Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://poltava.man.gov.ua (хакерами з Fallaga Team) - 01.06.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://man.gov.ua (хакерами з Fallaga Team) - 01.06.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://vinnytsia.man.gov.ua (хакерами з Fallaga Team) - 01.06.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://forum.grad.gov.ua (хакером SilverT3AM)
• http://bc-mvs.gov.ua (хакерами з Attack Cyber Prophecy team) - 06.12.2016 - державний сайт хакнули повторно після його захоплення в жовтні

Продовжуючи розпочату традицію, після попереднього відео про автоматизацію атак на Wi-Fi мережі, пропоную нове відео на секюріті тематику. Цього разу відео про дистанційне захоплення дронів. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 24 - Drones Hijacking: Multidimensional attack vectors and countermeasures

Торік влітку на конференції DEFCON 24 відбувся виступ Aaron Luo. В своєму виступі він розповів про атаки на дрони та показав живі демонстрації. Як можна дистанційно захопити дрони перехопивши керування ними. Це робиться через уразливості в апаратному і програмному забезпеченні дронів та SDK, а також шляхом атак через радіо сигнали, Wi-Fi та GPS.

Він розповів про аспекти безпеки дронів, які можна захопити через різні уразливості. Це актуальна тема в Україні враховуючи, що дрони використовуються на війні як з нашої сторони, так і зі сторони російських окупантів. Рекомендую подивитися дане відео для розуміння поточного стану безпеки дронів.

У грудні місяці Microsoft випустила 12 патчів. Що менше ніж у листопаді.

У грудневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 12 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Шість патчів закривають критичні уразливості та шість патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1, RT 8.1, 10 та 2016. А також Microsoft Office, Internet Explorer і Edge, Office Web Apps та .NET Framework.

Також Microsoft випустила патч для уразливостей в Adobe Flash Player, що постачаються з Windows.

В даній добірці експлоіти в веб додатках:

• Cisco EPC 3928 - Multiple Vulnerabilities (деталі)
• Dell OpenManage Server Administrator 8.3 - XML External Entity Exploit (деталі)
• Zabbix 2.2 < 3.0.3 - API JSON-RPC Remote Code Execution (деталі)
• Apache Continuum - Arbitrary Command Execution (Metasploit) (деталі)
• DarkComet Server - Arbitrary File Download (Metasploit) (деталі)

У серпні, 31.08.2013, я знайшов Cross-Site Scripting та інші уразливості на сайтах http://limit.pb.ua та http://limit.privatbank.ua. Це два домени одного сайту, тому всі уразливості однакові на них обох (зараз limit.pb.ua перенаправляє на limit.privatbank.ua). Тоді у вересні вислав всі ці уразливості ПриватБанку.

Якщо всі дірки банк підтвердив і взяв в роботу, то лише одну найбільш важливу дірку (з витоком даних клієнтів) ПБ виправив через два місяці та пізніше виплатив мені премію. Про інші дірки, як ось ця XSS, жодної відповіді за понад три роки я не отримав. Хоча нагадував їм про попередні уразливості в 2014-2016 роках. В цьому році я виявив, що ПриватБанк вже виправив всі інші уразливості (але без жодних премій мені) шляхом повної переробки сайту.

Стосовно ПриватБанка я вже писав про уразливість на partner.privatbank.ua та уразливості на acsk.privatbank.ua.

Cross-Site Scripting:

http://limit.pb.ua/%27;alert(document.cookie);a=%27

http://limit.privatbank.ua/%27;alert(document.cookie);a=%27

Дані уразливості та деякі інші не були виправлені в 2013 році. Але вже в 2016 році всі вони були виправлені. Проте я знайшов нові уразливості на limit.privatbank.ua, про які повідомив банк.

У грудні, 08.12.2016, вийшли PHP 5.6.29 і PHP 7.0.14. У версії 5.6.29 виправлено багато багів і уразливостей, у версії 7.0.14 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.6.x і 7.0.x.

У PHP 5.6.29 і 7.0.14 виправлено:

• Некоректне читання при декодуванні в модулі WDDX.
• Вибивання segfault в Opcache в PHP 5.6.29.
• Use After Free уразливість в unserialize() в PHP 7.0.14.
• Витоки пам’яті в модулях в PHP 7.0.14.
• Уразливості в ядрі та модулях.

По матеріалам http://www.php.net.

У листопаді вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у грудні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на rv.org.ru - 01-15.12.2016
DDoS на cikdnr.ru - 01-15.12.2016
DDoS на cik-lnr.info - 01-15.12.2016
DDoS на без-вести.рф - 01-15.12.2016
DDoS на ungu.org - 01-15.12.2016
DDoS на bne.su - 01-15.12.2016
DDoS на dnrpress.ru - 01-15.12.2016
DDoS на batalyonmoskva.ru - 01-15.12.2016
DDoS на icp.su - 01-15.12.2016
DDoS на interbrigada.org - 01-15.12.2016

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

В даній добірці уразливості в веб додатках:

• Barracuda Networks Web Security Flex v4.1 - Persistent Vulnerabilities (деталі)
• Django vulnerabilities (деталі)
• DokuWiki persistent Cross Site Scripting (деталі)
• Reflected XSS Vulnerability in XSS In Manage Engine Device Expert (деталі)
• Authentication Bypass in Barracuda Web Application Firewall (деталі)

У листопаді, 28.11.2016 і 30.11.2016, вийшли Mozilla Firefox 50.0.1 і 50.0.2. Нові версії браузера вийшли через пів місяця після виходу Firefox 50.

Це багфікс та секюріті випуски в яких зроблені покращення. У версії 50.0.1 виправлені такі уразливості, як обхід SOP через data: URL після редиректу та вибивання браузера при використанні IME тексту (що можна віднести до DoS уразливості, але Mozilla типово не відносить це до уразливостей, а до багів). У версії 50.0.2 виправлене виконання коду через анімацію SVG.

• MFSA 2016-91 Security vulnerabilities fixed in Firefox 50.0.1 (деталі)
• MFSA 2016-92 Firefox SVG Animation Remote Code Execution (деталі)

Виявлені уразливості безпеки в Microsoft Office, а також в серверних продуктах Office Web Apps і SharePoint Server.

Уразливі продукти: Microsoft Office Web Apps 2010 SP2, Excel Services on SharePoint Server 2007 SP3 і 2010 SP2, Word Automation Services on SharePoint Server 2010 SP2.

Обхід безпеки, пошкодження пам’яті, виконання коду, витік інформації.

• Microsoft Security Bulletin MS16-148 - Critical Security Update for Microsoft Office (3204068) (деталі)