Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WP-Ban, All In One WP Security, Users Ultra, All In One Security And Firewall, Photo Gallery. Для котрих з’явилися експлоіти.

• WordPress WP-Ban 1.62 Bypass (деталі)
• All In One WP Security 3.8.2 SQL Injection (деталі)
• WordPress Users Ultra 1.3.37 SQL Injection (деталі)
• WordPress All In One Security And Firewall 3.8.3 XSS (деталі)
• WordPress Photo Gallery 1.1.30 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У квітні, 22.04.2015, я дав інтерв’ю виданню Цензор.НЕТ. І 24.05.2015 воно було оприлюднене на сайті.

В інтерв’ю розповідається про мою діяльність і про кібер війну Росії проти України. Та про мою громадську ініціативу Українські Кібер Війська, що я створив 09.06.2014.

Куда эффективнее обратиться в ФБР, чем вежливо писать Цукербергу

Так що кому буде цікаво прочитати інформацію про мене і УКВ, як тим хто вже читав мої попередні інтерв’ю в Dennik N та інших журналах чи дивився прямий ефір на Радіо Свобода, так і всім іншим, можете прочитати це інтерв’ю.

У травні, 07.05.2015, вийшла нова версія WordPress 4.2.2.

WordPress 4.2.2 це багфікс та секюріті випуск нової 4.2 серії. В якому розробники виправили тринадцять багів та три уразливості. Це критична Cross-Site Scripting уразливість в движку, XSS уразливість в пакеті Genericons (що постачається зі стандартною темою Twenty Fifteen та темами і плагінами інших виробників) та посилений захист від XSS уразливості у візуальному редакторі.

Також в цей день вийшли WordPress 4.0.5 і 4.1.5. Версії 4.0.5 і 4.1.5 це секюріті випуски 4.0 і 4.1 серії, в яких виправлені дані уразливості й баги.

В даній добірці експлоіти в веб додатках:

• EMC M&R (Watch4net) Alerting Frontend XSS Vulnerability (деталі)
• EMC M&R (Watch4net) Centralized Management Console XSS Vulnerability (деталі)
• Microsoft Dynamics CRM 2013 SP1 Cross Site Scripting Vulnerability (деталі)
• Pandora 3.1 Auth Bypass / Arbitrary File Upload Vulnerabilities (деталі)
• Oracle MySQL for Microsoft Windows FILE Privilege Abuse Exploit (деталі)

Як я писав, у серпні Українські Кібер Війська взломали сайт Міністерства Оборони РФ.

В серпні та грудні я розмістив детальні відомості про зарплату російських солдатів, зокрема десантника, якого затримали під Донецьком і про прапорщика, техніка взводу, затриманого в під Луганськом. Нещодавно я розмістив нову інформацію з сайту МО РФ про прапорщика.

Оприлюднив та проаналізував інформацію про зарплату солдата Російської Федерації - pdf файли з розрахунковими листками за серпень і листопад 2014 року та квітень 2015 року. Це прапорщик, якого послали воювати в Україну.

В своєму звіті Хакерська активність в Уанеті в 1 півріччі 2014 я навів дані про діяльність хакерів в Уанеті за період з 01.01.2014 по 30.06.2014, а в звіті Хакерська активність в Уанеті в 2 півріччі 2014 - дані за період з 01.07.2014 по 31.12.2014.

За весь 2014 рік в Уанеті було проведено 835 атаки на веб сайти - 371 за перше півріччя і 464 за друге. Для порівняння, за весь 2013 рік було зафіксовано всього 1100 атак на веб сайти. І це тільки виявлені мною випадки (і я ще не всі данні обробив), реальна кількість інцидентів може бути значно вищою.

Динаміка зростання хакерської активності за минулий рік: за перше півріччя 2014 активність менша на 49% в порівнянні з аналогічним періодом 2013 року, а за друге півріччя 2014 - на 23% більша за аналогічний період 2013 року. А в цілому в 2014 році активність впала на 24% порівняно з 2013 роком - спад в 1,31 рази.

В 2014 році загалом було атаковано 835 веб ресурсів (як взломи, так і DDoS атаки), перелік яких ви можете знайти у відповідних звітах за перше і друге півріччя минулого року. Але ще не всі дані обробив. А також були інфіковані 163 сайти, які вірогідно були похакані в 2014 році.

Головні тенденції 2014 року в діяльності хакерів в Уанеті:

• Хакерська активність дещо впала - на 24% порівняно з 2013 роком (зменшення динаміки у 1,31 рази).
• Багато сайтів в Уанеті заражуються вірусами: в 2013 я виявив 226 інфікованих сайтів, в 2014 - вже 163 сайти (зменшення динаміки у 1,33 рази).
• Кількість DDoS атак на сайти значно більша ніж в 2013 році - 69 випадків DDoS атак за рік (збільшення у 5,3 рази). Це 10,5% від всіх атак за 2014 рік.
• Атаковано 149 державних сайтів та інфіковано ще 10 gov.ua-сайтів.
• Зменшення взломів державних сайтів в 1,05 разів та зменшення інфікування gov.ua-сайтів в 1,1 рази порівняно з 2013 роком. Майже не змінилися кількість DDoS-атак на gov.ua-сайти.

Велика кількість заражених сайтів в Уанеті (в тому числі gov.ua-сайтів) свідчить про чималий відсоток кримінальних взломів сайтів.

Підсумовуючи скажу, що активність хакерів в минулому році була високою і вона продовжить такою бути. І в 2015 році ця тенденція збережеться.

В новому році очікуйте на нові звіти про хакерську активність в Уанеті.

Виявлені численні уразливості безпеки в Apple Safari та Webkit.

Уразливі версії: Apple Safari 6.2, Safari 7.1, Safari 8.0.

Численні пошкодження пам’яті, доступ до файлів, підміна інтерфейсу.

• APPLE-SA-2015-05-06-1 Safari 8.0.6, Safari 7.1.6, and Safari 6.2.6 (деталі)

В даній добірці уразливості в веб додатках:

• Dell SonicWall EMail Security Appliance Application v7.4.5 - Multiple Vulnerabilities (деталі)
• X2Engine <= 4.1.7 (FileUploadsFilter.php) Unrestricted File Upload Vulnerability (деталі)
• X2Engine <= 4.1.7 (SiteController.php) PHP Object Injection Vulnerability (деталі)
• Vulnerabilities in Zarafa (деталі)
• SonicWall Dashboard Backend Server - Client Side Cross Site Scripting Web Vulnerability (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://sts-rrada.gov.ua (хакером Nofawkx Al) - 28.03.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.busk-rda.gov.ua (хакерами з Moroccan Islamic Union-Mail) - 02.04.2015 - похаканий державний сайт, дефейс ще є в папці сайта
• http://www.pyriatyn.org.ua (хакером Nofawkx Al) - 26.02.2015, зараз сайт вже виправлений адмінами
• http://www.psmr.com.ua (хакером Nofawkx Al) - 26.02.2015, зараз сайт вже виправлений адмінами
• http://edutransform.org (хакерами з AntiHackerz) - 14.05.2015, зараз сайт вже виправлений адмінами

Виявлені численні уразливості безпеки в Google Chrome і Chromium.

Уразливі продукти: Google Chrome 41, Chromium 41.

Численні пошкодження пам’яті та уразливості при розборі HTML.

• chromium-browser security update (деталі)
• chromium-browser security update (деталі)