Websecurity - Веб безпека

В грудні, 27.12.2013, відбувся масовий взлом сайтів на сервері Hostinger. Раніше я писав про інші масові дефейси.

Був взломаний сервер компанії Hostinger. Дефейс відбулися після згаданого масового взлому сайтів на сервері Freehost.

Всього було взломано 20 сайтів (з них 10 українських державних сайтів) на сервері хостера Hostinger (IP 31.170.165.152). Це наступні українські державні сайти: ruda.snigurivka-rda.gov.ua, kuluta.snigurivka-rda.gov.ua, commite.snigurivka-rda.gov.ua, sumbidge.snigurivka-rda.gov.ua, rubbia.snigurivka-rda.gov.ua, albiru.snigurivka-rda.gov.ua, grdu.snigurivka-rda.gov.ua, loces.snigurivka-rda.gov.ua, runzie.snigurivka-rda.gov.ua, gigret.snigurivka-rda.gov.ua.

Всі 20 сайтів були взломані хакером HambaAllah.

Цілком імовірно, що дані сайти могли бути атаковані хакером через взлом серверу хостінг провайдера. Також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів.

Ще з початку протестів в листопаді минулого року й особливо наприкінці лютого - першого березня 2014 року, з початку прихованої війни Путінської Росії проти України, розпочалася активна інформаційна війна проти України в Інтернеті. Це на додачу до тотальної пропаганди на російському телебаченні та ЗМІ, яка тривала вже багато років.

Окрім DDoS атак які мають місце в Уанеті й Рунеті, з недавніх пір інформаційна війна проти України дісталася Wikipedia. В російській Вікіпедії революційні події кінця 2013 - початку 2014 років назвали “Беспорядки на Украине”. Це приклад інформаційної війни і пропаганди зі сторони Росії. При цьому в українській Вікіпедії про ці події не було написано жодного слова.

У вівторок я виправив це - написав коректну інформацію в російській Вікіпедії та додав інформацію в українську Вікіпедію про події в Україні. Так що боротьба триває на всіх фронтах, в тому числі й в Інтернеті.

13.03.2014

Виявлені численні уразливості безпеки в PHP.

Уразливі версії: PHP 5.5.

DoS, витік інформації, виконання коду.

• PHP vulnerabilities (деталі)

22.03.2014

Додаткова інформація.

• Multiple vulnerabilities in PHP (деталі)

В даній добірці уразливості в веб додатках:

• HP Database and Middleware Automation (DMA) using SSL, Remote Disclosure of Information (деталі)
• Mybb Ajaxfs Plugin Sql Injection vulnerability (деталі)
• Open-Xchange Security Advisory 2013-11-25 (деталі)
• Multiple vulnerabilities in Bugzilla (деталі)
• Multiple vulnerabilities in IceWarp Mail Server (деталі)

У березні, 18.03.2014, вийшов Mozilla Firefox 28. Нова версія браузера вийшла через півтора місяці після виходу Firefox 27.

Mozilla офіційно випустила реліз веб-браузера Firefox 28, а також мобільну версію Firefox 28 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 29 намічений на 29 квітня, а Firefox 30 на 6 червня.

Також був випущений Seamonkey 2.25 та оновлені гілки із тривалим терміном підтримки Firefox 24.4.0 і Thunderbird 24.4.0.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 28.0 усунуто 18 уразливостей, серед яких 5 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 28 (деталі)

Виявлені численні уразливості безпеки в Apple Safari та WebKit.

Уразливі версії: Apple Safari 6.1, Safari 7.0.

Численні пошкодження пам’яті.

• APPLE-SA-2014-02-25-2 Safari 6.1.2 and Safari 7.0.2 (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.fabrika.gov.ua (хакером d3b~X) - 13.02.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://izmail-rada.gov.ua (хакером the_warri0r) - 17.02.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.acop.com.ua (хакером XBaha Hacker) - сайт взломаний та інфікований
• http://loko-live.com.ua (хакером JoKeR_StEx) - 08.01.2014, зараз сайт вже виправлений адмінами
• http://sklokomotiv.com (хакером JoKeR_StEx) - 08.01.2014, зараз сайт вже виправлений адмінами

В даній добірці експлоіти в веб додатках:

• ZTE ZXV10 W300 Router - Hardcoded Credentials (деталі)
• Tableau Server - Blind SQL Injection Vulnerability (деталі)
• Titan FTP Server 10.32 Build 1816 - Directory Traversal Vulnerability (деталі)
• Oracle Forms and Reports 11.1 - Remote Exploit (деталі)
• PCMAN FTP 2.07 ABOR Command - Buffer Overflow Exploit (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Elemin, iFolo та Js-Multi-Hotel. Для котрих з’явилися експлоіти. Elemin - це тема движка, Folo - це тема движка, Js-Multi-Hotel - це плагін для створення системи резервації місць у готелях.

• WordPress Elemin Shell Upload (деталі)
• WordPress Folo Shell Upload (деталі)
• WordPress Js-Multi-Hotel 2.2.1 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжуючи розпочату традицію, після попереднього відео про виконання коду в Adobe Flash Player, пропоную нове відео на веб секюріті тематику. Цього разу відео про виконання коду в Internet Explorer. Рекомендую подивитися всім хто цікавиться цією темою.

CVE-2012-1889 - Microsoft XML Core Services Vulnerability Metasploit Demo

В даному відео ролику демонструється віддалене виконання коду в Internet Explorer версій 6 і 7. Використовується експлоіт для уразливості в Microsoft XML Core Services - компоненті ОС Windows, що використовується IE. Проведення атаки на дану уразливість через Internet Explorer дозволяє нападнику отримати контроль над атакованим комп’ютером.

Атака відбувається при відвідуванні в IE спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.