Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Absolutely Glamorous Custom Admin, Pods, Easy Testimonials, Yoast SEO, allow-l10n-upload-filename. Для котрих з’явилися експлоіти.

• WordPress Absolutely Glamorous Custom Admin 6.4.1 Database Disclosure (деталі)
• WordPress Pods 2.7.9 Database Disclosure (деталі)
• WordPress Easy Testimonials 3.2 Cross Site Scripting (деталі)
• WordPress SEO (Yoast SEO) 9.1 Race Condition / Command Execution (деталі)
• WordPress allow-l10n-upload-filename 1.0 Arbitrary File Download (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Українські Кібер Війська з червня 2014 року займаються розвідкою. Це аудіо і відео розвідка. Раніше я наводив відео Українських Кібер Військ, що демонструють можливості Українських Кібер Військ по спостереженню за терористами.

Ось 5 нових відео, що зроблені в рамках розвідувальної операції:

Russian occupant sends robbed from Ukraine at post in Belgorod - УКВ записали як окупант висилає награбоване в Україні на пошті в Бєлгороді.

Russian occupant sends robbed from Ukraine at post in Bryansk - УКВ записали як окупант висилає награбоване в Україні на пошті в Брянську.

Українські Кібер Війська: штаб-квартира терористів в Алчевську - УКВ записали відео зі штаб-квартири терористів в Алчевську.

Russian occupants send robbed from Ukraine at post in Belgorod - УКВ записали як окупанти висилають награбоване в Україні на пошті в Бєлгороді.

Russian occupant sends robbed from Ukraine at post in Bryansk - УКВ записали як окупант висилає награбоване в Україні на пошті в Брянську.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• https://journal.dntb.gov.ua (хакером KingSkrupellos) - 09.08.2023 - похаканий державний сайт
• https://smorzh.opishne-museum.gov.ua (хакерами з Family Attack Cyber) - 09.08.2023 - похаканий державний сайт
• https://setsushi.com.ua (хакером M@rAz Ali) - 15.09.2023
• https://xenon.net.ua (хакером Rayzky) - 26.04.2024
• https://body1.com.ua (хакером Rayzky) - 26.04.2024

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 2022 рік, дані за 02.01.2023-08.01.2023, дані за 09.01.2023-15.01.2023 та за 16.01.2023-22.01.2023. Це нові дані.

У січні:

Четвертий тиждень.

Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/3Jdij28.
Українські Кібер Війська щодня виявляють російські МТ-ЛБ та іншу військову техніку в Донецьку https://bit.ly/3R3SLpM.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і msdnr.ru https://bit.ly/3wv1M1S.
Відео-розвідка: УКВ виявили, як російські окупанти висилають додому награбоване поштою в Бєлгороді https://bit.ly/3WGZc3i.
Українські Кібер Війська заблокували 320 сайтів терористів https://bit.ly/3XZaOjl.
Українські Кібер Війська виявили гео-локацію російської військової бази в Стаханові https://bit.ly/3jghj2o.
Українські Кібер Війська заблокували сайти терористів dnrsovet.su, mvddnr.ru та minsvyazdnr.ru https://bit.ly/3wApYjd.
Відео-розвідка: УКВ виявили російських солдатів і поліцейських в Алупці https://bit.ly/3HIH0Cs.

В даній добірці експлоіти в веб додатках:

• TitanFTP 2.0.1.2102 - Path traversal to Remote Code Execution (RCE) (деталі)
• Arris Router Firmware 9.1.103 - Remote Code Execution (RCE) (Authenticated) (деталі)
• ABUS Security Camera TVIP 20000-21150 - LFI, RCE and SSH Root Access (деталі)
• Osprey Pump Controller 1.0.1 - Administrator Backdoor Access (деталі)
• Osprey Pump Controller 1.0.1 - (pseudonym) Semi-blind Command Injection (деталі)

У липні, 06.07.2023, вийшли PHP 8.1.21 і PHP 8.2.8. У версії PHP 8.1.21 виправлено багато багів і уразливостей, у версії PHP 8.2.8 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 8.1.x і 8.2.x.

У PHP 8.1.21 і 8.2.8 виправлено:

• Численні вибивання.
• Пошкодження пам’яті.
• Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 2022 рік, дані за 02.01.2023-08.01.2023 та за 09.01.2023-15.01.2023. Це нові дані.

У січні:

Третій тиждень.

Українські Кібер Війська щодня виявляють російські МТ-ЛБ та іншу військову техніку в Донецьку https://bit.ly/3XhyFL1.
Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/3R02JZD.
Виявив сербів, що підтримують ДНР https://bit.ly/3QOGXYx.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і msdnr.ru https://bit.ly/3WjMmb9.
Українські Кібер Війська щодня фіксують російську військову техніку в Донецьку https://bit.ly/3D20jUd.
Українські Кібер Війська заблокували 320 сайтів терористів https://bit.ly/3WkApC4.
Відео-розвідка: УКВ знову виявили, як росіяни висилають поштою бронежилети мобілізованим https://bit.ly/3RbkHZf.
Українські Кібер Війська заблокували сайти терористів dnrsovet.su, mvddnr.ru та minsvyazdnr.ru https://bit.ly/3ZQgsGj.
Українські Кібер Війська виявили гео-локацію російської військової бази в Мирне https://bit.ly/3Hlvs7S.
Українські Кібер Війська заблокували 320 сайтів терористів https://bit.ly/3JbOcrT.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• https://kam-pod.gov.ua (хакером aDriv4) - 07.08.2023 - похаканий державний сайт
• https://ojs.iod.gov.ua (хакером KingSkrupellos) - 09.08.2023 - похаканий державний сайт
• https://mistim.com.ua (хакером Rayzky) - 21.06.2020
• https://biosept.com.ua (хакером Rayzky) - 11.04.2024
• росіяни хакнули ефірну систему телеканалу Еспресо - 19.02.2024

Продовжуючи розпочату традицію, після попереднього відео про взлом різноманітних мережевих пристроїв, пропоную нове відео на секюріті тематику. Цього разу відео про ботнети з мережевих пристроїв. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 25 - The call is coming from inside the house

Раніше я багато розповідав про уразливості в мережевих пристроях і взлом IoT пристроїв, як то IP камер, розумних будинків і smart пристроїв. Цього разу мова йде про використання IoT пристроїв для створення ботнетів.

В жовтні на конференції DEFCON 25 відбувся виступ Steinthor Bjarnason і Jason Jones. В своєму виступі вони розповіли про уразливі мережеві пристрої, які захоплюють зловмисники - від IP камер до роутерів та інших IoT пристроїв. Щоб створити ботнети для проведення DDoS атак, як ботнет Mirai, що з’явився два роки тому. Це небезпечна тенденція, враховуючи мільйони вразливих мережевих пристроїв в Інтернеті, кількість яких постійно зростає.

Вони розповіли про процес інфікування мережевих пристроїв і створення ботнету, показали масштаби та наслідки їх діяльності, на прикладі відомих атак IoT ботнетів. Будь-які домашні мережеві пристрої можуть бути інфіковані та залучені в ботнет, в тому числі веб камери, DVR, мережеві принтери, мережеві системи зберігання даних (NAS), Wi-Fi роутери, розумні телевізори (Smart TV). Рекомендую подивитися дане відео для розуміння поточного стану безпеки мережевих пристроїв.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах PeepSo, Custom Frontend Login Registration Form, Ninja Forms, Universal Post Manager і темах CherryFramework. Для котрих з’явилися експлоіти.

• WordPress PeepSo 1.11.2 Cross Site Scripting (деталі)
• WordPress Custom Frontend Login Registration Form 1.01 Cross Site Scripting (деталі)
• WordPress Ninja Forms 3.3.17 Cross Site Scripting (деталі)
• WordPress CherryFramework Themes 3.1.4 Backup File Download (деталі)
• WordPress Universal Post Manager 1.5.0 Database Disclosure (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.