UnderForge of Lack

現在 index.cfm 、flex_samples を閉鎖しています
7月3日午後、CrystalTech によって復旧してもらったのですが
また、改竄されてしまいました（7月3日午後8時半頃）


脆弱性攻撃ですから、元栓を閉めないと再攻撃されます。


CF8 and FCKEditor Security threat

Solutions:
1) Turn off the connector so that the filemanagement and file upload features can't work.

2) To be completely safe, delete the entire filemanager directory found under "CFIDE\scripts\ajax\FCKeditor\editor". The embedded version of FCKeditor for CF doesn't and really shouldn't use this feature. So removing those files completely is the safest thing to do. Be mindful that updates to CF might re-introduce those files and naturally re-open the problem.

1) connector を閉じる
CFIDE\scripts\ajax\FCKeditor\editor\filemanager\connectors\cfm

これにより、filemanagementとfile upload の機能が停止します。

2) 完全に安全にするためには、"CFIDE\scripts\ajax\FCKeditor\editor" にある全ての filemanager ディレクトリを消去します。FCK-Editor for ColdFusion の当該バージョンは、全ての機能を停止します。ですので、これらのファイルを消去することで完全に安全になる（はず）です。Cold fusionの次期アップデートによって、これらのファイル群は自動的に再インストールされ、普通に動作するようになるでしょう。

----------

ていうか、CVEに報告しなさいよ（笑） > あどべ

Cold Fusion は、旧 Macromedia の製品だったりします・・・
そういえば、こないだ致命的な欠陥が指摘された Shockwaveも Macromediaの製品ですね・・・

Cold Fusion の本来の意味は 「常温核融合」です

so-netはセキュ会社になったほうがいいかも（笑）

----------

その後の正規サイト改ざん〔後篇〕(1):多数ドメインを使うサイト改ざんが継続

その後の正規サイト改ざん〔後篇〕(2):新たな攻撃手法～「Beladen」「Nine Ball」

その後の正規サイト改ざん〔後篇〕(3):新たな攻撃手法～「新Nine Ball」「8080」

特に、後編[3]の 8080 インジェクションに言及してくださったことに感謝します。

他のセキュベンダーで、コレを指摘したのは WebSenseだけですからね・・・


----------

こっちはまったく気がつきませんでした

配下サイトが全滅、恐怖の共有サーバー丸ごと改ざん～「5+1」件の事例報告

特に、サンキストは現在も気がついていない模様・・

XSSなのか、Password奪取なのかよくわかりませんね
この "HACKED BY DATA ir Security Group" で検索すると陥落サイトが沢山見つかります。
同様に "HACKED BY L3oN" というのも多いですね


ちなみに、eBayのフィッシングサイトは ZeuS/Zbotとの関連を指摘されていますので、Gumblar/Genoによって FTP情報を奪取されたところに埋め込まれている可能性も否定できません。

あと、弱いPassword への SSH 辞書攻撃かもしれませんが

----------

EMERGENCY
Adobe Cold Fusion を使用しているサイトに広範囲なインジェクションが行われている可能性があります。

当該製品に、FCKEditorあるいは CKFinderをインストールし、現在も継続して使用中の方は注意してください。

チェック先：
index.cfm
image.cfm

ColdFusion、FCKEditor、CKFinder の脆弱性をついた広範囲な攻撃があったもよう
何を隠そう、おいらのブログ・サイトも直撃を受けました orz

すべての

ウィルス付きの Flash をロードするスクリプトが
追加されてしまいました ＼(゜ロ＼)(／ロ゜)／

日本での感染例が確認されたようですので警戒レベルを上げてください。

Cold Fusion web sites getting compromised
There have been a high number of Cold Fusion web sites being compromised in last 24 hours. We received several e-mails about this.

It appears that the attackers are exploiting web sites which have older installations of some Cold Fusion applications. These applications have vulnerable installations of FCKEditor, which is a very popular HTML text editor, or CKFinder, which is an Ajax file manager. The vulnerable installations allow the attackers to upload ASP or Cold Fusion shells which further allow them to take complete control over the server.

この２４時間で、数多くの Cold Fusion ベースの Web Site が陥落しています。われわれは複数の警報メールを受け取っています。

いくつかの Cold Fusionアプリケーションで、古いものがインストールされているサイトの脆弱性を攻撃者が悪用しているように見受けられます。ひとつは 非常に有名なHTML textエディタである FCKEditor のインストールによる脆弱性であり、もうひとつは Ajax File managerである CKFinder に因るものです。この脆弱性をもつコンポネンツがインストールされている環境下では、攻撃者は ASP や Cold Fusion Shell を通してサーバーを完全に掌握することが可能です。

Adobe ColdFusion 8

FCK Editor Official Site
FCKeditor Japan

CKFinder Official

------

また Adobe 製品ですか・・

一般ユーザ様各位
インジェクションによるExploitsも Flashを利用していますので、（いないとは思いますが）以下のチェックを再度行ってください。

Adobe Flash の最新版確認 : 10,0,22,87
Adobe Acrobat Reader の最新版確認 : 9.1.2
Apple Quick Time の最新版確認 : 7.6.2
Microsoft DirectShow の QuickTime Purser の機能停止。

------

chanm.3322.org
2288.org
6600.org
7766.org
8800.org
8866.org
9966.org


208.53.43.208 AS29738 Tier Four, Inc.
220.181.31.86 AS23724 CHINANET-IDC-BJ-AP IDC, China Telecommunications Corporation
60.191.83.242 AS4134 CHINA-TELECOM China Telecom

SQL INJECTION ON COLDFUSION -- Badware Busters
SQLインジェクションとなっていますが、実際にはインストールされている追加コンポネンツの脆弱性です。

Are you aware of the MIME/File Upload Security Issue?
この件に関係あるかどうかは不明ですが、6/30に出されたPost 後方のコメントを参照してください。

------

Cold Fusion の件の調査に時間かかったので残りはヘッドラインで。。

----------
Mobile phone trojans
携帯電話を狙うトロイの木馬、SMSを勝手に送信


----------
Time to update updating on PCs for 3rd party apps

この前の Shockwave holeはほんの一例に過ぎず、その他数多くの潜在的なセキュリティホールを持ったアプリが放置されています。
この際、インストールされている 3rd Party アプリケーションの見直しを図る機会です。

参考：
Shockwave Playerに深刻な脆弱性

Security Update available for Shockwave Player


The Dirty Dozen
PCの脆弱性は平均12件――Secuniaが試算

----------

OutLook攻撃 spam が、故マイケルジャクソンさんのトピックに移行

Outlook から Michael Jackson ネタへ

Spam Speculates Michael Jackson’s Murder

----------

iPhone に SMSによるリモートコード発効の脆弱性

SMS remote code execution vulnerability in iPhone

Apple to get it fixed as soon as possible.

Apple の ASAPは信用が薄い（苦笑）

----------

昨日紹介しそこなった SMS ネタですが、どうも様々なアプローチがあるようです。

Web2SMS Gateways, A Wide Open Target

----------

チャレンジ・パンダ

Panda Challenge


なんのことかわからないかもしれませんが、Panda Labsが定期的に行っている、懸賞付きハッカー養成暗号解読キャンペーンです。

前回の解答は June's Crypto Challenge Results

----------

An update from FIRST and what we can learn from the Nijō Castle

二条城が京都のシンボルだったのか！？

----------

リンクミスあったらごめんなさい
時間切れ