Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WooPay Inicis, Pinterest Badge, Wunderbar Basic, Sagepay Server Gateway For WooCommerce, Placemarks. Для котрих з’явилися експлоіти.

• WordPress WooPay Inicis 1.1.3 Cross Site Scripting (деталі)
• WordPress Pinterest Badge 1.8.0 Cross Site Scripting (деталі)
• WordPress Wunderbar Basic 1.1.3 Cross Site Scripting (деталі)
• WordPress Sagepay Server Gateway For WooCommerce 1.0.7 XSS (деталі)
• WordPress Placemarks 2.0.0 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://avtoshoolvsa.zt.ua - інфекція була виявлена 17.08.2020. Зараз сайт не входить до переліку підозрілих
• http://delfa-test.mk.ua - інфекція була виявлена 21.10.2020. Зараз сайт не входить до переліку підозрілих
• http://sodeistvie-pmr.com - інфекція була виявлена 22.10.2020. Зараз сайт не входить до переліку підозрілих
• http://smart-fun.com.ua - інфекція була виявлена 28.10.2020. Зараз сайт не входить до переліку підозрілих
• http://ecobond.ua - інфекція була виявлена 28.10.2020. Зараз сайт не входить до переліку підозрілих

Виявлені уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge. Що були виправлені у вівторку патчів.

Уразливі продукти: Microsoft Internet Explorer 9, 10, 11 та Edge під Windows Server 2012, Windows 8.1, Windows 10, Windows Server 2016, Windows 11.

Пошкодження пам’яті та виконання коду.

У січні, 26.01.2021, вийшов Mozilla Firefox 85. Нова версія браузера вийшла майже через місяць після виходу Firefox 84.

Mozilla офіційно випустила реліз веб-браузера Firefox 85, а також мобільну версію Firefox 85 для платформи Android. Відповідно до циклу розробки, Firefox 86 вийде 23 лютого.

В браузері було зроблено багато нововведень. Та зроблені покращення безпеки.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 85.0 усунуто численні уразливості в 13 патчах, що на один менше ніж в попередній версії. Серед яких є одна критична, що може призвести до віддаленого виконання коду зловмисника. Mozilla типово виправляє по декілька дір за один патч.

Виходячи з моїх звітів про веб додатки на інфікованих сайтах в 1 півріччі та веб додатки на інфікованих сайтах в 2 півріччі, я підведу підсумки. Та наведу загальну статистику про веб додатки на інфікованих сайтах в 2020 році.

Як я зазначав в своїх звітах про хакерську активність в Уанеті, в першому півріччі було інфіковано 80 сайтів, а в другому півріччі було інфіковано 70 сайтів. Всього 150 сайтів за 2019 рік. І з них на 80 сайтах вдалося виявити движки.

На перевірених в минулому році сайтах використовуються наступні движки:

Joomla - 22
uCoz - 18
WordPress - 18
Drupal - 7
DataLife Engine - 6
Magento - 3
OpenCart - 2
Bitrix - 1
VaM Shop - 1

Зазначу, що три лідери серед веб додатків у першому й другому півріччі були незмінними. Й відповідно в підсумкових результатах за весь рік.

Тобто майже всі інфіковані сайти, з числа працюючих, використовували опенсорс веб додатки. Більшість з них публічні відкриті CMS, але деякі й комерційні відкриті веб програми.

В даній добірці експлоіти в веб додатках:

• COMMAX Smart Home IoT Control System CDP-1020n - SQL Injection Authentication Bypass (деталі)
• COMMAX Smart Home Ruvie CCTV Bridge DVR Service - RTSP Credentials Disclosure (деталі)
• GeoVision Geowebserver 5.3.3 - Local FIle Inclusion (деталі)
• HP OfficeJet 4630/7110 MYM1FN2025AR/2117A - Stored Cross-Site Scripting (XSS) (деталі)
• ECOA Building Automation System - Hard-coded Credentials SSH Access (деталі)

Вже 23 роки я в Інтернеті - з середини жовтня 1998 року. Ось перелік онлайн загроз з якими я стикався.

Окрім вірусів на сайтах (а раніше на дискетах і дисках), це наступні:

Спам мені шлють з 1998.

Листи з вірусами - з 2000.

Фішинг листи - теж з 2000. Якби мені ці фішери вислали хоча б 10% від тих сум, про які вони пишуть, то я би давно став мультимільярдером .

Тролі атакують своїм хамством з 1998 - в чатах, а коментарях на сайтах і форумах, а потім і в соцмережах.

Уразливі сайти, які хакають і нерідко інфікують. Діряві веб ресурси почав знаходити з 2005.

Тисячі gov.ua сайтів були хакнуті чи інфіковані за 20 років, а також 1488 сайтів навчальних закладів були хакнуті за 16 років. Всього до ста тисяч українських сайтів.

Виявлені численні уразливості безпеки в Mozilla Firefox і Thunderbird.

Уразливі продукти: Mozilla Firefox 81, Firefox ESR 78.3, Thunderbird ESR 78.3.

Пошкодження пам’яті, виконання коду, витік інформації, підробка джерела в prompt.

• MFSA 2020-45 Security Vulnerabilities fixed in Firefox 82 (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WP Mailster, Smart Marketing SMS And Newsletters Forms, Crowd Ideas, Qiniu Cloudtuchuang, WordApp Mobile. Для котрих з’явилися експлоіти.

• WordPress WP Mailster 1.5.4.0 Cross Site Scripting (деталі)
• WordPress Smart Marketing SMS And Newsletters Forms 1.1.1 XSS (деталі)
• WordPress Crowd Ideas 1.0 Cross Site Scripting (деталі)
• WordPress Qiniu Cloudtuchuang 1.8 Cross Site Scripting (деталі)
• WordPress WordApp Mobile 2.0.3 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У вересні, 23.09.2021, вийшли PHP 7.3.31, PHP 7.4.24 і PHP 8.0.11. У версії 7.3.31 виправлена одна уразливість, у версії 7.4.24 виправлено багато багів і уразливостей, у версії 8.0.11 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 7.3.x, 7.4.x і 8.0.x.

У PHP 7.3.31, 7.4.24 і 8.0.11 виправлено:

• Обхід директорій при роботі з архівами в Zip.
• Пошкодження пам’яті.
• Вибивання.
• Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.