Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• https://data.imr.gov.ua (хакером KENZOXPLOIT) - 25.11.2020 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://nv-osvita.gov.ua (хакером ShiroGans) - 31.10.2021 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://plomba.org.ua (хакером MiSh) - 20.07.2020 - зараз сайт вже виправлений адмінами
• http://bk-fis.com.ua (хакером PikunPe0ple) - 16.03.2021 - зараз сайт вже виправлений адмінами
• http://filmingcore.pp.ua (хакером PikunPe0ple) - 16.03.2021 - зараз сайт вже виправлений адмінами

У липні, 21.07.2021, через півтора місяці після виходу Google Chrome 91, вийшов Google Chrome 92.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлено 35 уразливості. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer і AFL. Це більше ніж в попередній версії.

В даній добірці експлоіти в веб додатках:

• COMMAX Smart Home Ruvie CCTV Bridge DVR Service - Config Write / DoS (деталі)
• crossfire-server 1.9.0 - ‘SetUp()’ Remote Buffer Overflow (деталі)
• ProcessMaker 3.5.4 - Local File inclusion (деталі)
• CyberPanel 2.1 - Remote Code Execution (RCE) (Authenticated) (деталі)
• ZesleCP 3.1.9 - Remote Code Execution (RCE) (Authenticated) (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WooPay Inicis, Pinterest Badge, Wunderbar Basic, Sagepay Server Gateway For WooCommerce, Placemarks. Для котрих з’явилися експлоіти.

• WordPress WooPay Inicis 1.1.3 Cross Site Scripting (деталі)
• WordPress Pinterest Badge 1.8.0 Cross Site Scripting (деталі)
• WordPress Wunderbar Basic 1.1.3 Cross Site Scripting (деталі)
• WordPress Sagepay Server Gateway For WooCommerce 1.0.7 XSS (деталі)
• WordPress Placemarks 2.0.0 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://avtoshoolvsa.zt.ua - інфекція була виявлена 17.08.2020. Зараз сайт не входить до переліку підозрілих
• http://delfa-test.mk.ua - інфекція була виявлена 21.10.2020. Зараз сайт не входить до переліку підозрілих
• http://sodeistvie-pmr.com - інфекція була виявлена 22.10.2020. Зараз сайт не входить до переліку підозрілих
• http://smart-fun.com.ua - інфекція була виявлена 28.10.2020. Зараз сайт не входить до переліку підозрілих
• http://ecobond.ua - інфекція була виявлена 28.10.2020. Зараз сайт не входить до переліку підозрілих

Виявлені уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge. Що були виправлені у вівторку патчів.

Уразливі продукти: Microsoft Internet Explorer 9, 10, 11 та Edge під Windows Server 2012, Windows 8.1, Windows 10, Windows Server 2016.

Пошкодження пам’яті та виконання коду.

У січні, 26.01.2021, вийшов Mozilla Firefox 85. Нова версія браузера вийшла майже через місяць після виходу Firefox 84.

Mozilla офіційно випустила реліз веб-браузера Firefox 85, а також мобільну версію Firefox 85 для платформи Android. Відповідно до циклу розробки, Firefox 86 вийде 23 лютого.

В браузері було зроблено багато нововведень. Та зроблені покращення безпеки.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 85.0 усунуто численні уразливості в 13 патчах, що на один менше ніж в попередній версії. Серед яких є одна критична, що може призвести до віддаленого виконання коду зловмисника. Mozilla типово виправляє по декілька дір за один патч.

Продовжу своє дослідження безпеки e-commerce сайтів в Уанеті.

Веб сайти, що займаються електронною комерцією (e-commerce), повинні дбати про свою безпеку. Бо вони заробляють гроші на своїй онлайн діяльності і будь-які проблеми з безпекою на їх сайтах можуть їм коштувати фінансових втрат.

Але на жаль e-commerce сайти в Уанеті достатньо діряві, бо власники цих сайтів за безпекою особливо не слідкують.

В себе в новинах я писав про уразливості на наступних сайтах банків України:

• online.oschadbank.ua
• bonus.privatbank.ua

Також згадував про взломані онлайн магазини в Уанеті:

• sparta1.com
• aku.km.ua

А також згадував про інфіковані онлайн магазини в Уанеті:

• unizoo.com.ua
• tennis-ua.com
• elefanto.ua
• vasha-mebel.kiev.ua
• silentkeylogger.com
• kondi.kiev.ua

Так що українським банкам та e-commerce сайтам є куди покращувати свою безпеку.

В даній добірці експлоіти в веб додатках:

• COMMAX Smart Home IoT Control System CDP-1020n - SQL Injection Authentication Bypass (деталі)
• COMMAX Smart Home Ruvie CCTV Bridge DVR Service - RTSP Credentials Disclosure (деталі)
• GeoVision Geowebserver 5.3.3 - Local FIle Inclusion (деталі)
• HP OfficeJet 4630/7110 MYM1FN2025AR/2117A - Stored Cross-Site Scripting (XSS) (деталі)
• ECOA Building Automation System - Hard-coded Credentials SSH Access (деталі)

Вже 23 роки я в Інтернеті - з середини жовтня 1998 року. Ось перелік онлайн загроз з якими я стикався.

Окрім вірусів на сайтах (а раніше на дискетах і дисках), це наступні:

Спам мені шлють з 1998.

Листи з вірусами - з 2000.

Фішинг листи - теж з 2000. Якби мені ці фішери вислали хоча б 10% від тих сум, про які вони пишуть, то я би давно став мультимільярдером .

Тролі атакують своїм хамством з 1998 - в чатах, а коментарях на сайтах і форумах, а потім і в соцмережах.

Уразливі сайти, які хакають і нерідко інфікують. Діряві веб ресурси почав знаходити з 2005.

Тисячі gov.ua сайтів були хакнуті чи інфіковані за 20 років, а також 1488 сайтів навчальних закладів були хакнуті за 16 років. Всього до ста тисяч українських сайтів.