Похакані сайти №265

22:32 26.06.2014

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://dako.archives.kiev.ua (хакером d3b~X) - 14.03.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://dako.archives.gov.ua (хакером d3b~X) - 23.03.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://gorodische.net (хакером d3b~X) - 13.03.2014, зараз сайт закритий
  • http://igorilchenko.org.ua (хакером j.a.c12) - 13.03.2014, зараз сайт вже виправлений адмінами
  • http://portal-medic.org.ua (хакером Anonsec) - 13.03.2014, зараз сайт вже виправлений адмінами

Опубліковано в Новини сайту, Дослідження | Без Коментарів »

DoS проти PHP

20:01 26.06.2014

Виявлена можливість проведення DoS атаки проти PHP.

Уразливі продукти: file, PHP 5.5.

Вичерпання ресурсів і нескінченний цикл при розборі файлів CDF в Fileinfo компоненті в PHP.

Опубліковано в Новини, Помилки | Без Коментарів »

Кібер безпека України

16:29 26.06.2014

У червні, 18.06.2014, у Верховній Раді України пройшли слухання на тему “Законодавче забезпечення розвитку інформаційного суспільства в Україні”. В той день я послухав по радіо другу частину цих слухань. І найбільш цікаві теми, що мене цікавили, які піднімалися цього разу і на попередніх слуханнях на цю тему - розробка програмного забезпечення та інформаційна безпека.

Було багато виступаючих, що торкнулися цих тем. Були представники українських софтварних компаній, а також я почув три виступи безпосередньо про тему інформаційна безпека, а також декілька виступаючих побіжно торкнулися теми безпеки в Інтернеті (коли в своїх виступах піднімали питання інформаційних загроз).

Як програмісту з 20-річним стажем, мені неприємно чути пустопорожні заяви депутатів і урядовців з цього приводу. Більше розмовляють, ніж роблять для підтримки цієї галузі (як розвивається всі роки незалежності лише за рахунок самих програмістів). Але хоча б представники софтварних компаній були більш реалістичними в своїх виступах.

Ну, а стосовно інформаційної безпека, зокрема веб безпеки, то всі виступи були ще більш загальними і пустопорожніми. Лише декларації, яких я начувся багато з початку 2000-х років (а веб безпекою я активно займаюся вже більше 9 років). І якщо встановлення антивірусів та інші заходи локальної безпеки відбуваються і з початку 2000-х вже витратили чимало коштів на це (при цьому заробили великі кошти на відкатах), то безпекою веб сайтів і веб додатків державних органів як серйозно не займалися, так і займаються. Що добре видно з мого звіту Атаки на державні сайти України в 2001-2013 роках.

Як я писав в своїх підсумках хакерської активності в Уанеті в 2013 році, всього було атаковано 146 державних сайтів та інфіковано ще 11 державних сайтів. Ситуація з недержавним сектором Інтернету в Україні не краща. Ті самі діряві сайти, взломи й інфікування (а з 2006 я повідомляв про уразливості тисячам адмінів державних і недержавних сайтів). В 2013 році загалом було атаковано 1095 веб ресурсів (як взломи, так і DDoS атаки) та інфіковано 226 сайтів.

Заяви про створення єдиного державного органу в галузі інформаційної безпеки - з однієї сторони пусті, а з іншої - бажання додати ще більше бюрократії в державний апарат і побільше розікрасти на тендерах. Ну, а заява стосовно кібер стратегії держави, яка почала створюватися при Януковичі й найближчим часом буде повністю розроблена, то стосовно неї виникають сумніви (враховуючи особистість Януковича) як в плані ефективності, так і в плані корупції. Потрібне виключно публічне обговорення цієї стратегії.

Тому при таких підходах держави до питань захисту інформації та кібер безпеки, громадянам залишається лише сподіватися на себе. Такою громадською ініціативою є Українські Кібер Війська.

Опубліковано в Статті | Без Коментарів »

Уразливості в плагінах для WordPress №146

23:51 25.06.2014

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах DT Chocolate, Global Flash Galleries та Social Ring. Для котрих з’явилися експлоіти. DT Chocolate - це тема Chocolate WP, про уразливості в якій я вже писав, Global Flash Galleries - це плагін для створення фото галереї, Social Ring - це плагін для розміщення кнопок для поширення інформації в соціальних мережах.

  • WordPress DT Chocolate Cross Site Scripting (деталі)
  • WordPress Global Flash Galleries File Upload (деталі)
  • WordPress Social Ring 1.1.9 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Опубліковано в Новини сайту, Уразливості | Без Коментарів »

Численні уразливості в OpenSSL

22:49 25.06.2014

Виявлені численні уразливості безпеки в OpenSSL.

Уразливі версії: OpenSSL 1.0.

Атаки на зниження рівня захисту, численні помилки в DTLS, DoS.

Опубліковано в Новини, Помилки | Без Коментарів »

Вийшов Mozilla Firefox 30

20:17 25.06.2014

У червні, 10.06.2014, вийшов Mozilla Firefox 30. Нова версія браузера вийшла через півтора місяці після виходу Firefox 29.

Mozilla офіційно випустила реліз веб-браузера Firefox 30, а також мобільну версію Firefox 30 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 31 намічений на 22 липня, а Firefox 32 на 2 вересня.

Також був випущений Seamonkey 2.26.1 та оновлені гілки із тривалим терміном підтримки Firefox 24.6.0 і Thunderbird 24.6.0.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 30.0 усунуто 7 уразливостей, серед яких 5 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

Опубліковано в Новини, Програми | Без Коментарів »

Добірка експлоітів

17:28 25.06.2014

В даній добірці експлоіти в веб додатках:

  • Fritz!Box - Remote Command Execution Exploit (деталі)
  • NETGEAR DGN2200 1.0.0.29_1.7.29_HotS - Stored XSS Vulnerability (деталі)
  • Crime24 Stealer Panel <= Multiple Vulnerabilities (деталі)
  • HP Laser Jet - JavaScript Persistent XSS via PJL Directory Traversal (деталі)
  • NETGEAR DGN2200 1.0.0.29_1.7.29_HotS - CSRF Vulnerability (деталі)
  • Seagate BlackArmor NAS - Multiple Vulnerabilities (деталі)
  • Fortiweb 5.1.x Cross Site Request Forgery Vulnerability (деталі)
  • JIRA Issues Collector Directory Traversal Exploit (деталі)
  • Linksys E-Series TheMoon Remote Command Injection Exploit (деталі)
  • OpenSSL TLS Heartbeat Extension - Memory Disclosure (деталі)

Опубліковано в Експлоіти | Без Коментарів »

XSS та CSRF уразливості в ADSL модемі Zyxel P660RT2 EE

23:56 24.06.2014

12.04.2014

У квітні, 01.04.2013, я виявив численні уразливості в ADSL модемі Zyxel P660RT2 EE. Це Cross-Site Scripting та Cross-Site Request Forgery уразливості. Раніше я писав про інші уразливості в ADSL модемі Zyxel P660RT2 EE.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

24.06.2014

Cross-Site Scripting (WASC-08):

Атака відбувається через довільне параметр (як існуючий, так і видуманий, як з іменем “1″ в даному прикладі).

Zyxel P660RT2 EE XSS-2.html

XSS атаку можна провести як через POST, так і через GET запит:

http://192.168.1.1/Forms/home_1?=%3Cbody%20onload=alert(document.cookie)%3E

Cross-Site Request Forgery (WASC-09):

Відсутність захисту від Brute Force (такого як капча) також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін.

Zyxel P660RT2 EE CSRF.html

Для атаки потрібно знати пароль (який можна отримати через XSS). А без знання пароля можна провести Remote Login with ClickJacking атаку на логін форму.

Cross-Site Request Forgery (DoS через CSRF) (WASC-09):

Zyxel P660RT2 EE CSRF-2.html

Включити рефреш кожні 5 секунд POST або GET запитом:

http://192.168.1.1/Forms/home_1?Sys_Refrash=00000001&sysSubmit=Apply

http://192.168.1.1/SystStatusFrame.html (по замовчуванню рефреш включений кожні 5 секунд, потрібно лише викликати цю сторінку)

Уразлива версія Zyxel P660RT2 EE. ZyNOS Firmware Version: V3.40 (AXN.1). Дана модель з іншими прошивками також повинна бути вразливою. Компанія Zyxel проігнорувала усі уразливості в цьому пристрої й досі їх не виправила.

Опубліковано в Уразливості | Без Коментарів »

Інфіковані сайти №197

22:48 24.06.2014

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://sm.gov.ua - інфікований державний сайт - інфекція була виявлена 28.03.2014. Зараз сайт не входить до переліку підозрілих.
  • http://lebedinrda.info - інфікований державний сайт - інфекція була виявлена 28.03.2014. Зараз сайт не входить до переліку підозрілих.
  • http://sana-travel.com.ua - інфекція була виявлена 24.06.2014. Зараз сайт входить до переліку підозрілих.
  • http://generatory-kiev.com.ua - інфекція була виявлена 27.03.2014. Зараз сайт не входить до переліку підозрілих.
  • http://obzor.zp.ua - інфекція була виявлена 20.06.2014. Зараз сайт не входить до переліку підозрілих.

Опубліковано в Новини сайту, Дослідження | Без Коментарів »

Обхід захисту в Apache mod_security

20:13 24.06.2014

Виявлена можливість обходу захисту в Apache mod_security.

Уразливі версії: Apache mod_security 2.7.

Обхід захисту через chunked-кодування.

Опубліковано в Новини, Помилки | Без Коментарів »


« Попередні записи
Наступні записи »