Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://avtoshoolvsa.zt.ua - інфекція була виявлена 17.08.2020. Зараз сайт не входить до переліку підозрілих
• http://delfa-test.mk.ua - інфекція була виявлена 21.10.2020. Зараз сайт не входить до переліку підозрілих
• http://sodeistvie-pmr.com - інфекція була виявлена 22.10.2020. Зараз сайт не входить до переліку підозрілих
• http://smart-fun.com.ua - інфекція була виявлена 28.10.2020. Зараз сайт не входить до переліку підозрілих
• http://ecobond.ua - інфекція була виявлена 28.10.2020. Зараз сайт не входить до переліку підозрілих

У січні, 07.01.2021, вийшли PHP 7.3.26 і PHP 7.4.14. У версії 7.3.26 виправлено дві уразливості, у версії 7.4.14 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 7.3.x і 7.4.x.

У PHP 7.3.26 і 7.4.14 виправлено:

• Витік інформації.
• Пошкодження пам’яті.
• Вибивання.
• Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.

В даній добірці експлоіти в веб додатках:

• Dup Scout Enterprise 10.0.18 - ‘online_registration’ Remote Buffer Overflow (деталі)
• SmarterMail Build 6985 - Remote Code Execution (деталі)
• Solaris SunSSH 11.0 x86 - libpam Remote Root (деталі)
• FRITZ!Box 7.20 - DNS Rebinding Protection Bypass (деталі)
• HFS (HTTP File Server) 2.3.x - Remote Command Execution (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах FAdvertisement, Share-On-Diaspora, WpJobBoard, Ads Pro, Gym Management System. Для котрих з’явилися експлоіти.

• WordPress FAdvertisement SQL Injection (деталі)
• WordPress Share-On-Diaspora Cross Site Scripting (деталі)
• WordPress WpJobBoard 4.5.1 Cross Site Scripting (деталі)
• WordPress Ads Pro 3.4 Cross Site Scripting / SQL Injection (деталі)
• WordPress Gym Management System Code Execution / Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У липні, 08.07.2020, вийшов Mozilla Firefox 78.0.2. Нова версія браузера вийшла через тиждень після виходу Firefox 78.

Це секюріті випуск, де виправлена уразливість CVE-2020-15648: X-Frame-Options bypass using object or embed tags.

• MFSA 2020-28 Security Vulnerabilities fixed in Firefox 78.0.2 (деталі)

Продовжуючи розпочату традицію, після попереднього відео про атаки на IoT спікери, пропоную нове відео на секюріті тематику. Цього разу відео про експлуатацію IoT хабів. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 26 IoT VILLAGE - Exploiting the IoT hub What happened to my home

Раніше я багато розповідав про уразливості в мережевих пристроях і взлом IoT пристроїв, як то IP камер, розумних будинків і smart пристроїв. Цього разу мова йде про захоплення IoT хабів для атаки на розумний будинок.

Торік в серпні на конференції DEFCON 26 відбувся виступ Lee та Park. В своєму виступі вони розповіли про атаки на IoT хаби з метою отримання доступу до всіх пристроїв підключених до них. Про захоплення хабів та використання різних уразливостей в них. Отримання контролю над розумним будинком зокрема можливе через атаку на IoT хаб.

Вони розповіли про проблеми з безпекою в таких пристроях як IoT хаби. Про можливість захоплення всіх мережевих пристроїв та компонентів розумного будинку, що підключені до цих хабів. Рекомендую подивитися дане відео для розуміння поточного стану безпеки IoT пристроїв.

В своєму звіті про атаки на державні сайти України за 18 років, я навів статистику атак на державні сайти України за останні 18 років, а зараз наведу статистику за останні 19 років.

За 2001 - 2019 роки всього було атаковано 1219 українських державних сайтів (включаючи взломи сайтів та DDoS атаки). Це без врахування інфікованих gov.ua сайтів, яких було виявлено чимало за час моїх досліджень інфікованих сайтів в Уанеті.

Статистика від 2 атакованих веб сайтів в 2001, 2 сайтів в 2002 році, 1 сайту в 2003 році до 100 атакованих веб сайтів в 2019 році.

Виявлені численні уразливості безпеки в Mozilla Firefox і Thunderbird.

Уразливі продукти: Mozilla Firefox 76, Firefox ESR 68.8, Thunderbird ESR 68.8.

Пошкодження пам’яті, виконання коду, обхід обмежень, витік інформації, підробка адресного рядка.

• MFSA 2020-20 Security Vulnerabilities fixed in Firefox 77 (деталі)

В даній добірці експлоіти в веб додатках:

• Genexis Platinum 4410 Router 2.1 - UPnP Credential Exposure (деталі)
• Razer Chroma SDK Server 3.16.02 - Race Condition Remote File Execution (деталі)
• YATinyWinFTP - Denial of Service (PoC) (деталі)
• Ksix Zigbee Devices - Playback Protection Bypass (PoC) (деталі)
• Mitel mitel-cs018 - Call Data Information Disclosure (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в темах Salutation Responsive, GamePlan Event And Gym Fitness і в плагінах Easy Modal, Podlove Podcast Publisher, PressForward. Для котрих з’явилися експлоіти.

• Salutation Responsive 3.0.15 Cross Site Scripting (деталі)
• WordPress GamePlan Event And Gym Fitness Theme 1.5.13.2 Cross Site Scripting (деталі)
• WordPress Easy Modal 2.0.17 SQL Injection (деталі)
• WordPress Podlove Podcast Publisher 2.5.3 SQL Injection (деталі)
• WordPress PressForward 4.3.0 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.