Websecurity - Веб безпека

Пропоную ознайомитися зі звітом про хакерську активність в Уанеті в другому півріччі 2014 року.

За другу половину минулого року хакери в Уанеті вели себе дуже активно. Якщо за другу половину 2013 року в Уанеті було проведено 376 атак на веб сайти, то за другу половину 2014 року вже 464 атаки на веб сайти - це більша активність (зростання на 23%). Але атакованих сайтів явно значно більше і хакерська активність постійно зростає. Що видно з великої кількості інфікованих сайтів (які я не відношу до взломаних, бо напевно невідомо, що їх взломали, але це дуже вірогідно).

У даному звіті подана інформація про діяльність хакерів в Уанеті за наступні шість місяців 2014 року - за період з 01.07.2014 по 31.12.2014.

• www.zbarazh-rada.gov.ua (хакерами з ToP-TeaM) - 01.07.2014 - похаканий державний сайт
• DDoS на donetsk-gov.su (Українські Кібер Війська) - 01.07.2014
• DDoS на dnrtv.ru (Українські Кібер Війська) - 01.07.2014 і 04.07.2014
• DDoS на kharkov-resp.su (Українські Кібер Війська) - 01-02.07.2014, 05.07.2014 і 11.07.2014
• DDoS на sprotyv.info (КіберБеркут) - 01.07.2014 і 21.07.2014
• DDoS на nardep.org.ua (КіберБеркут) - 01.07.2014
• DDoS на depo.ua (КіберБеркут) - 01.07.2014
• DDoS на kramatorskinfo.freeforums.org (КіберБеркут) - 01.07.2014
• DDoS на cyber-berkut.org (українськими хакерами) - 03.07.2014
• DDoS на ungu.org (Українські Кібер Війська) - 05-13.07.2014 і 14-31.08.2014
• DDoS на ukrnovosti.info (Українські Кібер Війська) - 06-13.07.2014
• DDoS на dobrovolec.org (Українські Кібер Війська) - 06.07.2014
• 11 сайтів на сервері Server.ua (хакерами з United Bangladeshi Hackers) - 06.07.2014
• DDoS на iskra-news.info (Українські Кібер Війська) - 07.07.2014
• DDoS на novorus.info (Українські Кібер Війська) - 08-10.07.2014 і 13.07.2014
• k61.dn.ua (українськими хакерами) - 09.07.2014
• DDoS на newsdon.info (Українські Кібер Війська) - 10.07.2014 і 13.07.2014
• ceramology.gov.ua (хакером MyCho) - 10.07.2014 - похаканий державний сайт
• DDoS на dnrepublic.info (Українські Кібер Війська) - 11.07.2014
• DDoS на odessa-antimaydan.com (Українські Кібер Війська) - 12-13.07.2014 і 15-31.08.2014
• DDoS на nol.su (Українські Кібер Війська) - 12-13.07.2014
• DDoS на 3rm.info (Українські Кібер Війська) - 13.07.2014
• www.voladm.gov.ua (хакером Adr-Elite404) - 16.07.2014 - похаканий державний сайт
• DDoS на infoodessa.com (Українські Кібер Війська) - 16-31.07.2014
• nmckherson.gov.ua (хакером Hmei7) - 19.07.2014 - похаканий державний сайт
• ibss.nas.gov.ua (хакером Genius-Jordan) - 21.07.2014 - похаканий державний сайт
• www.ndu.edu.ua (хакером MonstersDefacer) - 21.07.2014
• www.advocate-law.com.ua (хакером Q8VA) - 26.07.2014
• www.ilyichevsk-rada.gov.ua (хакером Genius-Jordan) - 27.07.2014 - похаканий державний сайт
• www.clinic-1.gov.ua (хакером Dr.SHA6H) - 28.07.2014 - похаканий державний сайт
• DDoS на president.gov.ua (КіберБеркут) - 29.07.2014 - атакований державний сайт
• 244 сайти на сервері Delta-X (різними хакерами) - 08.2014
• np.ukr.net (російським хакером) - 02.08.2014
• DDoS на bne.su (Українські Кібер Війська) - 03.08.2014
• DDoS на новорус.рф (Українські Кібер Війська) - 03.08.2014
• esthetology.ua (хакером ZeynnymouZ) - 04.08.2014
• DDoS на novorossia.co (Українські Кібер Війська) - 05.08.2014
• unp.ua (хакером KkK1337) - 06.08.2014
• DDoS на novorossia.tv (Українські Кібер Війська) - 07.08.2014
• mediarnbo.org (проросійськими хакерами) - 09.08.2014 - похаканий державний сайт
• cfdgroup.com.ua (невідомими хакерами) - 11.08.2014
• credit-24.kiev.ua (невідомими хакерами) - 11.08.2014
• DDoS на novorossia.su (Українські Кібер Війська) - 13.08.2014 і 15.08.2014
• DDoS на odnarodyna.com.ua (Українські Кібер Війська) - 13-15.08, 17-19.08 і 24-31.08.2014
• DDoS на novorossiya.name (Українські Кібер Війська) - 14-15.08.2014
• poladm.gov.ua (хакером AnonGhost) - 14.08.2014 - похаканий державний сайт
• DDoS на bolotov-lg.ru (Українські Кібер Війська) - 15.08.2014 і 17.08.2014
• DDoS на reportage24.ru (Українські Кібер Війська) - 16-17.08.2014
• DDoS на icp.su (Українські Кібер Війська) - 18.08.2014
• DDoS на rusdozor.ru (Українські Кібер Війська) - 19.08.2014
• mira-foto.com.ua (хакером Hmei7) - 19.08.2014
• www.anilorak.com - 21.08.2014 (проукраїськими хакерами)
• DDoS на mfa.gov.ua (проросійськими хакерами) - 22.08.2014 - атакований державний сайт
• DDoS на molotpravdu.com (Українські Кібер Війська) - 23.08.2014
• DDoS на lvs-global.ru (Українські Кібер Війська) - 24.08 і 29-31.08.2014
• DDoS на slemtt.myjino.ru (Українські Кібер Війська) - 24.08 і 29-31.08.2014
• DDoS на voenkor.info (Українські Кібер Війська) - 25-26.08 і 30.08.2014
• genichesk-rda.gov.ua (хакером HighTech) - 26.08.2014 - похаканий державний сайт
• DDoS на kmu.gov.ua - 27.08.2014 - атакований державний сайт
• DDoS на dstszi.gov.ua - 27.08.2014 - атакований державний сайт
• DDoS на imperiya.by (Українські Кібер Війська) - 29-30.08.2014
• DDoS на interbrigada.org (Українські Кібер Війська) - 30-31.08.2014
• DDoS на newsnews.tv (Українські Кібер Війська) - 30-31.08.2014
• DDoS на www.112.ua (проросійськими хакерами) - 31.08.2014
• DDoS на golos.ua (проросійськими хакерами) - 01.09.2014
• DDoS на censor.net.ua (проросійськими хакерами) - 02.09.2014
• dik.gov.ua (хакером Lootz) - 04.09.2014 - похаканий державний сайт
• DDoS на investigator.org.ua - 05.09 і 15.09.2014
• ratadmin.gov.ua (хакером KkK1337) - 09.09.2014 - похаканий державний сайт
• www.manadm.gov.ua (хакером KkK1337) - 09.09.2014 - похаканий державний сайт
• www.goradm.gov.ua (хакером KkK1337) - 09.09.2014 - похаканий державний сайт
• www.turadm.gov.ua (хакером KkK1337) - 09.09.2014 - похаканий державний сайт
• chasovrada.gov.ua (хакером Ali-HAwleRy) - 10.09.2014 - похаканий державний сайт
• www.hepi.edu.ua (хакером Hmei7) - 10.09.2014
• disgvol.gov.ua (хакером Hmei7) - 12.09.2014 - похаканий державний сайт
• www.nbuviap.gov.ua (хакером NG689Skw) - 14.09.2014 - похаканий державний сайт
• www.dobrrda.gov.ua (хакером panataran) - 16.09.2014 - похаканий державний сайт
• vpu33.com.ua (хакерами з Anonymous Albania) - 16.09.2014
• www.lbmadm.gov.ua (хакером Romantic) - 18.09.2014 - похаканий державний сайт
• www.lbsadm.gov.ua (хакером Ali-HAwleRy) - 18.09.2014 - похаканий державний сайт
• www.vvadm.gov.ua (хакером panataran) - 18.09.2014 - похаканий державний сайт
• poslygi.voladm.gov.ua (хакером Romantic) - 19.09.2014 - похаканий державний сайт
• orthodox.lutsk.ua (хакером d3b~X) - 25.09.2014
• cses.gov.ua (хакером Fatal Error) - 27.09.2014 - похаканий державний сайт
• DDoS на tsn.ua (проросійськими хакерами) - 02.10.2014
• www.tehnodim.lutsk.ua (хакером Solt6n) - 03.10.2014
• snigiryevka-rada.gov.ua (хакером PaWL) - 05.10.2014 - похаканий державний сайт
• gslan.net.ua (хакером PaWL) - 05.10.2014
• kyokushin.gslan.net.ua (хакером PaWL) - 05.10.2014
• ukraina.center (проросійськими хакерами) - 09.10.2014
• tas.zp.ua (хакером Silo) - 11.10.2014
• haircarehome.com.ua (хакерами з Ashiyane Digital Security Team) - 11.10.2014
• www.peremrda.gov.ua (хакером r3d_s0urc3) - 15.10.2014 - похаканий державний сайт
• klew.dp.ua (хакерами з novorossian Cyber Army) - 17.10.2014
• gdemebel.com.ua (хакером Hmei7) - 19.10.2014
• www.orlovtrans.com.ua (хакером Hmei7) - 20.10.2014
• probeg.kiev.ua (хакером Sheytan Azzam) - 24.10.2014
• civilcepro.gov.ua (хакером MyatyFrus) - 24.10.2014 - похаканий державний сайт
• 59 сайтів на сервері Server.ua (хакером MyatyFrus) - 24.10.2014
• yarema.info (хакерами з КіберБеркуту) - 25.10.2014
• vyborkom.org (хакерами з КіберБеркуту) - 25.10.2014 - похаканий державний сайт
• DDoS на cvk.gov.ua (хакерами з КіберБеркуту) - 25.10.2014 - атакований державний сайт
• mzm.zp.ua (хакерами з КіберБеркуту) - 25.10.2014
• www.cvu.org.ua (невідомими хакерами) - 26.10.2014
• stankoplast.com.ua (хакером POW3R G3n3r@70R) - 27.10.2014
• эталонпринт.com.ua (хакером DARKWAR2) - 28.10.2014
• www.cik-lnr.info (Українські Кібер Війська) - 30.10.2014 і 07.11.2014
• www.archives.gov.ua (хакером d3b~X) - 03.11.2014 - похаканий державний сайт
• www.tiraz.biz.ua (хакером Gantengers Crew) - 05.11.2014
• site.sea.gov.ua (хакером TRAFIQUANT) - 08.11.2014 - похаканий державний сайт
• saee.gov.ua (хакером AnonGhost) - 09.11.2014 - похаканий державний сайт
• livestarobelsk.org (Українські Кібер Війська) - 13.11.2014, 19.11.2014 і 19.12.2014
• blogs.ukrinform.gov.ua (хакером Sh4d0w-26) - 16.11.2014
• photo-shkola.odessa.ua (хакером Criminal BD) - 19.11.2014
• doba.te.ua (проросійськими хакерами) - 19.11.2014
• www.alchevsk-pfu.gov.ua (хакером DrSHA67) - 22.11.2014 - похаканий державний сайт
• www.agrofond.gov.ua (хакером DrSHA67) - 22.11.2014 - похаканий державний сайт
• www.zak-dai.gov.ua (хакером DrSHA67) - 22.11.2014 - похаканий державний сайт
• nenc.gov.ua (хакером N1Gh7 F0x) - 27.11.2014 - похаканий державний сайт
• society.nenc.gov.ua (хакером N1Gh7 F0x) - 27.11.2014 - похаканий державний сайт
• isef.nenc.gov.ua (хакером N1Gh7 F0x) - 27.11.2014 - похаканий державний сайт
• intel-eco.nenc.gov.ua (хакером N1Gh7 F0x) - 27.11.2014 - похаканий державний сайт
• positum-psy.zhitomir.ua (хакерами з ayyildiz team) - 30.11.2014
• ahz.com.ua (хакерами з Gantengers Crew) - 30.11.2014
• www.utic5.gov.ua (хакерами з Middle East Cyber Army) - 02.12.2014 - похаканий державний сайт
• DDoS на websecurity.com.ua (невідомими хакерами) - 03-04.12.2014
• www.elay.com.ua (хакером ahor4) - 03.12.2014
• DDoS атака на n1.tcphost.net (невідомими хакерами) - 05.12.2014
• bioenergy.gov.ua (хакером DrSHA67) - 07.12.2014 - похаканий державний сайт
• ovin-kond.com.ua (хакером Gantengers Crew) - 07.12.2014
• www.kyiv-oblosvita.gov.ua (хакером Gantengers Crew) - 08.12.2014 - похаканий державний сайт
• interwood.ua (хакерами з 1923 Turk Group) - 10.12.2014
• www.zt-rada.gov.ua (хакером Nofawkx Al) - 15.12.2014 - похаканий державний сайт
• arhiv.zt-rada.gov.ua (хакером Nofawkx Al) - 15.12.2014 - похаканий державний сайт
• mailadm.zt-rada.gov.ua (хакером Nofawkx Al) - 15.12.2014 - похаканий державний сайт
• www.bidmu-kpu.com.ua (хакером Nofawkx Al) - 15.12.2014
• www.extrimzashchita.org.ua (хакером Nofawkx Al) - 15.12.2014
• www.alaguerre.org.ua (хакером Nofawkx Al) - 15.12.2014
• www.zt-tsou.org.ua (хакером Nofawkx Al) - 15.12.2014
• www.vodokanal-zt.org.ua (хакером Nofawkx Al) - 15.12.2014
• www.pto-zh.org.ua (хакером Nofawkx Al) - 15.12.2014
• msdp.undp.org.ua (хакером Nofawkx Al) - 15.12.2014
• shop.alaguerre.org.ua (хакером Nofawkx Al) - 15.12.2014
• new.bidmu-kpu.com.ua (хакером Nofawkx Al) - 15.12.2014
• terralex.kiev.ua (хакером Dr.AFN[D]ENA) - 16.12.2014
• alexandriya-mebel.com.ua (хакером Firebox) - 18.12.2014
• veloacademy.org.ua (хакером Hmei7) - 18.12.2014
• docss.dn.ua (хакером ProAnje) - 20.12.2014
• igroteki.com.ua (хакером Yassinox_TN) - 26.12.2014
• www.avalon.ua (хакером NginxHaXor) - 26.12.2014
• larche-kovcheh.org.ua (хакером Riad SyR Hack) - 26.12.2014
• np-studio.com.ua (хакером the_warri0r) - 29.12.2014
• iic.dgtu.donetsk.ua (хакером RooT HaXor) - 31.12.2014

З них 49 атак на державні сайти: 44 взломи і 5 DDoS-атак на gov.ua-сайти.

Також були інфіковані 80 сайтів, які вірогідно були похакані в минулому році. Що менше 96 інфікованих сайтів в другій половині 2013 (падіння на 16,7%).

Інфіковані сайти у другій половині 2014 року: dovidka.te.ua, vinet.ua, meteoprog.com.ua, 1582.com.ua, dfp.gov.ua, vechirka.pl.ua, sergeevka.org.ua, gr.biz.ua, meta.ua, kust.net.ua, art-style.com.ua, reni.od.ua, searching.com.ua, bagira.zp.ua, yagazeta.com, bon-appetit.com.ua, columb.net.ua, melitopol.org, mastersam.com.ua, catalog.if.ua, list.poltava.ua, poltava.info, globalmarket.com.ua, kamadm.gov.ua, vuderta-school.at.ua, snasti.com.ua, kamvpu.ucoz.ua, veteran.kiev.ua, openroad.zp.ua, ukrtrans.com, top.zp.ua, ukrdom.biz, jetline.com.ua, translate.zp.ua, lookmy.info, hot-news.at.ua, zona.zp.ua, meddocs.com.ua, aviamodel.org.ua, isheika.com, edem.ck.ua, man.ck.ua, archive.org.ua, nbshop.in.ua, allindustry.com.ua, altaris.in.ua, ukspar.com, ukspar.ua, profi-oil.com.ua, lur.ck.ua, vsvete.com.ua, laki-kraski.com.ua, kievmarket.com, rushnyk.com.ua, ukraine-ru.net, oboz.ua, persten.com.ua, list.uzhgorod.ua, rdi.com.ua, zolota-gora.com, dendropark.km.ua, angliavilla.com, rest.uzhgorod.ua, vrazrabotke.com.ua, xua.com.ua, georg.kiev.ua, aromamania.com.ua, bagagnik.kharkov.ua, sorvizbe.com, polomok.net, 26.com.ua, shopcms.pp.ua, shopcms.net.ua, academpress.kiev.ua, neocm.com, budmeh.com.ua, npu.edu.ua, goldfleece.com.ua, sntc.sumy.ua, np-studio.com.ua.

З них інфіковано 2 державних сайти: dfp.gov.ua, kamadm.gov.ua.

Найближчим часом підведу підсумки активності хакерів в Уанеті за 2014 рік.

Виявлені численні уразливості безпеки в Apple Safari та Webkit.

Уразливі версії: Apple Safari 6.2, Safari 7.1, Safari 8.0.

Некоректна перевірка SSL-сертифікатів, витік інформації, пошкодження пам’яті, міжсайтовий доступ.

• Safari iOS/OS X/Windows cookie access vulnerability (деталі)
• APPLE-SA-2015-04-08-1 Safari 8.0.5, Safari 7.1.5, and Safari 6.2.5 (деталі)

В даній добірці уразливості в веб додатках:

• RSA Security Analytics Multiple Vulnerabilities (деталі)
• TomatoCart v1.x (latest-stable) Multiple Vulnerabilities (деталі)
• Multiple Cross-Site Scripting vulnerabilities in OCS Inventory NG (деталі)
• Apache Cordova 3.5.1: CVE-2014-3502 update (деталі)
• EMC Replication Manager Unquoted File Path Enumeration Vulnerability (деталі)

Раніше я писав про свою систему Web Virus Detection System, що була розроблена мною в 2008 році. Потім я створив нову систему SecurityAlert, в якої доля склалася схоже до першої системи, тому прочитайте історію Web VDS.

SecurityAlert - це сервіс для інформування про інциденти з безпекою на веб сайтах, що була розроблена мною в 2012 році. Відео демонстрація системи SecurityAlert.

Я розробив ідею системи та створив детальний бізнес план ще в липні 2011. Але рік витратив на спілкування з українськими секюріті компаніями та пошук фінансування. В липні 2012 я почав розробку системи, коли знайшов компанію, що обіцяла фінансувати проект, але вже в серпні вона кинула мене і не надала жодної підтримки. Ситуація подібна до 2008 року з Web Virus Detection System (і жодна з компаній, з якими я спілкувався про обидві свої системи, не викликає в мене поваги). Але на відміну від попередньої системи, я продовжив роботу над цією системою після обману спонсора, і з 2012 року значно покращив систему.

У січні, 24.01.2015, я виявив Abuse of Functionality, Brute Force та Cross-Site Request Forgery уразливості в D-Link DCS-910 (веб камера).

Раніше я писав про уразливості в пристроях даної компанії, зокрема в D-Link DVG-5402SP та D-Link DCS-910.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

Я опублікував відео про мою систему SecurityAlert. Це система виявлення та інформування про інциденти з безпекою на веб сайтах, такі як взломи, інфікування, фішинг та інші.

Більш детально про SecurityAlert ви можете прочитати в розділі мого сайту.

Виявлені Cross-Site Scripting уразливості в Microsoft Exchange.

Уразливі версії: Microsoft Exchange Server 2013.

Безліч можливостей міжсайтового скриптінга.

• Microsoft Security Bulletin MS15-026 - Important Vulnerabilities in Microsoft Exchange Server Could Allow Elevation of Privilege (3040856) (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Disqus, Mobile Pack та KenBurner Slider. Для котрих з’явилися експлоіти. Disqus - це плагін для написання коментарів, Mobile Pack - це плагін для перетворення сайта у мобільний веб додаток, KenBurner Slider - це плагін для створення слайдеру.

• WordPress Disqus 2.7.5 CSRF / Cross Site Scripting (деталі)
• WordPress Mobile Pack 2.0.1 Information Disclosure (деталі)
• WordPress KenBurner Slider Arbitrary File Download (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox ESR 31.4, Firefox 35, Thunderbird 31.4, SeaMonkey 2.33.

Обхід обмежень, підміна даних, розкриття інформації, переповнення буфера, пошкодження пам’яті, DoS, виконання коду.

• MFSA 2015-11 Miscellaneous memory safety hazards (rv:36.0 / rv:31.5) (деталі)
• MFSA 2015-12 Invoking Mozilla updater will load locally stored DLL files (деталі)
• MFSA 2015-13 Appended period to hostnames can bypass HPKP and HSTS protections (деталі)
• MFSA 2015-14 Malicious WebGL content crash when writing strings (деталі)
• MFSA 2015-15 TLS TURN and STUN connections silently fail to simple TCP connections (деталі)
• MFSA 2015-16 Use-after-free in IndexedDB (деталі)
• Buffer overflow in libstagefright during MP4 video playback (деталі)
• MFSA 2015-18 Double-free when using non-default memory allocators with a zero-length XHR (деталі)
• MFSA 2015-19 Out-of-bounds read and write while rendering SVG content (деталі)
• MFSA 2015-20 Buffer overflow during CSS restyling (деталі)
• MFSA 2015-21 Buffer underflow during MP3 playback (деталі)
• MFSA 2015-22 Crash using DrawTarget in Cairo graphics library (деталі)
• MFSA 2015-23 Use-after-free in Developer Console date with OpenType Sanitiser (деталі)
• MFSA 2015-24 Reading of local files through manipulation of form autocomplete (деталі)
• MFSA 2015-25 Local files or privileged URLs in pages can be opened into new tabs (деталі)
• MFSA 2015-26 UI Tour whitelisted sites in background tab can spoof foreground tabs (деталі)
• MFSA 2015-27 Caja Compiler JavaScript sandbox bypass (деталі)
• MFSA 2015-28 Privilege escalation through SVG navigation (деталі)
• MFSA 2015-29 Code execution through incorrect JavaScript bounds checking elimination (деталі)

Продовжу тему “Warning” Гугл хакінга (”Warning” Google hacking). Котрий є різновидом Гугл хакінга - використання пошукових систем (зокрема Гугла) для пошуку уразливостей на сайтах.

Дана методика передбачає використання Гугла (чи інших пошукових систем) з метою пошуку повідомлень на сайтах про помилки, і дозволяє знайти важливу інформацію стосовно даних сайтів. За допомогою спеціальних пошукових запитів (дорків) можна знайти Full path disclosure та Information leakage уразливості на різноманітних сайтах в Інтернеті.

Новий перелік “варнінг” пошукових запитів:

Warning: eregi

Warning: eregi_replace

Warning: dbplus

Warning: easter_date

Warning: error_log

Warning: error_reporting

Warning: escapeshellarg

Warning: escapeshellcmd