Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://fantastika.in.ua - інфекція була виявлена 08.11.2018. Зараз сайт не входить до переліку підозрілих
• http://homesystems.com.ua - інфекція була виявлена 12.11.2018. Зараз сайт не входить до переліку підозрілих
• http://samson-automation.info - інфекція була виявлена 18.03.2019. На сайті криптомайнер
• http://mankenberg.com.ua - інфекція була виявлена 22.03.2019. На сайті криптомайнер
• http://endress.org.ua - інфекція була виявлена 22.03.2019. На сайті криптомайнер
• http://happysoap.com.ua - інфекція була виявлена 23.04.2019. На сайті криптомайнер
• http://health-safety.com.ua - інфекція була виявлена 23.04.2019. На сайті криптомайнер
• http://test.upa24.com - інфекція була виявлена 31.05.2019. Зараз сайт не входить до переліку підозрілих
• http://retejo.net - інфекція була виявлена 18.06.2019. Зараз сайт не входить до переліку підозрілих
• http://paskuda.at.ua - інфекція була виявлена 21.07.2019. Зараз сайт не входить до переліку підозрілих

В даній добірці експлоіти в веб додатках:

• WordPress 5.0.0 - Crop-image Shell Upload (Metasploit) (деталі)
• QNAP Netatalk < 3.1.12 - Authentication Bypass (деталі)
• Apache Axis 1.4 - Remote Code Execution (деталі)
• Cisco RV130W Routers - Management Interface Remote Command Execution (Metasploit) (деталі)
• Google Chrome 72.0.3626.121 / 74.0.3725.0 - ‘NewFixedDoubleArray’ Integer Overflow (деталі)

Виявлені уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge. Що були виправлені у вівторку патчів.

Уразливі продукти: Microsoft Internet Explorer 9, 10, 11 та Edge під Windows Server 2008, Windows 7, Windows Server 2012, Windows 8.1, Windows 10, Windows Server 2016.

Численні пошкодження пам’яті, виконання коду та обхід безпеки.

Тринадцять років тому, 18.07.2006, мій проект розпочав свою роботу. Так що в липні виповнилося 13 років з моменту початку офіційної роботи проекту Websecurity - Веб безпека. З чим вас і себе поздоровляю .

За останній рік роботи проекту було зроблено чимало і ще багато чого заплановано. Зокрема мною були оновлені DAVOSET, SecurityAlert та інші Секюріті програми.

Також опубліковано багато цікавих статей та досліджень, а також даних про діяльність Українських Кібер Військ.

Багато цікавого ще попереду, тому слідкуйте за новинами.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Image Gallery, Insert Html Snippet, WP Vault, Single Personal Message, Multisite Post Duplicator. Для котрих з’явилися експлоіти.

• WordPress Image Gallery 1.9.65 Cross Site Scripting (деталі)
• WordPress Insert Html Snippet 1.2 Cross Site Request Forgery (деталі)
• WordPress WP Vault 0.8.6.6 Local File Inclusion (деталі)
• WordPress Single Personal Message 1.0.3 SQL Injection (деталі)
• WordPress Multisite Post Duplicator 0.9.5.1 Cross Site Request Forgery (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Пропоную ознайомитися зі звітом про хакерську активність в Уанеті в другому півріччі 2018 року.

За другу половину минулого року хакери в Уанеті вели себе дуже активно, як і в аналогічному періоді 2017 року. 405 атак на веб сайти проти 308 - це більша активність (зростання на 31,5%). Але атакованих сайтів явно значно більше і хакерська активність постійно зростає. Що видно з великої кількості інфікованих сайтів (які я не відношу до взломаних, бо напевно невідомо, що їх взломали, але це дуже вірогідно).

У даному звіті подана інформація про діяльність хакерів в Уанеті за наступні шість місяців 2018 року - за період з 01.07.2018 по 31.12.2018.

• journal.iitta.gov.ua (хакером Panataran) - 17.07.2018 - похаканий державний сайт
• oblradack.gov.ua (хакерами з Team_CC) - 17.07.2018 - похаканий державний сайт
• inpsy.naps.gov.ua (хакером B4B4NN) - 18.07.2018 - похаканий державний сайт
• spektr.kiev.ua (хакером ZoRRoKiN) - 19.07.2018
• ardihouse.com.ua (хакером ZoRRoKiN) - 23.07.2018
• abud.lviv.ua (хакером Xsam Xadoo) - 07.08.2018
• dkt.dp.ua (хакером ZoRRoKiN) - 19.08.2018
• croyance.dp.ua (хакером ZoRRoKiN) - 19.08.2018
• avtostrahovanie.in.ua (хакером ZoRRoKiN) - 19.08.2018
• bereg-rda.gov.ua (хакером H3X COD3) - 27.08.2018 - похаканий державний сайт
• old.bereg-rda.gov.ua (хакером H3X COD3) - 27.08.2018 - похаканий державний сайт
• korc.gov.ua (хакерами з Turkz.org) - 29.08.2018 - похаканий державний сайт
• kapkanshop.com (хакерами з Turk Security Army) - 31.08.2018
• natalka.ua (хакером Mister Spy) - 11.09.2018
• uzh-rajrada.gov.ua (хакерами Darkshadow-tn і Mister Spy) - 16.09.2018 - похаканий державний сайт
• gostomel-rada.gov.ua (хакерами Darkshadow-tn і Mister Spy) - 16.09.2018 - похаканий державний сайт
• pereyaslav-rda.gov.ua (хакерами Darkshadow-tn і Mister Spy) - 18.09.2018 - похаканий державний сайт
• internationalsalons.net (хакером Khanh Cloud) - 17.09.2018 - Last-Modified: 28 Oct 2016 17:38:02 GMT
• mirgorodkurort.ua (хакером dr avatar) - 29.09.2018
• siberiansapphire.com (хакером KkK1337) - 29.09.2018
• marketing.dp.ua (хакерами з ErrOr SquaD) - 04.10.2018
• womancup.com.ua (хакерами з ErrOr SquaD) - 04.10.2018
• absurd.com.ua (хакерами з BD Grey Hat Hackers) - 09.10.2018
• barkar.com.ua (хакерами з BD Grey Hat Hackers) - 09.10.2018
• apteka450.com.ua (хакерами з BD Grey Hat Hackers) - 09.10.2018
• 94 сайти на сервері Ukraine (/9095/) - 09.10.2018
• disgvol.gov.ua (хакерами Darkshadow-tn і Mister Spy) - 26.10.2018 - похаканий державний сайт
• lituta.com.ua (хакером Mister Spy) - 27.10.2018
• zt.gov.ua (хакером KuzoTR) - 28.10.2018 - похаканий державний сайт
• 6.zt.gov.ua (хакером KuzoTR) - 28.10.2018 - похаканий державний сайт
• 7.zt.gov.ua (хакером KuzoTR) - 28.10.2018 - похаканий державний сайт
• realty-ukraina.com (хакером Mister Spy) - 30.10.2018
• mtot.gov.ua (спамерами) - 02.11.2018 - похаканий державний сайт
• tet.gov.ua (хакером Kripton) - 04.11.2018 - похаканий державний сайт
• rda.tet.gov.ua (хакерами з chinafans) - 04.11.2018 - похаканий державний сайт
• parikmaher.kh.ua (хакером KkK1337) - 27.11.2018
• upravles.gov.ua (хакером Dz Bomb3r) - 28.11.2018 - похаканий державний сайт
• kyiv-oblosvita.gov.ua (хакером Imam) - 14.12.2018 - похаканий державний сайт
• dls.gov.ua (хакерами з ErrOr SquaD) - 17.12.2018 - похаканий державний сайт
• priazovrada.gov.ua (хакером Kripton) - 25.12.2018 - похаканий державний сайт
• investora.club (хакером Fighter Kamrul) - 25.12.2018
• credits24.top (хакером VrCy) - 26.12.2018
• fav.com.ua (хакером VrCy) - 26.12.2018
• rkgr.com.ua (хакером BILGEKULTIGIN) - 26.12.2018

З них взломано 20 державних сайтів. Що менше ніж в аналогічному періоді минулого року.

Також були інфіковані 70 сайтів, які вірогідно були похакані в минулому році. Що стільки ж як кількість інфікованих сайтів в другій половині 2017.

Інфіковані сайти у другій половині 2018 року: cleanfield.com.ua, my-webpage.at.ua, mcpf.com.ua, ramprulad.com.ua, windows-soft.at.ua, kupi-vip.com.ua, flatout.at.ua, 221b.com.ua, autopartsnetwork.com.ua, voprosnik.top, gooood.zzz.com.ua, nord.adr.com.ua, orion-sparta.com, medsvit.com.ua, wow-ok.at.ua, chiptuner.ucoz.ua, thelegendarypike.zzz.com.ua, trulolo.zzz.com.ua, thekorol.zzz.com.ua, net.dn.ua, filin.at.ua, zero.kl.com.ua, road2pro.at.ua, activation.zzz.com.ua, transform.zzz.com.ua, plaza777.co.ua, s21.cshost.com.ua, fps.zzz.com.ua, china-tefon.at.ua, sirogasoft.zzz.com.ua, letsz0ck3r.zzz.com.ua, hooligan8.at.ua, guanpro.com, 000.at.ua, prof-xaker.at.ua, solocrd.zzz.com.ua, shtorm.inf.ua, professionalshippngng.com, ritual-k.in.ua, vbi.od.ua, guanpro.com, phoenix-mg.ucoz.com, jokoli.ucoz.net, msvcnet.ucoz.net, netnetget.ucoz.net, booksonline.com.ua, diagnoz.net.ua, referatu.net.ua, info-library.com.ua, radnuk.info, domahi.net, unbib.mk.ua, eenu.edu.ua, palata.fm, www.samcore.pro, paintball-bears.com.ua, cybersports.pro, soos.kvant.if.ua, knopka-b.kvant.if.ua, ns.digicom.net.ua, admiral.myftp.biz, obnovlenie-nod32.work, 60seconds.in.ua, rusanovka.triolan.com.ua, blockbuster.ua, vipclub-casino.com, 9journal.com.ua, maids.ua, ndiop.kiev.ua, s1.pcw.pp.ua.

Серед них є сайти з криптомайнерами. Найближчим часом підведу підсумки активності хакерів в Уанеті за 2018 рік.

У квітні, 24.04.2019, через півтора місяці після виходу Google Chrome 73, вийшов Google Chrome 74.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлено 39 уразливостей. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer і AFL. Це менше ніж в попередній версії.

• Релиз Chrome 74 (деталі)

В даній добірці експлоіти в веб додатках:

• Zimbra Collaboration - Autodiscover Servlet XXE and ProxyServlet SSRF (Metasploit) (деталі)
• Atlassian Confluence Widget Connector Macro - Velocity Template Injection (Metasploit) (деталі)
• JioFi 4G M2S 1.0.2 - ‘mask’ Cross-Site Scripting (деталі)
• JioFi 4G M2S 1.0.2 - Denial of Service (деталі)
• Intelbras IWR 3000N 1.5.0 - Cross-Site Request Forgery (деталі)

Сьогодні я знайшов Buffer Overflow уразливість в TP-Link TL-WR841N і TL-WR841ND. Це Wireless Router і AP. Обидві модифікації даної моделі (в N антени незнімні, а в ND антени знімні) мають однакову прошивку.

Раніше я писав про уразливості в мережевих пристроях даної компанії, зокрема в TP-Link TL-WR841N і TL-WR841ND та TP-Link TL-WR741ND та інших.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

У березні, 22.03.2019, вийшов Mozilla Firefox 66.0.1. Нова версія браузера вийшла через три дні після виходу Firefox 66.

Це секюріті випуск, в якому виправлені уразливості CVE-2019-9810: IonMonkey MArraySlice has incorrect alias information та CVE-2019-9813: Ionmonkey type confusion with __proto__ mutations.

• MFSA 2019-09 Security vulnerabilities fixed in Firefox 66.0.1 (деталі)