Websecurity - Веб безпека

В даній добірці експлоіти в веб додатках:

• Picosafe Web GUI - Multiple Vulnerabilities (деталі)
• Witbe - Remote Code Execution (деталі)
• Cisco Firepower Threat Management Console 6.0.1 - Remote Command Execution (деталі)
• PCMan FTP Server 2.0.7 - ‘PORT’ Remote Buffer Overflow (деталі)
• BolinTech DreamFTP Server 1.02 - ‘RETR’ Remote Buffer Overflow (деталі)

Раніше я писав про жовтневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію в листопаді.

В зв’язку з сепаратистськими і терористичними акціями на сході України, хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

onufrievka.kr-admin.gov.ua (хакером parazit) - 29.11.2017

Проукраїнськими хакерами були атаковані наступні сайти:

Листопадові DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі місяця.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт гуманитарные-войска.рф (через вплив на хостера) - 11.2017
Закритий сайт patriot.dn.ua (через скаргу хостеру) - 11.2017
Закритий сайт virtual.donetsk.ua (через скаргу хостеру) - 11.2017

Виявлені численні уразливості безпеки в Microsoft Office, а також в серверних продуктах Office Web Apps і SharePoint Server. Що були виправлені у вівторку патчів у листопаді.

Уразливі продукти: Microsoft Office Web Apps 2010 SP2, Office Web Apps Server 2013 SP1, Project Server 2013 SP1, SharePoint Enterprise Server 2016.

Обхід безпеки, пошкодження пам’яті, виконання коду.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://websystem.kotovsk-city.gov.ua (хакерами з Yunkers Crew) - 16.04.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://forum.adm-hrebinka.gov.ua (хакерами з Yunkers Crew) - 16.04.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://artemida.net.ua (хакером Fallag Gassrini) - 10.02.2017, зараз сайт вже виправлений адмінами
• http://sadyukrainy.com.ua (хакером MOB) - 29.10.2017, зараз сайт вже виправлений адмінами, цей сайт вже хакали в березні, схоже його ламають постійно
• http://stroymaterialy.kharkov.ua (хакерами з ToP-TeaM) - 14.11.2017, зараз сайт вже виправлений адмінами

В даній добірці уразливості в веб додатках:

• RSA Identity Management and Governance Authentication Bypass Vulnerability (деталі)
• CollabNet Subversion Edge weak password policy (деталі)
• CollabNet Subversion Edge missing clickjacking protection (деталі)
• CSRF Vulnerability in C2Box application (деталі)
• Web Login Bruteforce in Symantec Endpoint Protection Manager 12.1.4023.4080 (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах CSV Import, WP Advanced Importer, Calculated Fields Form, Extra User Details, User Submitted Posts. Для котрих з’явилися експлоіти.

• WordPress CSV Import 1.0 Cross Site Scripting (деталі)
• WordPress WP Advanced Importer 2.1.1 Cross Site Scripting (деталі)
• WordPress Calculated Fields Form 1.0.x Session Hijacking (деталі)
• WordPress Extra User Details 0.4.2 Privilege Escalation (деталі)
• WordPress User Submitted Posts 20151113 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У жовтні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у листопаді.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на без-вести.рф - 01-30.11.2017
DDoS на dnrpress.ru - 01-30.11.2017
DDoS на cikdnr.ru - 01-30.11.2017
DDoS на cik-lnr.info - 01-30.11.2017
DDoS на icp.su - 01-30.11.2017
DDoS на dokcpp.dn.ua - 01-30.11.2017
DDoS на antiukrop.su - 01-30.11.2017
DDoS на milion.kiev.ua - 01-30.11.2017
DDoS на banner.dn.ua - 01-30.11.2017
DDoS на patriot.donetsk.ua - 01-30.11.2017

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

Виявлені уразливості в Microsoft .NET Core і ASP.NET Core. Що були виправлені у вівторку патчів у листопаді.

Уразливі продукти: Microsoft .NET Core 1.0, 1.1, 2.0 і ASP.NET Core 1.0, 1.1, 2.0.

Виконання коду через пошкодження пам’яті.

В даній добірці експлоіти в веб додатках:

• ASUS DSL-X11 ADSL Router - Unauthenticated DNS Change (деталі)
• Kerio Control Unified Threat Management 9.1.0 build 1087/9.1.1 build 1324 - Multiple Vulnerabilities (деталі)
• Symantec Messaging Gateway 10.6.1 - Directory Traversal (деталі)
• Freefloat FTP Server 1.0 - ‘SITE ZONE’ Buffer Overflow (деталі)
• PCMan FTP Server 2.0.7 - ‘NLST’ Remote Buffer Overflow (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://syroedenie.com.ua - інфекція була виявлена 14.01.2017. Зараз сайт не входить до переліку підозрілих
• http://nuskin.biz.ua - інфекція була виявлена 04.02.2017. Зараз сайт не входить до переліку підозрілих
• http://galkorona.com - інфекція була виявлена 01.03.2017. Зараз сайт не входить до переліку підозрілих
• http://pravosudie.at.ua - інфекція була виявлена 11.03.2017. Зараз сайт не входить до переліку підозрілих
• http://cs-hltv.at.ua - інфекція була виявлена 23.03.2017. Зараз сайт не входить до переліку підозрілих
• http://hooligan8.at.ua - інфекція була виявлена 31.07.2017. Зараз сайт не входить до переліку підозрілих
• http://guanpro.com - інфекція була виявлена 11.08.2017. Зараз сайт не входить до переліку підозрілих
• http://000.at.ua - інфекція була виявлена 18.09.2017. Зараз сайт не входить до переліку підозрілих
• http://prof-xaker.at.ua - інфекція була виявлена 18.09.2017. Зараз сайт не входить до переліку підозрілих
• http://solocrd.zzz.com.ua - інфекція була виявлена 10.11.2017. Зараз сайт не входить до переліку підозрілих