Websecurity - Веб безпека

В серпні відбувся новий масовий взлом сайтів на сервері Goodnet. Він тривав на протязі 2012 - 2015 років: з 18.10.2012 по 01.03.2015. Перший масовий взлом сайтів на сервері Goodnet відбувся раніше.

Був взломаний сервер української компанії Goodnet. Взлом, що складався з декількох масових дефейсів та багатьох окремих дефейсів по одному або декількох сайтах, відбувся в той же період, що і згаданий масовий взлом сайтів на сервері Delta-X.

Всього було взломано 287 сайтів на сервері хостера Goodnet (IP 91.203.147.240). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти bogodukhivrda.gov.ua і new.bogodukhivrda.gov.ua.

Під час взломів хакерів DR-MTMRD, Iran Security Team, LogiNTurk та Black CyberSec Crew було дефейснуто багато сайтів, тому немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Стосовно інших, то враховуючи велику кількість окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів.

Виявлена можливість обходу перевірок SSL в Ruby.

Уразливі версії: Ruby 1.8, Ruby 2.0.

Некоректна реалізація перевірки імені сервера.

• Vulnerability in Ruby (деталі)

В даній добірці експлоіти в веб додатках:

• EMC M&R (Watch4net) - Directory Traversal Vulnerability (деталі)
• EMC M&R (Watch4net) - Credential Disclosure Vulnerability (деталі)
• ProjectSend Arbitrary File Upload Exploit (деталі)
• Liferay Portal 7.0.x <= 7.0.2 - Pre-Auth RCE Exploit (деталі)
• ASUSWRT 3.0.0.4.376_1071 - LAN Backdoor Command Execution Exploit (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в темах Urban City, Epic, Authentic, Antioch та плагіні Rich Counter. Для котрих з’явилися експлоіти.

• WordPress Urban City Arbitrary File Download (деталі)
• WordPress Epic Arbitrary File Download (деталі)
• WordPress Authentic Arbitrary File Download (деталі)
• WordPress Antioch Arbitrary File Download (деталі)
• WordPress Rich Counter 1.1.5 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Виявлений витік інформації в Perl модулі XML::LibXML (через XXE атаку).

Уразливі версії: Perl XML::LibXML до 2.0119.

Розкриття інформації при роботі з entity.

• XML::LibXML vulnerability (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.ojigivcirada.gov.ua (хакером Error 7rB) - 08.03.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://disg-rivne.gov.ua (хакером Kuroi’SH) - 16.03.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.newgas.org.ua (хакером 1967) - 15.01.2015, зараз сайт вже виправлений адмінами
• http://www.botoksil.com.ua (хакером Blacksmith Hackers) - 21.02.2015, зараз сайт вже виправлений адмінами
• http://7ass.com.ua (хакером Kuroi’SH) - 13.05.2015, зараз сайт вже виправлений адмінами

В даній добірці уразливості в веб додатках:

• HP ProCurve Manager (PCM), HP PCM+ and HP Identity Driven Manager (IDM), SQL Injection, Remote Code Execution, Session Reuse (деталі)
• mediawiki security update (деталі)
• DNN(DotNetNuke) Iconbar Control Panel Bad Access Level config (деталі)
• DNN(DotNetNuke) Ribbon Bar Control Panel Bad Access Level config (деталі)
• Multiple vulnerabilities in SpamTitan (деталі)

19.09.2014

У серпні, 22.08.2014, я знайшов уразливості в Hikvision DS-2CD2012-I. Це IP Camera - мережева веб камера. Зокрема XML Injection, Brute Force та Abuse of Functionality уразливості.

Стосовно веб камер та відеореєстраторів Hikvision раніше я писав про уразливості в Hikvision DS-2CD2412F-IW.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

14.05.2015

XML Injection (WASC-23):

http://site/ISAPI/%3C/requestURL%3E%3Clink%3Ehttp://site%3C/link%3E%3CrequestURL%3E/

Її можна використати для XML Injection та XSS атак.

Abuse of Functionality (WASC-42):

Логін постійний: admin.

Brute Force (WASC-11):

В формі логіна http://site/doc/page/login.asp немає захисту від Brute Force атак. Дані відправляється через GET запит з Basic Authorization.

Відсутність захисту від Brute Force (такого як капча) також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін. Але вони захистилися від CSRF атаки через використання Basic Authorization.

Всі ці уразливості наявні в різних камерах Hikvision. Розробники вже виправили XML Injection та Brute Force.

Раніше я писав про березневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію у квітні.

В зв’язку з сепаратистськими і терористичними акціями на сході України хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземними хакерами були проведені неполітичні взломи:

www.busk-rda.gov.ua (хакерами з Moroccan Islamic Union-Mail) - 02.04.2015
www.isc.gov.ua (хакерами з Moroccan Islamic Union-Mail) - 02.04.2015
www.dnpb.gov.ua (хакерами з Moroccan Islamic Union-Mail) - 02.04.2015

Проукраїнськими хакерами були атаковані наступні сайти:

dnr24.su (Українські Кібер Війська) - 22.04.2015
Квітневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі квітня.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт novorussia.info (через скаргу хостеру) - 04.2015
Закритий сайт antimaydan.com (через скаргу хостеру) - 04.2015
Закритий сайт gubarev.info (через скаргу хостеру) - 04.2015
Закритий сайт slv.org.ua (через звернення до СБУ) - 07.04.2015
Закритий сайт slav.pp.ua (через звернення до СБУ) - 07.04.2015
Закритий сайт rubezhnoe.org.ua (через звернення до СБУ) - 07.04.2015
Закритий сайт nahnews.com.ua (через звернення до СБУ) - 16.04.2015

Виявлені уразливості безпеки в PHP.

Уразливі версії: PHP 5.5.

Пошкодження пам’яті при розборі архівів, виконання коду в apache2handler.

• Vulnerabilities in PHP (деталі)