Інфіковані сайти №281

23:58 11.12.2017

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://hooligan8.at.ua - інфекція була виявлена 31.07.2017. Зараз сайт не входить до переліку підозрілих
  • http://guanpro.com - інфекція була виявлена 11.08.2017. Зараз сайт не входить до переліку підозрілих
  • http://000.at.ua - інфекція була виявлена 18.09.2017. Зараз сайт не входить до переліку підозрілих
  • http://prof-xaker.at.ua - інфекція була виявлена 18.09.2017. Зараз сайт не входить до переліку підозрілих
  • http://solocrd.zzz.com.ua - інфекція була виявлена 10.11.2017. Зараз сайт не входить до переліку підозрілих

Численні уразливості в Microsoft Internet Explorer і Edge

22:46 11.12.2017

Виявлені численні уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge. Що були виправлені у вівторку патчів у листопаді.

Уразливі продукти: Microsoft Internet Explorer 9, 10, 11 та Edge під Windows Server 2008, Windows 7, Windows Server 2012, Windows 8.1, Windows 10, Windows Server 2016.

Численні пошкодження пам’яті та виконання коду.

Мій виступ на каналі Oboz TV

20:03 11.12.2017

В листопаді, 30.11.2017, я дав інтерв’ю для телеканалу Oboz TV.

Воно вийшло на каналі в програмі “Ранковий Обозреватель”. Сюжет зі мною про кібербезпеку розбитий на дві частини. В першому відео я розповів про двофакторну авторизацію, надійні паролі, менеджери паролів та інші аспекти онлайн безпеки. В другому відео я розповів про безпечні месенджери, протидію російським кібератакам та про діяльність УКВ з 2014 року. Всі бажаючі можуть подивитися ці відео.

Добірка уразливостей

17:24 11.12.2017

В даній добірці уразливості в веб додатках:

  • HttpFileServer 2.3.x Remote Command Execution (деталі)
  • CollabNet Subversion Edge weak password storage mechanism (деталі)
  • CollabNet Subversion Edge missing XSRF protection (деталі)
  • cacti security update (деталі)
  • Avira License Application - Cross Site Request Forgery Vulnerability (деталі)

Уразливості в плагінах для WordPress №270

23:57 28.10.2017

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Booking Calendar Contact Form, WooCommerce, WP User Frontend, Duplicator, ALO EasyMail Newsletter. Для котрих з’явилися експлоіти.

  • WordPress Booking Calendar Contact Form 1.0.23 Blind SQL Injection (деталі)
  • WordPress WooCommerce 1.5.5 Privilege Escalation (деталі)
  • WordPress WP User Frontend 3.4.6 File Upload (деталі)
  • WordPress Duplicator 1.1.0 / 1.2.0 Cross Site Request Forgery (деталі)
  • WordPress ALO EasyMail Newsletter 2.6.01 CSRF (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Масовий взлом сайтів на сервері Ukrnames

22:46 28.10.2017

В період з 03.11.2012 по 15.02.2015 та з 04.12.2016 по 18.05.2017 відбувся масовий взлом сайтів на сервері Ukrnames. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Ukrnames. Взлом складався з кількох масових дефейсів та багатьох невеликих дефейсів сайтів. Він відбувся після згаданого масового взлому сайтів на сервері Freehost.

Всього було взломано 215 сайтів на сервері хостера Freehost (IP 195.64.154.9). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт khoas.gov.ua.

З зазначених 215 сайтів 63 сайти були взломані хакером RxR та інші сайти іншими хакерами.

Масовий дефейс хакером RxR явно був зроблений через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері. У випадку інших дефейсів сайтів, всі вони явно були зроблені при взломах окремих сайтів.

Вийшли PHP 5.6.31, 7.0.25 і 7.1.11

19:21 28.10.2017

У жовтні, 26.10.2017 і 27.10.2017, вийшли PHP 5.6.32, PHP 7.0.25 і PHP 7.1.11. У версії 5.6.32 виправлено багато уразливостей, у версії 7.0.25 виправлено багато багів і уразливостей, у версії 7.1.11 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.6.x, 7.0.x і 7.1.x.

У PHP 5.6.32, 7.0.25 і 7.1.11 виправлено:

  • Пошкодження пам’яті.
  • Численні вибивання в різних функціях (DoS).
  • Уразливості в ядрі та модулях.

По матеріалам http://www.php.net.

Взлом ключів і POS систем готелів

23:53 27.10.2017

Продовжуючи розпочату традицію, після попереднього відео про взлом банкоматів - Next Gen ATMs, пропоную нове відео на секюріті тематику. Цього разу відео про взлом ключів і POS систем готелів. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 24 - Hacking Hotel Keys and Point of Sale Systems

Торік влітку на конференції DEFCON 24 відбувся виступ Weston Hecker. В своєму виступі він розповів про атаки на готелі, зокрема на електронні ключі і POS системи готелів. Про ін’єкцію натискання клавіш у POS термінали та в касові апарати (для подальшого взяття коштів в них) - ці атаки відбуваються віддалено. А про атаки на банкомати Вестон розповідав у попередньому відео.

Він розповів про аспекти безпеки інформаційних систем, що застосовуються в готелях. Рекомендую подивитися дане відео для розуміння поточного стану безпеки таких систем.

Уразливості на dvbank.ua

22:48 27.10.2017

Ще в 2012 році я писав про аналогічні уразливості на kredobank.com.ua і повідомив про дірки в клієнт-банкінгу власникам цього та інших банків. А також повідомив про всі ці 109 дірок розробникам цієї системи КБ, але всі вони проігнорували.

Сьогодні я знайшов ці уразливості, зокрема Brute Force, Cross-Site Scripting та Cross-Site Request Forgery дірки на http://dvbank.ua - сайті банка DV Bank (ДІВІ Банк). Зокрема на піддомені, де розміщений клієнт-банк. Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно уразливостей на сайтах банків останній раз я писав про limit.privatbank.ua.

BF + XSS + CSRF:

Всі зазначені уразливості знаходиться в клієнт-банкінгу ДІВІ Банк. Всього 109 уразливостей в системи IFOBS.

https://ifobs.dvbank.ua/ifobsClient/

Дані уразливості досі не виправлені.

Жовтневі DDoS атаки та взломи

20:09 27.10.2017

Раніше я писав про вересневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію в жовтні.

В зв’язку з сепаратистськими і терористичними акціями на сході України, хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

disgvol.gov.ua (хакерами з chinafans) - 02.10.2017
tsdazu.gov.ua (хакером NoFace 47) - 09.10.2017
dts.gov.ua (хакером r00tkit) - 25.10.2017

Проукраїнськими хакерами були атаковані наступні сайти:

Жовтневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі місяця.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт uinp.info (через вплив на хостера) - 10.2017
Закритий сайт runner.org.ua (через скаргу хостеру) - 10.2017
Закритий сайт crimeavector.com.ua (через скаргу хостеру) - 10.2017
Закритий сайт actualnews.pro (через вплив на хостера) - 10.2017