Websecurity - Веб безпека

Постійно нагадую стосовно безпеки сайтів і мережевих пристроїв. Багато дірок я знайшов на сайтах і у веб додатках з 2005 року, а також в численних мережевих пристроях. Це стосується всіх виробників роутерів та інших мережевих пристроїв - всюди знаходив дірки, бо не хочуть виробники пристроїв вкладати кошти в безпеку. Хакнути можуть все - від роутера і принтера, до холодильника і тостера.

Вже писав, що Українські Кібер Війська захопили 250000 мережевих пристроїв. Це ми зробили в попередні роки, а захопленням численних розумних будинків займалися в липні, прочитайте про хакнуті Smart House (Smart Home) системи.

Дуже багато разів повідомляв з 2005 року власникам сайтів і розробникам веб додатків та мережевих пристроїв про дірки, але вони часто ігнорують. А треба проводити аудит безпеки. На жаль більшість не проводить аудити безпеки (особливо в Україні) - не те, що в мене не замовляють аудит, а взагалі. А в державному секторі все значно гірше. Наприклад, влада Києва та силовики заявляють про збільшення кількості веб камер у столиці. В останні роки вони активно про це заявляли, у т.ч. на останніх форумах. Але за безпекою ні сайтів міської влади, ні всіх цих веб камер вони не слідкують (а всі веб камери діряві, про що я наголошую багато років), як і не слідкували раніше. Та всі мої звернення за ці роки були ними проігноровані. Про уразливості на київських gov.ua сайтах та всіх gov.ua сайтах і про їх взломи писав багато разів.

Про уразливості в тисячах моделей мережевих пристроїв я писав у себе на сайті. Сам знайшов численні уразливості в різних мережевих пристроях десятків виробників, у тому числі веб камерах і DVR, принтерах, ADSL модемах, VoIP шлюзах, проводових роутерах, Wi-Fi роутерах і точках доступу. Наприклад, уразливості в мережевих камерах Hikvision, в ASUS RT-N10 та в комутаторі D-Link DGS-3000-10TC. Враховуючи, що жоден виробник IP камер і DVR, як і інших мережевих пристроїв, по суті не слідкує за безпекою, то вкладати в аудити безпеки мають користувачі цих пристроїв.

Тому кожен громадянин України та всі державні органи, що мають сайт чи будь-який мережевий ресурс, повинні спитати себе, скільки коштів вони вклали у веб безпеку. І чим більше вклали, тим краще. Бо враховуючи, що за 27 років мало хто в це вкладав, то це вимагає значних фінансових вкладень в межах держави.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Simple Membership, Top 10 Popular Posts, Ninja Forms, Icegram, Video Player. Для котрих з’явилися експлоіти.

• WordPress Simple Membership 3.2.8 Cross Site Scripting (деталі)
• WordPress Top 10 Popular Posts 2.3.0 Cross Site Scripting (деталі)
• WordPress Ninja Forms 2.9.51 Cross Site Scripting (деталі)
• WordPress Icegram 1.9.18 Cross Site Request Forgery (деталі)
• WordPress Video Player 1.5.16 SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Виявлені уразливості в Microsoft Exchange. Що були виправлені у вівторку патчів у липні.

Уразливі продукти: Microsoft Exchange Server 2010 SP3, Exchange Server 2013, Exchange Server 2016.

Вибивання та інші помилки.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://maids.ua - інфекція була виявлена 31.12.2017. На сайті криптомайнер
• http://ndiop.kiev.ua - інфекція була виявлена 31.12.2017. На сайті криптомайнер
• http://hd-world.org - інфекція була виявлена 31.12.2017. На сайті криптомайнер
• http://rev.atbmarket.com - інфекція була виявлена 31.12.2017. На сайті криптомайнер
• http://s1.pcw.pp.ua - інфекція була виявлена 31.12.2017. На сайті криптомайнер
• http://polishchukproject.com - інфекція була виявлена 19.03.2018. Зараз сайт не входить до переліку підозрілих
• http://mastervdome.kh.ua - інфекція була виявлена 23.03.2018. Зараз сайт не входить до переліку підозрілих
• http://icta.kh.ua - інфекція була виявлена 30.03.2018. Зараз сайт не входить до переліку підозрілих
• http://labyrinth.kh.ua - інфекція була виявлена 30.03.2018. Зараз сайт не входить до переліку підозрілих
• http://spezshtamp.kiev.ua - інфекція була виявлена 30.03.2018. Зараз сайт не входить до переліку підозрілих

В даній добірці експлоіти в веб додатках:

• WordPress 4.7.0/4.7.1 - Content Injection (Ruby) (деталі)
• SonicDICOM PACS 2.3.2 - Cross-Site Request Forgery (Add Admin) (деталі)
• SonicDICOM PACS 2.3.2 - Privilege Escalation (деталі)
• HP Smart Storage Administrator 2.30.6.0 - Remote Command Injection (Metasploit) (деталі)
• F5 BIG-IP SSL Virtual Server - ‘Ticketbleed’ Memory Disclosure (деталі)

У липні місяці Microsoft випустила нові патчі.

У липневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло багато патчів, але починаючи з квітня 2017 року бюлетені по безпеці не випускаються, тому їх кількість невідома. Компанія вказує лише назви продуктів та номера патчів, а не кількість і деталі бюлетенів (патчів). Вони закривають уразливості в програмних продуктах компанії.

Дані патчі стосуються поточних операційних систем компанії Microsoft - Windows 7, 8.1, RT 8.1, 10 та 2016. А також Microsoft Office, Internet Explorer і Edge, .NET Core, ASP.NET Core, ChakraCore і .NET Framework, Visual Studio, SharePoint Server і Skype for Business та Exchange Server.

Також Microsoft випустила патч для уразливостей в Adobe Flash Player, що постачається з Windows.

В своєму звіті про хакерську активність в Уанеті в 2 півріччі 2017, я згадував, що в другому півріччі було інфіковано 70 сайтів.

Сьогодні я провів дослідження сайтів, що були інфіковані в другому півріччі 2016 року, і на 35 сайтах вдалося виявити движки. Частина з 70 сайтів вже не працювала, декілька використовують html (при цьому частина з них ховає php-додатки за розширенням html), а ще частина використовували власні php-скрипти.

На перевірених сайтах використовуються наступні движки:

uCoz - 12
Joomla - 7
WordPress - 7
Drupal - 4
DataLife Engine - 3
Bitrix - 1
OpenCart - 1

Тобто майже всі інфіковані сайти, з числа працюючих, використовували (за станом на сьогодні) опенсорс веб додатки.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://kharkiv.meteo.gov.ua (хакером KingSkrupellos) - 14.11.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://osvita.sm.gov.ua (хакером Bilgekultigin) - 19.12.2017 - похаканий державний сайт, файл хакера все ще на сайті
• http://visnyk-nanu.org.ua (хакером MuhmadEmad) - 23.04.2018, зараз сайт вже виправлений адмінами
• http://knockdown.org.ua (хакером Mister Spy) - 24.04.2018, зараз сайт вже виправлений адмінами
• http://sinay.kiev.ua (хакером AT_7) - 31.05.2018, зараз сайт вже виправлений адмінами

Виявлені уразливості безпеки в Microsoft Office, а також в серверних продуктах SharePoint Server і Skype for Business. Що були виправлені у вівторку патчів у липні.

Уразливі продукти: Microsoft SharePoint Foundation 2013 SP1, SharePoint Enterprise Server 2013 SP1, SharePoint Enterprise Server 2016, Skype for Business 2016.

Обхід безпеки та виконання коду.

У травні, 24.05.2018, вийшли PHP 7.1.18 і PHP 7.2.6. У версії 7.1.18 виправлено багато багів і уразливостей, у версії 7.2.6 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 7.1.x і 7.2.x.

У PHP 7.1.18 і 7.2.6 виправлено:

• Вибивання.
• Пошкодження пам’яті.
• Уразливості в ядрі та модулях.

По матеріалам http://www.php.net.