Websecurity - Веб безпека

В даній добірці експлоіти в веб додатках:

• Jetty 9.2.8 Shared Buffer Leakage Vulnerability (деталі)
• D-Link and TRENDnet ‘ncc2′ service - multiple Vulnerabilities (деталі)
• Android WAPPushManager SQL Injection Vulnerability (деталі)
• Pandora FMS SQL Injection Remote Code Execution Vulnerability (деталі)
• ARRIS VAP2500 Management Portal Remote Command Execution Vulnerability (деталі)

В своєму звіті про хакерську активність в Уанеті в 2 півріччі 2014, я згадував, що в другому півріччі було інфіковано 80 сайтів (з них 2 державних сайтів).

Сьогодні я провів дослідження сайтів, що були інфіковані в другому півріччі 2014 року, і на 32 сайтах вдалося виявити движки. Частина з 80 сайтів вже не працювала, декілька використовують html (при цьому частина з них ховає php-додатки за розширенням html), а ще частина використовували власні php-скрипти.

На перевірених сайтах використовуються наступні движки:

Joomla - 7
DataLife Engine - 4
WordPress - 4
Drupal - 3
uCoz - 3
CNCat - 2
Zen Cart - 2
I-Soft Bizness - 1
Kohana - 1
osCommerce - 1
PHP-Nuke - 1
PrestaShop - 1
WebCommander CMS - 1
WebElite CMS - 1

Тобто майже всі інфіковані сайти, з числа працюючих, використовували (за станом на сьогодні) опенсорс веб додатки.

Українські Кібер Війська з червня займаються розвідкою. Це аудіо і відео розвідка. Раніше я наводив відео Українських Кібер Військ, що демонструють можливості Українських Кібер Військ по спостереженню за терористами.

Ось 5 нових відео, що зроблені в рамках розвідувальної операції:

Українські Кібер Війська: терористи вимкнули веб камеру в Горлівці 16.03.2015 - УКВ записали переміщення військової техніки терористів в Горлівці та як терористи вимкнули веб камеру.

Українські Кібер Війська: російська військова техніка в Криму за 24.03.2015 - УКВ записали переміщення військової техніки в Криму.

Українські Кібер Війська: російська військова техніка в Криму за 25.03.2015 - УКВ записали переміщення військової техніки в Криму.

Українські Кібер Війська: російська військова техніка в Керчі за 02.04.2015 - УКВ записали переміщення військової техніки в Криму.

Українські Кібер Війська: російська військова техніка і терористи в Криму за 07.04.2015 - УКВ записали переміщення військової техніки в Криму.

24.03.2015

Виявлені численні уразливості безпеки в Apache.

Уразливі версії: Apache 2.3, Apache 2.4.

Обхід обмежень в mod_headers, DoS в mod_cache, обхід обмежень і DoS в mod_lua, DoS в mod_proxy_fcgi, обхід захисту в mod_gnutls.

• Apache HTTP Server vulnerabilities (деталі)
• mod-gnutls security update (деталі)

23.04.2015

• Apache HTTPD 2.4.12, 2.2.29 Security Audit (деталі)
• Apache HTTP Server 2.2.29 / 2.4.12 NULL Pointer dereference in protocol.c (деталі)

В даній добірці уразливості в веб додатках:

• EMC Watch4net Information Disclosure Vulnerability (деталі)
• Opendaylight Vulnerable to Local and Remote File Inclusion in the Netconf (TCP) Service (деталі)
• drupal7 security update (деталі)
• Reflected Cross-Site Scripting (XSS) in Jamroom (деталі)
• Open-Xchange Security Advisory 2014-02-10 (деталі)

У липні, 31.07.2014, я виявив численні уразливості в Gallery для MODx. Зокрема Cross-Site Scripting, Full path disclosure, Abuse of Functionality, Denial of Service уразливості. Про що найближчим часом повідомлю розробникам веб додатку.

В компоненті Gallery для MODx використовуються phpThumb. Ця бібліотека має XSS, FPD, AoF і DoS в уразливості подібні до TimThumb, тому Gallery теж вразливий.

XSS (WASC-08):

http://site/assets/components/gallery/connector.php?action=web/phpthumb&src=%3Cbody%20onload=alert(document.cookie)%3E.jpg

Full path disclosure (WASC-13):

http://site/assets/components/gallery/connector.php?action=web/phpthumb
http://site/assets/components/gallery/connector.php?action=web/phpthumb&src=http://

Abuse of Functionality (WASC-42):

http://site/assets/components/gallery/connector.php?action=web/phpthumb&src=http://site&h=1&w=1

Denial of Service (WASC-10):

http://site/assets/components/gallery/connector.php?action=web/phpthumb&src=src=http://site/big_file&h=1&w=1

Уразливі всі версії компонента Gallery для MODx.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://kosei.com.ua - інфекція була виявлена 16.04.2015. Зараз сайт входить до переліку підозрілих.
• http://luxrent.od.ua - інфекція була виявлена 21.04.2015. Зараз сайт не входить до переліку підозрілих.
• http://akeemdom.com - інфекція була виявлена 23.04.2015. Зараз сайт входить до переліку підозрілих.
• http://seged.od.ua - інфекція була виявлена 30.03.2015. Зараз сайт не входить до переліку підозрілих.
• http://peanut.com.ua - інфекція була виявлена 31.03.2015. Зараз сайт не входить до переліку підозрілих.

Виявлені численні уразливості безпеки в Microsoft Office, а також в серверних продуктах Office Web Apps і SharePoint Server.

Уразливі продукти: Microsoft Office Web Apps 2010 SP2, 2013 SP1, Microsoft SharePoint Server 2007 SP3, 2010 SP2, SharePoint Foundation 2010 SP2, Word Automation Services on SharePoint Server 2010 SP2, 2013 SP1, SharePoint Foundation 2013 SP1, Excel Services on SharePoint Server 2013 SP1.

Виконання коду, використання пам’яті після звільнення.

• Microsoft Security Bulletin MS15-022 - Critical Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (3038999) (деталі)

В даній добірці експлоіти в веб додатках:

• Sagem F@st 3304-V2 Directory Traversal Vulnerability (деталі)
• D-Link DIR636L Remote Command Injection Vulnerability (деталі)
• Internet Explorer 8 - Fixed Col Span ID Full ASLR, DEP & EMET 5.1 Bypass (MS12-037) (деталі)
• Hikvision DVR RTSP Request Remote Code Execution Exploit (деталі)
• Advantech EKI-6340 2.05 Command Injection Vulnerability (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Disqus, All In One SEO Pack та ShortCode. Для котрих з’явилися експлоіти. Disqus - це плагін для написання коментарів, All In One SEO Pack - це плагін для пошукової оптимізації сайта, ShortCode - це мега пакет коротких кодів.

• Disqus 2.7.5 Cross Site Request Forgery / Cross Site Scripting (деталі)
• WordPress All In One SEO Pack 2.2.2 Cross Site Scripting (деталі)
• WordPress ShortCode 0.2.3 Local File Inclusion (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.