Websecurity - Веб безпека

Виявлене виконання коду в Microsoft Word, а також в серверних продукта SharePoint Server і Office Web Apps.

Уразливі продукти: Microsoft SharePoint Server 2010, Office Web Apps 2010.

Виконання коду при розборі формату Word.

• Microsoft Security Bulletin MS14-061 - Important Vulnerability in Microsoft Word and Office Web Apps Could Allow Remote Code Execution (3000434) (деталі)

В даній добірці експлоіти в веб додатках:

• HTTP File Server 2.3a, 2.3b, 2.3c - Remote Command Execution Vulnerability (деталі)
• Bacula-Web 5.2.10 SQL Injection Vulnerability (деталі)
• Easy File Management Web Server Stack Buffer Overflow (деталі)
• Java Debug Wire Protocol Remote Code Execution Exploit (деталі)
• Rocket Servergraph Admin Center fileRequestor Remote Code Execution (деталі)

Після виходу в серпні PHP 5.6, у жовтні, 02.10.2014, вийшов PHP 5.6.1. У якому виправлено декілька багів. Даний реліз направлений на покращення стабільності гілки 5.6.x.

Жодних уразливостей в цій версії PHP виправлено не було.

По матеріалам http://www.php.net.

Виявлені уразливості безпеки в .NET Framework і ASP.NET MVC.

Уразливі продукти: Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1.

Виконання коду через .Net и обхід захисту в ASP.NET MVC (для проведення XSS атак).

• Microsoft Security Bulletin MS14-057 - Critical Vulnerabilities in .NET Framework Could Allow Remote Code Execution (3000414) (деталі)
• Microsoft Security Bulletin MS14-059 - Important Vulnerability in ASP.NET MVC Could Allow Security Feature Bypass (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://translate.zp.ua - інфекція була виявлена 11.10.2014. Зараз сайт входить до переліку підозрілих.
• http://lookmy.info - інфекція була виявлена 09.08.2014. Зараз сайт не входить до переліку підозрілих.
• http://hot-news.at.ua - інфекція була виявлена 26.09.2014. Зараз сайт входить до переліку підозрілих.
• http://zona.zp.ua - інфекція була виявлена 10.10.2014. Зараз сайт не входить до переліку підозрілих.
• http://meddocs.com.ua - інфекція була виявлена 10.08.2014. Зараз сайт не входить до переліку підозрілих.

В даній добірці уразливості в веб додатках:

• Samsung DVR authentication bypass (деталі)
• Persistent HTML Script Insertion permits offsite-bound forms in SpagoBI v4.0 (деталі)
• XSS File Upload in SpagoBI v4.0 (деталі)
• JOIDS (Java OpenID Server) multiple vulnerabilities (деталі)
• Netgear ProSafe switches: Unauthenticated startup-config disclosure and Denial of Service (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Alpine PhotoTile For Instagram, Barclaycart та Premium Gallery Manager. Для котрих з’явилися експлоіти. Alpine PhotoTile For Instagram - це плагін для інтеграграції з Instagram, Barclaycart - це плагін для онлайн магазину, Premium Gallery Manager - це плагін для створення галерей зображень.

• WordPress Alpine PhotoTile For Instagram 1.2.6.5 XSS (деталі)
• WordPress Barclaycart Shell Upload (деталі)
• WordPress Premium Gallery Manager Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

02.06.2011

В травні, 14.05.2011, відбувся масовий взлом сайтів на сервері Візор (причому виключно gov.ua сайтів). Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Візор. Взлом відбувся після згаданого масового взлому сайтів на сервері Hvosting.

Всього було взломано 12 державних сайтів на сервері Vizor (IP 193.109.144.9). Це наступні сайти: manadm.gov.ua, www.shaadm.gov.ua, www.kivrada.gov.ua, www.turadm.gov.ua, www.kamadm.gov.ua, www.volodymyrrada.gov.ua, ivaadm.gov.ua, www.lutskadm.gov.ua, www.lbmadm.gov.ua, www.vvadm.gov.ua, www.koveladm.gov.ua, www.ratadmin.gov.ua.

Всі зазначені сайти були взломані 14 травня 2011 року хакерами BrOx-Dz і kader11000.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

18.10.2014

Після першого масового взлому, відбулися нові масові дефейси на цьому сервері (за 2011-2014 роки).

Всього було взломано 227 сайтів (тобто ще 215 сайтів) на сервері хостера Візор (IP 91.197.17.10). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти: manadm.gov.ua, www.turadm.gov.ua, kamadm.gov.ua, koveladm.gov.ua, kivadm.gov.ua, lbsadm.gov.ua, lbmadm.gov.ua, lambada.lutsk.ua, locadm.gov.ua, lutskadm.gov.ua, rozhadm.gov.ua, volodymyrrada.gov.ua, vvadm.gov.ua. Перед цим у 2011 році було дефейснуто 12 державних сайтів.

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10, 11 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1.

Обхід захисту і численні пошкодження пам’яті.

• Microsoft Security Bulletin MS14-056 - Critical Cumulative Security Update for Internet Explorer (2987107) (деталі)

В даній добірці експлоіти в веб додатках:

• Nucom ADSL ADSLR5000UN ISP Credentials Disclosure Vulnerability (деталі)
• Exinda WAN Optimization Suite 7.0.0 CSRF / XSS Vulnerabilities (деталі)
• Easy File Sharing FTP Server 3.5 - Stack Buffer Overflow (деталі)
• NAGIOS NRPE <=2.15 Plugin Scanner and Remote Execution Exploit (деталі)
• Yealink VoIP Phone SIP-T38G - Multiple Vulnerabilities (деталі)