Websecurity - Веб безпека

В своєму звіті про хакерську активність в Уанеті в 1 півріччі 2015, я згадував, що в першому півріччі було інфіковано 88 сайти (з них 2 державних сайти).

Сьогодні я провів дослідження сайтів, що були інфіковані в першому півріччі 2015 року, і на 39 сайтах вдалося виявити движки. Частина з 88 сайтів вже не працювала, частина використовує html (при цьому деякі з них ховають php-додатки за розширенням html), а ще частина використовували власні php-скрипти.

На перевірених сайтах використовуються наступні движки:

WordPress - 13
Joomla - 12
DataLife Engine - 7
uCoz - 3
CNCat - 1
Drupal - 1
GetSimple - 1
I-Soft Bizness - 1

Тобто майже всі інфіковані сайти, з числа працюючих, використовували (за станом на сьогодні) опенсорс веб додатки.

Виявлена можливість DoS атаки проти Apache Commons HttpClient.

Уразливі версії: Apache Commons-HttpClient 3.1.

Відсутність таймаута під час хендшейка.

• Apache Commons HttpClient (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://nbuv.gov.ua (хакерами з Blacksmith Hackers) - 29.10.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://cgo.nbuv.gov.ua (хакерами з Blacksmith Hackers) - 29.10.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://kleenflo.com.ua (хакером Red hell sofyan)
• http://aliansovs.com.ua (хакерами з SecurityCrewz) - 03.06.2015, зараз сайт закритий
• http://artbjuro.org (хакером ViRuS OS) - 16.08.2015, зараз сайт вже виправлений адмінами

В даній добірці експлоіти в веб додатках:

• FortiManager 5.2.2 - Persistent XSS Vulnerabilities (деталі)
• Photos in Wifi 1.0.1 iOS - Arbitrary File Upload Vulnerability (деталі)
• My.WiFi USB Drive 1.0 iOS - File Include Vulnerability (деталі)
• PCMan FTP Server 2.0.7 - Directory Traversal Vulnerability (деталі)
• ManageEngine EventLog Analyzer Remote Code Execution (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Revolution Slider, Photo Gallery, Geo Mashup і в темі RedSteel. Для котрих з’явилися експлоіти.

• WordPress Revolution Slider Local File Disclosure (деталі)
• WordPress RedSteel Theme File Disclosure (деталі)
• WordPress Photo Gallery 1.2.8 SQL Injection (деталі)
• WordPress Photo Gallery 1.2.8 Cross Site Scripting (деталі)
• WordPress Geo Mashup 1.8.2 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Сьогодні вийшла нова версія програми DAVOSET v.1.2.6. В новій версії:

• Додав підтримку коментарів у списках.
• Додав підтримку XML запитів через GET (зокрема для NetIQ Access).
• Прибрав неробочі сервіси з повного списку зомбі.

Всього в списку міститься 155 зомбі-сервісів, які готові нанести удар проти диктатури.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality та XML External Entities уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.2.6.rar.

28.03.2015

У січні, 24.01.2015, я виявив Brute Force та Code Execution уразливості в ASUS Wireless Router RT-G32. Це друга частина дірок в RT-G32.

Раніше я писав про уразливості в ASUS RT-G32.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

29.10.2015

Brute Force (WASC-11):

http://site

Немає захисту від BF атак.

Code Execution (OS Commanding) (WASC-31):

В розділі System Command можна виконувати системні команди. Код можна виконати також через CSRF атаку.

http://site/Main_AdmStatus_Content.asp

cat /proc/version

Уразливі всі версії ASUS RT-G32. Перевірялося в ASUS RT-G32 з прошивками версій 2.0.2.6 і 2.0.3.2.

Раніше я писав про вересневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію у жовтні.

В зв’язку з сепаратистськими і терористичними акціями на сході України хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземними хакерами були проведені неполітичні взломи:

drohobych-rda.gov.ua (хакером ZoRRoKiN) - 22.10.2015
nbuv.gov.ua (хакерами з Blacksmith Hackers) - 29.10.2015

Проукраїнськими хакерами були атаковані наступні сайти:

Жовтневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі жовтня.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт liveinternet-news.ru (через скаргу хостеру) - 10.2015
Закритий державний сайт bryanka-rada.gov.ua, що був захоплений терористами (через звернення до СБУ) - 10.2015

Виявлені численні уразливості безпеки в Microsoft Office, а також в серверних продуктах Office Web Apps і SharePoint Server.

Уразливі продукти: Microsoft SharePoint Server 2007, SharePoint Server 2010, SharePoint Server 2013, SharePoint Foundation 2013, Excel Services on SharePoint Server 2007, 2010 і 2013, Web App 2010, Excel Web App 2010, Office Web Apps Server 2013.

Численні пошкодження пам’яті.

• Microsoft Security Bulletin MS15-110 - Important Security Updates for Microsoft Office to Address Remote Code Execution (3096440) (деталі)

В даній добірці уразливості в веб додатках:

• Barracuda Message Archiver 650 - Persistent XSS Vulnerability (деталі)
• TestLink <= 1.9.12 (execSetResults.php) PHP Object Injection Vulnerability (деталі)
• Vulnerabilities in phpMyAdmin (деталі)
• phpfusion (Search Page) Denial of Service Vulnerability (деталі)
• 39 Type-1 XSS in SFR DSL/Fiber Box (деталі)