S

erwis Gravatar umożliwia ustawienie swojego awatara, który będzie miał charakter globalny – ang. Globally Recognized Avatar. Serwis został stworzony przez Toma Perstona-Wernera, a od 2007 roku jest własnością firmy Automattic, która zintegrowała ją z platformą blogową WordPress. Na Gavatarze użytkownicy mogą zarejestrować konto/a na podstawie adresu e-mail i przesłać cyfrowy awatar, który będzie powiązany z tym kontem. Wtyczki Gravatar są dostępne dla większości popularnego oprogramowania do blokowania; kiedy użytkownik umieszcza komentarz na takim blogu, który wymaga podania adresu e-mail – oprogramowanie do blogowania sprawdza, czy ten adres e-mail ma powiązany awatar w serwisie Gravatar. Jeśli tak, to obrazek umieszczony w serwisie Gravatar jest wyświetlany wraz z komentarzem użytkownika.
[ czytaj całość… ]

G

ootloader, czyli usługa wstępnego dostępu do (firmowych) sieci dla cyberprzestępców ostatnio rozszerzyła swój zakres działalności o różne cele na całym świecie. Przypomnijmy: w 2014 roku po raz pierwszy został zauważony trojan bankowy o nazwie Gootkit. Od tego czasu ewoluował, aby stać się bardziej złodziejem poufnych informacji obsługiwanym przez grupę aktorów. Nazwa ‘Gootkit’ jest często używana zamiennie – zarówno w odniesieniu do złośliwego oprogramowania, jak i do samej grupy. W marcu 2021 roku firma Sophos jako pierwsza zidentyfikowała szersze możliwości tego oprogramowania i nazwała go GootLoader. Ten oparty o Javascript framework pierwotnie przeznaczony do infekcji Gootkitem w coraz większym stopniu zaczął dostarczać szerszą gamę złośliwego oprogramowania (w tym ransomware). Wczesna aktywność kampanii platformy Gootloader została po raz pierwszy zauważona przez analityka zagrożeń z firmy Proofpoint pod koniec 2020 roku, a następnie zbadana i opisana przez ASEC, Malwarebytes i TrendMicro.
[ czytaj całość… ]

P

omimo upłynięcia 7 lat od ataków DDoS (ang. Distributed Denial of Service) za pomocą protokołu XMLRPC CMS WordPress – ilość podatnych serwerów nadal stanowi zagrożenie. Badacz bezpieczeństwa Andrea Menin przeszukując na początku top listę stron według rankingu Alexa, a później archiwum Common Crawl uzyskał dostęp do 7.500 instalacji, które aktywnie odpowiadają na metodę pingback.ping. Umożliwia to stworzenie botnetu, który będzie w stanie przeprowadzać wzmocnione ataki DDoS. W dodatku utrzymując stronę opartą o WordPress – jeśli nie posiadamy ograniczonej komunikacji do tego protokołu lub przynajmniej metody pingback:

add_filter( 'xmlrpc_methods', function( $methods ) {
   unset( $methods['pingback.ping'] );
   return $methods;
} );

a nasz serwer znajduje się za dostawcą typu Cloudflare – musimy mieć świadomość że otwarta komunikacja za pomocą XMLRPC może doprowadzić do wycieku oryginalnego adresu IP serwera i ominięcia warstwy ochronnej serwisu (jeśli dopuszczamy do ruchu inne serwery niż te, z których pochodzi ruch przefiltrowany przez WAF). Jeśli nie prowadzisz witryny opartej o WordPress lub nie jesteś zainteresowany otrzymywaniem komunikatów typu pingback od innych webaplikacji WordPress (a ponadto chcesz zapobiec atakom typu DDoS) – możesz zablokować żądania pochodzące z funkcji WordPress, filtrując nagłówek aplikacji klienckiej np.:

RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} "^WordPress.*verifying pingback" [NC]
RewriteRule . - [F,L]

lub

if ($http_user_agent ~* "^WordPress.*verifying pingback") {
    return 403
}

Więcej informacji: Make WordPress Pingback Great Again, WordPress Pingback Attacks and our WAF

N

a samym początku należy zaznaczyć, że stanowisko projektu WordPress jest jednoznaczne w tej sprawie: nie uznaje nazw użytkowników ani identyfikatorów użytkowników za prywatne lub bezpieczne informacje. Nazwa użytkownika jest częścią Twojej tożsamości online. Ma na celu identyfikację, a nie weryfikację tego, kim jesteś. Weryfikacja jest zadaniem hasła. Ogólnie rzecz biorąc, ludzie nie uważają nazw użytkowników za tajne, często udostępniając je otwarcie. Ponadto wiele dużych firm internetowych – takich jak Google i Facebook – zrezygnowało z nazw użytkowników na rzecz adresów e-mail, które są udostępniane w sposób ciągły i swobodny. WordPress również przeniósł się na ten sposób, umożliwiając użytkownikom logowanie się przy użyciu adresu e-mail lub nazwy użytkownika od wersji 4.5.
[ czytaj całość… ]

O

statnio w sieci pojawia się coraz więcej narzędzi wykorzystujących podatności w interfejsie XML-RPC WordPress’a, który to od wersji 3.5 jest standardowo włączony. Początek tej historii zaczął się od publikowania przez coraz to różne portale wiadomości, że różne strony oparte o ten popularny system blogowy są masowo atakowane za pomocą prób odgadnięcia hasła do konta administratora. Gdy wszyscy rozwodzili się lub przypominali, jak to zabezpieczyć panele administracyjne – Marcin Probola w prosty sposób wykorzystał do implementacji wcześniej wspomnianych ataków brute force właśnie XML-RPC.
[ czytaj całość… ]

“B

lisko 1% stron internetowych opartych na systemach CMS (takich jak WordPress lub Joomla) nieświadomie udostępnia dane do baz danych, dla tych którzy wiedzą gdzie ich szukać.” – do takiego wniosku doszedł Feross Aboukhadijeh pisząc mały programik o nazwie CMSploit. Ideą, na której polega jego działanie jest następująca:
[ czytaj całość… ]

B

anner Grabbing jest bardzo prostą techniką zbierania informacji na temat wersji używanego oprogramowania. W kontekście administracji sieci komputerowych służy do rozpoznawania i zarządzania różnego rodzaju oprogramowaniem. Administratorzy mogą używać jej do wykonywania spisu systemów i usług uruchomionych w swoich sieciach. Niestety intruzi przechwytywanie banerów wykorzystują w tym samym celu – pasywnego zebrania największej ilości danych o oprogramowaniu znajdującym się w atakowanej sieci i sprawdzeniu czy uruchomione wersje nie są podatne na różne ataki przy pomocy exploitów.
[ czytaj całość… ]

F

ull Path Disclosure (FPD) – polega na ujawnieniu pełnej ścieżki dostępu (np. /var/www/test.php) do wadliwie skonstruowanego lub źle wywołanego skryptu. Błąd FPD najczęściej wywoływany jest poprzez wstrzykiwanie nieoczekiwanych i niefiltrowanych znaków oraz poleceń do parametrów skryptów na stronie internetowej. Skrypt, który przyjmuje określone parametry po wstrzyknięciu nieoczekiwanego znaku zwraca komunikat błędu, w którym zawarte są informacje na temat napotkanego błędu oraz pełna ścieżka dostępu do wywołanego skryptu.
[ czytaj całość… ]

W

iadomości SPAM swoje główne źródło bazy adresów e-mail znajdują w spambotach. Spamboty są to specjalnie zaprogramowane roboty sieciowe – podobne do tych, które indeksują strony dla wyszukiwarek – tylko z tą różnicą, iż robią to pod kontem wyszukiwania ogólnodostępnych adresów e-mail umieszczanych na stronach WWW. Tak zebrane adresy e-mail lądują w bazach danych spamerów, stają się przedmiotem handlu wśród różnych niechcianych kampanii reklamowych czy innych negatywnych form aktywności sieciowej szkodników pod postacią wirusów czy robaków.
[ czytaj całość… ]