Websecurity - Веб безпека

Продовжуючи розпочату традицію, після попереднього відео про захоплення індустріальних IoT пристроїв, пропоную нове відео на секюріті тематику. Цього разу відео про ботнети з мережевих пристроїв. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 25 - The call is coming from inside the house

Раніше я багато розповідав про уразливості в мережевих пристроях і взлом IoT пристроїв, як то IP камер, розумних будинків і smart пристроїв. Цього разу мова йде про використання IoT пристроїв для створення ботнетів.

В жовтні на конференції DEFCON 25 відбувся виступ Steinthor Bjarnason і Jason Jones. В своєму виступі вони розповіли про уразливі мережеві пристрої, які захоплюють зловмисники - від IP камер до роутерів та інших IoT пристроїв. Щоб створити ботнети для проведення DDoS атак, як ботнет Mirai, що з’явився два роки тому. Це небезпечна тенденція, враховуючи мільйони вразливих мережевих пристроїв в Інтернеті, кількість яких постійно зростає.

Вони розповіли про процес інфікування мережевих пристроїв і створення ботнету, показали масштаби та наслідки їх діяльності, на прикладі відомих атак IoT ботнетів. Будь-які домашні мережеві пристрої можуть бути інфіковані та залучені в ботнет, в тому числі веб камери, DVR, мережеві принтери, мережеві системи зберігання даних (NAS), Wi-Fi роутери, розумні телевізори (Smart TV). Рекомендую подивитися дане відео для розуміння поточного стану безпеки мережевих пристроїв.

Виявлені уразливості в Microsoft .NET Core, ASP.NET Core і ChakraCore. Що були виправлені у вівторку патчів у листопаді.

Уразливі продукти: Microsoft .NET Core 2.1, ASP.NET Core 2.1, Azure App Service on Azure Stack, ChakraCore.

Виконання коду та підробка вмісту.

Раніше я писав про жовтневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію в листопаді.

В зв’язку з сепаратистськими і терористичними акціями на сході України, хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

tet.gov.ua (хакером Kripton) - 04.11.2018
rda.tet.gov.ua (хакерами з chinafans) - 04.11.2018
upravles.gov.ua (хакером Dz Bomb3r) - 28.11.2018

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Google Maps, Email Users, Peter’s Login Redirect, Tevolution, Ajax Load More. Для котрих з’явилися експлоіти.

• WordPress Google Maps 2.1.2 Cross Site Scripting (деталі)
• WordPress Email Users 4.8.3 Cross Site Request Forgery (деталі)
• WordPress Peter’s Login Redirect 2.9.0 XSS / CSRF (деталі)
• WordPress Tevolution 2.3.1 Shell Upload (деталі)
• WordPress Ajax Load More 2.11.1 Local File Inclusion (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Виявлені уразливості безпеки в Microsoft Office, а також в серверних продуктах Office Web Apps, Skype for Business і Team Foundation Server. Що були виправлені у вівторку патчів у листопаді.

Уразливі продукти: Microsoft Office Web Apps 2010 SP2, Office Web Apps Server 2013 SP1, Office Online Server 2016, Skype for Business 2016, Team Foundation Server 2017, Team Foundation Server 2018.

Обхід безпеки, підробка вмісту та виконання коду.

Сьогодні я виступив на Legal TMT Forum з доповіддю “Уразливий gov.ua”, де навів статистику атак на державні сайти за 2001-2017 роки. Та розповів про стан безпеки Уанета, рівень безпеки державних сайтів та масштабні атаки на інфраструктуру України.

Доповідь доступна в мене на сайті:

Уязвимый gov.ua / Vulnerable gov.ua

В даній добірці експлоіти в веб додатках:

• Miele Professional PG 8528 - Directory Traversal (деталі)
• NETGEAR WNR2000v5 - ‘hidden_lang_avi’ Remote Stack Overflow (Metasploit) (деталі)
• Logsign 4.4.2/4.4.137 - Remote Command Injection (Metasploit) (деталі)
• Github Enterprise - Default Session Secret and Deserialization (Metasploit) (деталі)
• Microsoft IIS 6.0 - WebDAV ‘ScStoragePathFromUrl’ Remote Buffer Overflow (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://mtot.gov.ua (спамерами) - 02.11.2018 - похаканий державний сайт, зараз сайт вже виправлений адмінами. Навів скріншот хакнутого сайту Міністерства з питань тимчасово окупованих територій
• http://dffd.gov.ua (хакером AdGhosT) - 23.04.2018 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.bahmutrada.gov.ua (хакерами з TeaM_CC) - 09.05.2018 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://road.bahmutrada.gov.ua (хакерами з TeaM_CC) - 09.05.2018 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://bioenergy.gov.ua (хакером MuhmadEmad) - 25.05.2018 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://fastprint.kharkov.ua (хакером KkK1337) - 02.01.2018, зараз сайт вже виправлений адмінами
• http://asweb.com.ua (хакером KkK1337) - 02.01.2018, зараз сайт вже виправлений адмінами
• http://tvorenie-mira.com.ua (хакером SatTaR) - 22.04.2018, зараз сайт вже виправлений адмінами
• http://natalka.ua (хакером Mister Spy) - 11.09.2018, зараз сайт вже виправлений адмінами
• http://siberiansapphire.com (хакером KkK1337) - 29.09.2018, зараз сайт вже виправлений адмінами

У жовтні, 02.10.2018, вийшов Mozilla Firefox 62.0.3. Нова версія браузера вийшла через місяць після виходу Firefox 62.

Це секюріті випуск, в якому виправлені уразливості CVE-2018-12386: Type confusion in JavaScript та CVE-2018-12387: Memory leakage in JavaScript JIT compiler.

• MFSA 2018-24 Security vulnerabilities fixed in Firefox 62.0.3 and Firefox ESR 60.2.2 (деталі)

Виявлені уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge. Що були виправлені у вівторку патчів у листопаді.

Уразливі продукти: Microsoft Internet Explorer 9, 10, 11 та Edge під Windows Server 2008, Windows 7, Windows Server 2012, Windows 8.1, Windows 10, Windows Server 2016.

Численні пошкодження пам’яті, виконання коду та обхід безпеки.