Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах AdminOnline, Simple Share Buttons Adder і Construction Mode. Для котрих з’явилися експлоіти. AdminOnline - це плагін, Simple Share Buttons Adder - це плагін для поширення в соціальних мережах, Construction Mode - це плагін.

• WordPress AdminOnline Local File Disclosure (деталі)
• WordPress Simple Share Buttons Adder 4.4 CSRF / XSS (деталі)
• WordPress Construction Mode 1.8 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У жовтні, 24.10.2014, вийшов Mozilla Firefox 33.0.1. Нова версія браузера вийшла через 10 днів після виходу Firefox 33.

Це коригувальний випуск в якому усунуто проблему, коли показувалася пуста сторінка при запуску браузера з деякими графічними драйверами.

У жовтні, 28.10.2014, вийшов Mozilla Firefox 33.0.2.

Це коригувальний випуск в якому усунуто проблему, що приводить до краху при запуску браузера з деяким обладнанням і драйверами.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, зокрема про DoS і DDoS атаки (статті з Вікіпедії):

• INVITE of Death
• Martian packet
• NBName
• Packet drop attack
• Timeline of events associated with Anonymous (LOIC та HOIC)

В даній добірці уразливості в веб додатках:

• DoS in memcached (деталі)
• OpenFiler - Arbitrary Code Execution & Stored XSS (деталі)
• Mumble 1.2.6: Mumble-SA-2014-005 and Mumble-SA-2014-006 (деталі)
• various NodeJS module vulnerabilities (деталі)
• Cisco TelePresence VX Clinical Assistant Administrative Password Reset Vulnerability (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.zak-dai.gov.ua (хакером DrSHA67) - 22.11.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://nenc.gov.ua (хакером N1Gh7 F0x) - 27.11.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://igroteki.com.ua (хакером Yassinox_TN)
• http://iic.dgtu.donetsk.ua (хакером RooT HaXor) - хакнута папка сайта
• http://www.avalon.ua (хакером NginxHaXor) - 26.12.2014, зараз сайт вже виправлений адмінами

Українські Кібер Війська з червня займаються розвідкою. Це аудіо і відео розвідка. Раніше я наводив відео Українських Кібер Військ, що демонструють можливості Українських Кібер Військ по спостереженню за терористами.

Ось 7 нових відео, що зроблені в рамках розвідувальної операції:

Українські Кібер Війська: військова техніка терористів в Донецьку за 10.12.2014 - УКВ записали переміщення військової техніки терористів в Донецьку.

Українські Кібер Війська: патруль ДНР в Донецьку за 10.12.2014 - УКВ записали патруль ДНР в Донецьку.

Українські Кібер Війська: військова техніка терористів та гумконвой в Донецьку за 12.12.2014 - УКВ записали переміщення військової техніки терористів та російського гумконвою в Донецьку.

Українські Кібер Війська: покупка коштовностей в Донецьку - 14.09.2014 УКВ записали покупку коштовностей в магазині Донецька.

Українські Кібер Війська: військова техніка терористів та гумконвой в Донецьку за 13.12.2014 - УКВ записали переміщення військової техніки терористів та російського гумконвою в Донецьку.

УКВ: військова техніка терористів та гуманітарка в Донецьку за 15.12.2014 - УКВ записали переміщення військової техніки терористів та гуманітарки Ахметова в Донецьку.

Українські Кібер Війська: військова техніка терористів в Донецьку за 16.12.2014 - УКВ записали переміщення військової техніки терористів в Донецьку.

В даній добірці експлоіти в веб додатках:

• Netgear Wireless Router WNR500 Local File Inclusion Vulnerability (деталі)
• Arris VAP2500 Authentication Bypass Vulnerability (деталі)
• Android Browser Same Origin Policy Bypass Vulnerability (деталі)
• Google Chrome 31.0 XSS Auditor Bypass Vulnerability (деталі)
• ManageEngine Desktop Central StatusUpdate Arbitrary File Upload Exploit (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://inetlove.com.ua - інфекція була виявлена 03.01.2015. Зараз сайт входить до переліку підозрілих.
• http://burics.info - інфекція була виявлена 03.01.2015. Зараз сайт не входить до переліку підозрілих.
• http://vivasanint.com.ua - інфекція була виявлена 03.01.2015. Зараз сайт входить до переліку підозрілих.
• http://vist.dp.ua - інфекція була виявлена 08.01.2015. Зараз сайт не входить до переліку підозрілих.
• http://sorvizbe.com - інфекція була виявлена 24.12.2014. Зараз сайт не входить до переліку підозрілих.

Виявлена можливість обходу аутентіфикації в Apache CloudStack.

Уразливі версії: Apache CloudStack 4.4.

Не перевіряється пароль на LDAP-біндах.

• Apache CloudStack unauthenticated LDAP binds (деталі)

У грудні я дав інтерв’ю порталу Global Voices. І 30.12.2014 воно було опубліковане на сайті порталу.

В статті розповідається про кібер війну Росії проти України. Зокрема про операцію Українських Кібер Військ стосовно друку на принтерах в Луганській і Донецькій областях, Криму та Росії.

Hijacked Printers in Eastern Ukraine and Russia Print Pro-Ukraine Messages

Так що кому буде цікаво прочитати інформацію про мене та Українські Кібер Війська, як тим хто вже дивився і читав мої попередні інтерв’ю на Радіо Свобода та інших виданнях, так і всім іншим, можете прочитати цю статтю.