Websecurity - Веб безпека

В даній добірці експлоіти в веб додатках:

• Netgear WNR1000v4 - Authentication Bypass (деталі)
• ManageEngine EventLog Analyzer 4.0 - 10 - Privilege Escalation (деталі)
• eClinicalWorks (CCMR) - Multiple Vulnerabilities (деталі)
• FireEye Wormable Remote Code Execution in MIP JAR Analysis (деталі)
• Easy File Sharing Web Server 7.2 - HEAD HTTP Request SEH Buffer Overflow (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://loda.gov.ua (хакерами з СПРУТ) - 12.05.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://tyriyskzem.gov.ua (хакером Kab[u]ss) - 17.02.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://liubeshivzem.gov.ua (хакером Kab[u]ss) - 17.02.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://ntpu.org.ua (хакером bl4ck_cod3) - 14.03.2016, зараз сайт вже виправлений адмінами
• http://www.kleps.com.ua (хакером WebHan) - 19.04.2016, зараз сайт вже виправлений адмінами

Виявлені уразливості безпеки в Microsoft JScript і VBScript, що використовуються в Internet Explorer та інших продуктах.

Уразливі продукти: Microsoft JScript 5.8, VBScript 5.7 і 5.8.

Виконання коду, пошкодження пам’яті.

• Microsoft Security Bulletin MS16-053 - Critical Cumulative Security Update for JScript and VBScript (3156764) (деталі)

У квітні, 28-29.04.2016, вийшли PHP 5.5.35, PHP 5.6.21 і PHP 7.0.6. У версії 5.5.35 виправлено 9 уразливостей, у версії 5.6.21 виправлено декілька багів і 11 уразливостей, у версії 7.0.6 виправлено багато багів і 18 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.5.x, 5.6.x і 7.0.x.

У PHP 5.5.35, 5.6.21 і 7.0.6 виправлено:

• Integer Overflow в ZipArchive::getFrom в модулі Zip в PHP 7.0.6.
• Дев’ять уразливостей в ядрі та модулях.
• Ще дві уразливості в модулях в PHP 5.6.21.
• Ще вісім уливостей в модулях в PHP 7.0.6.

По матеріалам http://www.php.net.

В даній добірці уразливості в веб додатках:

• HP Network Node Manager I (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Cross-Site Scripting (XSS) (деталі)
• Stored XSS Vulnerability in CMS Serendipity v.2.0-rc1 (деталі)
• PHPLIST v3.0.6 & v3.0.10 - SQL Injection Vulnerability (деталі)
• Lazarus Guestbook v1.22 - Multiple Web Vulnerabilities (деталі)
• Multiple critical vulnerabilities in AVG Remote Administration (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Reflex Gallery, SlideShow Gallery, NEX-Forms, Yoast Google Analytics, Tune Library. Для котрих з’явилися експлоіти.

• WordPress Reflex Gallery Upload (деталі)
• WordPress SlideShow Gallery Authenticated File Upload (деталі)
• WordPress NEX-Forms 3.0 SQL Injection (деталі)
• WordPress Yoast Google Analytics Cross Site Scripting (деталі)
• WordPress Tune Library 1.5.4 SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Виходячи з моїх звітів про веб додатки на інфікованих сайтах в 1 півріччі та веб додатки на інфікованих сайтах в 2 півріччі, я підведу підсумки. Та наведу загальну статистику про веб додатки на інфікованих сайтах в 2015 році.

Як я зазначав в своїх звітах про хакерську активність в Уанеті, в першому півріччі було інфіковано 88 сайтів, а в другому півріччі було інфіковано 70 сайтів. Всього 158 сайтів за 2015 рік. І з них на 75 сайтах вдалося виявити движки.

На перевірених в минулому році сайтах використовуються наступні движки:

Joomla - 27
WordPress - 23
DataLife Engine - 9
uCoz - 4
Bitrix Site Manager - 2
CMS Lime - 1
CNCat - 1
CodeIgniter - 1
Drupal - 1
GetSimple - 1
I-Soft Bizness - 1
MODx - 1
Movable Type - 1
OpenCart - 1
PrestaShop - 1

Зазначу, що лідери серед веб додатків у першому й другому півріччі були незмінними (лише Joomla і WordPress мінялися місцями). Й відповідно в підсумкових результатах за весь рік.

Тобто майже всі інфіковані сайти, з числа працюючих, використовували опенсорс веб додатки. Більшість з них публічні відкриті CMS, але деякі й комерційні відкриті веб програми.

Виявлені численні уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge.

Уразливі продукти: Microsoft Internet Explorer 7, 8, 9, 10, 11 та Edge під Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1, Windows 10.

Численні пошкодження пам’яті та виконання коду.

• Microsoft Security Bulletin MS16-051 - Critical Cumulative Security Update for Internet Explorer (3155533) (деталі)
• Microsoft Security Bulletin MS16-052 - Critical Cumulative Security Update for Microsoft Edge (3148532) (деталі)

В даній добірці експлоіти в веб додатках:

• SeaWell Networks Spectrum - Multiple Vulnerabilities (деталі)
• pfSense Firewall <= 2.2.5 - Config File CSRF (деталі)
• SAP HANA 1.00.095 - hdbindexserver Memory Corruption (деталі)
• ManageEngine Desktop Central 9 FileUploadServlet ConnectionId Vulnerability (деталі)
• Easy File Sharing Web Server 7.2 - GET HTTP Request SEH Buffer Overflow (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://e-shop.uaslotcar.com - інфекція була виявлена 17.05.2016. Зараз сайт входить до переліку підозрілих.
• http://kaf-bm.tntu.edu.ua - інфекція була виявлена 17.05.2016. Зараз сайт не входить до переліку підозрілих.
• http://lrt.kipt.kharkov.ua - інфекція була виявлена 17.05.2016. Зараз сайт входить до переліку підозрілих.
• http://kaf-ef.tntu.edu.ua - інфекція була виявлена 17.05.2016. Зараз сайт не входить до переліку підозрілих.
• http://bugor.lg.ua - інфекція була виявлена 17.05.2016. Зараз сайт входить до переліку підозрілих.