Серверное администрирование *

Техника атаки HTTP Request Smuggling (контрабанда вредоносных HTTP-запросов на бэкенд в результате рассинхронизации фронтенд- и бэкенд-серверов) известна 15 лет, хотя в прошлом году Джеймс Кеттл рассказал о новых методах, c помощью которых заработал на bugbounty около $70 000. Судя по всему, атака эффективна и сейчас, причём уязвимы многие.

12 марта 2020 года на портале HackerOne рассекретили описание уязвимости Slack, которую закрыли 13 февраля. Оказывается, до этого времени сессионные куки пользователей Slack были доступны для массового перехвата. Описание взлома Slack довольно подробное, поэтому заслуживает внимания. Похоже, что эту технику можно использовать для взлома других сервисов, которые работают за прокси (AWS ALB, nginx, haproxy до 2.0.6 и прочие).

В течение суток после публикации информации об уязвимости CVE-2020-0796, Microsoft выпустила патч KB4551762 для Windows 10 version 1903 и version 1909, а также Windows Server version 1903 и version 1909.

Новый рекомендуемый путь для сертификации продвинутых специалистов по продуктам и решениям Microsoft на основе ролей/специализаций.

Согласно публикации от 27 февраля 2020 года в Microsoft Learning Blog, которую опубликовал Алекс Пэйн, генеральный директор центра Microsoft Global Technical Learning, компания Microsoft c 30 июня 2020 года прекратит выдавать новые сертификации по программам MCSA, MCSD и MCSE, также с этой даты будут отменены и станут недоступны экзамены, связанные с этими сертификациями.

Microsoft полностью переходит на сертификацию на основе ролей/специализаций. Компания уверяет, что новая сертификация на основе ролей/специализаций поможет специалистам повысить свою квалификацию, продемонстрировать свои навыки и знания перед работодателями и открыть для себя новые возможности.

Исследователи безопасности из компании WebARX нашли серьезную уязвимость в плагине для темы WordPress, которая позволяла получать доступ к сайту и стирать базы данных. У нее более 200 тысяч установок.

В начале февраля 2020 года команда Microsoft Exchange Team вновь дополнительно напомнила системным администраторам о необходимости отключения тридцатилетнего протокола SMBv1 на серверах Exchange 2013/2016/2019 в Windows Server 2008 R2, Windows Server 2012 и выше.

Согласно информации издания PCworld, в процессорах Intel обнаружена уязвимость, используя которую злоумышленники могут получить доступ к данным в защищенном пространстве Intel Software Guard Extensions (SGX).

Сервер Huawei Taishan 200

Huawei продолжает продвижение на российский рынок, пытаясь оформить свои серверы как продукт российского происхождения. Для этого требуется установить на них операционную систему, которая входит в Единый реестр российских программ для ЭВМ и баз данных Минкомсвязи России. Осенью 2019 года компания договорилась об установке на серверы операционных систем «Альт сервер» (разработка «Базальт СПО») и Astra Linux Special Edition. Последняя ставится на новейших ARM-серверах Huawei Taishan 100 модификации 2280 и Taishan 200 модификации 2280. Теперь же заключено соглашение об установке на Taishan 200 ещё одной российской операционной системы «Ред ОС».

Бедный Rambler в рабочее время в 2000-х годах заставлял сисадминов разрабатывать веб-сервера… Слишком много вопросов, друзья, как минимум один и простой: где вы были раньше? где вы были все эти почти 10 лет?

Nginx — популярный веб-сервер, который разработал российский разработчик Игорь Сысоев в 2000-х годах. В это время Игорь работал системным администратором в Rambler и параллельно работал над nginx. Сервер набрал популярность.

По данным Netcraft на февраль 2018 года, число сайтов, обслуживаемых nginx, превышает 447 миллионов, что делает его третьим по популярности веб-сервером в мире.

Нестандартная ситуация впервые произошла 1 декабря 2019 года во время проведения последней в этом году гонки Формулы-1 — гран-при в Абу-Даби. Перед самим стартом гонки технические специалисты FIA (Международной автомобильной федерации) столкнулись с неожиданной ситуацией — один из рабочих серверов, обрабатывающий информацию о положении машин и отвечающий за общую активацию системы DRS (система снижения лобового сопротивления) всех болидов стал недоступен. Так как по правилам саму гонку уже нельзя было отменить или задержать ее старт, то IT-специалистам FIA пришлось в оперативном порядке восстанавливать отказавший сервер. Времени на проведение технических работ было минимум, так как пилотам система DRS была очень нужна для совершения скоростных обгонов.

В конце прошлой недели HP опубликовала патч прошивки своих твердотельных накопителей HPE, который решает критическую проблему потери данных и отказа диска после 32768 часов (~3 года и 9 месяцев) работы.

Речь идет о накопителях HPE SAS SSD с прошивками вплоть до версии HPD8. Проблема касается 20 моделей SSD, которые, например, поставляются вместе с серверами и хранилищами HPE ProLiant, Synergy, Apollo, JBOD D3xxx, D6xxx, D8xxx, MSA, StoreVirtual 4335 и StoreVirtual 3200.

Пока патч был опубликован только для части проблемных устройств. Остальные прошивки ожидаются 9 декабря.

По данным сервиса Downdetector, в работе мессенджера Telegram произошел сбой, проблемы с доступом к сервису наблюдались у пользователей в России, республике Беларусь и Украины.

Пользователи из других стран, таких как Германия, Ирландия, Великобритания, Польша, Италия, Нидерланды, США и Индия, также жаловались на проблемы, почти у всех наблюдались сильные задержки в отправке сообщений и подгрузке содержимого каналов.

Пользователи в Белоруссии сообщили о том, что некоторые защищенные почтовые сервисы, в том числе ProtonMail, оказались недоступны. Кроме того, недоступен VPN-провайдер ProtonVPN.
ProtonMail известен тем, что его использовали при сообщениях о минировании ряда объектов в Минске.

Исследователи из Вустерского политехнический института США, Любекского университета Германии и Калифорнийского университета в Сан-Диего выявили две уязвимости в TPM-процессорах. Проблемы под общим названием TPM-FAIL делали возможным для злоумышленников похищать хранящиеся в процессорах криптографические ключи.

Уязвимость CVE-2019-11090 затрагивает технологию Intel Platform Trust (PTT). Данное программное TPM-решение от Intel fTPM применяется в серверах, ПК и ноутбуках. Его используют большинство производителей компьютеров, включая Dell, HP и Lenovo. Также Intel fTPM широко используется в семействе продуктов Intel Internet of Things (IoT) для промышленности, здравоохранения и транспортных средств.

Другая уязвимость CVE-2019-16863 затрагивает чип ST33 TPM производства STMicroelectronics, который применяется на устройствах начиная от сетевого оборудования и заканчивая облачными серверами. Он является одним из немногих процессоров с классификацией CommonCriteria (CC) EAL 4+, то есть поставляется со встроенной защитой против атак по сторонним каналам.

Компания Intel разослала на этой неделе (13 ноября 2019 года) всем своим авторизованным дистрибьюторам, которые уже продали покупателям или имеют на своих складах боксовую версию процессора Xeon E-2274G, уведомление PCN 117255-00. Согласно тексту этого документа, боксовый комплект поставки Xeon E-2274G оснащался неподходящей системой охлаждения, из-за которой процессор фактически может перегреваться под нагрузкой.

В Intel планируют изъять из продажи все запасы коробочных (BOX-версия) процессоров Xeon E-2274G, а вместо них будут поставлены такие же процессоры, но уже без кулера в комплекте (OEM или TRAY-версия поставки), которые конечным покупателям нужно будет использовать с подходящей сторонней системой охлаждения. Хотя многие из клиентов покупали этот продукт именно со штатным кулером в поставке, чтобы не тратиться на то, что теперь им бескомпромиссно предлагает Intel.

В OpenSSH добавлена экспериментальная функция двухфакторной аутентификации с помощью дешевых решений вида USB, Bluetooth или NFC-носителей. Соответствующая информация и детальное руководство опубликованы на marc.info.

Теперь OpenSSH имеет экспериментальную поддержку поддержку U2F / FIDO, а U2F добавлен как новый тип ключа "sk-ecdsa-sha2-nistp256@openssh.com" или сокращенно «ecdsa-sk» («sk» означает «ключ безопасности»).

Если ранее вы не сталкивались с U2F, то это — открытый стандарт для создания недорогих аппаратных решений в области security-токенов. Фактически, это самый дешевый способ для пользователей для получения аппаратных ключей, а на рынке достаточно продавцов. Например, токены можно купить у Yubico, Feitian, Thetis и Kensington. Аппаратные ключи дают преимущество в плане взлома: их надо физически украсть, что невозможно для большинства взломщиков.

При это токены — недорогие устройства, стоимость многих редко достигает сотни евро, то есть это сравнительно дешевый и надежный способ для того, чтобы обезопасить систему.

Эксперты обнаружили в ветке PHP 7 уязвимость CVE-2019-11043, которая позволяет хакерам выполнять команды на сервере с помощью специально сформированного URL с добавлением '?a='.

Данный баг активно применяется при атаках, так как его просто эксплуатировать. Проблему усугубило то, что в октябре на GitHub появился PoC-код для определения уязвимых серверов. Он отправляет специально сформированные запросы, чтобы выяснить, уязвим ли тот или иной сервер. При этом атаки возможны только в отношении NGINX-серверов с включенным PHP-FPM (программным пакетом для обработки скриптов на языке PHP).

Популярный VPN-провайдер NordVPN, который обещает «защитить вашу конфиденциальность в интернете», подтвердил факт взлома внутренней сети больше года назад. Компания призналась в этом после появления слухов, а затем неопровержимых доказательств: на 8chan выложили секретный ключ шифрования NordVPN с истёкшим сроком действия (копия в Web Archive) и логи рутового доступа к NordVPN. Теоретически, с таким ключом кто угодно может поднять свой сервер NordVPN.

Представители NordVPN пояснили, что взлом произошёл в марте 2018 года: «Произошёл несанкционированный доступ в один из центров обработки данных в Финляндии, где мы арендуем серверы», — сказала представитель NordVPN Лаура Тирелл (Laura Tyrell).

Компания узнала о нарушении «несколько месяцев назад», но до сегодняшнего дня не раскрывала информацию, потому что «хотела быть на 100% уверенной, что каждый компонент в нашей инфраструктуре безопасен».

Компания Google выступила с предложением уменьшить максимальный срок действия серверных сертификатов SSL/TLS с нынешних 825 дней (примерно 27 месяцев) до 397 дней (около 13 месяцев), то есть примерно вдвое.

Google предлагает поставить этот вопрос на голосование в организации CA/Browser Forum (CABF), которая устанавливает требования к SSL/TLS-сертификатам, в том числе к максимальному сроку действия. Если члены CABF проголосуют за это предложение, то изменение будет применяться ко всем новым сертификатам, выданным 1 марта 2020 года или после этой даты.

Кроме того, в сентябре-октябре выйдут новые версии Chrome 77 и Firefox 70, которые лишат EV-сертификаты особого места в адресной строке браузера, как показано на КДПВ.

Во вторник Nginx опубликовал пресс-релиз о важнейшем обновлении, в которое вошли патчи безопасности, закрывающие DoS-уязвимости в протоколе HTTP/2. Напомним, что эти уязвимости Netflix обнаружил еще в мае, с деталями можно ознакомиться на GitHub-странице компании.

Исследователи компании Bitdefender сообщили о новой аппаратной уязвимости, позволяющей обойти механизмы защиты от Spectre и Meltdown и получить доступ к данным в защищенной памяти ядра. Проблема затрагивает все ноутбуки, сервера и персональные компьютеры с Windows на процессорах от Intel (а возможно и AMD), выпущенных с 2012 года.