Websecurity - Веб безпека

У серпні, 08.08.2017, вийшов Mozilla Firefox 55. Нова версія браузера вийшла через півтора місяці після виходу Firefox 54.

Mozilla офіційно випустила реліз веб-браузера Firefox 55, а також мобільну версію Firefox 55 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 56 намічений на 26 вересня.

Також була оновлена гілка із тривалим терміном підтримки Firefox 52.3.

В браузері були зроблені покращення безпеки, зокрема для доповнень WebExtensions активована система підтвердження розширених повноважень, таких як доступ до вмісту сайтів, що відкриваються або можливість обробки вкладок. Також зроблене блокування доступу до Geolocation API та Storage API для сайтів, що працюють не через захищене з’єднання та заборонене завантаження зовнішніх JAR-файлів.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 55.0 усунуто 29 уразливостей, що більше ніж в попередній версії. Серед яких п’ять позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 55 (деталі)

У серпні, 31.08.2013, я знайшов Cross-Site Scripting, Insufficient Anti-automation та інші уразливості на сайтах http://limit.pb.ua та http://limit.privatbank.ua. Це два домени одного сайту, тому всі уразливості однакові на них обох (зараз limit.pb.ua перенаправляє на limit.privatbank.ua). Тоді у вересні вислав всі ці уразливості банку.

Якщо всі дірки ПриватБанк підтвердив і взяв в роботу, то лише одну найбільш важливу дірку (з витоком даних клієнтів) ПБ виправив через два місяці та пізніше виплатив мені премію. Про інші дірки, як згадана в попередньому пості XSS і ця Insufficient Anti-automation, жодної відповіді за чотири роки я не отримав. Хоча нагадував їм про попередні уразливості в 2014-2016 роках. Торік я виявив, що ПриватБанк вже виправив всі інші уразливості (але без жодних премій мені) шляхом повної переробки сайту.

Стосовно ПриватБанка я вже писав про уразливості на acsk.privatbank.ua та уразливості на limit.privatbank.ua.

Insufficient Anti-automation:

На сторінці http://limit.pb.ua/verify (http://limit.privatbank.ua/verify) немає захисту від автоматизованих атак. Що дозволяє спамити смсками.

Insufficient Anti-automation:

На сторінці http://limit.pb.ua/verifySMS (http://limit.privatbank.ua/verifySMS) немає захисту від автоматизованих атак. Що дозволяє підбирати OTP висланий в смсці.

OTP код всього 4 символи, що всього 10000 комбінацій - це легко підбирається. І немає захисту від підбору OTP. Тому можна легко отримати доступ до акаунту користувача без наявності мобільного телефону жертви, щоб дізнатися кредитний ліміт і змінити його.

Дані уразливості та деякі інші не були виправлені в 2013 році. Але вже в 2016 році всі вони були виправлені. Проте я знайшов нові уразливості на limit.privatbank.ua, про які повідомив ПБ наприкінці минулого року і вони виправили їх.

У серпні місяці Microsoft випустила нові патчі.

У серпневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло багато патчів, але починаючи з квітня бюлетені по безпеці не випускаються, тому їх кількість невідома. Компанія вказує лише назви продуктів та номера патчів, а не кількість і деталі бюлетенів (патчів). Вони закривають уразливості в програмних продуктах компанії.

Дані патчі стосуються поточних операційних систем компанії Microsoft - Windows 2008, 7, 2008 R2, 8.1, 2012, 2012 R2, RT 8.1, 10 та 2016. А також Microsoft Office, Internet Explorer і Edge, SharePoint Server та SQL Server.

Також Microsoft випустила патч для уразливостей в Adobe Flash Player, що постачається з Windows.

28.07.2017

Сьогодні я знайшов Cross-Site Scripting та Content Spoofing уразливості в D-Link DGS-3000-10TC. Це Gigabit Ethernet Switch.

Раніше я писав про уразливості в пристроях даної компанії, зокрема в D-Link DAP-1360 та D-Link DGS-3200-16.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

16.09.2017

Cross-Site Scripting (WASC-08):

http://site/html/errorpage.html?%22;alert(document.cookie);//

Cross-Site Scripting (WASC-08):

http://site/html/errorpage.html

Атака через заголовок “Referer: javascript:alert(document.cookie)”.

Content Spoofing (WASC-12):

http://site/html/errorpage.html?You%20are%20hacked!

Можлива Text Injection атака.

Уразлива версія D-Link DGS-3000-10TC, Firmware Version 2.00.006. Дана модель з іншими прошивками також повинна бути вразливою.

В даній добірці експлоіти в веб додатках:

• FreePBX 13.0.35 - SQL Injection (деталі)
• FreePBX 13.0.35 - Remote Command Execution (деталі)
• PLC Wireless Router GPN2.4P21-C-CN - Arbitrary File Disclosure (деталі)
• Komfy Switch with Camera DKZ-201S/W - WiFi Password Disclosure (деталі)
• InfraPower PPS-02-S Q213V1 - Hard-Coded Credentials (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Content Text Slider, NextGEN Gallery, Simple Ads Manager, Symposium Pro Social і темі Stanford. Для котрих з’явилися експлоіти.

• WordPress Content Text Slider On Post 6.8 Cross Site Scripting (деталі)
• WordPress NextGEN Gallery 2.1.10 Shell Upload (деталі)
• WordPress Simple Ads Manager 2.9.4.116 SQL Injection (деталі)
• WordPress Stanford Theme Cross Site Scripting (деталі)
• WordPress Symposium Pro Social 15.12 XSS / CSRF (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Виявлені численні уразливості безпеки в Microsoft SQL Server. Що були виправлені у вівторку патчів у серпні.

Уразливі продукти: Microsoft SQL Server 2012 SP3, SQL Server 2014 SP1 і SP2, SQL Server 2016, SQL Server 2016 SP1.

Підвищення привілеїв та витік інформації.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, зокрема про DoS і DDoS атаки (статті з Вікіпедії):

• BlackNurse
• Distributed denial-of-service attacks on root nameservers
• 2016 Dyn cyberattack
• HTTP Flood
• NTP server misuse and abuse

В даній добірці уразливості в веб додатках:

• HP Systems Insight Manager (SIM) on Linux and Windows, Multiple Remote Vulnerabilities (деталі)
• Nakid-CMS CSRF, Persistent XSS & LFI (деталі)
• Concrete5 <= 5.7.4 (Access.php) SQL Injection Vulnerability (деталі)
• Concrete5 <= 5.7.3.1 Multiple Reflected Cross-Site Scripting Vulnerabilities (деталі)
• XSS vulnerability in Elasticsearch because of weak CORS policy (деталі)

Раніше я писав про липневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію серпні.

В зв’язку з сепаратистськими і терористичними акціями на сході України, хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

dndekc.mvs.gov.ua (хакером antivirus) - 28.08.2017

Російські хакери провели атаки на державні сайти:

DDoS на ukrposhta.ua (російськими хакерами) - 08.08.2017
udf.gov.ua (російські хакери) - 11.08.2017

Проукраїнськими хакерами були атаковані наступні сайти:

dokuchaevsk.info (Українські Кібер Війська) - 24.08.2017
Серпневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі місяця.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт vilna-ukraina.ru (через вплив на хостера) - 08.2017
Закритий сайт geon.donetsk.ua (через вплив на хостера) - 08.2017
Закритий сайт don.ua (через скаргу реєстратору домену) - 22.08.2017
Закритий сайт xxivek.net (через вплив на хостера) - 30.08.2017