CVE-2009-2040

Published: 12-06-2009

Updated: 16-06-2009

Product:

grestul: grestul 1.2

Severity: High (7.5)

CVSS vector: (AV:N/AC:L/Au:N/C:P/I:P/A:P)

Potential loss type: Gain other access, Integrity, Confidentiality, Availability

Vulnerability description:

admin/options.php in Grestul 1.2 does not properly restrict access, which allows remote attackers to bypass authentication and create administrative accounts via a manage_admin action in a direct request.

Patch available: No

References:

XF: http://xforce.iss.net/xforce/xfdb/50999

MILW0RM: http://www.milw0rm.com/exploits/8902

SECUNIA: http://secunia.com/advisories/35367

Похожее положение дел и с эксплойтами. Множество сайтов публикуют, как правило, исходные коды эксплойтов, которые используют известные уязвимости, например от того же www.securitylab.ru:

02 июля, 2009

Цель: Bopup Communications Server 3.2.26.5460

Воздействие: Выполнение произвольного кода

Описание уязвимости:

Переполнение буфера в обработке TCP пакетов в Bopup Communication Server

Код эксплоита:

bopup-down.c

Все основные сбои в работе Интернета, вызванные компьютерными преступлениями, возникали в результате использования уязвимостей в безопасности, известных за некоторое время до инцидента. Обычно эпидемия распространяется через месяцы или даже годы после того, как становится известна лежащая в ее основе уязвимость. При нашествии Code Red в 2001 г. использовалась уязвимость, корректирующая заплата для которой была доступна более года; то же с "червем" Nimda. "Червь" SQL Slammer, атаковавший базы данных SQL в феврале 2003 года, действовал спустя полгода после выпуска программной коррекции.

Факт состоит в том, что большинство вторжений в компьютеры используют хорошо известные методы и уязвимости, для которых доступны заплаты или защитные решения. Так называемое мгновенное использование уязвимостей и неопубликованных дыр в безопасности - относительная редкость.

Почему вовремя не устраняют известные уязвимости? Существует множество причин, например:

- Нехватка времени или персонала. Организации сокращают расходы и в трудные времена увольняют технический персонал (информационные технологии (ИТ) не приносят прибыли). Иногда функции ИТ полностью передаются сторонним организациям. И хотя зачастую это практичное решение, внешние организации, поддерживающие локальные сети, далеко не всегда считают информационную безопасность своей первейшей обязанностью. Главное для них - бесперебойная работа сети. Удовлетворение запросов пользователей оказывается важнее безопасности.

- Опасения в отношении стабильности системы. Хорошо известно, что производители систем при выпуске заплат порой исправляют одну вещь и портят две других. Для критически важных систем затраты времени и ресурсов для надлежащего тестирования программных коррекций зачастую превышают выгоды от обновления.

- Слишком много заплат, чтобы с ними управиться. Если вы являетесь подписчиком Windows Update, сервиса коррекций Microsoft, то вы, вероятно, как минимум раз в неделю получаете уведомление о необходимости обновить или залатать систему. Для занятых системных администраторов это может быть слишком большой нагрузкой в дополнение к их обычным обязанностям. Действительно, было проведено исследование, показавшее, что расходы на корректировку программного обеспечения нередко превышают его начальную цену.

- Невежество. Системные администраторы многих организаций просто не знают о существовании проблемы и наличии заплаты. Теперь, при автоматическом обновлении от Microsoft, эта проблема для систем Windows стала менее острой, но она остается для других производителей и менее известного программного обеспечения. Даже для Windows существует несколько несовместимых менеджеров заплат. Это одна из причин, почему SQL Slammer так быстро распространился, - стандартный сервис обновления Windows просмотрел его.

Еще один момент, облегчающий жизнь злоумышленникам, состоит в том, что обычно имеется несколько различных путей проникновения в систему. На самом деле, для множества выполняемых сервисов может существовать несколько потенциальных точек для входа в подключенный к Интернету сервер. Если атака одного типа не работает, всегда можно попробовать другую.