Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WP No External Links, Google Forms, Paid Memberships Pro, Ultimate Product Catalog, Easy Testimonials. Для котрих з’явилися експлоіти.

• WordPress WP No External Links 3.5.15 Cross Site Scripting (деталі)
• WordPress Google Forms 0.84 Cross Site Scripting (деталі)
• WordPress Paid Memberships Pro 1.8.9.3 Cross Site Scripting (деталі)
• WordPress Ultimate Product Catalog 3.9.8 SQL Injection (деталі)
• WordPress Easy Testimonials 1.36.1 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В своєму звіті Хакерська активність в Уанеті в 1 півріччі 2017 я навів дані про діяльність хакерів в Уанеті за період з 01.01.2017 по 30.06.2017, а в звіті Хакерська активність в Уанеті в 2 півріччі 2017 - дані за період з 01.07.2017 по 31.12.2017.

За весь 2017 рік в Уанеті було проведено 827 атак на веб сайти - 520 за перше півріччя і 307 за друге. Для порівняння, за весь 2016 рік було зафіксовано всього 732 атаки на веб сайти. І це тільки виявлені мною випадки (і я ще не всі данні обробив), реальна кількість інцидентів може бути значно вищою.

Динаміка зростання хакерської активності за минулий рік: за перше півріччя 2017 активність більша на 17,1% в порівнянні з аналогічним періодом 2016 року, а за друге півріччя 2017 - на 6,6% більша за аналогічний період 2016 року. А в цілому в 2017 році активність зросла на 12,98% порівняно з 2016 роком - зростання в 1,13 рази.

В 2017 році загалом було атаковано 827 веб ресурсів (як взломи, так і DDoS атаки), перелік яких ви можете знайти у відповідних звітах за перше і друге півріччя минулого року. Але ще не всі дані обробив. А також були інфіковані 145 сайтів, які вірогідно були похакані в 2017 році.

Головні тенденції 2017 року в діяльності хакерів в Уанеті:

• Хакерська активність зросла - на 12,98% порівняно з 2016 роком (збільшення динаміки у 1,13 рази).
• Багато сайтів в Уанеті заражуються вірусами: в 2016 я виявив 168 інфікованих сайтів, в 2017 - вже 145 сайтів (зменшення динаміки у 1,16 рази).
• Кількість DDoS атак на сайти трохи менша ніж в 2016 році - 14 випадків DDoS атак за рік (зменшення у 1,14 рази). Це 1,7% від всіх атак за 2017 рік.
• Атаковано 109 державних сайтів та інфіковано ще 3 gov.ua-сайти.
• Зменшення взломів державних сайтів в 1,22 разів та збільшення інфікування gov.ua-сайтів в 3 рази порівняно з 2016 роком. Зменшення кількості DDoS-атак на gov.ua-сайти в 1,75 разів.

Велика кількість заражених сайтів в Уанеті (в тому числі gov.ua-сайтів) свідчить про чималий відсоток кримінальних взломів сайтів.

Підсумовуючи скажу, що активність хакерів в минулому році була високою і вона продовжить такою бути. І в 2018 році ця тенденція збережеться.

Очікуйте на нові звіти про хакерську активність в Уанеті.

У червні, 21 і 22.06.2018, вийшли PHP 7.1.19 і PHP 7.2.7. У версії 7.1.19 виправлено багато багів і уразливостей, у версії 7.2.7 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 7.1.x і 7.2.x.

У PHP 7.1.19 і 7.2.7 виправлено:

• Вибивання.
• Пошкодження пам’яті.
• Уразливості в ядрі та модулях.

По матеріалам http://www.php.net.

Виявлені уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge. Що були виправлені у вівторку патчів у серпні.

Уразливі продукти: Microsoft Internet Explorer 9, 10, 11 та Edge під Windows Server 2008, Windows 7, Windows Server 2012, Windows 8.1, Windows 10, Windows Server 2016.

Численні пошкодження пам’яті та виконання коду.

Виходячи з моїх звітів про веб додатки на інфікованих сайтах в 1 півріччі та веб додатки на інфікованих сайтах в 2 півріччі, я підведу підсумки. Та наведу загальну статистику про веб додатки на інфікованих сайтах в 2017 році.

Як я зазначав в своїх звітах про хакерську активність в Уанеті, в першому півріччі було інфіковано 75 сайтів, а в другому півріччі було інфіковано 70 сайтів. Всього 145 сайтів за 2017 рік. І з них на 76 сайтах вдалося виявити движки.

На перевірених в минулому році сайтах використовуються наступні движки:

Joomla - 20
uCoz - 18
WordPress - 17
DataLife Engine - 6
Drupal - 6
Magento - 3
OpenCart - 2
Bitrix - 1
VaM Shop - 1

Зазначу, що три лідери серед веб додатків у першому й другому півріччі були незмінними. Й відповідно в підсумкових результатах за весь рік.

Тобто майже всі інфіковані сайти, з числа працюючих, використовували опенсорс веб додатки. Більшість з них публічні відкриті CMS, але деякі й комерційні відкриті веб програми.

Дванадцять років тому, 18.07.2006, мій проект розпочав свою роботу. Так що нещодавно виповнилося 12 років з моменту початку офіційної роботи проекту Websecurity - Веб безпека. З чим вас і себе поздоровляю .

За останній рік роботи проекту було зроблено чимало і ще багато чого заплановано. Зокрема мною були оновлені DAVOSET, SecurityAlert та інші Секюріті програми.

Також опубліковано багато цікавих статей та досліджень, а також даних про діяльність Українських Кібер Військ.

Багато цікавого ще попереду, тому слідкуйте за новинами.

Вчора, 30.07.2018, вийшла версія SecurityAlert 1.5. Моя система SecurityAlert - це система для інформування про інциденти з безпекою на веб сайтах.

У версіях SecurityAlert 1.4.x я зробив багато покращень, в тому числі додав визначення криптомайнінг вірусів (crypto mining malware) на сайтах. У наступній версії 1.5 додав підтримку nginx 1.15, інших доменів Coinhive майнерів, Saphali Lite плагіна для WordPress, зробив паралелізацію перевірки дефейсів сайтів у кеші Google та покращив визначення Drupal.

Це перша Security as а service (SaaS) система з таким функціоналом. А весь набір функцій є унікальним в світі.

В даній добірці експлоіти в веб додатках:

• Kodi 17.1 - Arbitrary File Disclosure (деталі)
• Geutebruck 5.02024 G-Cam/EFD-2250 - ‘testaction.cgi’ Remote Command Execution (Metasploit) (деталі)
• NETGEAR DGN2200v1/v2/v3/v4 - ‘ping.cgi’ Remote Command Execution (деталі)
• Piwik 2.14.0/2.16.0/2.17.1/3.0.1 - Superuser Plugin Upload (Metasploit) (деталі)
• F5 BIG-IP 11.6 SSL Virtual Server - ‘Ticketbleed’ Memory Disclosure (деталі)

В квітні, 03.04.2018, вийшла нова версія WordPress 4.9.5.

WordPress 4.9.5 це багфікс та секюріті випуск нової 4.9 серії. В якому розробники виправили 25 багів та 3 уразливості. Була виправлена Redirector уразливість в процесі логіну при використанні SSL, тепер localhost не вважається тим самим сайтом, рядок версії движка тепер фільтрується (додали output validation для захисту від атак, зокрема XSS, коли в коді сайту цей рядок змінили).

Також в цій версії зробили звичайні виправлення в движку.

Виявлені уразливості безпеки в Apple Safari і Webkit.

Уразливі продукти: Apple Safari 11.

Пошкодження пам’яті, виконання коду, DoS, підробка адресного рядка, перезапис довільних кукіс, витік інформації.

• APPLE-SA-2018-06-01-2 Safari 11.1.1 (деталі)