Websecurity - Веб безпека

Виявлені уразливості безпеки в Apple Safari і Webkit.

Уразливі продукти: Apple Safari 14.

Виконання коду, пошкодження пам’яті.

• APPLE-SA-2021-03-08-3 Safari 14.0.3 (деталі)

В своєму звіті Хакерська активність в Уанеті в 1 півріччі 2020 я навів дані про діяльність хакерів в Уанеті за період з 01.01.2020 по 30.06.2020, а в звіті Хакерська активність в Уанеті в 2 півріччі 2020 - дані за період з 01.07.2020 по 31.12.2020.

За весь 2020 рік в Уанеті було проведено 1223 атак на веб сайти - 773 за перше півріччя і 450 за друге. Для порівняння, за весь 2019 рік було зафіксовано всього 1165 атак на веб сайти. І це тільки виявлені мною випадки (і я ще не всі данні обробив), реальна кількість інцидентів може бути значно вищою.

Динаміка зростання хакерської активності за минулий рік: за перше півріччя 2020 активність більша на 5,5% в порівнянні з аналогічним періодом 2019 року, а за друге півріччя 2020 - на 4,5% більша за аналогічний період 2019 року. А в цілому в 2020 році активність зросла на 5% порівняно з 2019 роком - зростання в 1,05 рази.

В 2020 році загалом було атаковано 1223 веб ресурсів (як взломи, так і DDoS атаки), перелік яких ви можете знайти у відповідних звітах за перше і друге півріччя минулого року. Але ще не всі дані обробив. А також були інфіковані 150 сайтів, які вірогідно були похакані в 2020 році.

Головні тенденції 2020 року в діяльності хакерів в Уанеті:

• Хакерська активність зросла - на 5% порівняно з 2019 роком (збільшення динаміки у 1,05 рази).
• Багато сайтів в Уанеті заражуються вірусами: в 2019 я виявив 140 інфікованих сайтів, в 2020 - вже 150 сайтів (збільшення динаміки у 1,07 рази).
• Кількість DDoS атак на сайти така ж як в 2019 році - 1 випадок DDoS атак за рік. Це 0,09% від всіх атак за 2020 рік.
• Атаковано 110 державних сайтів та інфіковано ще 2 gov.ua-сайти.
• Збільшення взломів державних сайтів в 1,1 рази та зменшення інфікування gov.ua-сайтів в 2 рази порівняно з 2019 роком.

Велика кількість заражених сайтів в Уанеті (в тому числі gov.ua-сайтів) свідчить про чималий відсоток кримінальних взломів сайтів.

Підсумовуючи скажу, що активність хакерів в минулому році була високою і вона продовжить такою бути. І в 2021 році ця тенденція збережеться.

Очікуйте на нові звіти про хакерську активність в Уанеті.

У січні, 06.01.2021, вийшов Mozilla Firefox 84.0.2. Нова версія браузера вийшла через пів місяця після виходу Firefox 84.

Це секюріті випуск, де виправлена уразливість CVE-2020-16044: Use-after-free write when handling a malicious COOKIE-ECHO SCTP chunk.

• MFSA 2021-01 Security Vulnerabilities fixed in Firefox 84.0.2, Firefox for Android 84.1.3, and Firefox ESR 78.6.1 (деталі)

В даній добірці експлоіти в веб додатках:

• Altova MobileTogether Server 7.3 - XML External Entity Injection (XXE) (деталі)
• easy-mock 1.6.0 - Remote Code Execution (RCE) (Authenticated) (деталі)
• CentOS Web Panel 0.9.8.1081 - Stored Cross-Site Scripting (XSS) (деталі)
• NetGear D1500 V1.0.0.21_1.0.1PE - ‘Wireless Repeater’ Stored Cross-Site Scripting (XSS) (деталі)
• COMMAX Biometric Access Control System 1.0.0 - Authentication Bypass (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Breezing Forms, WooCommerce, 3rd-Party Inject Results, Super Simple Custom CSS, Z-URL Preview. Для котрих з’явилися експлоіти.

• WordPress Breezing Forms 1.2.7.42 Cross Site Scripting (деталі)
• WordPress WooCommerce 2.0 / 3.0 Directory Traversal (деталі)
• WordPress 3rd-Party Inject Results 0.2 Cross Site Scripting (деталі)
• WordPress Super Simple Custom CSS 1.2 Cross Site Scripting (деталі)
• WordPress Z-URL Preview 1.6.1 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Виявлені нові уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge. Що були виправлені у вівторку патчів.

Уразливі продукти: Microsoft Internet Explorer 9, 10, 11 та Edge під Windows Server 2012, Windows 8.1, Windows 10, Windows Server 2016.

Пошкодження пам’яті та виконання коду.

В своєму звіті про хакерську активність в Уанеті в 2 півріччі 2020, я згадував, що в першому півріччі було інфіковано 70 сайтів.

Сьогодні я провів дослідження сайтів, що були інфіковані в другому півріччі 2020 року, і на 40 сайтах вдалося виявити движки. Частина з 70 сайтів вже не працювала, частина використовує html (при цьому деякі з них ховають php-додатки за розширенням html), а ще частина використовували власні php-скрипти.

На перевірених сайтах використовуються наступні движки:

Joomla - 15
WordPress - 10
uCoz - 6
DataLife Engine - 3
Magento - 3
Drupal - 2
OpenCart - 1

Тобто майже всі інфіковані сайти, з числа працюючих, використовували (за станом на сьогодні) опенсорс веб додатки.

У серпні, 26.08.2021, вийшли PHP 7.3.30, PHP 7.4.23 і PHP 8.0.10. У версії 7.3.30 виправлена одна уразливість, у версії 7.4.23 виправлено багато багів і уразливостей, у версії 8.0.10 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 7.3.x, 7.4.x і 8.0.x.

У PHP 7.3.30, 7.4.23 і 8.0.10 виправлено:

• Прохід по symlinks при створенні PHAR архівів.
• Пошкодження пам’яті.
• Вибивання.
• Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://zbirnyk-nadu.academy.gov.ua (хакером TheWayEnd) - 21.05.2020 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://vnv.asv.gov.ua (хакером TheWayEnd) - 21.05.2020 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://plomba.org.ua (хакером MiSh) - 20.07.2020 - зараз сайт вже виправлений адмінами
• http://bk-fis.com.ua (хакером PikunPe0ple) - 16.03.2021 - зараз сайт вже виправлений адмінами
• http://filmingcore.pp.ua (хакером PikunPe0ple) - 16.03.2021 - зараз сайт вже виправлений адмінами

В даній добірці експлоіти в веб додатках:

• Denver IP Camera SHO-110 - Unauthenticated Snapshot (деталі)
• Longjing Technology BEMS API 1.21 - Remote Arbitrary File Download (деталі)
• Oracle Fatwire 6.3 - Multiple Vulnerabilities (деталі)
• GFI Mail Archiver 15.1 - Telerik UI Component Arbitrary File Upload (Unauthenticated) (деталі)
• IPCop 2.1.9 - Remote Code Execution (RCE) (Authenticated) (деталі)