Websecurity - Веб безпека

У лютому вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у березні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на без-вести.рф - 01-31.03.2018
DDoS на cikdnr.ru - 01-31.03.2018
DDoS на cik-lnr.info - 01-31.03.2018
DDoS на dokcpp.dn.ua - 01-31.03.2018
DDoS на antiukrop.su - 01-31.03.2018
DDoS на milion.kiev.ua - 01-31.03.2018
DDoS на banner.dn.ua - 01-31.03.2018
DDoS на patriot.donetsk.ua - 01-31.03.2018
DDoS на infoodessa.com - 01-31.03.2018
DDoS на kharkov-resp.su - 01-31.03.2018

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://vbi.od.ua - інфекція була виявлена 31.12.2017. Зараз сайт входить до переліку підозрілих
• http://profashion.com.ua - інфекція була виявлена 22.02.2018. Зараз сайт не входить до переліку підозрілих
• http://ridnaoselya.if.ua - інфекція була виявлена 25.02.2018. Зараз сайт не входить до переліку підозрілих
• http://win-666.at.ua - інфекція була виявлена 16.03.2018. Зараз сайт не входить до переліку підозрілих
• http://qant.pp.ua - інфекція була виявлена 16.03.2018. Зараз сайт не входить до переліку підозрілих
• http://la2-bag.at.ua - інфекція була виявлена 16.03.2018. Зараз сайт не входить до переліку підозрілих
• http://event-show.com.ua - інфекція була виявлена 23.03.2018. Зараз сайт не входить до переліку підозрілих
• http://stitch.com.ua - інфекція була виявлена 23.03.2018. Зараз сайт не входить до переліку підозрілих
• http://center-ukraine.org.ua - інфекція була виявлена 30.03.2018. Зараз сайт не входить до переліку підозрілих
• http://v13083.dh.net.ua - інфекція була виявлена 30.03.2018. Зараз сайт не входить до переліку підозрілих

В даній добірці експлоіти в веб додатках:

• Red Hat JBoss EAP - Deserialization of Untrusted Data (деталі)
• Trend Micro InterScan Web Security Virtual Appliance (IWSVA) 6.5 - Multiple Vulnerabilities (деталі)
• Xfinity Gateway - Cross-Site Request Forgery (деталі)
• Disk Pulse Enterprise 9.1.16 - ‘Login’ Remote Buffer Overflow (деталі)
• Disk Savvy Enterprise 9.1.14 - ‘GET’ Remote Buffer Overflow (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Multiple Meta Box, Robo Gallery, leenk.me, Kento Post View Counter, Persian Woocommerce SMS. Для котрих з’явилися експлоіти.

• WordPress Multiple Meta Box 1.0 SQL Injection (деталі)
• WordPress Robo Gallery 2.0.14 Code Execution (деталі)
• WordPress leenk.me 2.5.0 Cross Site Request Forgery / Cross Site Scripting (деталі)
• WordPress Kento Post View Counter 2.8 CSRF / Cross Site Scripting (деталі)
• WordPress Persian Woocommerce SMS 3.3.2 XSS (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Виявлені численні уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge. Що були виправлені у вівторку патчів у березні.

Уразливі продукти: Microsoft Internet Explorer 9, 10, 11 та Edge під Windows Server 2008, Windows 7, Windows Server 2012, Windows 8.1, Windows 10, Windows Server 2016.

Численні пошкодження пам’яті та виконання коду.

У березні, 02.03.2018, я дав інтерв’ю для телеканалу ICTV. Знявся для даного телеканалу.

Сюжет вийшов 11.03.2018 у програмі “Факти тижня”. В ньому йшлося про кібервійну і про веб безпеку. А також про Українські Кібер Війська, нашу роботу за чотири роки та проведення мною КіберАТО в Інтернеті. Всі бажаючі можуть його подивитися.

У листопаді, 29.11.2017, вийшов Mozilla Firefox 57.0.1. Нова версія браузера вийшла через пів місяця після виходу Firefox 57.

Це секюріті випуск в якому виправлені уразливості CVE-2017-7843: Web worker in Private Browsing mode can write IndexedDB data та CVE-2017-7844: Visited history information leak through SVG image.

• MFSA 2017-27 Security vulnerabilities fixed in Firefox 57.0.1 (деталі)

У лютому, 01.02.2018, вийшли PHP 7.1.14 і PHP 7.2.2. У версії 7.1.14 виправлено багато багів і уразливостей, у версії 7.2.2 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 7.1.x і 7.2.x.

У PHP 7.1.14 і 7.2.2 виправлено:

• Пошкодження пам’яті.
• Численні вибивання в різних функціях (DoS).
• Уразливості в ядрі та модулях.

По матеріалам http://www.php.net.

В даній добірці експлоіти в веб додатках:

• SAP NetWeaver AS JAVA - ‘BC-BMT-BPM-DSK’ XML External Entity Injection (деталі)
• AppFusions Doxygen for Atlassian Confluence 1.3.2 - Cross-Site Scripting (деталі)
• Tenda/Dlink/Tplink TD-W8961ND - ‘DHCP’ Cross-Site Scripting (деталі)
• Disk Sorter Enterprise 9.1.12 - ‘Login’ Remote Buffer Overflow (деталі)
• Disk Savvy Enterprise 9.1.14 - ‘Login’ Remote Buffer Overflow (деталі)

Влітку відбувся новий масовий взлом сайтів на сервері TheHost. Він відбувся з 28.12.2015 по 30.01.2018. Другий масовий взлом сайтів на сервері TheHost відбувся раніше.

Був взломаний сервер української компанії TheHost. Взлом складався з трьох масових дефейсів і багатьох окремих дефейсів.

Всього було взломано 84 сайтів на сервері хостера TheHost (176.114.0.75). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти: kam-pod.km.ua, kam-pod.gov.ua, osvita-kp.gov.ua, 14 піддоменів osvita-kp.gov.ua, testosvita.kam-pod.gov.ua, portal.kam-pod.gov.ua, old.kam-pod.gov.ua, new.kam-pod.gov.ua, dnz.kam-pod.gov.ua, cnap.kam-pod.gov.ua.

З зазначених 84 сайтів 23 сайти були взломані хакером maress, 21 сайт хакером TheWayEnd, 13 сайтів хакером X-0wl та по одному чи декілька іншими хакерами.

Під час взлому хакерами maress, TheWayEnd та X-0wl було дефейснуто багато сайтів, тому немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера (чи облікового запису з великою кількістю сайтів). Стосовно інших, то враховуючи велику кількість окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів.