Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://peremyshrada.gov.ua (хакером Abdellah Elmaghribi) - 05.03.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://izmail-rada.gov.ua (хакером brwsk007) - 11.03.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://marketpro.biz (хакером wongbodo) - 04.01.2015, зараз сайт вже виправлений адмінами
• http://mantiya.ua (хакером wongbodo) - 04.01.2015, зараз сайт вже виправлений адмінами
• http://usqb.org.ua (хакером Dr.Pc) - 18.04.2015, зараз сайт не працює

В даній добірці експлоіти в веб додатках:

• Oracle NoSQL 11g 1.1.100 R2 - ‘log’ Parameter Directory Traversal Vulnerability (деталі)
• Websense Appliance Manager Command Injection Vulnerability (деталі)
• Tincd Post-Authentication Remote TCP Stack Buffer Overflow Exploit (деталі)
• IBM Endpoint Manager For Mobile Devices Code Execution Vulnerability (деталі)
• Tiny Server 1.1.9 - Arbitrary File Disclosure Exploit (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в темах NativeChurch, lote27, FR0_theme, acento і плагінах Advanced Access Manager, Bulk Delete Users By Email, Like Dislike Counter та Spider Facebook. Для котрих з’явилися експлоіти.

• WordPress NativeChurch / lote27 / FR0_theme / acento File Download (деталі)
• WordPress Advanced Access Manager 2.8.2 File Write / Code Execution (деталі)
• WordPress Bulk Delete Users By Email 1.0 CSRF (деталі)
• WordPress Like Dislike Counter 1.2.3 SQL Injection (деталі)
• WordPress Spider Facebook 1.0.8 SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В період з 15.02.2014 по 09.04.2015 відбувся дванадцятий масовий взлом сайтів на сервері Delta-X, після одинадцятого взлому сайтів на сервері Delta-X. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Delta-X. Взлом відбувся після згаданого масового взлому сайтів на сервері Server.ua. Взлом складався з кількох масових дефейсів та багатьох окремих дефейсів.

Всього було взломано 260 сайтів на сервері хостера Delta-X (IP 91.222.137.84). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт kamrada.gov.ua.

Під час взломів хакерів d3b~X та YunusIncredibl було дефейснуто багато сайтів, тому немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Стосовно інших, то враховуючи велику кількість окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів.

Виявлені уразливості в Microsoft .NET Framework і VBScript для різних версій Windows. Атака на дірку в VBScript відбувається через Internet Explorer.

Уразливі продукти: Microsoft .NET Framework 1.1 SP1, 2.0 SP2, 3.5, 3.5.1, 4, 4.5, 4.5.1, 4.5.2, VBScript 5.6, VBScript 5.7, VBScript 5.8.

Витік інформації в .NET Framework та виконання коду в VBScript.

• Microsoft Security Bulletin MS15-019 - Critical Vulnerability in VBScript Scripting Engine Could Allow Remote Code Execution (3040297) (деталі)
• Microsoft Security Bulletin MS15-041 - Important Vulnerability in .NET Framework Could Allow Information Disclosure (3048010) (деталі)

В даній добірці уразливості в веб додатках:

• EMC Connectrix Manager Converged Network Edition Remote Code Execution Vulnerabilities (деталі)
• cacti security update (деталі)
• SQL Injection Vulnerability in ArticleFR (деталі)
• ArcGIS for Server Vulnerability Disclosure (деталі)
• EMC Data Protection Advisor DPA Illuminator EJBInvokerServlet Remote Code Execution (деталі)

У березні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у квітні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на cikdnr.ru - 01-15.04.2015
DDoS на cik-lnr.info - 01-15.04.2015
DDoS на molotpravdu.com - 01-15.04.2015
DDoS на без-вести.рф - 01-15.04.2015
DDoS на ungu.org - 01-15.04.2015
DDoS на pravdatoday.info - 01-15.04.2015
DDoS на 2news.com.ua - 01.04.2015
DDoS на bne.su - 01-15.04.2015
DDoS на lvs-global.ru - 01-15.04.2015
DDoS на slemtt.myjino.ru - 01-15.04.2015

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://kosei.dp.ua - інфекція була виявлена 18.04.2015. Зараз сайт входить до переліку підозрілих.
• http://oba.dp.ua - інфекція була виявлена 24.04.2015. Зараз сайт входить до переліку підозрілих.
• http://tutlink.com - інфекція була виявлена 27.04.2015. Зараз сайт не входить до переліку підозрілих.
• http://o-peresolyak.org.ua - інфекція була виявлена 09.04.2015. Зараз сайт не входить до переліку підозрілих.
• http://artconsult.com.ua - інфекція була виявлена 25.04.2015. Зараз сайт не входить до переліку підозрілих.

Виявлені численні уразливості безпеки в OpenSSL.

Уразливі версії: OpenSSL 0.9, OpenSSL 1.0.

Звертання по нульовому вказівнику, ассерти, пошкодження пам’яті.

• OpenSSL Security Advisory (деталі)
• Security Audit Notes: OpenSSL d1_srvr.c Overflow (деталі)

В даній добірці експлоіти в веб додатках:

• Manage Engine AD Audit Manager Plus Cross Site Scripting Vulnerability (деталі)
• Citrix Netscaler NS10.5 - WAF Bypass Via HTTP Header Pollution Vulnerability (деталі)
• ARRIS VAP2500 Management Portal Authentication Bypass Vulnerability (деталі)
• ARRIS VAP2500 Management Portal Information Disclosure Vulnerability (деталі)
• Microsoft Internet Explorer Windows OLE Automation Array Remote Code Execution (деталі)