Websecurity - Веб безпека

В даній добірці експлоіти в веб додатках:

• InfraPower PPS-02-S Q213V1 - Multiple Cross-Site Scripting Vulnerabilities (деталі)
• InfraPower PPS-02-S Q213V1 - Local File Disclosure (деталі)
• Alienvault OSSIM/USM 5.3.1 - PHP Object Injection (деталі)
• Eir D1000 Wireless Router - WAN Side Remote Command Injection (Metasploit) (деталі)
• Disk Pulse Enterprise 9.0.34 - ‘Login’ Remote Buffer Overflow (Metasploit) (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Email Encoder Bundle, Bulletproof, Import CSV, eBook Download, HB Audio Gallery Lite. Для котрих з’явилися експлоіти.

• WordPress Email Encoder Bundle 1.4.3 Cross Site Scripting (деталі)
• WordPress Bulletproof 0.53.2 Cross Site Scripting (деталі)
• WordPress Import CSV 1.1 Directory Traversal (деталі)
• WordPress eBook Download 1.1 Directory Traversal (деталі)
• WordPress HB Audio Gallery Lite 1.0.0 Arbitrary File Download (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Виявлені уразливості безпеки в Apple Safari і Webkit.

Уразливі продукти: Apple Safari 11.

Пошкодження пам’яті, виконання коду.

• APPLE-SA-2017-12-13-5 Safari 11.0.2 (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://shtorm.inf.ua - інфекція була виявлена 31.12.2017. Зараз сайт входить до переліку підозрілих
• http://phoenix-mg.ucoz.com - інфекція була виявлена 13.07.2017. Зараз сайт не входить до переліку підозрілих
• http://professionalshippngng.com - інфекція була виявлена 02.08.2017. Зараз сайт не входить до переліку підозрілих
• http://jokoli.ucoz.net - інфекція була виявлена 26.09.2017. На сайті криптомайнер
• http://msvcnet.ucoz.net - інфекція була виявлена 06.10.2017. На сайті криптомайнер
• http://netnetget.ucoz.net - інфекція була виявлена 24.10.2017. На сайті криптомайнер
• http://booksonline.com.ua - інфекція була виявлена 31.12.2017. На сайті криптомайнер
• http://diagnoz.net.ua - інфекція була виявлена 31.12.2017. На сайті криптомайнер
• http://eternalphi.zzz.com.ua - інфекція була виявлена 07.01.2018. Зараз сайт не входить до переліку підозрілих
• http://arihard.kl.com.ua - інфекція була виявлена 08.01.2018. Зараз сайт не входить до переліку підозрілих

У травні, 15.05.2013, я знайшов Brute Force та Insufficient Anti-automation уразливості на сайті uniordreams.privatbank.ua. В той же день вислав ці уразливості банку.

Brute Force:

http://uniordreams.privatbank.ua/admin/

Відсутність захисту від підбору пароля адміна.

Insufficient Anti-automation:

На сторінці http://uniordreams.privatbank.ua не було захисту від автоматизованих атак. Що дозволяло спамити смсками.

Дані уразливості не були виправлені в 2013 році. ПриватБанк тоді проігнорував ці дірки, а вже в 2016 році всі вони були виправлені шляхом закриття сайту - любить банк так “виправляти” уразливості аби не платити винагороду. Відтоді на ньому працює лише редирект на інший сайт банку. Таким чином банк кинув мене, як це було з дірками на limit.privatbank.ua та інших сайтах ПБ.

У травні, 27.05.2016, я виявив Cross-Site Scripting та Cross-Site Request Forgery уразливості в ASUS Wireless Router RT-N10. А також в його модифікаціях RT-N10E, RT-N10LX і RT-N10U. Це третя частина дірок в RT-N10.

Раніше я писав про уразливості ASUS RT-N15U та ASUS RT-N10.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

У листопаді, 16.11.2017, вийшла нова версія WordPress 4.9.

WordPress 4.9 це перший випуск нової 4.9 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, а також виправлені баги.

Серед головних покращень зокрема можна відзначити покращений кастумайзер, перевірка розмітки на помилки, пісочниця для безпечної перевірки плагінів і тем, новий віджет для створення галерей, новий віджет для додання медіа та інші нововведення.

Окрім покращень для користувачів також було зроблено багато покращень для розробників.

У грудні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у січні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на без-вести.рф - 01-31.01.2018
DDoS на dnrpress.ru - 01-31.01.2018
DDoS на cikdnr.ru - 01-31.01.2018
DDoS на cik-lnr.info - 01-31.01.2018
DDoS на icp.su - 01-31.01.2018
DDoS на dokcpp.dn.ua - 01-31.01.2018
DDoS на antiukrop.su - 01-31.01.2018
DDoS на milion.kiev.ua - 01-31.01.2018
DDoS на banner.dn.ua - 01-31.01.2018
DDoS на patriot.donetsk.ua - 01-31.01.2018

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

В даній добірці експлоіти в веб додатках:

• Industrial Secure Routers EDR-810 / EDR-G902 / EDR-G903 - Insecure Configuration Management (деталі)
• Joomla! 3.4.4 < 3.6.4 - Account Creation / Privilege Escalation (деталі)
• InfraPower PPS-02-S Q213V1 - Unauthenticated Remote Root Command Execution (деталі)
• NETGEAR WNR500/WNR612v3/JNR1010/JNR2010 ADSL Router - Authenticated Remote File Disclosure (деталі)
• PLANET ADSL Router AND-4101 - Remote File Disclosure (деталі)

Вітаю вас з Новим роком!

У зв’язку з Новим роком, Різдвом Христовим та іншими святами пропоную вам подивитися мої святкові листівки на флеші. На українській мові, російській мові та англійські мові.

Бажаю вам всього найкращого .