Websecurity - Веб безпека

У січні, 29.01.2015, я виявив Cross-Site Request Forgery та Cross-Site Scripting уразливості в D-Link DIR-300. Це Wireless Router і AP.

Раніше я писав про уразливості в пристроях даної компанії, зокрема в D-Link DVG-5402SP та D-Link DIR-300.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

У липні, 20.07.2016, через півтора місяці після виходу Google Chrome 51, вийшов Google Chrome 52.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Серед покращень безпеки в Content Security Policy доданий вираз unsafe-dynamic, що дозволяє використовувати білі списки допустимих джерел скриптів.

Виправлено 48 уразливостей. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer і MemorySanitizer. Що значно більше ніж в попередній версії.

• Выпуск web-браузера Chrome 52 (деталі)

Раніше я писав про червневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію у липні.

В зв’язку з сепаратистськими і терористичними акціями на сході України хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

osvitapoltava.gov.ua (хакером Aziz Laabidi) - 04.07.2016
kakhovka-rayrada.gov.ua (хакером Xvirus) - 06.07.2016
kakhovka-rada.gov.ua (хакером Xvirus) - 06.07.2016
Та багато інших gov.ua сайтів.

Проукраїнськими хакерами були атаковані наступні сайти:

Липневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі місяця.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт warday.su (через скаргу хостеру) - 07.2016

В даній добірці експлоіти в веб додатках:

• Zimbra 8.0.9 GA - CSRF (деталі)
• Infor CRM 8.2.0.1136 - Multiple HTML Script Injection Vulnerabilities (деталі)
• TeamPass 2.1.24 - Multiple Vulnerabilities (деталі)
• Sysax Multi Server 6.50 - HTTP File Share SEH Overflow RCE Exploit (деталі)
• Multiple CCTV-DVR Vendors - Remote Code Execution (деталі)

У листопаді, 30.11.2015, я виявив Code Execution, Cross-Site Scripting та URL Redirector Abuse уразливості уразливості в ASUS Wireless Router ASUS RT-N10. А також в його модифікаціях RT-N10E, RT-N10LX і RT-N10U. Це перша частина дірок в RT-N10.

Раніше я писав про уразливості ASUS RT-N15U.

Code Execution (OS Commanding) (WASC-31):

В розділі System Command можна виконувати системні команди. Код можна виконати також через CSRF атаку.

http://site/Main_AdmStatus_Content.asp

cat /proc/version

Cross-Site Scripting (WASC-08):

http://site/apply.cgi?current_page=javascript:alert(document.cookie) (в старих браузерах)
http://site/apply.cgi?current_page=%22%3E%3Cbody%20onload=alert%28document.cookie%29%3E

URL Redirector Abuse (WASC-38):

http://site/apply.cgi?current_page=http://google.com
http://site/apply.cgi?next_host=http://google.com

Уразливі всі версії ASUS RT-N10. Перевірялося в прошивці v.1.9.2.7.

У липні місяці Microsoft випустила 11 патчів. Що менше ніж у червні.

У липневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 11 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Шість патчів закривають критичні уразливості та п’ять патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1, RT 8.1 та 10. А також Microsoft Office, Internet Explorer і Edge, JScript і VBScript, Office Web Apps і SharePoint Server та .NET Framework.

Також Microsoft випустила патч для уразливостей в Adobe Flash Player, що постачається з Windows.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://journal.iitta.gov.ua (хакером TOGEL3739) - 24.04.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://j2.iitta.gov.ua (хакером TOGEL3739) - 24.04.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.abud.lviv.ua (хакером NeT.Defacer) - 15.03.2016, зараз сайт вже виправлений адмінами
• http://kleenflo.com.ua (хакером Red hell sofyan) - 15.05.2016, зараз сайт вже виправлений адмінами
• http://kostvlada.org (хакером Red hell sofyan) - 28.06.2016, зараз сайт вже виправлений адмінами

В даній добірці уразливості в веб додатках:

• XML External Entity (XXE) in libvirt (деталі)
• XSS vulnerability in osTicket (деталі)
• XSS vulnerability in Exponent (деталі)
• XSS vulnerability in X-Cart (деталі)
• FTP Rush: missing X.509 validation (FTP with TLS) (деталі)

В липні, 21.07.2016, вийшли PHP 5.5.38, PHP 5.6.24 і PHP 7.0.9. У версії 5.5.38 виправлено 15 уразливостей, у версії 5.6.24 виправлено декілька багів і 17 уразливостей, у версії 7.0.9 виправлено багато багів і 25 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.5.x, 5.6.x і 7.0.x.

У PHP 5.5.38, 5.6.24 і 7.0.9 виправлено:

• П’ятнадцять уразливостей в ядрі та модулях.
• Вибивання при знищенні HTTP_RAW_POST_DATA в PHP 5.6.24.
• Integer Overflow в Length строкового-типу ZVAL в PHP 5.6.24 і 7.0.9.
• Витік пам’яті в jit_stack в модулі PCRE в PHP 7.0.9.
• Ще вісім уразливостей в ядрі та модулях в PHP 7.0.9.

По матеріалам http://www.php.net.

Виявлені уразливості безпеки в Apple Safari і Webkit.

Уразливі продукти: Apple Safari 7.1, Safari 8.0, Safari 9.1.

Численні пошкодження пам’яті, міжсайтовий доступ до даних, підробка інтерфейсу, витік інформації, Cross-Protocol Cross-Site Scripting.

• APPLE-SA-2016-07-18-5 Safari 9.1.2 (деталі)