Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://osvitapoltava.gov.ua (хакером Aziz Laabidi) - 04.07.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://rzhyschiv-rada.gov.ua (хакером RxR) - 21.07.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://vms-rada.gov.ua (хакером H4-Tn) - 29.07.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.municipal.gov.ua (хакерами з Fallaga Team) - 31.07.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://sops.gov.ua (хакером RxR) - 08.08.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами

У січні місяці Microsoft випустила 4 патчі. Що менше ніж у грудні.

У січневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 4 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Один патч закриває критичні уразливості та три патчі закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows Vista, 2008, 7, 2008 R2, 8.1, 2012, 2012 R2, RT 8.1, 10 та 2016. А також Microsoft Office, Edge та SharePoint Server.

Також Microsoft випустила патч для уразливостей в Adobe Flash Player, що постачаються з Windows.

У грудні, 02.12.2016, через півтора місяці після виходу Google Chrome 54, вийшов Google Chrome 55.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлено 36 уразливостей. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity і LibFuzzer. Що більше ніж в попередній версії.

• Выпуск web-браузера Chrome 55 (деталі)

В даній добірці експлоіти в веб додатках:

• SAP NetWeaver AS JAVA 7.1 < 7.5 - Directory Traversal (деталі)
• SAP NetWeaver AS JAVA 7.1 < 7.5 - ctcprotocol Servlet XXE (деталі)
• Riverbed SteelCentral NetProfiler & NetExpress 10.8.7 - Multiple Vulnerabilities (деталі)
• Ruby on Rails ActionPack Inline ERB - Code Execution (Metasploit) (деталі)
• Tiki Wiki 15.1 - Unauthenticated File Upload (Metasploit) (деталі)

Цього року відбувся новий масовий взлом сайтів на сервері Укртелекому (в Utel DataCenter). Він відбувся з 17.10.2014 по 25.01.2017, зокрема в січні 2017 року хакнули 45 сайтів. Третій масовий взлом сайтів на сервері Укртелекому відбувся раніше.

Був взломаний сервер української компанії Укртелеком. Він складався з декількох масових дефейсів та декількох окремих дефейсів.

Всього було взломано 84 сайти на сервері Укртелекому (IP 213.186.113.10). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти: gur.gov.ua (Головного управління розвідки МО України), www.ostrograyonzem.gov.ua, uns.adm-pl.gov.ua, www.mlinzem.gov.ua, zmuvg.gov.ua, zouvr.gov.ua, oblwodgosp.gov.ua, vodnik.kr.ua, ztmetr.com.ua, www.donetskstat.gov.ua, ulrayrada.com.ua, sumy.ukrstat.gov.ua (в 2015 і 2017), odoblkru.gov.ua, obljust.gov.ua, lbmrada.net, justvolyn.gov.ua, khedai.gov.ua, gnmc.kiev.ua, pfu-sumy.gov.ua, www.ifstat.gov.ua, kryshtalevypalats.gov.ua, berezneland.gov.ua (в 2015 і 2016), demzem.gov.ua (в 2015 і 2016), sarnyzem.gov.ua (в 2015 і 2016), dubnozem.gov.ua (в 2015 і 2016), rada.kr.ua, turivne.gov.ua, kamdnrda.gov.ua, sumdergrybohorona.gov.ua, brody-rda.gov.ua, rivneoblzem.gov.ua, www.novomoskovsk-rada.gov.ua, sumyrayrada.gov.ua, rokitnezemlya.gov.ua, www.sumyzemres.gov.ua, nmrda.gov.ua, zdolbynivzem.gov.ua, rivnerayzem.gov.ua, zarichnerayzem.gov.ua, zemkost.gov.ua, goshchazem.gov.ua, rivnezem.gov.ua, deragzem.gov.ua, vbeloz.gov.ua, radyvylivzem.gov.ua, osvita-um-ra.gov.ua, mrr.gov.ua, www.dubrzem.gov.ua, mlinzem.gov.ua, korecraizem.gov.ua, ing-org.dp.ua (в 2014 і 2015).

З них 42 сайти були взломані хакерами з Anonymous Arabe, 29 сайтів хакером Nofawkx Al, 4 сайти хакером imam, 2 сайти хакером AlfabetoVirtual, 2 сайти хакером Dr.AFN[D]ENA, 2 сайти хакером d3b~X, по одному сайту хакерами Dr.SiLnT HilL, Moroccanwolf, HighTech.

Масові дефейси хакерами Anonymous Arabe і Nofawkx Al явно були зроблені через взлом серверу хостінг провайдера. У випадку інших дефейсів сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Advertisement Management, Copy Or Move Comments, Customize Youtube Videos, The Holiday Calendar, Database Sync. Для котрих з’явилися експлоіти.

• WordPress Advertisement Management 1.0 Cross Site Scripting (деталі)
• WordPress Copy Or Move Comments 1.0.0 Cross Site Scripting (деталі)
• WordPress Customize Youtube Videos 0.2 Cross Site Scripting (деталі)
• WordPress The Holiday Calendar 1.11.2 XSS (деталі)
• WordPress Database Sync 0.4 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У грудні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у січні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на rv.org.ru - 01-31.01.2017
DDoS на cikdnr.ru - 01-31.01.2017
DDoS на cik-lnr.info - 01-31.01.2017
DDoS на без-вести.рф - 01-31.01.2017
DDoS на ungu.org - 01-31.01.2017
DDoS на bne.su - 01-31.01.2017
DDoS на lvs-global.ru - 01-31.01.2017
DDoS на dnrpress.ru - 01-31.01.2017
DDoS на icp.su - 01-31.01.2017
DDoS на interbrigada.org - 01-31.01.2017

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

В даній добірці уразливості в веб додатках:

• Barracuda Networks Spam&Virus Firewall v6.0.2 (600 & Vx) - Client Side Cross Site Vulnerability (деталі)
• drupal7 security update (деталі)
• vBulletin 4.x.x ‘visitormessage.php’ Remote Code Injection Vulnerability (деталі)
• Instant v2.0 SQL Injection Vulnerability (деталі)
• Barracuda Networks #35 Web Firewall 610 v6.0.1 - Filter Bypass & Persistent Vulnerability (деталі)

У грудні, 13.12.2016, вийшов Mozilla Firefox 50.1. Нова версії браузера вийшли через місяць після виходу Firefox 50.

Це багфікс та секюріті випуск в якому зроблені покращення. У версії 50.1 виправлені такі уразливості, як переповнення буферу в SkiaGL, численні Use-after-free уразливості, обхід CSP за допомогою тега marquee, пошкодження пам’яті в браузері та в libGLES, витік інформації через svg зображення, витік інформації через shared atoms, XSS через дані з Pocket сервера, не перевіряються джерела подій в Pocket, міжсайтовий скриптінг в add-ons SDK.

• MFSA 2016-94 Security vulnerabilities fixed in Firefox 50.1 (деталі)

Виявлена уразливість безпеки в Microsoft Office, а також в серверному продукті SharePoint Server.

Уразливі продукти: Microsoft SharePoint Enterprise Server 2016.

Пошкодження пам’яті, що призводить до виконання коду.

• Microsoft Security Bulletin MS17-002 - Important Security Update for Microsoft Office (3214291) (деталі)