Websecurity - Веб безпека

У грудні, 26.12.2016, я знайшов Cross-Site Scripting та Cross-Site Request Forgery уразливості в TL-WR841ND. Це Wireless Router і AP.

Раніше я писав про уразливості в мережевих пристроях даної компанії, зокрема в TP-Link TL-WR841ND та TP-Link TL-WR741N.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

В січні, 16.01.2018, вийшла нова версія WordPress 4.9.2.

WordPress 4.9.2 це багфікс та секюріті випуск нової 4.9 серії. В якому розробники виправили 21 баг та 1 уразливість. Була виправлена XSS уразливість в Flash fallback файлах в MediaElement.

Також в цій версії зробили звичайні виправлення в движку.

Виявлені уразливості в Microsoft .NET Core і ASP.NET Core. Що були виправлені у вівторку патчів у берзені.

Уразливі продукти: Microsoft .NET Core 1.0, 1.1, 2.0, ASP.NET Core 1.0, 1.1, 2.0, .NET Framework.

Обхід безпеки та витік інформації.

Платіжні карти широко використовуються в Україні та в усьому світі. Сам багато років користуюся ними. Дебітними і кредитними платіжними картами серед іншого можна розплачуватися за покупки в торговій мережі та в Інтернеті.

Вже писав, що через уразливості в онлайн банкінгах можна як викрадати кошти з карт, так і блокувати платіжні карти.

І такі уразливості на сайтах банків я знаходив багато разів з початку десятиліття. Розповім про викрадання коштів з платіжних карт з технологією Near Field Communication (NFC).

Вже давно в Україні присутні карти з бездротовою технологією NFC. Компанія MasterCard назвала цю функцію PayPass, а Visa назвала її payWave (різні виробники називають технологію по різному, але в основі лежить NFC) - це безконтактна технологія оплати, що не потребує проводити магнітною стрічкою по терміналу, що забезпечує більшу безпеку і більш швидкі розрахунки.

Технологія сучасна та популярна, окрім оплати в торговельній мережі, вона також застосовується для сплати проїзду в київському метро. Відсутність контакту карти з терміналом - це добре, але українські банки також дозволяють не підтверджувати оплату (за звичай для сум до 100 грн.) при використанні безконтактної технології оплати. Саме це може бути використано зловмисниками для крадіжки коштів.

Поєднання безконтактної оплати та ліміту на “транзакцію без підтвердження” дозволяє викрадання коштів з платіжних карт з NFC. Багато разів у цьому десятилітті бачив як люди користувалися такими платіжними картами, тому одразу підозрював таку можливість, але в мене були лише карти без NFC. Віднедавна в мене з’явилася банківська карта з бездротовою технологією NFC і я зміг це перевірити на практиці в різних магазинах, що мають термінали з підтримкою PayPass і payWave. Тим самим повністю підтвердив свої підозри про таку атаку, що були багато років.

Для цього зловмисникам потрібно вкрасти карту, або “взяти її тимчасово” (наприклад, родичі можуть взяти карту на короткий час), і робити покупки на суми до 100 грн. Це можна робити підряд в різних точках продажу чи навіть на різних касах в одному магазині. Аналогічна можливість викрадання коштів є на картах навіть без NFC, де банки дозволяють не підтверджувати транзакції підписом чи пін-кодом (в межах ліміту). В мене була така преміальна карта від Правекс Банку з лютого 2016 року, де я не підтверджував оплату в більшості магазинів, хоча на інших картах Правекс Банку і ПриватБанку я завжди вводив пін-коди. Тому за всіма картами, де немає підтвердження, потрібно надійно слідкувати.

Існують методи захисту карт. Щоб захиститися від родичів (що взяли карту тимчасово), злочинців (що вкрали карту), злочинних працівників магазинів (що перед основною транзакцією можуть приховано собі провести транзакцію), шахраїв (що віддалено тирять кошти по NFC) та інших сценаріїв, зробіть один з наступних кроків:

1. Користуйтеся картками без NFC загалом і лише в надійних випадках картками з NFC. Сам користуюся 10 років лише звичайними картами, тому вважаю їх надійними. Повністю відмовитися від таких карт слід лише у крайньому випадку.

2. Користуйтеся смс-банкінгом, щоб отримувати повідомлення про всі транзакції. Якщо шахраї вкрадуть гроші, то ви швидко про це дізнаєтеся і зможете відреагувати. Свій телефон завжди ношу з собою коли беру карту з NFC.

3. Існують методи фізичного захисту карток від віддалених атак.

У грудні, 07.12.2017, вийшов Mozilla Firefox 57.0.2. Нова версія браузера вийшла більше ніж через пів місяця після виходу Firefox 57.

Це секюріті випуск в якому виправлена уразливість CVE-2017-7845: Buffer overflow when drawing and validating elements with ANGLE library using Direct 3D 9. Після цього в грудні вийшла версія Firefox 57.0.3 з виправленням багів.

У січні, 04.01.2018, вийшов Mozilla Firefox 57.0.4. Це секюріті випуск в якому виправлена уразливість, що стосується сучасних процесорів Speculative execution side-channel attack - ця атака отримала назву “Spectre”. Вона також була виправлена в Firefox 52 ESR.

• MFSA 2017-29 Security vulnerabilities fixed in Firefox 57.0.2 (деталі)
• MFSA 2018-01 Speculative execution side-channel attack (”Spectre”) (деталі)

Виявлені уразливості безпеки в Microsoft Office, а також в серверних продуктах Office Web Apps і SharePoint Server. Що були виправлені у вівторку патчів у березні.

Уразливі продукти: Microsoft Office Web Apps 2010 SP2, Office Web Apps Server 2013 SP1, Project Server 2013 SP1, SharePoint Enterprise Server 2016.

Обхід безпеки та виконання коду.

Раніше я писав про лютневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію в березні.

В зв’язку з сепаратистськими і терористичними акціями на сході України, хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

zaryabinka-rada.gov.ua (хакерами з TeaM_CC) - 11.03.2018
bogodukhivrda.gov.ua (хакерами з TeaM_CC) - 11.03.2018
new.bogodukhivrda.gov.ua (хакерами з TeaM_CC) - 11.03.2018
nmckherson.gov.ua (хакерами з TeaM_CC) - 18.03.2018
uon.gov.ua (хакерами з TeaM_CC) - 18.03.2018
ochakiv-rada.gov.ua (хакерами з TeaM_CC) - 19.03.2018

Проукраїнськими хакерами були атаковані наступні сайти:

Березневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі місяця.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт pomogi-donbassu.ru (через скаргу хостеру) - 03.2018
Закритий сайт gum-lnr.su (через відкликання SSL сертифікату) - 03.2018
Закритий сайт gtklnr.su (через відкликання SSL сертифікату) - 03.2018
Закритий сайт phoenix-dnr.ru (через відкликання SSL сертифікату) - 03.2018
Закритий сайт феникс-днр.рус (через відкликання SSL сертифікату) - 03.2018

В даній добірці експлоіти в веб додатках:

• Xfinity Gateway - Remote Code Execution (деталі)
• Cisco Unified Communications Manager 7/8/9 - Directory Traversal (деталі)
• NETGEAR R7000 - Command Injection (деталі)
• BlackStratus LOGStorm 4.5.1.35/4.5.1.96 - Remote Code Execution (деталі)
• Alcatel Lucent Omnivista 8770 - Remote Code Execution (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах iThemes Security, Tweet-Wheel, Echosign, Google SEO Pressor Snippet, CM Ad Changer. Для котрих з’явилися експлоіти.

• WordPress iThemes Security Insecure Backup / Logfile Generation (деталі)
• WordPress Tweet-Wheel 1.0.3.2 Cross Site Scripting (деталі)
• WordPress Echosign 1.1 Cross Site Scripting (деталі)
• WordPress Google SEO Pressor Snippet 1.2.6 XSS (деталі)
• WordPress CM Ad Changer 1.7.2 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Виявлені численні уразливості безпеки в Mozilla Firefox і Thunderbird.

Уразливі продукти: Mozilla Firefox 56, Firefox ESR 52.4, Thunderbird 52.4.

Пошкодження пам’яті, виконання коду, обхід обмежень, витік інформації, підробка адресного рядка, обхід CSP, встановлення кукіс через SVG зображення, self-XSS.

• MFSA 2017-24 Security vulnerabilities fixed in Firefox 57 (деталі)