login-password'123456' was in 2013 het meest gebruikte wachtwoord op het internet, waardoor voor de eerste keer 'password' van de eerste plek werd gestoten. Dat beweert app-ontwikkelaar SplashData, dat al enkele jaren een lijst van meest gebruikte wachtwoorden op het web samenstelt.

SplashData baseert zich bij het opstellen van de lijst op grote datalekken die in 2013 plaatsvonden, zoals bij Adobe waar de wachtwoorden van miljoenen gebruikers op straat kwamen te liggen. Dat is dan ook een reden dat 'photoshop' en 'adobe123' in het overzicht zijn terug te vinden. Verder wordt de lijst met wachtwoorden gedomineerd door "klassiekers" zoals 'qwerty', 'admin', 'letmein', 'iloveyou' en cijferreeksen als '12345678' en '111111'.

androidOnderzoekers hebben malware ontdekt die als eerste Windowscomputers infecteert om vervolgens aangesloten Android-toestellen te besmetten en zo mobiele TAN-codes voor internetbankieren te onderscheppen. Hoe de Windows-malware zich verspreidt laat anti-virusbedrijf Symantec niet weten.

Eenmaal actief downloadt Trojan.Droidpak, zoals de malware heet, een kwaadaardig APK-bestand en installeert de Android Debug Bridge (ADB). Via ADB wordt vervolgens op elk aangesloten Android-toestel het kwaadaardige APK-bestand geïnstalleerd. Dit bestand zoekt naar de aanwezigheid van een specifieke Koreaanse mobiel bankieren applicatie op het Android-toestel.

madcatz logoFirmware-modder Paul O'Brien is erin geslaagd om root-toegang te forceren op de op Android draaiende MOJO-console van Mad Catz. Gebruikers die de hack installeren kunnen naast het draaien van apps die root vereisen ook meer content downloaden in de Play Store.

De MOJO-console, die een prijskaartje heeft van 250 euro en is gebaseerd op een Tegra 4-soc van Nvidia, is te kraken door gebruik te maken van de zogeheten Superboot-image. Voor de installatie is een standaard usb male a-a-kabel nodig en een pc die op Windows, OS X of Linux draait. Na installatie wordt de su-tool en de superuser-apk geïnstalleerd. De originele MOJO-rom blijft onaangetast, evenals de data-partitie.

Na installatie van de zogeheten MoDaCo Mod kunnen op de spelconsole Android-apps geopend worden die root-rechten nodig hebben. Daarnaast stelt Paul O'Brien dat zijn mod toegang geeft tot een groter app-aanbod in de Play Store.

linksys2Een Franse beveiligingsonderzoeker heeft een backdoor in verschillende routers van Linksys en Netgear ontdekt, waardoor kwaadwillenden zonder inloggegevens toegang tot het beheerderspaneel kunnen krijgen. De backdoor werd door 'reverse engineer' Eloi Vanderbeken ontdekt.

Het probleem ontstaat doordat bij sommige routers TCP-poort 32764 open staat. Door het sturen van een specifiek request naar deze poort kan een aanvaller direct toegang tot het beheerderspaneel krijgen. Daarbij maakt het niet uit of de eigenaar van de router een wachtwoord heeft ingesteld. Via het beheerderspaneel kan een aanvaller allerlei zaken aanpassen, zoals de servers waar het verkeer van de gebruiker langs loopt.

Vanderbeken stelt dat de backdoor in de Linksys WAG200G, Netgear DM111Pv2 en Linksys WAG320N aanwezig is. Mogelijk zouden ook NetGear DG934, DG834, DG834G, WPNT834, WG602, WGR614, DGN2000, WAG120N, WAG160N en WRVS4400N kwetsbaar zijn. Wat gebruikers kunnen doen om zich te beschermen laat de onderzoeker niet weten.

Bron: Security.nl

Update 6-1-2014:

Met behulp van een Python script kan de explot worden uitgevoerd. Deze kan op Github worden gedownload.

Om deze aanval uit te voeren, moet de aanvaller onderdeel van het netwerk zijn. Met een Shodan scan zijn er meer dan 2000 kwetsbare routers beschikbaar op het internet Search-1 & Search-2.


Update 11-1-2014:
Cisco heeft een waarschuwing afgegeven voor een backdoor in twee type routers en een accesspoint.  De 'ongedocumenteerde testinterface', zoals Cisco het noemt, bevindt zich in de WRVS4400N Wireless-N en de RVS4000 4-port Gigabit Security Routers en het WAP4410N Wireless-N Access Point.

TD-W8951ND-smallMeer dan 15,2% van de Algerijnse bevolking maakt gebruik van internet. Het grootste gedeelte wordt verzorgd door Algerie Telecom.

Ze gebruiken de TP-LINK TD-W8951ND Routers. die ZYXEL  firmware bevatten.

Abdelli Nassereddine, pentester & Algerijnse Computer Science student heeft 2 lekken in de router openbaar gemaakt. Het gaat hier om een 'unauthorized access' & een 'password disclosure' kwetbaarheid.

De kwetsbaarheden kunnen eenvoudig kunnen worden uitgebuit.  Dit door een lek in ZYXEL firmware. Hieronder worden de details van de kwetsbaarheden verder uitgelegd.

Target logoDe winkelketen Target heeft in een persbericht laten weten dat er persoonsgegevens van 70 miljoen mensen zijn gestolen. Eerder waren al creditcardgegevens en mogelijk ook pincodes van 40 miljoen klanten buitgemaakt. Het ziet er nu naar uit dat die pincodes online zijn gezet.

De Amerikaanse winkelketen Target laat in een persbericht weten dat uit het onderzoek naar de aanval uit december blijkt dat de persoonsgegevens van 70 miljoen mensen zijn ontvreemd. Eerder was al duidelijk dat de creditcardgegevens van 40 miljoen mensen waren buitgemaakt. Dit was mogelijk door het infecteren van kassa's met malware. Van de creditcards zijn mogelijk begin januari de versleutelde pincodes op een ondergronds forum geplaatst.

Bij de buitgemaakte persoonsgegevens gaat het om namen, adressen, telefoonnummers en e-mailadressen. Per klant verschilt de gestolen informatie. Target laat weten dat het contact gaat opnemen met de klanten die geregistreerd staan met een e-mailadres. Het zal dan tips geven over hoe de klanten zich kunnen wapenen tegen oplichters. De tips zijn al op de website van het bedrijf geplaatst.

snapchatHackers hebben een database met naar eigen zeggen telefoongegevens van 4,6 miljoen Snapchat-gebruikers online gezet. Het was al tijden bekend dat de telefoonnummers van Snapchat-gebruikers te achterhalen waren, maar de dienst ondernam lange tijd geen actie.

De database werd online gezet via de site SnapchatDB.info. Volgens de makers van de site gaat het om gebruikersnamen en telefoonnummers van 4,6 miljoen gebruikers, die verkregen zijn via een exploit die recent gedicht is. "Het bedrijf was onwillig om het te patchen totdat ze wist dat het te laat was", aldus de hackers, die verklaren dat de publicatie bedoeld is om het publiek bewust te maken van beveiligingsrisico's.

De laatste twee cijfers van de telefoonnummers zijn onleesbaar gemaakt 'om spam en misbruik tegen te gaan', maar de hackers tonen zich bereid deze vrij te geven. Volgens hen zijn de nummers ook te relateren aan Facebook- en Twitter-accounts omdat mensen vaak dezelfde gebruikersnaam hanteren.

Snapchat werd naar verluidt al maanden geleden op de hoogte gebracht van de exploit, maar reageerde daar niet op. Op 27 december maakte de dienst alsnog bekend maatregelen genomen te hebben en Snapchat wees toen zelf al op de mogelijkheid dat een database met gebruikersnamen en telefoonnummers kon worden samengesteld. Details over de maatregelen gaf de dienst niet.

kassasysteemDe malware die op de kassasystemen van de Amerikaanse warenhuisketen Neiman Marcus allerlei gegevens van betaalkaarten uit het geheugen wist te kopieren bleef maanden lang verborgen, zo heeft het bedrijf laten weten. Recentelijk waarschuwde het bedrijf dat er malware op de kassa's was ontdekt.

Over de aanval zijn nu meer details bekend geworden. Zo was de malware op de kassasystemen, een RAM-schraper die betaalkaartgegevens uit het geheugen kopieerde, tussen 16 juli 2013 en oktober 2013 actief en werd pas deze maand ontdekt. In de periode dat de malware actief was is er met 1,1 miljoen betaalkaarten betaald. De RAM-schaper had echter niet alle kassasystemen bij de 42 vestigingen van de warenhuisketen geïnfecteerd. Daarnaast was de malware ook niet altijd actief.

joomla-logoEr is een kwetsbaarheid in het Aclassfb component ontdekt. 

Explot details:

  • Title : Joomla com_aclassfb File Upload Vulnerability
  • Category : Web Applications
  • Type : PHP
  • Greetz : 0day-id.com | newbie-security.or.id | Borneo Security | Indonesian Security Indonesian Hacker | Indonesian Exploiter | Indonesian Cyber
  • Tested : Mozila, Chrome, Opera -> Windows & Linux
  • Vulnerabillity : File Upload
  • Dork : inurl:com_aclassfb

File Upload: http://127.0.0.1/index.php?option=com_aclassfb

Exploit : http://127.0.0.1/index.php?option=com_aclassfb&Itemid=[ID]&ct=[CATEGORY]&md=add_form

Oracle dicht in een patch die dinsdag uitkomt 36 kwetsbaarheden in Java, waaronder 34 kwetsbaarheden die op afstand zijn te misbruiken en daardoor als ernstig te classificeren zijn. In totaal worden dinsdag 147 kwetsbaarheden in Oracle-producten gedicht.

java-securityDe 34 Java-kwetsbaarheden die op afstand zijn te misbruiken zijn het ernstigst: die stellen een aanvaller mogelijk in staat om bijvoorbeeld vanuit een webbrowser malware te installeren op de pc van de gebruiker. Het is niet duidelijk bij hoeveel van de kwetsbaarheden dat daadwerkelijk kan. In een van de gevallen gaat het om een kwetsbaarheid waarvan de ernst op een schaal van 1 tot 10 een '10' meekrijgt.

Oracle geeft elk kwartaal een grote beveiligingspatch uit. In totaal worden 147 bugs geplet in de opkomende patchronde, waarmee het een van Oracles grootste patchrondes tot nu toe is. Naast kwetsbaarheden in Java worden ook beveiligingsproblemen in Solaris, Oracles databasesoftware en Oracle Fusion gedicht.

Kwetsbaarheden in Java worden vaak gebruikt om malware te installeren. Daarvoor worden kant-en-klare tools gebruikt, zogenoemde exploit kits. Via malafide banners of door een website te hacken wordt de exploit kit aan slachtoffers geserveerd. In het verleden boden meerdere grote Nederlandse websites per abuis exploit kits aan, waaronder NU.nl, NRC.nl en Telegraaf.nl. Onlangs verspreidde het Surinaamse ministerie van financiën malware via bugs in Java.

Bron: Tweakers.net