Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах All-In-One Security / Firewall, Booking Calendar, Contact Bank, WP Live Chat Support. Для котрих з’явилися експлоіти.

• WordPress All-In-One Security / Firewall 4.1.2 CAPTCHA Bypass (деталі)
• WordPress Booking Calendar 6.2.1 Cross Site Scripting (деталі)
• WordPress Booking Calendar 6.2 SQL Injection (деталі)
• WordPress Contact Bank 2.1.21 Cross Site Scripting (деталі)
• WordPress WP Live Chat Support 6.2.03 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після минулорічного звіту про інфікованість Уанета, наведу нову порівняльну статистику інфікованості Уанета за останні роки.

Статистика буде за 2015 - 2017 роки. Статистичні дані базуються на моїх дослідженнях хакерської активності в Уанеті в 2015, 2016 і 2017 роках.

За весь 2015 рік в Уанеті було інфіковано 158 веб сайтів.

За весь 2016 рік в Уанеті було інфіковано 168 веб сайтів.

За весь 2017 рік в Уанеті було інфіковано 145 веб сайтів.

Велика кількість заражених сайтів свідчить про зростання кримінальних взломів сайтів (коли на взломаних сайтах розміщуються віруси).

Динаміка зараження сайтів в Уанеті.

В 2015 році активність зменшилась на 3% порівняно з 2014 роком (спад в 1,03 рази). В порівнянні з 2008 роком активність зросла на 3850% (в 39,5 разів).

В 2016 році активність зросла на 6% порівняно з 2015 роком (зростання в 1,1 рази). В порівнянні з 2008 роком активність зросла на 4100% (в 42 рази).

В 2017 році активність зменшилась на 13% порівняно з 2016 роком (спад в 1,16 рази). В порівнянні з 2008 роком активність зросла на 3525% (в 36,25 разів).

Як видно зі статистики, кількість інфікованих сайтів в Уанеті в останні роки стабільно велика. Хоча через зменшення моїх досліджень мало місце загальне зменшення динаміки в минулий рік.

У серпні місяці Microsoft випустила нові патчі.

У серпневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло багато патчів, але починаючи з квітня 2017 року бюлетені по безпеці не випускаються, тому їх кількість невідома. Компанія вказує лише назви продуктів та номера патчів, а не кількість і деталі бюлетенів (патчів). Вони закривають уразливості в програмних продуктах компанії.

Дані патчі стосуються поточних операційних систем компанії Microsoft - Windows 7, 8.1, RT 8.1, 10 та 2016. А також Microsoft Office, Internet Explorer і Edge, SharePoint Server, SQL Server, .NET Framework і ChakraCore, Visual Studio та Exchange Server.

Також Microsoft випустила патч для уразливостей в Adobe Flash Player, що постачається з Windows.

В даній добірці експлоіти в веб додатках:

• Trend Micro InterScan Messaging Security (Virtual Appliance) < 9.1.-1600 - Remote Code Execution (Metasploit) (деталі)
• D-Link DCS Series Cameras - Insecure Crossdomain (деталі)
• Fibaro Home Center 2 - Remote Command Execution / Privilege Escalation (деталі)
• MVPower DVR TV-7104HE 1.8.4 115215B9 - Shell Command Execution (Metasploit) (деталі)
• WePresent WiPG-1500 - Backdoor Account (деталі)

У червні, 06.06.2018, вийшов Mozilla Firefox 60.0.2, а також версії ESR 60.0.2 і ESR 52.8.1. Нові версії браузера вийшли через місяць після виходу Firefox 60.

Це секюріті випуски в яких виправлена уразливість CVE-2018-6126: Heap buffer overflow rasterizing paths in SVG with Skia.

• MFSA 2018-14 Security vulnerabilities fixed in Firefox 60.0.2, ESR 60.0.2, and ESR 52.8.1 (деталі)

Виявлені уразливості в Microsoft Exchange. Що були виправлені у вівторку патчів у серпні.

Уразливі продукти: Microsoft Exchange Server 2010 SP3, Exchange Server 2013, Exchange Server 2016.

Обхід безпеки та виконання коду.

Продовжуючи розпочату традицію, після попереднього відео про контроль IoT пристроїв через радіо сигнали, пропоную нове відео на секюріті тематику. Цього разу відео про захоплення індустріальних IoT пристроїв. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 25 IoT Village - Pwning the Industrial IoT

Раніше я багато розповідав про взлом звичайних мережевих пристроїв, зокрема IoT, як то IP камер, розумних будинків і smart пристроїв, то цього разу мова йде про захоплення індустріальних IoT пристроїв. Уразливостей в них теж вистачає.

Торік в жовтні на конференції DEFCON 25 відбувся виступ Vladimir Dashchenko. В своєму виступі він розповів про атаки на індустріальні IoT пристрої через Інтернет. Про виявлені класи уразливостей (в тому числі бекдори) і використання їх для захоплення пристроїв та інші віддалені атаки на них.

Він розповів про проблеми з безпекою в мережевих пристроях, що відносяться до індустріальних (Industrial IoT). Рекомендую подивитися дане відео для розуміння поточного стану безпеки індустріальних IoT пристроїв.

Раніше я писав про липневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію в серпні.

В зв’язку з сепаратистськими і терористичними акціями на сході України, хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

bereg-rda.gov.ua (хакером H3X COD3) - 27.08.2018
old.bereg-rda.gov.ua (хакером H3X COD3) - 27.08.2018
korc.gov.ua (хакерами з Turkz.org) - 29.08.2018

Українські Кібер Війська закрили наступні сайти:

Закритий сайт tribunal.dnr-online.ru (через скаргу хостеру) - 08.2018

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WooCommerce, Contact Form To Email, Code Snippets, ColorWay, Insert PHP. Для котрих з’явилися експлоіти.

• WordPress WooCommerce 2.6.2 Cross Site Scripting (деталі)
• WordPress Contact Form To Email 1.1.47 Cross Site Scripting (деталі)
• WordPress Code Snippets 2.6.1 Cross Site Scripting (деталі)
• WordPress ColorWay 3.4.1 Cross Site Scripting (деталі)
• WordPress Insert PHP 1.3 Code Execution (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Виявлені уразливості в Microsoft .NET і ChakraCore. Що були виправлені у вівторку патчів у серпні.

Уразливі продукти: Microsoft .NET Framework 3.5, 3.5.1, 4.5.2, 4.6.2, 4.7, 4.7.1, 4.7.2, ChakraCore.

Обхід безпеки та виконання коду.