Инциденты

В одну реку не войти дважды

В воскресенье на популярном российском ресуре «Хабрахабр» было опубликовано сообщение «Securelist.com — XSS и SQL Injection уязвимости». В нём автор описал найденную им XSS-уязвимость в русской версии нашего портала.

Вчера вечером все зарегистрированные пользователи securelist.com получили от нас сообщение о том, что их существующие пароли были изменены и им всем были сформированы новые пароли. Это было одним из проведенных нами действий по устранению последствий обнаружения XSS-уязвимости.

Прочие действия включали в себя комплекс мер, направленных не только на техническую реализацию исправлений, но и на дополнительный анализ сайта с целью предотвращения других возможных проблем.

В настоящий момент обнаруженная уязвимость нами полностью исправлена.
Рассматривая хронологию событий, мы считаем необходимым уточнить, что уязвимость была исправлена нами еще 19 октября, однако исправленный код не был опубликован на «боевом» сервере, так как не были закончены дополнительные тесты. После публикации подробностей об обнаруженной уязвимости на «Хабре», вечером воскресенья, 25 октября, нам пришлось форсировать процесс и опубликовать изменения тогда же.

Детальный timeline инцидента следующий:

  • 18 октября мы получили уведомление от пользователя.
  • 19 октября исправления были внесены, но не опубликованы.
  • 20 октября наши представители ответили автору на его сообщение.
  • 22 октября автор публикует статью о данных проблемах на сайте r3al.ru, в которой он подчеркивает, что уязвимость до сих пор не закрыта.
  • 25 октября выходит публикация на «Хабре».

Разумеется, мы бы могли сейчас написать очередные истины о том, что XSS-уязвимости являются наиболее распространенными в Сети, что их находят практически у всех и постоянно, что мы всегда приветствуем любую помощь в обнаружении подобных проблем со стороны исследователей и уделяем повышенное внимание проблемам безопасности ресурсов.

Но не будем. Или не сейчас.

В комментариях на «Хабре» ряд читателей заметил, что действия LMaster могут быть признаны нарушением ряда статей Уголовного Кодекса РФ и что он может быть привлечен к ответственности.

Это действительно так, и для этого есть дополнительные основания.

В первую очередь то, что он, обнаружив уязвимость, не стал сразу в этот же момент уведомлять нас о ней. Вместо этого он воспользовался данной уязвимостью для получения неавторизованного доступа. Об этом он пишет сам:

«Не долго думая, я вставил сниффер, прокомментировал несколько блогов и стал ждать. Сниффер висел на сайте около месяца. За это время я смог перехватить 91 аккаунт к сайту».

Вызывает вопросы и желание автора «получить свои 15 минут славы», опубликовав информацию о неисправленной уязвимости. Общепринятая в сообществе практика: если уж ты действительно whitehat и сообщил о проблеме вендору, то координируй и дальнейшие действия с ним.

Что интересно, это не первый подобный случай: похоже, что в июле этого года, точно по такой же схеме автор (LMaster) опубликовал информацию о неисправленной XSS-уязвимости в Яндексе.

Ко всему прочему, мы обнаружили, что пользователь, известный как LMaster, является давним и активным участником «Антивирусной Школы», еще одного открытого проекта ЛК, в котором участвуют школьники и студенты.

Мы ожидали более этичного поведения от людей, которые являются нашими регулярными читателями.

Несмотря на то, что формально он нарушил закон, тяжелых последствий это не повлекло, и мы не планируем ответных юридических действий в этот раз.

Кроме того, в действиях данного человека мы увидели и желание помочь, однако, как указано выше, это было сделано не совсем корректно. Ему следовало сразу при обнаружении уязвимости (еще в сентябре) связаться с нами. Если он хотел помочь нам с проведением дополнительных исследований и оценкой рисков уязвимостей, то делать это можно было, только получив наше на то согласие.

В одну реку не войти дважды

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике