Websecurity - Веб безпека

В своєму звіті про атаки на державні сайти України за 14 років, я навів статистику атак на державні сайти України за останні 14 років, а зараз наведу статистику за останні 15 років.

За 2001 - 2015 роки всього було атаковано 819 українських державних сайтів (включаючи взломи сайтів та DDoS атаки). Це без врахування інфікованих gov.ua сайтів, яких було виявлено чимало за час моїх досліджень інфікованих сайтів в Уанеті.

Статистика від 2 атакованих веб сайтів в 2001 році до 110 атакованих веб сайтів в 2015 році.

В даній добірці експлоіти в веб додатках:

• Apache OpenMeetings 1.9.x < 3.1.0 - ZIP File path Traversal (деталі)
• MOBOTIX Video Security Cameras - Cross-Site Request Forgery (Add Admin) (деталі)
• PQI Air Pen Express 6W51-0000R2 / 6W51-0000R2XXX - Multiple Vulnerabilities (деталі)
• PCMAN FTP Server Buffer Overflow - PUT Command (Metasploit) (деталі)
• Easy File Sharing HTTP Server 7.2 - SEH Overflow (Metasploit) (деталі)

У вересні, 01.09.2016, через півтора місяці після виходу Google Chrome 52, вийшов Google Chrome 53.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Серед покращень безпеки додані обмеження по відтворенню Flash-вмісту та в TLS видалені шифри Diffie-Hellman через потенціальні проблеми з безпекою.

Виправлено 33 уразливості. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity і LibFuzzer. Що менше ніж в попередній версії.

• Выпуск web-браузера Chrome 53 (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://chsp.com.ua - інфекція була виявлена 23.08.2016. Зараз сайт входить до переліку підозрілих.
• http://royaltextiles.com.ua - інфекція була виявлена 23.08.2016. Зараз сайт не входить до переліку підозрілих.
• http://waterpools.in.ua - інфекція була виявлена 23.08.2016. Зараз сайт не входить до переліку підозрілих.
• http://i.ua - інфекція була виявлена 23.08.2016. Зараз сайт не входить до переліку підозрілих.
• http://genichesk.co.ua - інфекція була виявлена 23.08.2016. Зараз сайт не входить до переліку підозрілих.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки (статті з Вікіпедії):

• Spoofed URL
• XML external entity attack
• Email fraud
• Spoofing attack
• Voice phishing

В даній добірці уразливості в веб додатках:

• Multiple Hard-coded Usernames in SAP Components (деталі)
• Banner Effect Header Security Advisory - XSS Vulnerability (деталі)
• Sefrengo CMS v1.6.1 - Multiple SQL Injection Vulnerabilities (деталі)
• Microweber 0.95 - SQL Injection Vulnerability (деталі)
• Information Leakage in Cloudera Manager (деталі)

24.04.2015

У січні, 29.01.2015, я виявив Abuse of Functionality, Brute Force та Cross-Site Request Forgery уразливості в D-Link DIR-300. Це Wireless Router і AP.

Раніше я писав про уразливості в пристроях даної компанії, зокрема в D-Link DVG-5402SP та D-Link DCS-900.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

27.08.2016

Abuse of Functionality (WASC-42):

Фіксований логін адміна: admin. Що спрощує BF і CSRF атаки.

Brute Force (WASC-11):

http://site

Немає захисту від BF атак. Якщо в пристрої немає Path Traversal уразливості, щоб дізнатися пароль адміна, то можна його підібрати.

Хоча мені траплялися DIR-300 з версією прошивки 2009 року, де була капча (що можна було ввімкнути/вимкнути в налаштуваннях), але в новій прошивці вже її не було.

Cross-Site Request Forgery (WASC-09):

Зміна паролю адміна:

http://site/index.cgi?v2=y&rq=y&res_config_action=3&res_config_id=69&res_struct_size=1&res_buf=password|

Уразлива версія D-Link DIR-300NRUB5, Firmware 1.2.94. Дана модель з іншими прошивками також повинна бути вразливою.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WP Fast Cache, XCloner, UserPro, LeagueManager, ZoomSounds. Для котрих з’явилися експлоіти.

• WordPress WP Fast Cache 1.4 CSRF / Cross Site Scripting (деталі)
• WordPress XCloner 3.1.2 XSS / Command Execution (деталі)
• WordPress UserPro 2.33 Cross Site Scripting (деталі)
• WordPress LeagueManager 3.9.11 SQL Injection (деталі)
• WordPress dzs-zoomsounds Remote Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Раніше я писав про липневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію у серпні.

В зв’язку з сепаратистськими і терористичними акціями на сході України хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

www.staripetrivci-rada.gov.ua (хакером RxR) - 02.08.2016
justzp.gov.ua (хакером Kuroi’SH) - 22.08.2016
Та багато інших gov.ua сайтів. Лише Kuroi’SH хакнув 19 державних сайтів в серпні.

Російські хакери провели взломи державних ресурсів:

YouTube акаунт Управління преси МОУ (SPRUT) - 23.08.2016
Twitter акаунт МО України (SPRUT) - 24.08.2016
Instagram акаунт МО України (SPRUT) - 24.08.2016
Twitter акаунт Нацгвардії України (SPRUT) - 24.08.2016

Проукраїнськими хакерами були атаковані наступні сайти:

cgnf.ru (Українські Кібер Війська) - 24.08.2016
mid-dnr.ru - 24.08.2016
Серпневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі місяця.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт warmarker.net (через скаргу хостеру) - 08.2016

У серпні, 16.08.2016, вийшла нова версія WordPress 4.6.

WordPress 4.6 це перший випуск нової 4.6 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, а також виправлено чимало багів.

Серед головних покращень зокрема можна відзначити спрощення процесу оновлення (все відбувається на поточній сторінці через AJAX), підтримка рідних шрифтів - для швидшого завантаження сайту, покращене редагування та інші нововведення.

Окрім покращень для користувачів також було зроблено багато покращень для розробників.