Websecurity - Веб безпека

У липні, 25.07.2018, через півтора місяці після виходу Google Chrome 67, вийшов Google Chrome 68.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлено 42 уразливості. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer і AFL. Що більше ніж в попередній версії.

• Релиз web-браузера Chrome 68 (деталі)

Раніше я писав про серпневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію в вересні.

В зв’язку з сепаратистськими і терористичними акціями на сході України, хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

uzh-rajrada.gov.ua (хакерами Darkshadow-tn і Mister Spy) - 16.09.2018
gostomel-rada.gov.ua (хакерами Darkshadow-tn і Mister Spy) - 16.09.2018
pereyaslav-rda.gov.ua (хакерами Darkshadow-tn і Mister Spy) - 16.09.2018

Українські Кібер Війська закрили наступні сайти:

Закрили два сайти терористів шляхом відміни SSL серт. - 09.2018

Виявлені уразливості безпеки в Microsoft Office, а також в серверних продуктах SharePoint Server. Що були виправлені у вівторку патчів у жовтні.

Уразливі продукти: Microsoft Office Web Apps 2010 SP2, SharePoint Server 2010 SP2, SharePoint Enterprise Server 2013 SP1, SharePoint Enterprise Server 2016.

Обхід безпеки та виконання коду.

В травні, 17.05.2018, вийшла нова версія WordPress 4.9.6.

WordPress 4.9.6 це багфікс та privacy випуск нової 4.9 серії. В якому розробники виправили 95 багів і зробили покращення приватності. Зокрема в зв’язку з запровадженням з 25 травня в General Data Protection Regulation (GDPR) в ЄС, була додана сумісність з новим законодавством ЄС. Зокрема наступний функціонал: в формі коментарів зробили можливість вибору чи зберігати дані користувачів у браузері, сторінка політики конфіденційності, функції роботи з приватними даними (експорт і видалення даних).

Жодних покращень безпеки в цій версії, лише зробили звичайні виправлення в движку.

Виявлені уразливості в Microsoft Exchange. Що були виправлені у вівторку патчів у жовтні.

Уразливі продукти: Microsoft Exchange Server 2010 SP3, Exchange Server 2013, Exchange Server 2016.

Обхід безпеки та виконання коду.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://zaryabinka-rada.gov.ua (хакерами з Team_CC) - 11.03.2018 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://new.bogodukhivrda.gov.ua (хакерами з Team_CC) - 11.03.2018 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://bogodukhivrda.gov.ua (хакерами з Team_CC) - 11.03.2018 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://eduvzn.gov.ua (хакером Bala Sniper) - 13.04.2018 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://lepetykha-rda.gov.ua (хакером RxR) - 18.04.2018 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://croyance.dp.ua (хакером ZoRRoKiN) - 19.08.2018, зараз сайт вже виправлений адмінами
• http://kapkanshop.com (хакерами з Turk Security Army) - 31.08.2018, зараз сайт вже виправлений адмінами
• http://internationalsalons.net (хакером Khanh Cloud)
• http://marketing.dp.ua (хакерами з ErrOr SquaD) - 04.10.2018, зараз сайт вже виправлений адмінами
• http://womancup.com.ua (хакерами з ErrOr SquaD) - 04.10.2018, зараз сайт вже виправлений адмінами

В даній добірці експлоіти в веб додатках:

• NETGEAR DGN2200v1/v2/v3/v4 - Cross-Site Request Forgery (деталі)
• Aruba AirWave 8.2.3 - XML External Entity Injection / Cross-Site Scripting (деталі)
• Billion / TrueOnline / ZyXEL Routers - Multiple Vulnerabilities (деталі)
• IBM WebSphere - RCE Java Deserialization (Metasploit) (деталі)
• Apache Struts 2.3.5 < 2.3.31 / 2.5 < 2.5.10 - 'Jakarta' Multipart Parser OGNL Injection (Metasploit) (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах FormBuildery, Count Per Day, Store Locator Plus, Selected Text Sharer, Welcome Announcement. Для котрих з’явилися експлоіти.

• WordPress FormBuilder 1.05 Cross Site Scripting (деталі)
• WordPress Count Per Day 3.5.4 Persistent Cross Site Scripting (деталі)
• WordPress Store Locator Plus 4.5.09 Cross Site Scripting (деталі)
• WordPress Selected Text Sharer 1.0 CSRF / XSS (деталі)
• WordPress Welcome Announcement 1.0.5 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, зокрема про DoS і DDoS атаки (статті з Вікіпедії):

• High Orbit Ion Cannon (HOIC, заміна LOIC)
• Linux Spike Trojan malware
• R-U-Dead-Yet
• Squatting attack
• Twinge attack

У вересні, 05.09.2018, вийшов Mozilla Firefox 62. Нова версія браузера вийшла через два місяці після виходу Firefox 61.

Mozilla офіційно випустила реліз веб-браузера Firefox 62, а також мобільну версію Firefox 62 для платформи Android. Відповідно до шеститижневого циклу розробки, Firefox 63 вийде 23 жовтня.

Також були оновлені гілки із тривалим терміном підтримки Firefox 60.2.

В браузері було зроблено багато нововведень. Та зроблені покращення безпеки, зокрема додана підтримка Cookie-атрибуту SameSite, що можна використовувати для захисту від CSRF-атак, включена підтримка TLS 1.3 та заборонене завантаження ресурсів по протоколу FTP зі сторінок відкритих по HTTP/HTTPS.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 62.0 усунуто 8 уразливостей, що значно менше ніж в попередній версії. Серед яких одна добірка уразливостей позначена як критична, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 62 (деталі)