Websecurity - Веб безпека

Продовжуючи розпочату традицію, після попереднього відео про виконання коду в Microsoft Internet Explorer, пропоную нове відео на веб секюріті тематику. Цього разу відео про 0day уразливість в Mozilla Firefox. Рекомендую подивитися всім хто цікавиться цією темою.

Mozilla Firefox 0day remote code execution

В даному відео ролику демонструється віддалене виконання коду в Mozilla Firefox. Використовується експлоіт для проведення атаки на 0day уразливість в Firefox при відкритті сторінки з кодом експлоіту. Що дозволяє нападнику отримати контроль над атакованим комп’ютером.

Атака відбувається при відвідуванні в Firefox спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://dfsk.pz.gov.ua (хакером JoKeR_StEx) - 08.01.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://autobaza.pz.gov.ua (хакером JoKeR_StEx) - 08.01.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://xpark.kiev.ua (хакером r3×1337)
• http://business-airlines.com.ua (хакером X45x_dz)
• http://synchroua.com (хакером JoKeR_StEx) - 08.01.2014, зараз сайт вже виправлений адмінами

У березні місяці Microsoft випустила 5 патчів. Що менше ніж у лютому.

У березневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 5 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Два патчі закривають критичні уразливості та три патчі закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1 та RT 8.1. А також Microsoft Silverlight та Internet Explorer.

В даній добірці експлоіти в веб додатках:

• jDisk (stickto) v2.0.3 iOS - Multiple Vulnerabilities (деталі)
• CA 2E Web Option 8.1.2 - Authentication Bypass Vulnerability (деталі)
• Trendchip HG520 ADSL2+ Wireless Modem CSRF Vulnerability (деталі)
• haneWIN DNS Server 1.5.3 - Buffer Overflow Exploit (SEH) (деталі)
• SkyBlueCanvas CMS Remote Code Execution Exploit (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Pinboard, Blogggie та Jigoshop. Для котрих з’явилися експлоіти. Pinboard - це тема движка, Blogggie - це тема движка, Jigoshop - це e-commerce плагін для створення онлайн-магазину.

• WordPress Pinboard Shell Upload (деталі)
• WordPress Blogggie Shell Upload (деталі)
• wordpress jigoshop Plugin path disclosure vulnerabilities (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В період з 09.01.2014 по 07.06.2014 відбувся четвертий масовий взлом сайтів на сервері Hetzner. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер німецької компанії Hetzner, на якому хостилися українські та російські сайти. Взлом складався з декількох дефейсів сайтів. Раніше я писав про третій масовий взлом сайтів на сервері Hetzner.

Всього було взломано 38 сайтів на сервері компанії Hetzner (IP 176.9.91.186). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт pograirada.gov.ua. Це черговий державний сайт, що хоститься закордоном.

Якщо невеликі дефейси по одному або кілька сайтів явно були зроблені при взломах окремих сайтів, то стосовно дефейсів boda@hacked і fallag_gassrini можна сказати, що враховуючи дефейс великої кількості сайтів за один день, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Також не виключена можливість взлому великої групи сайтів в одному акаунті. Коли через взлом одного сайта були атаковані інші сайти на даному сервері.

Виявлені уразливості безпеки в Apache.

Уразливі версії: Apache 2.2, Apache 2.4.

DoS через mod_log_config, переповнення буфера в mod_dav.

• Multiple vulnerabilities in Apache (деталі)

В даній добірці уразливості в веб додатках:

• EMC Avamar Multiple Vulnerabilities (деталі)
• Multiple vulnerabilities in Drupal (деталі)
• NewsAktuell PressePortal DE - Remote SQL Injection Web Vulnerability (деталі)
• Hash Length Extension in HTMLPurifier (деталі)
• HP System Management Homepage (SMH) running on Linux and Windows, Multiple Remote and Local Vulnerabilities (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://praktyka.com.ua - інфекція була виявлена 21.03.2014. Зараз сайт входить до переліку підозрілих.
• http://sychovamd.ucoz.ua - інфекція була виявлена 08.03.2014. Зараз сайт не входить до переліку підозрілих.
• http://zaxale.pp.ua - інфекція була виявлена 29.12.2013. Зараз сайт входить до переліку підозрілих.
• http://лето.in.ua - інфекція була виявлена 31.01.2014. Зараз сайт не входить до переліку підозрілих.
• http://proreklamu.com - інфекція була виявлена 20.03.2014. Зараз сайт не входить до переліку підозрілих.

В даній добірці експлоіти в веб додатках:

• D-Link DSL-2750B ADSL Router - CSRF Vulnerability (деталі)
• WiFi Camera Roll 1.2 iOS - Multiple Vulnerabilities (деталі)
• NetGear DGN2200 N300 Wireless Router - Multiple Vulnerabilities (деталі)
• PCMAN FTP 2.07 CWD Command - Buffer Overflow Exploit (деталі)
• Apache Tomcat Manager Code Execution Exploit (деталі)