Websecurity - Веб безпека

Раніше я писав про квітневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію у травні.

В зв’язку з сепаратистськими і терористичними акціями на сході України хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

udf.gov.ua (хакером RxR) - 20.05.2016
monrda.gov.ua (хакером RxR) - 22.05.2016
Та багато інших gov.ua сайтів.

Російські хакери провели політичні взломи державних сайтів:

loda.gov.ua (хакерами з СПРУТ) - 12.05.2016
FB акаунт ЛОДА (хакерами з СПРУТ) - 12.05.2016
TW акаунт ЛОДА (хакерами з СПРУТ) - 12.05.2016

Проукраїнськими хакерами були атаковані наступні сайти:

Травневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі місяця.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт centerkor-ua.org (через скаргу хостеру) - 05.2016
Закритий сайт borotba.su (через скаргу хостеру) - 05.2016
Закритий сайт narodtrebunal.tk (через скаргу хостеру) - 24.05.2016

В даній добірці експлоіти в веб додатках:

• DLink DVG­N5402SP - Multiple Vulnerabilities (деталі)
• GE Industrial Solutions UPS SNMP Adapter < 4.8 - Multiple Vulnerabilities (деталі)
• dotDefender Firewall 5.00.12865 / 5.13-13282 - CSRF Vulnerability (деталі)
• FortiGate OS Version 4.x - 5.0.7 - SSH Backdoor (деталі)
• FingerTec Fingerprint Reader - Remote Access and Remote Enrollment (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://ratnezem.gov.ua (хакером Kab[u]ss) - 17.02.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://novagromada.gov.ua (хакером bl4ck_cod3) - 14.03.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://lime.od.ua (хакером TheWayEnd) - 23.03.2016, зараз сайт вже виправлений адмінами
• http://chelshop.com (хакером TheWayEnd) - 23.03.2016, зараз сайт вже виправлений адмінами
• http://agromeh.od.ua (хакером TheWayEnd) - 23.03.2016, зараз сайт вже виправлений адмінами

Сьогодні, 26.05.2016, вийшли PHP 5.5.36, PHP 5.6.22 і PHP 7.0.7. У версії 5.5.36 виправлено 5 уразливостей, у версії 5.6.22 виправлено декілька багів і 4 уразливості, у версії 7.0.7 виправлено багато багів і 5 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.5.x, 5.6.x і 7.0.x.

У PHP 5.5.36, 5.6.22 і 7.0.7 виправлено:

• Чотири уразливості в ядрі та модулях.
• Uninitialized pointer в phar_make_dirstream() в модулі Phar в PHP 5.5.36.

По матеріалам http://www.php.net.

В даній добірці уразливості в веб додатках:

• EMC Documentum Foundation Services (DFS) Content Access Vulnerability (деталі)
• Osclass <= 3.4.2 (contact.php) Unrestricted File Upload Vulnerability (деталі)
• Mantis Bug Tracker <= 1.2.17 (ImportXml.php) PHP Code Injection Vulnerability (деталі)
• Symantec Web Gateway <= 5.2.1 (restore.php) OS Command Injection Vulnerability (деталі)
• Unauthenticated Credential And Configuration Retrieval In Broadcom Ltd PIPA C211 (деталі)

Продовжуючи тему технологій захисту від Cross-Site Scripting атак, після статей про HttpOnly, метод захисту з JavaScript та X-XSS-Protection, розповім про технологію захисту від XSS атак, що передбачає використання браузерів з XSS Auditor. Дані технології слід застосовувати разом з аудитом безпеки веб сайтів.

Це продовження попередньої статті. Бо технологія XSS Auditor працює в парі саме з заголовком X-XSS-Protection. Який встановлюється на сервері до всіх веб сторінок, які треба захистити від XSS атак на стороні клієнта.

В попередній статті я писав про два режими, але ще є третій режим report, що працює лише в Google Chrome. Це стандартний режим (що не вказується), block (режим блокування відображення сторінки) та report (в цьому випадку сторінка буде відфільтрована для захисту від XSS з повідомленням на вказану адресу).

Веб додаток повинен у своїй відповіді вказати відповідний серверний заголовок:

X-XSS-Protection: 1
X-XSS-Protection: 1; mode=block
X-XSS-Protection: 1; report=http:/site/page

Якщо вказати “0″, то захист буде виключено, якщо вказати “1″, то браузер з підтримкою цього заголовка, включить захист від XSS на даній сторінці. Режим захисту може бути стандартний (фільтрація потенційного XSS коду), блокування (що задається параметром mode=block) або фільтрація з рапортом (що задається параметром mode=report).

Даний заголовок був розроблений Microsoft і вперше його підтримка була додана в Internet Explorer 8 в березні 2009. Пізніше Google додала його підтримку в свій браузер Chrome та Apple в свій браузер Safari. В 2010 році була виявлена уразливість в XSS Filter в IE8, що дозволяла виконувати атаки на веб сторінки, що навіть не мали XSS уразливостей (а в наступні роки були виявлені подібні уразливості, що також працювали в Chrome та Safari).

Особливості даної технології:

1. Використання заголовка захищає лише від reflected XSS.

2. Захист працює лише в браузерах, що підтримують заголовок.

3. Можливі методи обходу даної технології, або ж використання її для проведення XSS атак на довільні сайти, як це було виявлено неодноразово.

X-XSS-Protection підтримують наступні браузери:

• Internet Explorer 8+
• Google Chrome 8+
• Google Chrome Mobile
• Apple Safari 5+
• Safari Mobile

Дана технологія захисту від XSS атак має свої достоїнства та недоліки. Як я вже казав, жодна з цих допоміжних технологій не може дати 100% гарантію захисту від XSS атак і вирішує лише частину проблеми, тільки виявлення та виправлення всіх XSS уразливостей дасть надійних захист. Але ці технології можна використати в парі з проведенням аудиту безпеки своїх сайтів, як додатковий елемент безпеки.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WooCommerce Amazon Affiliates, Exquisite Ultimate Newspaper, TheCartPress, Ultimate Product Catalogue і XSS уразливість в WordPress. Для котрих з’явилися експлоіти.

• WordPress WooCommerce Amazon Affiliates 7.0 Shell Upload / File Disclosure (деталі)
• WordPress 4.2 Cross Site Scripting (деталі)
• WordPress Exquisite Ultimate Newspaper 1.3.3 Cross Site Scripting (деталі)
• WordPress TheCartPress 1.3.9 XSS / Local File Inclusion (деталі)
• WordPress Ultimate Product Catalogue 3.1.2 XSS / CSRF / File Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Цього року відбувся новий масовий взлом сайтів на сервері Ukraine. Він відбувся з 03.04.2015 по 27.05.2016. П’ятий масовий взлом сайтів на сервері Ukraine відбувся раніше.

Був взломаний сервер української компанії Ukraine. Взлом складався з двох масових дефейсів та декількох окремих дефейсів.

Всього було взломано 50 сайтів на сервері хостера Ukraine (IP 185.68.16.118). Перелік сайтів можете подивитися на www.zone-h.org. Серед них державний сайт kuibrda.gov.ua.

З зазначених 50 сайтів 24 сайти були взломані хакерами з TeaM_CC, 9 сайтів хакером Mr.Ferksh, 5 сайтів хакером Matrix Dz, 4 сайти хакером Moh Ooasiic, 3 сайти хакером Dr.ViP, 2 сайти хакером TheWayEnd та по одному хакерами RootDeveloper, Karahan, HolaKo.

Масові дефейси хакерами з TeaM_CC і Mr.Ferksh явно були зроблені через взлом серверу хостінг провайдера. У випадку окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера.

Виявлена Information Disclosure уразливість в Microsoft .NET Framework та Microsoft Windows.

Уразливі продукти: Microsoft .NET Framework 2.0 SP2, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1.

Витік інформації в TLS/SSL протоколі, що імплементований в компоненті шифрування .NET Framework. При використанні уразливості нападник може дешифрувати зашифрований трафік через MITM-атаку.

• Microsoft Security Bulletin MS16-065 - Important Security Update for .NET Framework (3156757) (деталі)

В даній добірці експлоіти в веб додатках:

• Manage Engine Network Configuration Manager Build 11000 - CSRF (деталі)
• Viprinet Multichannel VPN Router 300 - Stored XSS Vulnerabilities (деталі)
• NETGEAR ProSafe Network Management System NMS300 - Multiple Vulnerabilities (деталі)
• Rejetto HTTP File Server (HFS) 2.3.x - Remote Command Execution (деталі)
• TrendMicro node.js HTTP Server Listening on localhost Can Execute Commands (деталі)