Cryptolocker attacca wordpress e joomla

Il defacement dei siti web è una pratica che da diverso tempo viene osservata, ma nelle ultimewordpress settimane si sono registrati dei casi di CryptoLocker che attaccano direttamente i siti web costruiti in WordPress e Joomla.

La nuova strategia mostra un salto di qualità, il tipico defacement consisteva nel cambio degli elementi della homepage e serviva a pubblicizzare il gruppo autore dell’attacco, ora invece l’attacco è costruito per chiedere un riscatto, tipico dei casi di CryptoLocker.

La pericolosità di questo attacco si riassume in tre elementi:

  • Elevata diffusione delle piattaforme wordpress e joomla: molte aziende e siti di commercio elettronico si basano su queste piattaforme.
  • Basso costo dell’attacco (ed alta resa): solitamente è possibile acquistare per qualche centinaio di dollari lo script che permette l’attacco, l’investimento è ad alta resa, infatti bastano pochi “riscatti” per portare in attivo l’attività.
  • Scarsa attenzione sistemitistica: i gestori dei siti wordpress sono sicuramente più interessati ad i temi grafici che non ad installare regolarmente le patch e questo espone a rischi molto importanti.

Il principale suggerimento è tenere tracciate le vulnerabilità dei software utilizzati e provvedere ad installare le patch il più urgentemente possibile

 

11 Marzo 2016

Vulnerabilità delle applicazioni: Impatto

Metriche Impatto

cvssLe metriche di impatto si riferiscono alle caratteristiche del componente impatto. Se una vulnerabilità sfruttata con successo interessa uno o più componenti, le metriche di impatto si riferiscono alla componente che subisce il peggior risultato che descrive meglio le probabilità che un attacco abbia successo.

Se non si è verificato un cambiamento di Ambito, le metriche di impatto devono descrivere l’impatto su: riservatezza, integrità e disponibilità (CIA) per la componente vulnerabile.
Tuttavia, se si è verificato un cambiamento di ambito, le metriche di impatto devono riflettere l’impatto della CIA sulla componente interessata dalla vulnerabilità, o sul componente su cui si acquisiscono le autorizzazioni, a seconda di quale subisce l’impatto maggiore.

Riservatezza (C)

Questa metrica misura l’impatto sulla riservatezza delle risorse informative gestite da un componente software a causa di una vulnerabilità sfruttata con successo. Riservatezza si riferisce a limitare l’accesso alle informazioni solo gli utenti autorizzati.

 Integrità (I)

Questa metrica misura l’impatto sull’integrità dei dati dopo che una vulnerabilità è sfruttata con successo. L’integrità si riferisce alla attendibilità e la veridicità delle informazioni.

Disponibilità (A)

Questa metrica misura l’impatto alla disponibilità della componente dopo che una vulnerabilità è stata sfruttata con successo. Mentre le metriche confidenzialità e integrità metriche riguardano la perdita di riservatezza o l’integrità dei dati (ad esempio, informazioni, file) utilizzati dal componente vulnerabile, questa metrica si riferisce alla perdita di disponibilità del componente stesso, come un servizio di rete (ad esempio, webserver, database, e-mail). Dal momento che la disponibilità si riferisce alla accessibilità delle risorse informative, attacchi DoS che consumano la banda, processore, o spazio su disco impattano sulla disponibilità del componente.

10 Marzo 2016

Vulnerabilità DROWN

Una nuova vulnerabilità nota con il nome di DROWN è stata scoperta CVE-2016-0703 https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0703

Secondo la classificazione CVSS questa vulnerabilità ha un livello di pericolosità MEDIA

Questa vulnerabilità interessa l’implementazione di OpenSSL:

  • OpenSSL 0.9 fino alla versione 0.9.8zf
  • OpenSSL 1.0.0, fino alla versione 1.0.0r
  • OpenSSL 1.0.1 fino alla versione 1.0.1m
  • OpenSSL 1.0.2 fino alla versione 1.0.2a

poiché accettano valori di CLIENT-MASTER-KEY CLEAR-KEY-LENGTH arbitrari, che rende fattibile un attacco man-in-the-middle, che permette all’attaccante di scoprire il valore della MASTER-KEY e di decrittare i dati crittografati con TLS.

DROWN consente agli aggressori di rompere la cifratura e leggere o rubare le comunicazioni, tra cui informazioni sensibili come password, numeri di carte di credito, segreti commerciali o dati finanziari.DROWN_diagramUn server è vulnerabile a DROWN se :

  • Permette connessioni SSL v.2 Questo è sorprendentemente comune, a causa di errori di configurazione e le impostazioni predefinite inappropriate . Si stima che il 17% dei server HTTPS ancora consentire le connessioni SSL v.2.
  • La sua chiave privata viene utilizzata su qualsiasi altro server che permette connessioni SSLv2, anche per un altro protocollo, ad esempio SMTPS.
    Molte aziende scelgono di riutilizzare lo stesso certificato e la chiave sui propri server web ed e-mail. In questo caso , se il server e-mail supporta SSL v.2 e il server web non lo fa, un utente malintenzionato può sfruttare il server di posta elettronica per intercettare le connessioni TLS al server web.

La particolare gravità di questa minaccia è determinata da due fattori:

  • Diffusione: Si stima che il 30% di tutti i server HTTPS sono vulnerabili all’attacco.
  • Costo: Si stima che per determinare la MASTER-KEY sia sufficiente poche ore, ed un attacco possa costare circa 440$

Come proteggo il mio server ?

Per la proteggersi dalla vulnerabilità Drown, è importante essere certi che le chiavi private non vengono utilizzati in un server che consente le connessioni SSL v.2.
Questa raccomandazione include i server web, server SMTP , server IMAP e POP, e qualsiasi altro software che supporta SSL / TLS .

Ulteriori dettagli sull’attacco sono riportati nel paper: https://drownattack.com/drown-attack-paper.pdf

Vulnerabilità delle applicazioni: Ambito

Metrica Ambito

Una proprietà importante descritta da CVSS v3.0 è la possibilità per una vulnerabilità in un cvsscomponente software di riuscire ad utilizzare le risorse privilegi superiori. Questo viene rappresentato dalla metrica Scope (Ambito).

Formalmente, Scope si riferisce all’insieme di privilegi definiti da un’autorità (ad esempio un’applicazione, un sistema operativo, o un ambiente sandbox) nel concedere l’accesso alle risorse di calcolo (ad esempio file, CPU, memoria, ecc). Questi privilegi vengono assegnati sulla base di un sistema di identificazione ed autorizzazione. In alcuni casi, l’autorizzazione può essere semplice od effettuata genericamente sulla base di regole o standard predefiniti. Ad esempio, nel caso di traffico Ethernet inviato ad uno switch, l’apparato accetta traffico che arriva sulle porte ed è un’autorità che controlla il flusso del traffico indirizzandolo verso altre porte.

Quando la vulnerabilità di un componente software che governa le autorizzazioni è in grado di influenzare le risorse governate cambiando i permessi di autorizzazione, si verifica un cambiamento ambito (Scope).

Il punteggio è maggiore quando si può verificare un cambiamento di ambito. I valori possibili per la metrica sono:

  • Invariato (U) la vulnerabilità può interessare solo le risorse gestite dalla stessa autorità. In questo caso il componente vulnerabile ed il componente impattato sono uguali.
  • Modificato (C) la vulnerabilità sfruttata può influenzare risorse oltre i privilegi di autorizzazione previsti dalla componente vulnerabile. In questo caso il componente vulnerabile e il componente impatto sono differenti.

9 Marzo 2016

Vulnerabilità delle applicazioni: CVSS Exploitability Metrics

Exploitability Metrics

Queste metriche, che fanno parte della classificazione CVSS, descrivono le caratteristiche della cvsscomponente vulnerabile. Pertanto, ciascuna delle metriche elencate in questa sezione devono essere valutate rispetto alla componente vulnerabile, e rispecchiano le proprietà della vulnerabilità che permettono ad un attacco di avere successo.

Vettore di attacco (AV)

Questa metrica riflette il contesto con cui vulnerabilità sfruttamento è possibile. Questo valore metrica (e di conseguenza il punteggio di base) sarà più grande è la più remota (logicamente e fisicamente) un aggressore può essere al fine di sfruttare la componente vulnerabile. Il presupposto è che il numero di potenziali aggressori per una vulnerabilità che potrebbe essere sfruttata da tutto il Internet è maggiore del numero di potenziali aggressori che potrebbe sfruttare una vulnerabilità che richiede l’accesso fisico a un dispositivo, e garantisce quindi un punteggio superiore.

Complessità dell’attacco (AC)

Questa metrica descrive le condizioni che esulano dal controllo dell’attaccante che devono esistere al fine di sfruttare la vulnerabilità. Come descritto di seguito, tali condizioni possono richiedere la raccolta di ulteriori informazioni sul bersaglio, la presenza di determinate impostazioni di configurazione di sistema, o eccezioni computazionali. È importante sottolineare che la valutazione di questa metrica esclude eventualmente la necessità di interazione con l’utente al fine di sfruttare la vulnerabilità (tali condizioni vengono acquisite in Interaction metrica Utente). Questo valore metrica è più grande per gli attacchi meno complesse. L’elenco dei possibili valori è presentato nella Tabella 2.

Privilegi necessari (PR)

Questa metrica descrive il livello di privilegi un utente malintenzionato deve possedere prima di sfruttare la vulnerabilità. Questa metrica se più grande se non hanno bisogno di privilegi.

Interazione utente (UI)

Questa metrica cattura il requisito per un utente, oltre al malintenzionato, a partecipare compromesso successo del componente vulnerabile. Questa metrica determina se la vulnerabilità può essere sfruttata esclusivamente alla volontà dell’attaccante, o se un utente separato (o un processo avviato dall’utente) deve partecipare in qualche modo. Questo valore metrica è maggiore quando non è richiesto alcun intervento da parte dell’utente.

8 Marzo 2016

Blog & News

Categorie