Websecurity - Веб безпека

В червні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце в липні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на donetsk-gov.su - 01.07.2014 (після чого сайт був закритий)
DDoS на dnrtv.ru - 01.07.2014 і 04.07.2014
DDoS на kharkov-resp.su - 01-02.07.2014, 05.07.2014 і 11.07.2014
DDoS на ungu.org - 05-13.07.2014
DDoS на ukrnovosti.info - 06-13.07.2014
DDoS на dobrovolec.org - 06.07.2014
DDoS на iskra-news.info - 07.07.2014 (після чого сайт був закритий)
DDoS на novorus.info - 08-10.07.2014 і 13.07.2014
DDoS на newsdon.info - 10.07.2014 і 13.07.2014
DDoS на dnrepublic.info - 11.07.2014 (після чого сайт був закритий)
DDoS на odessa-antimaydan.com - 12-13.07.2014
DDoS на nol.su - 12-13.07.2014
DDoS на 3rm.info - 13.07.2014
Та інші сайти в липні.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

Виявлена можливість проведення DoS атаки проти PHP і libgd.

Уразливі продукти: PHP 5.4, libgd 2.0.

Звертання по нульовому вказівнику при розборі файлів XPM.

• Vulnerability in gd and libgd (деталі)

В даній добірці експлоіти в веб додатках:

• D-link DSL-2760U-E1 - Persistent XSS Vulnerability (деталі)
• Python CGIHTTPServer Encoded Path Traversal Vulnerability (деталі)
• Thomson TWG87OUIR - POST Password CSRF Vulnerability (деталі)
• Sercomm TCP/32674 Backdoor Reactivation (деталі)
• Adobe Flash Player Regular Expression Heap Overflow (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://dfp.gov.ua - інфікований державний сайт - інфекція була виявлена 10.07.2014. Зараз сайт не входить до переліку підозрілих.
• http://mycargo.com.ua - інфекція була виявлена 02.06.2014. Зараз сайт не входить до переліку підозрілих.
• http://igsu.org.ua - інфекція була виявлена 13.05.2014. Зараз сайт входить до переліку підозрілих.
• http://rks.kr.ua - інфекція була виявлена 07.06.2014. Зараз сайт не входить до переліку підозрілих.
• http://pro-interior.com.ua - інфекція була виявлена 11.06.2014. Зараз сайт не входить до переліку підозрілих.
• http://vechirka.pl.ua - інфекція була виявлена 29.07.2014. Зараз сайт входить до переліку підозрілих.
• http://kep.kr.ua - інфекція була виявлена 07.06.2014. Зараз сайт не входить до переліку підозрілих.
• http://prichernomorie.com.ua - інфекція була виявлена 26.05.2014. Зараз сайт не входить до переліку підозрілих.
• http://teza.in.ua - інфекція була виявлена 13.06.2014. Зараз сайт не входить до переліку підозрілих.
• http://sintal.com.ua - інфекція була виявлена 19.06.2014. Зараз сайт не входить до переліку підозрілих.

Виявлені численні уразливості безпеки в Apache.

Уразливі версії: Apache 2.4.

Переповнення буфера в mod_status, DoS через mod_proxy, mod_deflate, mod_cgid.

• Apache HTTP Server vulnerabilities (деталі)

В даній добірці уразливості в веб додатках:

• RSA BSAFE SSL-J Multiple Vulnerabilities (деталі)
• horde3 security update (деталі)
• SQL Injection in doorGets CMS (деталі)
• Multiple SQL Injection Vulnerabilities in AuraCMS (деталі)
• RSA BSAFE Micro Edition Suite Security Update for SSL/TLS Plaintext Recovery (aka “Lucky Thirteen”) Vulnerability (деталі)

Раніше я писав про травневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію в червні.

В зв’язку з сепаратистськими і терористичними акціями на сході України в цьому місяці хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Проросійськими та іноземними хакерами були атаковані наступні сайти:

torum.org (захоплений ДНР) - 07.06.2014
DDoS на www.rusradio.ua - 26.06.2014

Іноземними хакерами були проведені неполітичні взломи державний сайтів:

www.grad.gov.ua - 01.06.2014
mrada-baranivka.gov.ua - 25.06.2014
perechyn-rada.gov.ua - 29.06.2014

Проукраїнськими хакерами були атаковані наступні сайти:

DDoS на сайти ДНР і ЛНР (dnr24.org, donetsk-gov.su, bolotov-lg.ru)
DDoS на kharkov-resp.su - 27-30.06.2014

Сайти ДНР і ЛНР були атаковані неодноразово на протязі червня. При цьому donetsk-gov.su атакувався також і в травні.

Українські Кібер Війська закрили наступні сайти:

Заритий сайт dnrespublika.info (через скаргу хостеру) - 27.06.2014
Закриті сайти novoros.ucoz.com, antimaidan.ucoz.com і dnr.ucoz.com (через скаргу хостеру) - 30.06.2014

У липні, 22.07.2014, вийшов Mozilla Firefox 31. Нова версія браузера вийшла через півтора місяці після виходу Firefox 30.

Mozilla офіційно випустила реліз веб-браузера Firefox 31, а також мобільну версію Firefox 31 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 32 намічений на 2 вересня, а Firefox 33 на 14 жовтня.

Також були випущені Seamonkey 2.27 і Thunderbird 31 та оновлені гілки із тривалим терміном підтримки Firefox 24.7.0 і Thunderbird 24.7.0.

В цій версії є покращення безпеки. Було інтегровано систему блокування завантаження файлів, що містять шкідливе ПЗ. Для одержання інформації про відоме шкідливе ПЗ використовується Google Safe Browsing API. Тобто вона працює аналогічно функції блокування шкідливих сайтів.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 31.0 усунуто 11 уразливостей, серед яких 3 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 31 (деталі)

В даній добірці експлоіти в веб додатках:

• Plesk 10.4.4/11.0.9 - SSO XXE/XSS Injection Exploit (деталі)
• Motorola SBG901 Wireless Modem - CSRF Vulnerability (деталі)
• ZTE WXV10 W300 - Multiple Vulnerabilities (деталі)
• SAP Router - Timing Attack Password Disclosure (деталі)
• NRPE <= 2.15 - Remote Command Execution Vulnerability (деталі)

Продовжуючи розпочату традицію, після попереднього відео про виконання коду в Adobe Flash, пропоную нове відео на веб секюріті тематику. Цього разу відео про викрадення файлів в Google Chrome. Рекомендую подивитися всім хто цікавиться цією темою.

FileJacking google chrome

В даному відео ролику демонструється атака на викрадення файлів в Google Chrome (автор назвав її FileJacking). Проведення атаки на дану уразливість в браузері Google Chrome дозволяє нападнику отримати файли з комп’ютера користувача.

Атака відбувається при відвідуванні в Chrome спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.