Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• Outlook.com for Android fails to validate server certificates (деталі)
• Mailman vulnerability (деталі)
• WSO2 Identity Server multiple vulnerabilities (деталі)
• Manage Engine Desktop Central 9 - Unauthorised administrative password reset (деталі)
• HP Service Manager, Multiple Vulnerabilities (деталі)

Ще 23.02.2007 я знайшов Cross-Site Scripting та Information Leakage уразливості на сайтах stat24.meta.ua. Як я вже розповідав, після останнього разу, коли вони відповіли мені дуже несерйозним чином, я більше не сповіщаю Мету про дірки на їхніх сайтах.

Останнього разу стосовно проектів компанії Мета я писав про уразливості на blog.meta.ua та market.auto.meta.ua.

XSS:

• alert(document.cookie)

Information Leakage:

На деяких сторінках сайту були розміщені логіни та хеші паролів користувачів, що були доступні всім без авторизації.

Уразливості вже виправлені, але вони зробили це лише через багато років. І це є типовим явищем для сайтів Мети, що добре видно з тих багатьох дірок на багатьох сайтах Мети про які я розповідав раніше.

Раніше я писав про січневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію лютому.

В зв’язку з сепаратистськими і терористичними акціями на сході України хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

mediarnbo.org (хакером GeNErAL) - 08.02.2017
zhmrada.gov.ua (хакером RxR) - 21.02.2017
khoas.gov.ua (хакером RxR) - 21.02.2017
www.korc.gov.ua (хакерами з Tsunami Faction) - 25.02.2017

Проукраїнськими хакерами були атаковані наступні сайти:

Українські Кібер Війська взломали сайт politrussia.com - 05.02.2017
Лютневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі місяця.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт ukrobaza.ru (через вплив на хостера) - 02.2017

У січні, 26.01.2017, вийшла нова версія WordPress 4.7.2.

WordPress 4.7.2 це секюріті випуск нової 4.7 серії. В якому розробники виправили 4 уразливості. Це SQL injection уразливість, до якої сам WP не вразливий, але атака може відбуватися через плагіни і теми, тому розробники виправили її для надійності. А також можливість додавати терміни таксономії користувачам без відповідних прав, XSS, підняття привілеїв в REST API.

Також в цей день вийшли WordPress 4.0.15, 4.1.15, 4.2.12, 4.3.7, 4.4.7, 4.5.6 і 4.6.3. Вказані версії це секюріті випуски 4.0, 4.1, 4.2, 4.3, 4.4, 4.5 і 4.6 серії, в яких виправлені дані уразливості.

В даній добірці експлоіти в веб додатках:

• CyberPower Systems PowerPanel 3.1.2 - XXE Out-Of-Band Data Retrieval (деталі)
• Belkin Router AC1200 Firmware 1.00.27 - Authentication Bypass (деталі)
• Apache Archiva 1.3.9 - Multiple Cross-Site Request Forgery Vulnerabilities (деталі)
• Barracuda Web App Firewall 8.0.1.007/Load Balancer 5.4.0.004 - Remote Command Execution (Metasploit) (деталі)
• Barracuda Spam & Virus Firewall 5.1.3.007 - Remote Command Execution (Metasploit) (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://pershrada.gov.ua (хакером RxR) - 24.08.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://dsesu.gov.ua (хакером MuhmadEmad) - 31.08.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://pereyaslav-rda.gov.ua (хакером KkK1337) - 11.09.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://disgvol.gov.ua (хакером NeT.Defacer) - 12.09.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://mediarnbo.org (хакером GeNErAL) - 08.02.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://ernst.vald.com.ua (хакером GAZA) - 08.08.2016, зараз сайт вже виправлений адмінами
• http://smart-english.pp.ua (хакером GAZA) - 08.08.2016, зараз сайт вже виправлений адмінами
• http://timbuktu.pp.ua (хакером GAZA) - 08.08.2016, зараз сайт вже виправлений адмінами
• http://www.me-pro.com.ua (хакером aDriv4) - 22.12.2016, зараз сайт вже виправлений адмінами
• http://www.lokdc.lviv.ua (хакером Alarg53) - 07.02.2017, зараз сайт вже виправлений адмінами

У лютому, 16 і 17.02.2017, вийшли PHP 7.0.16 і PHP 7.1.2. У версії 7.0.16 виправлено багато багів і уразливостей, у версії 7.1.2 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 7.0.x і 7.1.x.

У PHP 7.0.16 і 7.1.2 виправлено:

• Витік інформації в mysqli_fetch_object.
• Численні вибивання в різних функціях (DoS).
• Уразливості в ядрі та модулях.

По матеріалам http://www.php.net.

У лютому я дав інтерв’ю виданню Сегодня. І 27.02.2017 воно вийшло в газеті та було оприлюднене на сайті.

В інтерв’ю розповідається про українських хакерів і фахівців з безпеки, про мою діяльність та кібер війну Росії проти України. А також про громадську ініціативу Українські Кібер Війська, що я створив 09.06.2014, і протидію інформаційній та кібер війні.

Белые хакеры в Украине: ломают сайты банков, блокируют счета боевиков и воюют с пропагандой в сети

Так що кому буде цікаво прочитати інформацію про хакерів і кібер війну, про мене і УКВ, як тим хто вже читав мої попередні інтерв’ю, зокрема інтерв’ю для EMPR, чи дивився виступи на ТБ, зокрема прямий ефір зі мною на каналі ZIK, так і всім іншим, можете прочитати це інтерв’ю.

В даній добірці уразливості в веб додатках:

• DoS vulnerability in squid (деталі)
• Pimcore v3.0.5 CMS - Multiple Web Vulnerabilities (деталі)
• Sqlbuddy Directory Traversal Read Arbitrary Files Vulnerability (деталі)
• Sqlbuddy Path Traversal Vulnerability (деталі)
• Apache Cordova for Android - Multiple Vulnerabilities (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах qTranslate, Job Manager, Filedownload, Candidate Application Form, Simple Image Manipulator. Для котрих з’явилися експлоіти.

• WordPress qTranslate 2.5.39 Cross Site Scripting (деталі)
• WordPress Job Manager 0.7.22 Cross Site Scripting (деталі)
• WordPress Filedownload 1.4 Open Proxy (деталі)
• WordPress Candidate Application Form 1.0 File Download (деталі)
• WordPress Simple Image Manipulator 1.0 File Download (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.