Websecurity - Веб безпека

Раніше я писав про червневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію липні.

В зв’язку з сепаратистськими і терористичними акціями на сході України, хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

justice-dn.gov.ua (хакером maress) - 02.07.2017
Та ще 23 gov.ua-сайти хакером maress.
mon.gov.ua (українським хакером) - 11.07.2017

Проукраїнськими хакерами були атаковані наступні сайти:

Липневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі місяця.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт freedom.kiev.ua (через вплив на хостера) - 07.2017
Закритий сайт gumbat.su (через вплив на хостера) - 07.2017

В даній добірці уразливості в веб додатках:

• Glype proxy privacy settings can be disabled via CSRF (деталі)
• zendframework security update (деталі)
• ManageEngine EventLog Analyzer V:10.0 CSRF Vulnerability (деталі)
• CRUCMS Crucial Networking - SQL Injection Vulnerability (деталі)
• Glype proxy local address filter bypass (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Portfolio, Quotes And Tips, Relevant Related Posts, Sender, Social Essentials Social Stats And Sharing Buttons. Для котрих з’явилися експлоіти.

• WordPress Portfolio 2.27 Cross Site Scripting (деталі)
• WordPress Quotes And Tips 1.19 Cross Site Scripting (деталі)
• WordPress Relevant Related Posts 1.0.7 Cross Site Scripting (деталі)
• WordPress Sender 0.7 Cross-Site Scripting (деталі)
• WordPress Social Essentials Social Stats And Sharing Buttons 1.3.1 XSS (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У липні місяці Microsoft випустила нові патчі.

У липневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло багато патчів, але починаючи з квітня бюлетені по безпеці не випускаються, тому їх кількість невідома. Компанія вказує лише назви продуктів та номера патчів, а не кількість і деталі бюлетенів (патчів). Вони закривають уразливості в програмних продуктах компанії.

Дані патчі стосуються поточних операційних систем компанії Microsoft - Windows Vista, 2008, 7, 2008 R2, 8.1, 2012, 2012 R2, RT 8.1, 10 та 2016. А також Microsoft Office, Internet Explorer і Edge, Office Web Apps і SharePoint Server, .NET Framework та Exchange Server.

Також Microsoft випустила патч для уразливостей в Adobe Flash Player, що постачається з Windows.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://lenraion.gov.ua - інфікований державний сайт - інфекція була виявлена 06.06.2017. Зараз сайт входить до переліку підозрілих.
• http://360.fruitfuldemo.com - інфекція була виявлена 23.05.2017. Зараз сайт не входить до переліку підозрілих.
• http://megabet77.fruitfuldemo.com - інфекція була виявлена 21.06.2017. Зараз сайт не входить до переліку підозрілих.
• http://gooood.zzz.com.ua - інфекція була виявлена 17.07.2017. Зараз сайт не входить до переліку підозрілих.
• http://nord.adr.com.ua - інфекція була виявлена 19.07.2017. Зараз сайт не входить до переліку підозрілих.

В даній добірці експлоіти в веб додатках:

• TOPSEC Firewalls - ‘ELIGIBLECANDIDATE’ Remote Code Execution (деталі)
• Fortigate Firewalls - ‘EGREGIOUSBLUNDER’ Remote Code Execution (деталі)
• MESSOA IP Cameras (Multiple Models) - Unauthenticated Password Change (деталі)
• Subversion 1.6.6/1.6.12 - Code Execution (деталі)
• Ruby on Rails - Dynamic Render File Upload / Remote Code Execution (Metasploit) (деталі)

Виявлені уразливості в Microsoft Exchange. Що були виправлені у вівторку патчів у липні.

Уразливі продукти: Microsoft Exchange Server 2013 і 2013 SP1, Exchange Server 2016.

Виконання коду в Outlook Web Access (OWA).

У червні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у липні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на rv.org.ru - 01-31.07.2017
DDoS на cikdnr.ru - 01-31.07.2017
DDoS на cik-lnr.info - 01-31.07.2017
DDoS на без-вести.рф - 01-31.07.2017
DDoS на dnrpress.ru - 01-31.07.2017
DDoS на icp.su - 01-31.07.2017
DDoS на interbrigada.org - 01-31.07.2017
DDoS на dokcpp.dn.ua - 01-31.07.2017
DDoS на antiukrop.su - 01-31.07.2017
DDoS на gazeta-dnr.ru - 01-31.07.2017

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

Сьогодні вийшла нова версія програми DAVOSET v.1.3.5. В новій версії:

• Додав нові сервіси в повний список зомбі.
• Додав аргумент командного рядка для проксі.
• Змінив налаштування по замовчуванню.

Всього в списку міститься 220 зомбі-сервісів.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality та XML External Entities уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.3.5.rar.

В даній добірці уразливості в веб додатках:

• Multiple Vulnerabilities with Aztech Modem Routers (деталі)
• Ektron CMS 9.10 SP1 - XSS Vulnerability (деталі)
• Various critical vulnerabilities in SysAid Help Desk (RCE, file download, DoS, etc) (деталі)
• IBM Watson (Cognea) - XSS and Redirect Vulnerabilities (деталі)
• Glype proxy cookie jar path traversal allows code execution (деталі)