Websecurity - Веб безпека

У березні, 13.03.2018, вийшов Mozilla Firefox 59. Нова версія браузера вийшла через два місяці після виходу Firefox 58.

Mozilla офіційно випустила реліз веб-браузера Firefox 59, а також мобільну версію Firefox 59 для платформи Android. Відповідно до шеститижневого циклу розробки, Firefox 60 вийде 9 травня.

Також була оновлена гілка із тривалим терміном підтримки Firefox 52.7.

В браузері було зроблено багато нововведень. Та зроблені покращення безпеки, зокрема припинена підтримка відкриття в основній сторінці URL “data:” для захисту від фішингу, в тому числі лінки та редиректи на data:, в приватному режимі при звернені до зовнішнього ресурсу в заголовку Referer тепер передається лише ім’я хоста, більше не виводиться діалог HTTP-аутентифікації при завантаженні зображень з зовнішніх ресурсів.

Нарешті вони виправили уразливість в браузері, про яку я повідомив Mozilla в березні 2011 року. Це уразливість, що стосується різних браузерів (Bug 647010 - Only present HTTP authentication dialogs if it is the top-level document initiating the auth). Вони спочатку виправили її в Firefox 40, але потім відмінили виправлення через те, що воно змінювало роботу багатьох старих сайтів, адміни яких звикли до такої поведінки браузера. І ось вони знову вирішили виправити дірку - але лише частково, бо заборонили виведення діалогу аутентифікації лише для зображень, але не інших ресурсів. При цьому, як і минулого разу, вони не зробили адвізорі для неї, тому насправді в цій версії Firefox має бути 19 Security Advisory.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 59.0 усунуто 18 уразливостей + моя дірка, що менше ніж в попередній версії. Серед яких дві позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч). Зокрема в цих двох критичних патчах виправлена 21 уразливість.

• Релиз Firefox 59 (деталі)

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, зокрема про DoS і DDoS атаки (статті з Вікіпедії):

• LAND
• HTTP POST flood
• PUSH and ACK floods
• Radio jamming
• Resource exhaustion attack

Цього року відбувся новий масовий взлом сайтів на сервері Ukraine. Він відбувся з 26.03.2015 по 14.02.2018. Восьмий масовий взлом сайтів на сервері Ukraine відбувся раніше.

Був взломаний сервер української компанії Ukraine. Взлом складався з декількох масових дефейсів та багато окремих дефейсів.

Всього було взломано 83 сайти на сервері хостера Ukraine (IP 185.68.16.34). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт doltour.gov.ua.

З них 18 сайтів були взломані хакерами з Guardiran Security Team, 17 сайтів хакерами з D.R.S Dz Team, 14 сайтів хакером ZoRRoKiN та інші сайти іншими хакерами.

Масові дефейси хакерами Guardiran Security Team, ZoRRoKiN і D.R.S Dz Team явно були зроблені через взлом серверу хостінг провайдера. У випадку окремих дефейсів по одному чи декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера.

У січні, 25.01.2018, через півтора місяці після виходу Google Chrome 63, вийшов Google Chrome 64.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлено 53 уразливостей. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity і LibFuzzer. Що значно більше ніж в попередній версії.

• Выпуск web-браузера Chrome 64 (деталі)

Раніше я писав про березневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію в квітні.

В зв’язку з сепаратистськими і терористичними акціями на сході України, хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

eduvzn.gov.ua (хакером BALA SNIPER) - 13.04.2018
lepetykha-rda.gov.ua (хакером RxR) - 18.04.2018
www.sea.gov.ua (хакерами з TeaM_CC) - 20.04.2018
industry.zt.gov.ua (хакерами з ErrOr SquaD) - 20.04.2018
lsp.sea.gov.ua (хакерами з TeaM_CC) - 21.04.2018
www.mev.gov.ua (хакерами з Electronic Thunderbolt Team) - 22.04.2018
usrinfo.minjust.gov.ua (хакерами з ErrOr SquaD) - 22.04.2018
www.dffd.gov.ua (хакером AdGhosT) - 23.04.2018

Проукраїнськими хакерами були атаковані наступні сайти:

Квітневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі місяця.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт ukrop.dn.ua (через скаргу хостеру) - 04.2018

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Event Registration, BulletProof Security, Brafton, Ninja Forms, WP Mobile Detector. Для котрих з’явилися експлоіти.

• WordPress Event Registration 6.02.02 XSS / SQL Injection (деталі)
• Wordpress BulletProof Security 53.3 Cross Site Scripting (деталі)
• WordPress Brafton 3.3.10 Cross Site Scripting (деталі)
• WordPress Ninja Forms Unauthenticated File Upload (деталі)
• WordPress WP Mobile Detector 3.5 Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці експлоіти в веб додатках:

• Sophos Web Appliance 4.2.1.3 - DiagnosticTools Remote Command Injection (Metasploit) (деталі)
• Apache mod_session_crypto - Padding Oracle (деталі)
• PHPMailer < 5.2.18 - Remote Code Execution (PHP) (деталі)
• Nagios < 4.2.2 - Arbitrary Code Execution (деталі)
• Horos 2.1.0 Web Portal - Directory Traversal (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://old.kam-pod.gov.ua (хакером Ayyildiz Tim-maress) - 10.07.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінам
• http://new.kam-pod.gov.ua (хакером Ayyildiz Tim-maress) - 10.07.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінам
• http://doc.osvita-kp.gov.ua (хакером Ayyildiz Tim-maress) - 10.07.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінам
• http://sobornarada.gov.ua (хакером Ayyildiz Tim-maress) - 10.07.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінам
• http://rajvosevlush.gov.ua (хакером Prosox) - 10.09.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінам
• http://mirabo.kiev.ua (хакером r00tkit) - 06.12.2017, зараз сайт вже виправлений адмінам
• http://europe.mirabo.kiev.ua (хакерами Darkshadow-tn і Mister Spy) - 06.12.2017, зараз сайт вже виправлений адмінам
• http://foto-one.com.ua (хакером amin0461) - 16.03.2018, зараз сайт закритий
• http://expo-odessa.com (хакером Golden Hacker)
• http://knockdown.org.ua (хакером Mister Spy) - 24.04.2018, зараз сайт закритий

У квітні місяці Microsoft випустила нові патчі.

У квітневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло багато патчів, але починаючи з квітня 2017 року бюлетені по безпеці не випускаються, тому їх кількість невідома. Компанія вказує лише назви продуктів та номера патчів, а не кількість і деталі бюлетенів (патчів). Вони закривають уразливості в програмних продуктах компанії.

Дані патчі стосуються поточних операційних систем компанії Microsoft - Windows 7, 8.1, RT 8.1, 10 та 2016. А також Microsoft Office, Internet Explorer і Edge, Office Web Apps і SharePoint Server, Malware Protection Engine та Visual Studio.

Також Microsoft випустила патч для уразливостей в Adobe Flash Player, що постачається з Windows.

У березні, 01.03.2018, вийшли PHP 7.1.15 і PHP 7.2.3. У версії 7.1.15 виправлено багато багів і уразливостей, у версії 7.2.3 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 7.1.x і 7.2.x.

У PHP 7.1.15 і 7.2.3 виправлено:

• Пошкодження пам’яті.
• Численні вибивання в різних функціях (DoS).
• Уразливості в ядрі та модулях.

По матеріалам http://www.php.net.