Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• Security Vulnerabilities in Apache Cordova / PhoneGap (деталі)
• Reflected Cross-Site Scripting (XSS) in MyWebSQL (деталі)
• Reflected Cross-Site Scripting (XSS) in BlackCat CMS (деталі)
• Path Traversal in webEdition (деталі)
• hplip security update (деталі)

У травні місяці Microsoft випустила 13 патчів. Що більше ніж у квітні.

У травневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 13 бюлетенів по безпеці. Що закривають 46 уразливостей в програмних продуктах компанії. Три патчі закривають критичні уразливості та десять патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1 та RT 8.1. А також Microsoft Office, Internet Explorer, SharePoint Server, .NET Framework і Silverlight.

Виявлені уразливості безпеки в Apache Tomcat.

Уразливі версії: Apache Tomcat 8.0.

Вичерпання ресурсів, обхід обмежень.

• Apache Tomcat DoS (деталі)
• Apache Tomcat Security Manager Bypass (деталі)

В даній добірці експлоіти в веб додатках:

• Palo Alto Traps Server 3.1.2.1546 - Persistent XSS Vulnerability (деталі)
• Ericsson Drutt MSDP (Instance Monitor) - Directory Traversal Vulnerability (деталі)
• CAS Server 3.5.2 LDAP Authentication Bypass Vulnerability (деталі)
• Arris VAP2500 Command Execution Exploit (деталі)
• Symantec Data Center Security - Multiple Vulnerabilities (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Content Audit, BulletProof Security, InfusionSoft, EWWW Image Optimizer, Contact Form DB. Для котрих з’явилися експлоіти.

• WordPress Content Audit 1.6 Blind SQL Injection (деталі)
• WordPress BulletProof Security 50.8 Script Insertion (деталі)
• Wordpress InfusionSoft Upload (деталі)
• WordPress EWWW Image Optimizer 2.0.1 Cross Site Scripting (деталі)
• WordPress Contact Form DB 2.8.13 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В своїх звітах про Інфіковані хостери в 1 півріччі 2014 року та Інфіковані хостери в 2 півріччі 2014 року я розповів, що в Уанеті було 83 інфікованих сайтів в першому півріччі та 80 інфікованих сайти в другому півріччі минулого року, і навів перелік хостерів, що хостили ці інфіковані сайти. А зараз наведу загальний перелік інфікованих хостерів за весь рік.

Всього в 2014 році було інфіковано 163 сайтів (виявлених мною). Всього було 71 провайдерів, що розміщували дані сайти.

Багато з цих хостінг провайдерів, робили це як в першому, так й другому півріччі минулого року (16 провайдерів), а деякі робили це і 2013 року. Тобто це в них звичайна практика. Цей звіт призначений для того, щоб і хостери і Інтернет користувачі знали найбільших розповсюджувачів шкідливого програмного забезпечення (через інфіковані сайти).

В минулому році наступні хостінг провайдери розміщували на своїх серверах інфіковані сайти: 1GB LLC, AboveNet, Adamant, AlexHost, Besthosting, Bigmir-Internet, Carolina Internet, Chereda, CityTelecom, Colocall, Compubyte Limited, DCTel, DIPT, Datagroup, Delta-X, Dream Line, EVEREST, Fortune, Freehost, GIGABASE, GOODNET, GoDaddy, Golden Lines, HOST-TELECOM, HVDS, Hetzner, HostBizUa, Hvosting, ISPsystem, ITLAS, IWEB, Infocom, Inter-Telecom, Internet Communications, LANDIS HOLDINGS, LINIATEL, LNUA, LeaseWeb, MACHOSTER, MAGEAL, MEDIATEMPLE, METR, McLaut, MiroHost, NAVIGATOR, NEOCOM, NETART, OMNILANCE, PLUSSERVER, POLUOSTROV, RADIOCOM, RTCOMM, SERVERCENTRAL, SMARTYMEDIA, SOFTLAYER, TEST-UA, Technical Centre Radio Systems, The Planet, UARNet, UTEAM, Ukraine, Ukrnames, VIVANET, Velton Telecom, Volia, Wnet, X-Host, XServer, Візор, Мета, Укртелеком.

Найбільші інфіковані хостери (TOP-10):

1. Datagroup - 15 сайтів
2. Hetzner - 10 сайтів
3. Ukraine - 8 сайтів
4. Besthosting - 7 сайтів
5. ISPsystem - 7 сайтів
6. Volia - 5 сайтів
7. Dream Line - 4 сайтів
8. MiroHost - 4 сайтів
9. X-Host - 4 сайтів
10. Colocall - 3 сайтів

Всього було виявлено хостінги 157 сайтів з 163. У випадку інших 6 сайтів визначити хостінги не вдалося, тому що в даний момент ці сайти вже не працювали (вони явно були закриті через розміщення malware на цих ресурсах). За допомогою власної системи моніторингу SecurityAlert в більшості випадків я визначив хостерів під час виявлення цих інфікованих сайтів.

Виявлена можливість виконання коду в PHP бібліотеці Snoopy.

Уразливі версії: libphp-snoopy 2.0.

В Snoopy відсутня фільтрація вхідних даних, що призводить до RCE.

• libphp-snoopy security update (деталі)

27.02.2015

Ще 11.10.2014 я знайшов XML Injection уразливість в інших моделях мережевих камер Hikvision. Це IP Camera та DVR пристрої. А у лютому, 18.02.2015, я знайшов аналогічні уразливості в Hikvision DS-2DF5284-A.

Стосовно веб камер та відеореєстраторів Hikvision раніше я писав про уразливості в Hikvision DS-7108HWI-SH.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

29.05.2015

XML Injection (WASC-23):

http://site/ISAPI/%3C/requestURL%3E%3Clink%3Ehttp://site%3C/link%3E%3CrequestURL%3E/

Її можна використати для XML Injection та XSS атак.

Уразливі моделі: Hikvision DS-2CD2412F-IW, DS-2CD2412F-I, DS-7204HWI-SH, DS-2CD2412F-IW, DS-2CD2012-I, DS-2CD2232-I5, DS-7108HWI-SH, DS-2CD7153-E, DS-2CD2132-I, DS-2DF5284-A.

Розробники вже виправили XML Injection уразливість в версії V3.2.0 для DVR/NVR і версії V5.2.0 для IPC.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.isc.gov.ua (хакерами з Moroccan Islamic Union-Mail) - 02.04.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.dnpb.gov.ua (хакерами з Moroccan Islamic Union-Mail) - 02.04.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.hrebinka.org.ua (хакером Nofawkx Al) - 26.02.2015, зараз сайт вже виправлений адмінами
• http://law.lnu.edu.ua (хакерами з Moroccan Islamic Union-Mail) - 02.04.2015, зараз сайт вже виправлений адмінами
• http://www.vostorg.ua (хакером el Moujahidin) - 03.05.2015, зараз сайт не працює

У лютому, 19.02.2015, я дав інтерв’ю каналу ТВі. Знявся для даного телеканалу.

Сюжет вийшов 27.05.2015 в програмі Студія ТВі. В сюжеті йшлося про інформаційну безпеку з експертом Дмитром Золотухіним. Де вставали частину мого інтерв’ю.

Студія ТВі. Про інформаційну безпеку.

Частину інтерв’ю вони пустили в ефір в програмі Студія ТВі. А це повний запис мого інтерв’ю, знятого в лютому на каналі ТВі, без жодних правок і цензури.

В інтерв’ю я розповів про Українські Кібер Війська, нашу роботу та проведення мною анти-терористичної операції в Інтернеті. Всі бажаючі можуть його подивитися.