Computerbeveiliging - Hoe je bad guys buiten de deur houdt

hack op salespoint exit jscript web analytics.

05-05-2019, 12:31 door karma4, 19 reacties
https://securityaffairs.co/wordpress/84955/cyber-crime/magecart-group-campus-hack.html
Interessant. Hier op dit forum nog niet gezien, ter kennisgeving.
Reacties (19)
05-05-2019, 12:37 door Anoniem
Hacking! Door hackers! Met hacks! De cyber helemaal gehacked!

Als je nou de paniekzaai-herrie eruitlaat, wat hou je dan nog over? Meestal zo weinig dat het lezen van zulke linkjes de moeite niet waard is. Oftewel, zoek betere.
05-05-2019, 14:33 door Anoniem
05-05-2019, 14:59 door Anoniem
Hier valt niets te lezen: http://www.excel.blue/search/2019_02_24/microsoft.html
(ook geen cache beschikbaar)

Bekend is dat php-gerelateerd CMS, dus ook magenta 1 & 2 regelmatig op zwakheden aangevallen wordt.

Willem de G. publiceert hier regelmatig over.

Webshop & back-end admins zouden dan ook hier zeker eens moeten scannen:
https://www.magereport.com/scan/?s=

#sockpuppet
05-05-2019, 17:55 door karma4
Daar stond onbekende oorzaak. De link gaat over misbruik van b.v. google analytics scripts op websites.

Anoniem 12:37, verdiep je in de achterliggende relaties van die site - persoon. Die zijn behoorlijk goed.
Beter van gehalte dan wat ik hier van evangelisten zie. Ooit van Nist Enisa Sans etc gehoord?
05-05-2019, 18:18 door Anoniem
Door karma4: Daar stond onbekende oorzaak. De link gaat over misbruik van b.v. google analytics scripts op websites.

Anoniem 12:37, verdiep je in de achterliggende relaties van die site - persoon. Die zijn behoorlijk goed.
Beter van gehalte dan wat ik hier van evangelisten zie. Ooit van Nist Enisa Sans etc gehoord?

Dat verzin je. Als je klikt op de link in het artikel staat er: "The injected script forged the Google Analytics script format, but loaded a different script from the attackers’ server. The loaded script is the main script that steals the payment information."
05-05-2019, 19:37 door [Account Verwijderd]
Door karma4: Daar stond onbekende oorzaak. De link gaat over misbruik van b.v. google analytics scripts op websites.

Anoniem 12:37, verdiep je in de achterliggende relaties van die site - persoon. Die zijn behoorlijk goed.
Beter van gehalte dan wat ik hier van evangelisten zie. Ooit van Nist Enisa Sans etc gehoord?

Kijk eens aan: uit het niets begin je over evangelisten... Echt zwaar geobsedeerd blijkbaar. Wie begint er nu steeds met sarren?
05-05-2019, 20:54 door [Account Verwijderd]
Door Kili Manjaro:
Door karma4: Daar stond onbekende oorzaak. De link gaat over misbruik van b.v. google analytics scripts op websites.

Anoniem 12:37, verdiep je in de achterliggende relaties van die site - persoon. Die zijn behoorlijk goed.
Beter van gehalte dan wat ik hier van evangelisten zie. Ooit van Nist Enisa Sans etc gehoord?

Kijk eens aan: uit het niets begin je over evangelisten... Echt zwaar geobsedeerd blijkbaar. Wie begint er nu steeds met sarren?

Het begint zo lachwekkend en doorzichtig te worden met dat sarren, ik reageer er niet eens meer op.
05-05-2019, 21:44 door karma4
Door Anoniem:
Dat verzin je. Als je klikt op de link in het artikel staat er: "The injected script forged the Google Analytics script format, but loaded a different script from the attackers’ server. The loaded script is the main script that steals the payment information."
Ik verzin het niet, kijk onderin:
"Pierluigi Paganini is member of the ENISA (European Union Agency for Network and Information Security) Threat Landscape Stakeholder Group and Cyber G7 Group, he is also a Security Evangelist, Security Analyst and Freelance Writer."
Eerder prima post uitstekende niveau gezien.

Door Kili Manjaro:
Kijk eens aan: uit het niets begin je over evangelisten... Echt zwaar geobsedeerd blijkbaar. Wie begint er nu steeds met sarren?
Het sarren en op de man spelen zie ik uit die hoek komen. Kennelijk uitstekend geraakt naar waarheid gezien jullie reacties.
Het is 1+1 .... het juiste antwoord is inmiddels al vastgesteld correlatie overgegaan in causatie.
05-05-2019, 22:03 door [Account Verwijderd] - Bijgewerkt: 05-05-2019, 22:04
Door karma4:

Door Kili Manjaro:
Kijk eens aan: uit het niets begin je over evangelisten... Echt zwaar geobsedeerd blijkbaar. Wie begint er nu steeds met sarren?
Het sarren en op de man spelen zie ik uit die hoek komen. Kennelijk uitstekend geraakt naar waarheid gezien jullie reacties.
Het is 1+1 .... het juiste antwoord is inmiddels al vastgesteld correlatie overgegaan in causatie.

Dat is geen sarren en op de man spelen. Alleen ben jij nu eenmaal degene hier die regelmatig zonder argumenten OSS en Linux de grond in boort en daar reageren we uiteraard wel op. Hoewel dat nutteloos blijkt in de praktijk. En ik denk ook wel dat het gros van de lezers hier weten wat voor onzin je af en toe uitkraamt.
05-05-2019, 23:19 door Anoniem
Waarom moet elke draad hier ontaarden in een flame war over propriety software versus linux?
Kunnen we niet ons richten op het topic - injecteren van ge-mimicked google script op magecart?

Daar ging deze draad toch over, daarover willen we toch meer inzicht
en daaruit voortvloeiend daartegen willen we toch een betere protectie.

We kunnen ons beter verdiepen in de voortgaande kwetsbaarheden van scripts op de op php gebaseerde CMSsen,
die vaak via de minst onderhouden en gecontroleerde code, namelijk van plug-ins en code van derden,
zoals in dit geval het invasieve Google Analytics kunnen worden gecompromitteerd voor misbruik door cybercriminelen.

Dan moet je goed op de hoogte zijn van de zwakke plekken
en die vindt je o.a.via een mage rapportje in combinatie met een shodannetje
en wat XSS scannetjes. Zeer snel en bot-geautomatiseerd,
zeker als je precies weet waarnaar je op zoek bent om te misbruiken en injecteren.

JavaScript hinten, linten, retirable code afvoeren, verlaten code niet langer gebruiken,
updaten en patchen en anders ben je je website en webshop software niet zeker,
zoals bij deze magecart bende bij magenta 1 en 2 third party code.

Gelukkig draait in mijn CLIQZ browser het volgend script niet:
File not found: https://ssl.google-analytics.com/ga.js
Dat is in dit geval een hele geruststelling
en Google vermarkt derhalve maar andermans data.

Ergo: script dat geblokkeerd is, kan nietmisbruikt worden of een bedreiging vormen.
Ge-obfusceerd script moet goed gescreend worden of ook geblokkeerd.

uMatrix een fijne blokkeer-extensie, die je kan toggelen naar welbevinden.

#sockpuppet
06-05-2019, 06:15 door karma4
Door Kili Manjaro:
Dat is geen sarren en op de man spelen. Alleen ben jij nu eenmaal degene hier die regelmatig zonder argumenten OSS en Linux de grond in boort en daar reageren we uiteraard wel op. Hoewel dat nutteloos blijkt in de praktijk. En ik denk ook wel dat het gros van de lezers hier weten wat voor onzin je af en toe uitkraamt.
Duidelijk verschil van beleving, De allergische reactie (mijn kant)en gevoeligheden wat betreft OSS en Linux is duidelijk.
06-05-2019, 09:43 door [Account Verwijderd]
Door Anoniem: Waarom moet elke draad hier ontaarden in een flame war over propriety software versus linux?
Kunnen we niet ons richten op het topic - injecteren van ge-mimicked google script op magecart?

<KNIP>

#sockpuppet

Moet je aan karma4 vragen, hij begon gisteren om 17:55 uit het niets, geheel off-topic, over evangelisten.
06-05-2019, 11:49 door karma4
Door Kili Manjaro: Moet je aan karma4 vragen, hij begon gisteren om 17:55 uit het niets, geheel off-topic, over evangelisten.
Niet uit het niets, dat heb ik al onderbouwd. Uit het niets begon het met op de man te spelen. Herkenbaar vanuit een hoek.

#sockpuppet heeft met zijn vraag gelijk.
"We kunnen ons beter verdiepen in de voortgaande kwetsbaarheden van scripts op de op php gebaseerde CMSsen,
die vaak via de minst onderhouden en gecontroleerde code, namelijk van plug-ins en code van derden,"

Informatieveiligheid als doel.
06-05-2019, 13:00 door Anoniem
Hier zien we dat de volgende store nog flink wat risico loopt:
https://www.magereport.com/scan/?s=https://store.ipced.com/

Onderhavige site is onbeveiligd tegen brute force aanvallen
administratie panel is te vinden...
Verschillende beveiligingspatches zijn ook niet geinstalleerd.

Als ik dit allemaal via een paar oversimpele 3rd party cold reconnaissance queries al boven water kan halen,
zonder de website zelf maar te bezoeken,
waarom worden dergelijke magenta 1 webshops niet wat beter doorgelicht via de Uni IT afdeling of de hoster?
Of heeft men daar er ook geen verstand van?

Voorlopig kan men daar aan de slag met 615 aanbevelingen om tot een betere site te komen:
https://webhint.io/scanner/5a445322-2724-4d9d-9fb7-1f9eef1d2ccc

Eigenlijk best wel een droevige situatie als we het op de beveiligingskeper beschouwen
met zo'n 102 veiligheidsaanbevelingen, waarvan de meeste javascript gerelateerd
alsmede geen "best policy voor header implementatie"en zwakke ssl B-graad status.

Iemand? Om het wat neutraal te houden - een MS-linux inkoppertje ;)
Netblock owner IP address OS Web server Last seen Refresh
Microsoft Corporation One Microsoft Way Redmond WA US 98052 -40.70.65.178 Linux Apache/2.4.6 CentOS OpenSSL/1.0.2k-fips PHP/7.2.17 6-May-2019 ,dus geen OS oppositie hier!

luntrus
07-05-2019, 13:15 door Anoniem
L.S.

Met de gebruikte technieken

Widget
OWL Carousel
Ecommerce
Magento (zie het Mage Report in voorafgaande posting)
Analytics
Crazy Egg
New Relic
JavaScript Framework
Prototype1.7
Font Script
Font Awesome
Google Font API
Web Framework
Bootstrap
animate.css
Programming Language
PHP
Database
MySQL
Tag Manager
Google Tag Manager
JavaScript Libraries (zie het Retire rapport)
FancyBox
jQuery1.7.2
jQuery UI1.10.3
script.aculo.us

Naast de hierboven geconstateerde beveiligingsrisico's, zie ik:
Retire.js
bootstrap 3.1.0 Found in https://store.ipced.com/js/bootstrap/bootstrap.js
Vulnerability info:
High 28236 XSS in data-template, data-content and data-title properties of tooltip/popover CVE-2019-8331
Medium 20184 XSS in data-target property of scrollspy CVE-2018-14041
Medium 20184 XSS in collapse data-parent attribute CVE-2018-14040
Medium 20184 XSS in data-container property of tooltip CVE-2018-14042
jquery-ui-dialog 1.10.3 Found in https://store.ipced.com/js/magentothem/jquery-ui.js
Vulnerability info:
High CVE-2016-7103 281 XSS Vulnerability on closeText option
jquery 1.7.2 Found in https://store.ipced.com/js/magentothem/ma.jq.slide.js
Vulnerability info:
Medium CVE-2012-6708 11290 Selector interpreted as HTML
Medium 2432 3rd party CORS request may execute CVE-2015-9251
Medium CVE-2019-11358 jQuery before 3.4.0, as used in Drupal, Backdrop CMS, and other products, mishandles jQuery.extend(true, {}, ...) because of Object.prototype pollution
jquery 2.1.3.min Found in https://store.ipced.com/js/iwd/all/iwd-jquery-2.1.3.min.js
Vulnerability info:
Medium 2432 3rd party CORS request may execute CVE-2015-9251
Medium CVE-2015-9251 11974 parseHTML() executes scripts in event handlers
Medium CVE-2019-11358 jQuery before 3.4.0, as used in Drupal, Backdrop CMS, and other products, mishandles jQuery.extend(true, {}, ...) because of Object.prototype pollution

Een site, die zo apert onveilig in elkaar is geknutseld kennelijk en slecht wordt onderhouden, betekent toch een beveiligingsrisico voor iedereen die diensten afneemt van zo'n website?

Wanneer wordt beveiliging eens iets minder sluitpost van de begroting. Zo blijven we ten eeuwigen dage met zulke websites opgescheept zitten. Developers leren niet er oog voor te hebben, website eigenaars e.d. zien het als weggegooid geld, terwijl het dat helemaal niet is en overheid en burgerij eisen ook geen verandering en dat is al zo sinds het begin van het Internet.

Post ik hier steeds maar "voor de kat z'n viool", zit ik met mijn beveiliging insteek alleen mezelf maar te pesten en in de maling te nemen.

Ik krijg hier soms niet eens commentaar. Komen hier geen website developers? komen hier geen JavaScript researchers?
Valt dit buiten het terrein van normale IT en de opleidingen? Kan iemand me uit de droom helpen?

Oh kijk ook nog eens via Recx Security Analyser voor de security header implementering. Ook om te janken.

Webanalyse scripts op website maken het een beveiligingsrisico. Dan nog excessieve info proliferatie (zoals altijd)
-> Admin panel found on /rss/catalog, /admin or /downloader. Je kunt hier zelfs een shodan monitortje op zetten: https://www.shodan.io/search?query=%2Frss%2Fcatalog

Wie besluiten aan zoveel aperte onveiligheid niets te doen? Wie trappen er steeds weer op de rem? Wie spinnen er garen bij? Iemand? Maar als de site eenmaal hoog in de ranking staat bij VT en alle av hem geblacklist hebben, dan is het zeker goed, maar pro-actief wat doen, ho maar!

luntrus
07-05-2019, 14:53 door Anoniem
Dit is het mage report voor de op de pagina gevonden redirect: https://www.magereport.com/scan/?s=https://www.careandcompliance.com/ zie https://aw-snap.info/file-viewer/?protocol=secure&ref_sel=GSP2&ua_sel=ff&chk-cache=&fs=1&tgt=c3RdfXsuW3BeeyMuXl1t~enc
Deze scan levert 911 issues op, waarvan security gerelateerd, hetgeen een nog slechter resultaat is:
https://webhint.io/scanner/96bf9b6a-3745-48ca-99cd-e24bd7c1cc96
security issues: disown-openerer 3; no-disallowed-headers 11; no-protocol-relative-URLs: 94; no-http-redirects: 2;
performance-budget 1; image-optimization-cloudinairy 14; disown-opener: 3; no-vulnerable-javascript-libraries 1
Website heeft wel PFS, geen SSL versie 3 protocol ondersteuning: https://toolbar.netcraft.com/site_report?url=https://www.careandcompliance.com -> https://www.virustotal.com/#/ip-address/40.70.65.178
Zoe het overal plaatje voor de MS Azure kwetsbaarheden op het gezamelijke IP adres:
https://www.shodan.io/host/40.70.65.178
Zie de moved permanently hier:
80
tcp
http

Apache httpdVersion: 2.4.6 (excessieve server info proliferatie *)
HTTP/1.1 301 Moved Permanently
Date: Thu, 02 May 2019 18:06:50 GMT
Server: Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/7.2.17 (idem *)
Location: https://store.ipced.com/
Content-Length: 232
Content-Type: text/html; charset=iso-8859-1

Is dit werk van serieuze website bouwers, shadow IT of veredelde knutselaars?
Niemand behalve ondergetekende, die het aankaart.

luntrus
07-05-2019, 15:06 door karma4
Door Anoniem: L.S.
…..
Wie besluiten aan zoveel aperte onveiligheid niets te doen? Wie trappen er steeds weer op de rem? Wie spinnen er garen bij? Iemand? Maar als de site eenmaal hoog in de ranking staat bij VT en alle av hem geblacklist hebben, dan is het zeker goed, maar pro-actief wat doen, ho maar!

luntrus

We zien het gebeuren luntrus en om een of andere manier valt het kwartje kennelijk niet. Helaas in 2002 afgeschaft.
08-05-2019, 11:41 door Anoniem
Nog een vraagje hier. Als ik in Brave op mijn laptop deze site bezoek:
https://bitcoinmagazine.nl/2019/05/breek-binance-cryptobeurs-gehackt-hackers-stelen-7-000-bitcoin-40-7-miljoen/
kan ik normaal de site bezoeken.
Doe ik dat op mijn android via Google News, om deze ook in Brave tel openen, dan krijg ik een NET::ERR_CERT_AUTHORITY_INVALID Privacy Fout. Wat is hier aan de hand?

J.O.
08-05-2019, 19:26 door Anoniem
Door Anoniem: Hacking! Door hackers! Met hacks! De cyber helemaal gehacked!

Als je nou de paniekzaai-herrie eruitlaat, wat hou je dan nog over? Meestal zo weinig dat het lezen van zulke linkjes de moeite niet waard is. Oftewel, zoek betere.

Ik vind dit toch een belangrijke melding die ik anders niet meekreeg want ik lees alleen security.nl voor IT.

Maar ik vraag jou dan om met die betere sites te komen, zodat ik mijn new horizons kan verbreden in de security.

Je reactie draagt niets bij en ik zeg dit omdat het me aan mezelf doet denken. Ik keek in die spiegel, niet zo lang geleden, misschien pas uren of gisteren en ik dacht: er moet iets veranderen. Dus ik ga wat minder schreeuwen en meer lezen. Dan kan ik deze trein weer op het juiste spoor krijgen. Ik ben alweer 40, mot kunnen toch?

Ik zie graag van jou (of anderen) een top 10 of top 20 van security sites die je dagelijks, wekelijks of maandelijks leest. Ik weet wat 20 jaar geleden relevant is aan sites maar vraag het liever aan andere experts die zich in 2019 met IT sec bezig houden want dat scheelt mij een hoop zoekwerk.

Kwaliteit sites over IT security (hardware en software). Geen sites met eindeloze CERT meldingen en vulns zoals Bugtraq. Wel het liefst sites met PoCs van die vulns, zoals Bugtraq vroeger was voordat iedereen netjes met fabrikanten begon te mailen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.