Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Music Store, Visual Form Builder, Photocart Link, Advanced Video та темі Scoreme. Для котрих з’явилися експлоіти.

• WordPress Music Store 1.0.41 Cross Site Scripting (деталі)
• WordPress Visual Form Builder 2.8.6 Cross Site Scripting (деталі)
• WordPress Photocart Link 1.6 Local File Inclusion (деталі)
• WordPress Scoreme Theme Cross Site Scripting (деталі)
• WordPress Advanced Video 1.0 Local File Inclusion (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Раніше я писав про січневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію в лютому.

В зв’язку з сепаратистськими і терористичними акціями на сході України, хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

jna.bio.gov.ua (хакером B0c4H_Id30T) - 06.02.2018
doltour.gov.ua (хакерами з Guardiran Security Team) - 14.02.2018
pechenigy-rada.gov.ua (хакером RxR) - 27.02.2018

Проукраїнськими хакерами були атаковані наступні сайти:

Лютневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі місяця.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт belgorod-dnestrovskiy.ru (через скаргу хостеру) - 10.02.2018
Закритий сайт російських хакерів у ПАР (через скаргу хостеру) - 14.02.2018

Виявлені уразливості безпеки в Apple Safari і Webkit.

Уразливі продукти: Apple Safari 11.

Пошкодження пам’яті, виконання коду.

• APPLE-SA-2018-1-23-5 Safari 11.0.3 (деталі)

У грудні, 07.12.2017, через півтора місяці після виходу Google Chrome 62, вийшов Google Chrome 63.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлено 37 уразливостей, одна з них критична. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity і LibFuzzer. Що більше ніж в попередній версії.

• Выпуск web-браузера Chrome 63 (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://osvita-kp.gov.ua (хакером Ayyildiz Tim-maress) - 10.07.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://belozirmvk.gov.ua (хакером Shade) - 19.10.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://evrik.com.ua (хакером ReC0ded) - 23.09.2017, зараз сайт вже виправлений адмінами
• http://www.pferd.com.ua (хакером HerCulano)
• http://militaryaviation.in.ua (хакером Mister Spy) - 27.01.2018, зараз сайт вже виправлений адмінами

У серпні, 28.08.2017, я виявив Cross-Site Scripting та Cross-Site Request Forgery уразливості в D-Link DGS-3000-10TC. Це третя частина дірок в цьому комутаторі.

Раніше я писав про уразливості в пристроях даної компанії, зокрема в D-Link DAP-1360 та D-Link DGS-3000-10TC.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

У лютому місяці Microsoft випустила нові патчі.

У лютневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло багато патчів, але починаючи з квітня 2017 року бюлетені по безпеці не випускаються, тому їх кількість невідома. Компанія вказує лише назви продуктів та номера патчів, а не кількість і деталі бюлетенів (патчів). Вони закривають уразливості в програмних продуктах компанії.

Дані патчі стосуються поточних операційних систем компанії Microsoft - Windows 7, 8.1, RT 8.1, 10 та 2016. А також Microsoft Office, Internet Explorer і Edge, SharePoint Server і Project Server.

Також Microsoft випустила патч для уразливостей в Adobe Flash Player, що постачається з Windows.

В даній добірці експлоіти в веб додатках:

• Adobe Connect 9.5.7 - Cross-Site Scripting (деталі)
• CS-Cart 4.3.10 - XML External Entity Injection (деталі)
• Atlassian Confluence AppFusions Doxygen 1.3.0 - Directory Traversal (деталі)
• Sync Breeze Enterprise 9.1.16 - ‘Login’ Remote Buffer Overflow (деталі)
• Dup Scout Enterprise 9.1.14 - ‘Login’ Remote Buffer Overflow (деталі)

Продовжуючи розпочату традицію, після попереднього відео про взлом різноманітних мережевих пристроїв, пропоную нове відео на секюріті тематику. Цього разу відео про контроль IoT пристроїв через радіо сигнали. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 25 - Controlling IoT devices with crafted radio signals

В жовтні на конференції DEFCON 25 відбувся виступ Caleb Madrigal. В своєму виступі він розповів про віддалений контроль IoT пристроїв через радіо сигнали (за допомогою Software-Defined Radio, що дозволяють генерувати сигнали для атаки на фізичному рівні). Таким чином можна атакувати різні бездротові та мережеві пристрої: радіо, телевізори, мобільні телефони, IP камери, машини та інші пристрої, що працюють через WiFi, Bluetooth і GPS.

Він розповів про проблеми з безпекою в IoT, мережевих та бездротових пристроях, тим самим давши зрозуміти, що можуть бути атаковані всі пристрої, що використовують радіо канали. Таким чином можна взяти їх під контроль, передати інформацію чи заглушити радіо канал (jamming радіо пристроїв). Рекомендую подивитися дане відео для розуміння поточного стану безпеки бездротових пристроїв.

У лютому, 25.02.2017, вийшла версія SecurityAlert 1.4.5. Моя система SecurityAlert - це система для інформування про інциденти з безпекою на веб сайтах.

Після виходу SecurityAlert 1.4 у наступних версіях я зробив багато покращень. У версії 1.4.5 додав визначення криптомайнінг малваре (crypto mining malware), покращив роботу з SSL сертифікатами на сайтах та оновив базу даних версій програм. Від початку моя система визначала звичайні віруси на сайтах, а з нової версії також і криптомайнінг віруси на сайтах.

Це перша Security as а service (SaaS) система з таким функціоналом. А весь набір функцій є унікальним в світі.