Websecurity - Веб безпека

Вітаю вас з Новим роком!

З нагоди Нового року, Різдва Христового та інших свят пропоную вам подивитися мої святкові листівки на флеші. На українській мові, російській мові та англійські мові.

Також подивіться мої подарунки на Facebook.

Бажаю вам всього найкращого .

У листопаді, 18.11.2021, вийшли PHP 7.3.33, PHP 7.4.26 і PHP 8.0.13. У версії 7.3.33 виправлена одна уразливість, у версії 7.4.26 виправлено багато багів і уразливостей, у версії 8.0.13 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 7.3.x, 7.4.x і 8.0.x.

У PHP 7.3.33, 7.4.26 і 8.0.13 виправлено:

• Спеціальний символ обриває шлях в XML функції.
• Пошкодження пам’яті.
• Вибивання.
• Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.

Виявлені нові уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge. Що були виправлені у вівторку патчів.

Уразливі продукти: Microsoft Internet Explorer 9, 10, 11 та Edge під Windows Server 2012, Windows 8.1, Windows 10, Windows Server 2016, Windows 11.

Пошкодження пам’яті та виконання коду.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Clean Up Optimizer, Booking Calendar, Concours, CSV Import-Export, Feed-Statistics. Для котрих з’явилися експлоіти.

• WordPress Clean Up Optimizer 4.0.0 SQL Injection (деталі)
• WordPress Booking Calendar 7.0 / 7.1 SQL Injection / Local File Inclusion (деталі)
• WordPress Concours 1.1 Cross Site Scripting (деталі)
• WordPress CSV Import-Export 1.1 Cross Site Scripting (деталі)
• WordPress Feed-Statistics 4.1 Open Redirect (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• https://data.imr.gov.ua (хакером KENZOXPLOIT) - 25.11.2020 - похаканий державний сайт
• http://nv-osvita.gov.ua (хакером ShiroGans) - 31.10.2021 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://v-master.com.ua (хакером Simsimi) - 12.02.2020 - сайт досі не виправлений
• http://gamesforbaby.org (хакером MiSh) - 26.07.2021 - сайт досі не виправлений
• http://comfort-lux.com (хакером KAKEGURAI) - 12.10.2021 - зараз сайт вже виправлений адмінами

В даній добірці експлоіти в веб додатках:

• Compro Technology IP Camera - RTSP stream disclosure (деталі)
• Compro Technology IP Camera - ‘Multiple’ Credential Disclosure (деталі)
• WPanel 4.3.1 - Remote Code Execution (RCE) (Authenticated) (деталі)
• Antminer Monitor 0.5.0 - Authentication Bypass (деталі)
• ECOA Building Automation System - Weak Default Credentials (деталі)

У лютому, 05.02.2021, вийшов Mozilla Firefox 85.0.1. Нова версія браузера вийшла через десять днів після виходу Firefox 85.

Це секюріті випуск, де виправлена уразливість CVE-2020-16048: Buffer overflow in depth pitch calculations for compressed textures.

• MFSA 2021-06 Security Vulnerabilities fixed in Firefox 85.0.1 and Firefox ESR 78.7.1 (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://avtoshoolvsa.zt.ua - інфекція була виявлена 17.08.2020. Зараз сайт не входить до переліку підозрілих
• http://delfa-test.mk.ua - інфекція була виявлена 21.10.2020. Зараз сайт не входить до переліку підозрілих
• http://sodeistvie-pmr.com - інфекція була виявлена 22.10.2020. Зараз сайт не входить до переліку підозрілих
• http://smart-fun.com.ua - інфекція була виявлена 28.10.2020. Зараз сайт не входить до переліку підозрілих
• http://ecobond.ua - інфекція була виявлена 28.10.2020. Зараз сайт не входить до переліку підозрілих

Виявлені численні уразливості безпеки в Mozilla Firefox і Thunderbird.

Уразливі продукти: Mozilla Firefox 82, Firefox ESR 78.4, Thunderbird ESR 78.4.

Пошкодження пам’яті, виконання коду, обхід обмежень, витік інформації, XSS.

• MFSA 2020-50 Security Vulnerabilities fixed in Firefox 83 (деталі)

Після минулорічного звіту про інфікованість Уанета, наведу нову порівняльну статистику інфікованості Уанета за останні роки.

Статистика буде за 2018 - 2020 роки. Статистичні дані базуються на моїх дослідженнях хакерської активності в Уанеті в 2018, 2019 і 2020 роках.

За весь 2018 рік в Уанеті було інфіковано 130 веб сайтів.

За весь 2019 рік в Уанеті було інфіковано 140 веб сайтів.

За весь 2020 рік в Уанеті було інфіковано 150 веб сайтів.

Велика кількість заражених сайтів свідчить про зростання кримінальних взломів сайтів (коли на взломаних сайтах розміщуються віруси).

Динаміка зараження сайтів в Уанеті.

В 2018 році активність зменшилась на 10% порівняно з 2017 роком (спад в 1,11 рази). В порівнянні з 2008 роком активність зросла на 3150% (в 32,5 разів).

В 2019 році активність зросла на 8% порівняно з 2018 роком (зростання в 1,08 рази). В порівнянні з 2008 роком активність зросла на 3400% (в 35 рази).

В 2020 році активність зросла на 7% порівняно з 2019 роком (зростання в 1,07 рази). В порівнянні з 2008 роком активність зросла на 3650% (в 37,5 рази).

Як видно зі статистики, кількість інфікованих сайтів в Уанеті в останні роки стабільно велика. Хоча через зменшення моїх досліджень мало місце загальне зменшення динаміки в минулий рік.