Хакер #305. Многошаговые SQL-инъекции
Разработчиками Java используется все реже, но она все еще очень часто
остается на компьютерах, и все чаще становится целью злодеев.
Почему атакуют Java? Ее распространенность и огромное количество устаревших
версий, работающих на компьютерах, делают ее такой привлекательной для хакеров.
Цифры говорят сами за себя: по данным Qualys примерно на восьмидесяти процентах
крупных систем установлена устаревшая версия Java. Начиная с третьего квартала
2010 Microsoft обнаруживает или блокирует 6.9 миллионов попыток использовать
уязвимости Java за квартал. Всего хакерами было предпринято 27.5 миллионов
попыток использовать эксплойты, предназначенные для уязвимостей Java.
В общей сложности в мире 3 миллиарда устройств используют Java и примерно 80%
браузеров. В тоже время некоторые подкованные в плане безопасности пользователи
отключают или удаляют её в целях предосторожности.
Разработчики широко популярного инструмента для тестирования Metasploit на
прошлой неделе добавили новый модуль для последней атаки, которая эксплуатирует
недавно пропатченную уязвимость в реализации Java от Oracle, Rhino. Ошибка в
Oracle Java SE JDK и JRE 7 и 6 Update 27, а также в более ранних версиях,
недавно была раскрыта исследователями
здесь и
здесь, а потом уже быстро разошлась по crimeware-kit'ам.
"Java повсюду, и никто не обновляет ее должным образом", - сказал
Эйч Ди Мур, создатель и
главный архитектор Metasploit и CSO в Rapid7. "Очень немногие предприятия
обновляют ее на своих компьютерах".
"Oracle предлагает функцию автообновления для Java, но она требует от
пользователя полномочий администратора, чего большинство компаний не разрешают",
- добавил он.
Директор Microsoft Trustworthy Computing Тим Рэйнс ранее заметил в блоге, что
пропатченные ошибки в Oracle Java эксплуатируются уже в течение месяцев.
"Уязвимости в ПО Oracle Java подвергаются относительно крупным атакам уже на
протяжении многих месяцев, и, как я уже упоминал, обновления для этих
уязвимостей были доступны уже в течение некоторого времени", - сказал Рэйнс.
"Если ты давно не обновлял Java в своей среде, тебе следует оценить текущие
риски".
"Среди прочего, организации должны быть осведомлены относительно того, что на
их системах могут быть установлены многочисленные версии Java", - написал он.
Ошибка в Oracle Java, которая была пропатчена в прошлом месяце, по сути
позволяет апплету Java запустить произвольный код за пределами песочницы Java.
Мур из Rapid7 сказал, что так называемый эксплоит java rhino, который работает
на различных платформах, включая Windows, iOS и Linux, действует в фоновом
режиме, не выдавая своего присутствия пользователю, который стал жертвой
drive-by атаки. Интересно, что Linux на данный момент является самой уязвимой
для этого эксплойта платформой: "Oracle сделал патч, Apple выпустили обновление
на уровне ПО, но большинство вендоров Linux не выпустили ничего", объяснил Мур.
Обычно такое проникновение используется как первая стадия многоэтапной атаки,
нацеленной на скачивание исполняемого файла или установку бота.
Вольфган Кандек, технический директор Qualys сказал, что наличие в Metasploit
последнего эксплойта поможет повысить осведомленность об опасностях, связанных с
устаревшими приложениями Java. "Выгода от наличия этого эксплойта в Matsploit
заключается в том, что теперь хорошие ребята могут продемонстрировать как
работает эта атака", - добавил Кандек.
Значительная часть организаций, у которых были установлены устаревшие версии
Java, как выяснилось – крупные предприятия. "Как правило, нет эффективного
процесса обновления Java. Ее просто не замечают", - сказал он.
А как насчет полного отключения Java? Кандек отметил, что он ее не использует
и без нее вполне можно существовать. "Но некоторым компаниям она нужна, но им
необходим способ удостовериться, что на их системах работают последние версии
Java", - добавил он.