Websecurity - Веб безпека

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 2022 рік, дані за 02.01.2023-08.01.2023, дані за 09.01.2023-15.01.2023, дані за 16.01.2023-22.01.2023, дані за 23.01.2023-29.01.2023, дані за 30.01.2023-05.02.2023, дані за 06.02.2023-12.02.2023, дані за 13.02.2023-19.02.2023, дані за 20.02.2023-26.02.2023, дані за 27.02.2023-05.03.2023, дані за 06.03.2023-12.03.2023, дані за 13.03.2023-19.03.2023, дані за 20.03.2023-26.03.2023, дані за 27.03.2023-02.04.2023, дані за 03.04.2023-09.04.2023, дані за 10.04.2023-23.04.2023, дані за 24.04.2023-30.04.2023, дані за 01.05.2023-07.05.2023, дані за 08.05.2023-14.05.2023, дані за 15.05.2023-21.05.2023, дані за 22.05.2023-28.05.2023, дані за 29.05.2023-04.06.2023, дані за 05.06.2023-11.06.2023, дані за 12.06.2023-18.06.2023, дані за 19.06.2023-25.06.2023, дані за 26.06.2023-02.07.2023, дані за 03.07.2023-09.07.2023, дані за 10.07.2023-16.07.2023, дані за 17.07.2023-23.07.2023, дані за 24.07.2023-30.07.2023, дані за 31.07.2023-06.08.2023, дані за 07.08.2023-13.08.2023, дані за 14.08.2023-20.08.2023, дані за 21.08.2023-27.08.2023, дані за 28.08.2023-03.09.2023, дані за 04.09.2023-10.09.2023, дані за 11.09.2023-17.09.2023, дані за 18.09.2023-24.09.2023, дані за 30.10.2023-05.11.2023, дані за 06.11.2023-12.11.2023, дані за 13.11.2023-19.11.2023. Це нові дані.

У листопаді:

Четвертий тиждень.

Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/3uzBcGY.
Українські Кібер Війська щодня виявляють російську військову техніку в Донецьку та С-300 в Криму https://bit.ly/3GgEKRf.
Українські Кібер Війська заблокували сайти терористів dnrsovet.su, mvddnr.ru та minsvyazdnr.ru https://bit.ly/3RdzOTp.
Це документ російських терористів терористів https://bit.ly/47LUibk.
Українські Кібер Війська заблокували 350 сайтів терористів https://bit.ly/40T8e0Q.
Українські Кібер Війська усі роки виявляли як росіяни вивозили наше вугілля, а також наше зерно https://bit.ly/3MZ8wxq.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і msdnr.ru https://bit.ly/3GhhfHF.

В даній добірці експлоіти в веб додатках:

• Grandstream GSD3710 1.0.11.13 - Stack Buffer Overflow (деталі)
• ABB Cylon Aspect 3.08.03 - Guest2Root Privilege Escalation (деталі)
• Fortra GoAnywhere MFT 7.4.1 - Authentication Bypass (деталі)
• Windows File Explorer Windows 11 (23H2) - NTLM Hash Disclosure (деталі)
• SolarWinds Serv-U 15.4.2 HF1 - Directory Traversal (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Frontend Login and Registration Blocks, User Registration & Membership, Digits, Social Warfare і в самому движку. Для котрих з’явилися експлоіти.

• WordPress Core 6.2 - Directory Traversal (деталі)
• WordPress Frontend Login and Registration Blocks Plugin 1.0.7 - Privilege Escalation (деталі)
• WordPress User Registration & Membership Plugin 4.1.2 - Authentication Bypass (деталі)
• WordPress Digits Plugin 8.4.6.1 - Authentication Bypass via OTP Bruteforcing (деталі)
• Social Warfare WordPress Plugin 3.5.2 - Remote Code Execution (RCE) (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У липні, 31.07.2025, вийшли PHP 8.3.24 і PHP 8.4.11. У версіях PHP 8.3.24 і 8.4.11 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 8.3.x і 8.4.x.

У PHP 8.3.24 і 8.4.11 виправлено:

• Численні витоки пам’яті.
• Численні вибивання.
• Пошкодження пам’яті.
• Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.

З початку року набув поширення новий вектор кібератак і розповсюдження шкідливого ПЗ - це злами розробників.

Тривалий час активно зламують сайти, GitHub і npm акаунти розробників, щоб поширювати шкідливе ПЗ в інсталяторах і пакетах. А про цей вектор поширення троянів я вперше написав, коли на початку 2007 хакнули сайт розробників WordPress.

Ще у квітні хакнули сайт сайт CPUID та замінили інсталятори CPU-Z і HWMonitor на версії з троянами. Усім варто перевірити на віруси, хто викачав їх звідти 9-10 квітня. Потім хакнули сайт JDownloader та замінили пакети для Windows та Linux на версії з троянами. Усім варто перевірити на віруси, хто викачав їх звідти 6 травня.

І вже другий рік бачу інформацію про розміщення шкідливого коду на GitHub, як у фішингових чи клон акаунтах, так і зламаних. Це дуже популярна платформа й сам користуюся нею з 2010 року для викладання кодів деяких своїх програм.

Мої статті на цю тему за десятки років: Бекдори у веб додатках, Бекдори у плагінах для WordPress, Включення бекдорів у веб додатки та ОС.

А також я провів тестування сканерів бекдорів та надаю послуги як з аудиту безпеки, так і з пошуку бекдорів і шкідливого ПЗ на сайтах і веб додатках.

Нещодавно 73 розширення для VS Code були помічені як шкідливі. Це ще один напрямок поширення, крім зламу сайтів та офіційних репозитаріїв розробників.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• https://newcoins.bank.gov.ua (хакером Rici144) - 09.02.2026 - похаканий державний сайт
• https://pb.bank.gov.ua (хакером Rici144) - 09.02.2026 - похаканий державний сайт
• https://ininclusion.bank.gov.ua (хакером Rici144) - 09.02.2026 - похаканий державний сайт
• https://events.bank.gov.ua (хакером Rici144) - 09.02.2026 - похаканий державний сайт
• https://diplomukr.kiev.ua (хакером Hunter Bajwa) - 18.08.2024

Хакнули чотири сайти НБУ в лютому.

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 2022 рік, дані за 02.01.2023-08.01.2023, дані за 09.01.2023-15.01.2023, дані за 16.01.2023-22.01.2023, дані за 23.01.2023-29.01.2023, дані за 30.01.2023-05.02.2023, дані за 06.02.2023-12.02.2023, дані за 13.02.2023-19.02.2023, дані за 20.02.2023-26.02.2023, дані за 27.02.2023-05.03.2023, дані за 06.03.2023-12.03.2023, дані за 13.03.2023-19.03.2023, дані за 20.03.2023-26.03.2023, дані за 27.03.2023-02.04.2023, дані за 03.04.2023-09.04.2023, дані за 10.04.2023-23.04.2023, дані за 24.04.2023-30.04.2023, дані за 01.05.2023-07.05.2023, дані за 08.05.2023-14.05.2023, дані за 15.05.2023-21.05.2023, дані за 22.05.2023-28.05.2023, дані за 29.05.2023-04.06.2023, дані за 05.06.2023-11.06.2023, дані за 12.06.2023-18.06.2023, дані за 19.06.2023-25.06.2023, дані за 26.06.2023-02.07.2023, дані за 03.07.2023-09.07.2023, дані за 10.07.2023-16.07.2023, дані за 17.07.2023-23.07.2023, дані за 24.07.2023-30.07.2023, дані за 31.07.2023-06.08.2023, дані за 07.08.2023-13.08.2023, дані за 14.08.2023-20.08.2023, дані за 21.08.2023-27.08.2023, дані за 28.08.2023-03.09.2023, дані за 04.09.2023-10.09.2023, дані за 11.09.2023-17.09.2023, дані за 18.09.2023-24.09.2023, дані за 30.10.2023-05.11.2023, дані за 06.11.2023-12.11.2023. Це нові дані.

У листопаді:

Третій тиждень.

Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/3R7xTQt.
Українські Кібер Війська щодня виявляють російську військову техніку в Донецьку та С-300 в Криму https://bit.ly/47vSumL.
Українські Кібер Війська заблокували сайти терористів dnrsovet.su, mvddnr.ru та minsvyazdnr.ru https://bit.ly/3QFm9D5.
Це документ російських терористів терористів https://bit.ly/40QhNxF.
Українські Кібер Війська заблокували 350 сайтів терористів https://bit.ly/40OwcKU.
Українські Кібер Війська роками виявляють докази навчання окупантами дітей тероризму https://bit.ly/47yeD4p.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і msdnr.ru https://bit.ly/47FEg2u.
Українські Кібер Війська захопили 13,6 ГБ даних Народної Ради ДНР https://bit.ly/3G4FSqY.
Українські Кібер Війська заблокували 350 сайтів терористів https://bit.ly/3G4fe1o.

В даній добірці експлоіти в веб додатках:

• RouterOS 6.40.5 - 6.44 and 6.48.1 - 6.49.10 - Denial of Service (деталі)
• Windows TCP/IP - RCE Checker and Denial of Service (деталі)
• CrushFTP 11.3.1 - Authentication Bypass (деталі)
• Remote Keyboard Desktop 1.0.1 - Remote Code Execution (RCE) (деталі)
• Windows 2024.15 - Unauthenticated Desktop Screenshot Capture (деталі)

Раніше, 29.03.2013, я знайшов Information Leakage, Insufficient Authentication, Full path disclosure, Cross-Site Scripting та SQL Injection уразливості на сайті bonus.privatbank.ua та 217.117.65.248 - це один сервер. В той час я вислав ці уразливості банку.

Information Leakage (WASC-13):

http://217.117.65.248/s2/polls/ - витік статистичних даних.

Insufficient Authentication (WASC-01):

http://217.117.65.248/s2/polls/

Доступ до цього розділу за доменом заборонений, але відкритий при доступі по IP.

Full path disclosure (WASC-13):

Витік шляху в http://217.117.65.248/s2/polls/conveyor/graph_xml/ та в інших розділах.

Information Leakage (WASC-13):

Витік усього SQL запиту (SQL DB Structure Extraction) в 4 місцях.

Cross-Site Scripting (WASC-08):

Виявив XSS у восьми місцях.

SQL Injection (WASC-19):

Виявив критичні SQL ін’єкції в чотирьох місцях.

ПриватБанк тоді проігнорував їх та не оплатив, окрім деяких на сайті. Вони лише заплатили за SQL Injection (і ще пару), але в п’ять разів менше від максимальної ціни, хоча це критичні дірки й банк заявляв, що за такі платить максимум. Раніше вони мені лише по XSS та іншим діркам занижували оплату, а з цього сайту почали по SQLi.

Але через багато років все приховано виправив. Таким чином банк кинув мене, як це було з дірками на bonus.privatbank.ua та інших сайтах ПБ.

У березні з’явилася новина про нову дірку в черговому WP плагіні, що ставив під ризик 60000 сайтів. У даному випадку це User Registration and Membership розширення. Такі новини з’являються регулярно. Нагадаю всім про свої дослідження в цій сфері.

Безпека плагінів для WordPress / Security of plugins for WordPress

Численні уразливості в 73 плагінах для WordPress, що я знайшов за 2006-2014 роки. Скільки я не сповіщав розробників, але вони майже завжди ігнорували дірки і ніколи не замовляли аудити безпеки своїх програм, зокрема WP розширень і шаблонів.

Єдиний раз, коли в мене замовили аудит, то це був не розробник, а один європеєць, який для себе захотів знайти всі дірки там, щоб виправити їх та мати безпечний код на власному сайті. Виклав цей плагін Register Plus Redux та інші безпечні веб додатки.

Безпека шаблонів для WordPress / Security of themes for WordPress

Численні уразливості в 173 шаблонах (темах) для WordPress, що я знайшов за 2006-2014 роки.

Тобто 60000 сайтів це дрібниці. Мої дірки стосувалися мільйонів сайтів на цій CMS.

Окрім власних досліджень безпеки розширень і шаблонів до цього та інших движків, я роками публікую добірки дірок, що були знайдені в них іншими дослідниками. Прочитайте сотні постів про уразливості в плагінах і темах для WordPress.