Websecurity - Веб безпека

У лютому, 18-19.02.2015, вийшли PHP 5.4.38, PHP 5.5.22 і PHP 5.6.6. У версії 5.4.38 виправлено 7 уразливостей, у версіях 5.5.22 і 5.6.6 виправлено декілька багів і 4 уразливості.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.4.x, 5.5.x і 5.6.x.

У PHP 5.4.38, 5.5.22 і 5.6.6 виправлено:

• Buffer overflow уразливість в glibc gethostbyname.
• Некоректне визначання підтримки системою crypt sha256/sha512.
• Use after free уразливість в unserialize() з DateTimeZone.
• Heap buffer overflow уразливість в enchant_broker_request_dict().
• SoapServer не підтримує великі повідомлення.
• Прибрана підтримка багаторядкових заголовків. Це захищає від CRLF Injection уразливостей.
• Доданий захист від NULL byte в exec, system і passthru.

По матеріалам http://www.php.net.

Продовжуючи розпочату традицію, після попереднього відео про взлом мережевих пристроїв ISP, пропоную нове відео на секюріті тематику. Цього разу відео про визначення і протидію стеженню. Рекомендую подивитися всім хто цікавиться цією темою.

DEF CON 22 - Robert Rowley - Detecting and Defending Against a Surveillance State

Влітку на конференції DEFCON 22 відбувся виступ Robert Rowley. В своєму виступі він розповів про шпигунство, зокрема держави за громадянами. Про визначення, що за вами стежать (через комп’ютери та мобільні пристрої) та як протидіями цьому.

Він розповів про останні витоки інформації та про те, як визначати державне стеження і як йому протидіяти. Рекомендую подивитися дане відео для розуміння шпигунства і щоб навчитися визначати чи за вами стежать.

Виявлені уразливості безпеки в Apache Taglibs.

Уразливі версії: Apache Taglibs 1.2.

Виконання коду, XXE.

• CVE-2015-0254 XXE and RCE via XSL extension in JSTL XML tags (деталі)

У січні, 21.01.2015, через два місяці після виходу Google Chrome 39, вийшов Google Chrome 40.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Також зроблено наступні покращення безпеки: додана можливість блокування профілю в браузері для запобігання доступу сторонніх до облікового запису (коли це потрібно) та додана підтримка нових директив, представлених у другій версії специфікації Content Security Policy (CSP).

Виправлені 62 уразливості, з яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer і MemorySanitizer. Що значно більше ніж в попередній версії.

• Релиз web-браузера Chrome 40 (деталі)

У лютому вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у березні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на cik-lnr.info - 01-15.03.2015
DDoS на molotpravdu.com - 01-15.03.2015
DDoS на без-вести.рф - 01-15.03.2015
DDoS на ungu.org - 01-15.03.2015
DDoS на pravdatoday.info - 01-15.03.2015
DDoS на 2news.com.ua - 01.03.2015
DDoS на globalresearch.ca - 01.03.2015
DDoS на bne.su - 01-15.03.2015
DDoS на lvs-global.ru - 01-15.03.2015
DDoS на slemtt.myjino.ru - 01-15.03.2015

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

У січні, 22.01.2015, вийшли PHP 5.4.37, PHP 5.5.21 і PHP 5.6.5. У версії 5.4.37 виправлено 6 уразливостей, у версіях 5.5.21 і 5.6.5 виправлено декілька багів і 8 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.4.x, 5.5.x і 5.6.x.

У PHP 5.4.37, 5.5.21 і 5.6.5 виправлено:

• Use after free уразливість в unserialize().
• Читання out of bounds призводило до вибивання php-cgi.
• Уразливість при роботі з EXIF.
• Дві уразливості в розширені Fileinfo.
• Обхід перевірки сертифікатів в розширені OpenSSL.
• Explicit double free уразливість (в PHP 5.5.21 і 5.6.5).
• Вибивання при некоректних HTTP запитах (в PHP 5.5.21 і 5.6.5).
• Buffer overflow уразливість розширені GD (в PHP 5.5.21 і 5.6.5).
• Також оновлена бібліотека crypt_blowfish до версії 1.3 (в PHP 5.5.21 і 5.6.5).

По матеріалам http://www.php.net.

В даній добірці експлоіти в веб додатках:

• Landesk Management Suite 9.5 Cross Site Scripting Vulnerability (деталі)
• Hewlett-Packard UCMDB 10.10 JMX-Console Authentication Bypass Vulnerability (деталі)
• Xerox Multifunction Printers (MFP) “Patch” DLM Escalation Exploit (деталі)
• X7 Chat 2.0.5 lib/message.php preg_replace() PHP Code Execution Exploit (деталі)
• Citrix NetScaler SOAP Handler Remote Code Execution Exploit (деталі)

22.08.2014

Сьогодні я знайшов уразливості в різних моделях мережевих камер Hikvision. Це IP Camera та DVR пристрої. Зокрема Brute Force та Abuse of Functionality уразливості.

Уразливі моделі: Hikvision DS-2CD2412F-IW, DS-2CD2412F-I, DS-7204HWI-SH, DS-2CD2412F-IW, DS-2CD2012-I, DS-2CD2232-I5, DS-7108HWI-SH, DS-2CD7153-E, DS-2CD2132-I, DS-2DF5284-A.

Стосовно веб камер та відеореєстраторів Hikvision раніше я писав про уразливості в Hikvision DS-7204HWI-SH.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

26.03.2015

Abuse of Functionality (WASC-42):

Логін постійний: admin.

Brute Force (WASC-11):

В формі логіна http://site/doc/page/login.asp немає захисту від Brute Force атак. Дані відправляється через GET запит з Basic Authorization.

Відсутність захисту від Brute Force (такого як капча) також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін. Але вони захистилися від CSRF атаки через використання Basic Authorization.

Розробники вже виправили Brute Force уразливість.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://kamrada.gov.ua (хакером ElKiller) - 01.01.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.difku.gov.ua (хакером Dr.SHA6H) - 04.01.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://vv.gov.ua (російськими хакерами) - 23.03.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://new.bidmu-kpu.com.ua (хакером Nofawkx Al) - 15.12.2014, зараз сайт вже виправлений адмінами
• http://np-studio.com.ua (хакером the_warri0r) - 29.12.2014, зараз сайт вже виправлений адмінами
• http://autocopilot.com.ua (хакером CaptSalkus48)
• http://avajart.com (хакером Sni-PeO) - 05.01.2015, зараз сайт вже виправлений адмінами
• http://driada.pw (хакером Sni-PeO) - 05.01.2015, зараз сайт вже виправлений адмінами
• http://forum.sev-event.com (хакером d3b~X) - 03.02.2015, зараз сайт вже виправлений адмінами
• http://gurt-cactus.com.ua (хакерами з Islamic State) - причому спочатку сайт 09.03.2015 був взломаний Islamic State, а 23.03.2015 він був взломаний w4l3XzY3, зараз сайт вже виправлений адмінами. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті

Виявлена можливість DoS атаки проти MongoDB.

Уразливі версії: MongoDB 2.6, MongoDB 3.0.

Відмова при розборі BSON.

• MongoDB BSON Handling Remote Denial of Service Vulnerability (деталі)