus sérieuse qu'elle est présente sur une page de demande de mot de passe.

Ensuite le pirate roumain montre qu'il est capable de piéger l'URL avec un faux logiciel. Ainsi un utilisateur suivant le lien (au travers d'un vague de phishing par exemple) se verra proposer de télécharger un logiciel. Cela pourrait très bien être un Stealer, un logiciel qui s'installe sur votre ordinateur, vol tous les mot de passe Firefox, IE, Steam, MSN, ... et les envoie par mail ou par ftp sur un serveur distant.
Ici un PoC avec Winamp :

Le site de SFR vulnérable aux XSS

Une page d'authentification du site sfr.fr autorise un attaquant a y injecter des scripts, des iframe, ... Sur son blog, theSnailSnapper montre comment cette faille pourrait être utilisé pour du phishing :

Hello Dear customers,
blablabla
please put your credit cards data on your Customer Panel.

Regards,

The SFR Team

Le lien, commençant bien par www.sfr.fr, redirige vers le blog du bidouilleur. Imaginez seulement si celui-ci redirigeait vers une copie de cette page d'authentification!

Petit clin d'oeil, il a incrusté dans la page de SFR une petite pub pour un de ses concurrents direct : Orange!

theSnailSnapper a prévenu par mail l'équipe du site le 14 janvier ... aujourd'hui les portes sont encore grandes ouvertes!

Le succès d'Avatar utilisé par les pirates

Vous avez vu Avatar? Présenté comme le film qui va révolutionner notre vision du cinéma il cartonne dans tous les pays. Alors forcement on a envie de le revoir, légalement ou pas.

On recherche donc sur Google "Avatar Movie" et on clique sur les premiers résultats de la première page :

Le troisième résultat redirige vers une fausse page de scan antivirus, qui au final vous recommande d'effectuer une désinfection :

D'autres pages dans les résultats suivant sont également vérolées. Ces pages appartiennent à des sites lambda qui ont été piraté. Les hackers y ont placé des script de génération automatique d'articles sur le film Avatar. Un procédé de Black SEO très performant, car avec les fermes de mots-clés, les liens entre sites et l'évitement du duplicate-content, les pirates s'assurent une bonne place dans les recherches google.

Attention, les recherches sur la vague de froid s'abattant sur le monde entier, ainsi que les tremblements de terres à Haïti sont également exploitées.

Ghost Antivirus vous veut du mal

L'éditeur Lavasoft a découvert un nouveau Rogue du nom de Ghost Antivirus :

Ce Rogue s'attrape via ces pages HTML faisant croire à une fenêtre de scan antivirus.

XSS pour TELECOM Italia

Ne0h a trouvé une jolie petite vulnérabilité XSS sur le site de l'opérateur Telecom Italia

(image retirée à la demande de TELECOM Italia)

Rappelons que ce type de vulnérabilité permet d'injecter du code HTML sans vérification de la part du site internet.


==========================================================

Vi comunichiamo di aver rilevato al seguente url:

http://news-of-security.blogspot.com/2010/01/xss-pour-telecom-italia.html

la presenza di contenuti, riguardanti il portale istituzionale di Telecom Italia S.p.A., che violano le normative vigenti in materia di commercio elettronico e cyber crime.

Consapevoli del fatto che probabilmente non siete a conoscenza dell’utilizzo improprio dei vostri servizi, Vi chiediamo di rimuovere immediatamente tali informazioni.

In attesa di un vostro riscontro, ci riserviamo di comunicare l’evento all’Autorità competente.

--------------------------------------------

We inform you that we discovered, at the following url:

http://news-of-security.blogspot.com/2010/01/xss-pour-telecom-italia.html

the presence of contents, relating the Telecom Italia SpA institutional website, that violate rules regarding the electronic commerce and cybercrime.

Conscious that you are probably unaware the improper use of your services, we ask that you immediately remove these informations.

Waiting for your feedback, we reserve the right to apply to the competent authority in order to report the mentioned circumstance.

------------------------------------------------------------------
Abuse Telecom Italia
abuse@telecomitalia.it

Une université vend des médocs discount

Alors que je surfais un peu, j'ai découvert via une requête google un site éducatif qui vendait du Prednisolone à pas cher.

Je me rend alors sur la page d'accueil du site, puis trouve la fameuse page "elearning".

Il y a donc surement eu piratage d'un compte utilisateur ou bypass de l'authentification par injection SQL, permettant ainsi aux vendeurs de cachet d'installer leur page pharmaceutique :


Un cache est utilisé de telle manière que où que vous cliquez sur la page, vous serez redirigé directement sur une de ses "pharmacies canadiennes".

Le site cible reçoit donc des liens entrant de la part de sites officiels, ce qui permet de faire monter son pagerank et de le placer en très bonne place sur les recherches google. Le responsable informatique de l'université a été avertis.

Une fausse MAJ Outlook

Jerome Segura, un Security Analyst, met en garde contre une fausse mise à jour Microsoft Outlook lancé par le Gang Zeus (un des plus gros botnets mondial).

Ce genre de fausse page télécharge un fichier PDF, le gang essayant d'utiliser les vulnérabilités d'Adobe reader pour nous infecter. S'il réussissent, le PC rejoindra alors le réseaux de milliers et de milliers d'autres camarades sur le botnet Zeus.

Un site de l'UMP piraté

Le site de la délégation britannique de l'Union pour un Mouvement Populaire est vulnérable aux XSS. theSnailSnapper dévoile sur son site une page du site politique ou s'affiche une boite de dialogue en bonne et du forme, preuve de la présence d'un faille XSS.

La faille a été dévoilé le 7 janvier par theSnailSnapper, et aujourd'hui il semble qu'elle soit corrigé. Une bonne réactivité de l'équipes techniques du site.

Le site de l'armée américaine piraté

"The Official Web Page Of the United States Army" indique la bannière d'accueil d'army.mil. Enfin pourquoi s'étonner, puisqu'il avait déjà eu la NASA. TinKode a dévoilé hier une faille MSSQL qui lui a permis d'obtenir le login et mot de passe de l'administrateur.

Il a posté sur son blog des screenshots de ses injections, à l'image de l'obtention des informations serveur :
Il a ainsi pu avoir accès au 76 bases de données, a dévoilé les 46 tables de la main database et en a extrait les informations d'administration.
Dévoilé le 7/01/2010 vers 22h, la faille était toujours vulnérable le 8 au matin.

National Geographic vulnerable aux XSS et SQLi

Ne0h a visité cette fois-ci le site de la National Geographic. Une série d'injection SQL lui a permis d'avoir accès aux informations de compte de l'administrateur :

Pour courroner le tout, le site est également faillibles aux XSS. Le formulaire d'inscription permet d'injecter du code et de rediriger les utilisateurs vers un autre site, afficher des boites de dialogue ou des images :

Un site du gouvernement nigérian piraté

Un hacker a posté hier des screenshots de son intrusion par injection SQL sur le site internet de l' Office of the Surveyor General Of the Federation (OSGOF) du Nigéria. Mais il semble que se ne soit pas le premier à passer par là.

Voici un bidouilleur à rajouter à ma longue liste de veille. TinKode, Unu, Ne0h et les autres accueillent theSnailSnapper, qui diffuse également ses découvertes sur Baywords. Cependant à la différence de ses camarades roumains, tSS semble être un francophone et pourrait même être français. Bref à suivre ...

Sur son blog (hébergé sur la plate-forme suédoise baywords) il diffuse la structure complète de la base de donnée du site de l'OSGOF :

et pour prouver ses dires il montre le contenu de la table account :

"Joli travail" puisque ses injections sont visiblement réalisées manuellement, mais il n'a pas la primeur. En effet si l'on se rend sur la page d'accueil un message atteste du passage d'un certain PH03N1Xh4X0R :

Si l'on clique sur "Read More", on voit que cette entrée a été ajouté le 24 décembre par le compte admin. PH03N1Xh4X0R est un defacer probablement d'origine indonésienne avec à son actif un certain nombre de piratages de site en tout genre (cf google).

theSnailSnapper quant à lui est plus discret. Il a tout de même trouvé une vulnérabilité XSS sur le site officiel de la Police du Bangladesh ou de l'université de Tour, eu accès à la base de donnée de "Paysan Breton", ...

Google référence les XSS de la Royal Air Force

Nous avions vu dans un billet de décembre comment retrouver les sites piratés par XSS de la NASA. Petit détail amusant aujourd'hui en cherchant des paramètres de vulnérabilités à droite à gauche, voici le premier résultat qui sort d'une des google dorks que j'avais lancé :


Le résultat fait référence à la vulnérabilité XSS trouvé le site officiel de la RAF, ce qui donnait ça.
Je crois que je vais commencer à sérieusement intégrer des XSS dans mes dorks, volontairement cette fois-ci!

Le site officiel du président iranien piraté

Après le piratage XSS par Mr Beans du site officiel de la présidence européenne de l'espagne, c'est au tour du site du président iranien Ahmadinejad.

Le site www.ahmadinejad.ir présente une ou plusieurs failles permettant à un attaquant de télécharger sur le site ce qu'il veut. Dans notre cas, il s'agissait d'un fichier *.txt (http://www.ahmadinejad.ir/userfiles/file/owned.txt) contenant le message suivant :

“Dear God, In 2009 you took my favorite singer – Michael Jackson, my favorite actress – Farrah Fawcett, my favorite actor – Patrick Swayze, my favorite voice – Neda. Please, please, don’t forget my favorite politician – Ahmadinejad and my favorite dictator – Khamenei in the year 2010. Thank you.”


Désormais supprimé, voici une capture d'écran réalisé par Rik Ferguson de countermeasure :

rik indique que le passage "my favorite voice - neda" fait surement référence à Neda Agha-Soltan, une jeune femme iranienne tuée par balle au cours d'une des manifestations de protestation qui ont suivi le résultat contesté de l'élection présidentielle iranienne de 2009.

RockYou piraté, 32 millions de mots de passe Facebook dans la nature

La base de données de la société RockYou, spécialisé dans les albums photo à destination des réseaux sociaux (Facebook, MySpace, hi5, ...) a été piraté il y a quelques semaines. C'est 32 millions de mots de passe non chiffrés qui ont été volés par les hackers.

Vous faites peut-être partie de cette liste si vous aviez souscrit - sur n'importe quel réseau social- a une des applications suivantes :


* Slideshow
* Uploadphoto
* Photofx
* Glittertext
* Funnotes
* Countdown
* Superhug
* Myspace layouts
* Stickers
* Superwall
* Pieces of flair
* Speedracing
* Likeness
* Hugme
* Birthday cards

Selon les applications, RockYou peut avoir le mot de passe de votre messagerie ou celui de votre compte Facebook. Dans un communiqué, la société recommande à tous de changer ses mots de passe messagerie, compte sociaux, ...
Sur un certains nombres de forums spécialisés dans le cybercrime et la sécurité informatique, on reporte que le nombre de comptes Gmail hackés a explosé, tout comme les "spams d'amis" ("Hey c'est toi sur cette photo?"). Il n'y a peut-être pas de rapport, mais il faut tout de même noter que le/les hacker(s) ont posté l'intégralité de la base de donnée sur le net.


Employé, partenaire ou utilisateur, personne n'a été épargné!

EDIT : Voir le détails fait par Comme dans du beurre

Les forums France2, mieux que le torrent!

Un petit message posté sur zataz par Jojo le pirate nous fait par d'une situation bien cocasse. Les forums de la chaine de télévision France 2 sont remplis de messages pointant vers du streaming ou du direct download de films récent (Avatar, LOL...) :

Un utilisateur a tenté d'attirer l'attention des administrateurs le 31 décembre 2009 en postant un message ironique ...mais près de 5 jours plus tard les liens vers les films piratés sont toujours là! Ironique en plein lancement d'HADOPI!

Vulnérabilité SQLi pour le site pchardware.ro

Ne0h a découvert le 2 janvier une faille majeur sur le site pchardware.ro.

La base de donnée du site a été mis en téléchargement (~5 Mo), livrant des informations précieuses sur ses membres :

Pour trouver cette faille, Ne0h a vraisemblablement uniquement utilisé l'outil Pangolin, mais il y avait plus simple! Après de petites recherches ces informations étaient accessibles via une simple recherche google :

Rien que de savoir que leurs propres adresses mail ainsi que celles de tous leurs membres sont dans la nature, les admins de pchardware.ro ferraient bien de se bouger un peu le train avant de rencontrer de très très gros ennuis.

PS : j'ai masqué les données de Pangolin et je n'ai pas mis le lien vers la data base. Si vous souhaitez avoir accès à ses informations, rendez-vous sur le blog de Ne0h.

XSS pour l'Office des Postes Britannique

Le grand retour de Ne0h! Alors que dernièrement son compatriote TinKode faisait beaucoup parler de lui, Ne0h revient en force avec cette vulnérabilité XSS trouvé chez l'opérateur des postes anglais.

http://www.postoffice.co.uk/portal/po/faq?catId=1%3Cscript%3Ealert(document.cookie)%3C/script%3E&print=true

Vulnérabilité XSS pour la Royal Air Force

Le site officiel de la RAF, l'armée de l'air britannique, a été le cobaye de Ne0h. Pas de honte a avoir pour les anglais, le Pentagone est également tombé sous le coup de ce bidouilleur roumain.

Et pour la trouver, sa faille XSS, il n'est pas allé la chercher bien loin : elle est présente sur la page d'accueil :

Si vous souhaitez vous amuser un peu : http://www.raf.mod.uk/index.cfm?comment=1%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%2F%56%6F%74%72%65%20%6D%65%73%73%61%67%65%2F%29%3C%2F%73%63%72%69%70%74%3E&subBtn=Feedback

Également possible, la redirection vers un autre site internet ou affichage d'images de votre choix.

Yahoo piraté par Blind SQLi

Yahoo est criblé de failles XSS dans tous les sens, on se demande même comment Yahoo!Meme tient toujours!

Mais là ce n'est pas les scripts qui transperce la petite carapace du portail web, mais sa base de donnée SQL. La Team roumaine Code Breaker a trouvé une page, a gratté un peu et a eu accès aux mots de passe des utilisateurs (dont admin).