Websecurity - Веб безпека

Цього року відбувся масовий взлом сайтів на сервері Ukraine. Він відбувся з 29.01.2015 по 17.10.2015. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Ukraine. Взлом складався з багатьох окремих дефейсів. Вони переважно відбулися після масового взлому сервера 1GB.

Всього було взломано 38 сайтів на сервері хостера Ukraine (IP 185.68.16.59). Перелік сайтів можете подивитися на www.zone-h.org. Від biz-registr.com.ua до webmarketing.org.ua.

З зазначених 38 сайтів 25 сайтів були взломані хакером red virus maroc, 4 сайти хакером d3b~X, по два сайти хакерами Abdellah Elmaghribi і Virus OS та по одному хакерами w4l3XzY3, Team_CC, the_warri0r, muaad scorpion і Ashiyane Digital Security Team.

Масовий дефейс хакером red virus maroc явно був зроблений через взлом серверу хостінг провайдера. У випадку окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера.

Виявлені уразливості безпеки в LibreSSL.

Уразливі версії: LibreSSL 2.0, LibreSSL 2.3.

DoS, переповнення буфера.

• LibreSSL (CVE-2015-5333 and CVE-2015-5334) (деталі)

Виявлені уразливості безпеки в PostgreSQL.

Уразливі версії: PostgreSQL 9.4.

Розкриття інформації, DoS.

• PostgreSQL vulnerabilities (деталі)

Виявлені уразливості безпеки в Microsoft .NET Framework та WebDAV.

Уразливі продукти: Microsoft .NET Framework 4.6, WebDAV.

Підвищення привілеїв, витік інформації.

• Microsoft Security Bulletin MS15-089 - Important Vulnerability in WebDAV Could Allow Information Disclosure (3076949) (деталі)
• Microsoft Security Bulletin MS15-092 - Important Vulnerabilities in .NET Framework Could Allow Elevation of Privilege (3086251) (деталі)

У вересні, 30.09.2015, вийшов Mozilla Firefox 41.0.1. А в жовтні, 15.10.2015, вийшов Mozilla Firefox 41.0.2. Нові версії браузера вийшли через деякий час після виходу Firefox 41.

Це багфікс і секюріті випуски в яких виправлені баги (в 41.0.1) і одна уразливість (в 41.0.2). Але в першій версії виправлені численні помилки, в тому числі п’ять вибивань браузера, що пов’язані з Intel GMA 3150, Facebook, Yandex Toolbar, Adblock Plus та серіалізацію в браузері. Мозіла не зарахувала ці crash до уразливостей, а до багів, як вона це дуже часто робить.

• MFSA 2015-115 Cross-origin restriction bypass using Fetch (деталі)

В 2011 році відбувся масовий взлом сайтів на сервері 1GB. А пізніше відбувся повторний масовий взлом цього ж сервера. Взломи тривали на протязі 2010 - 2015 років: з 09.08.2010 по 14.09.2015. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії 1GB. Взлом складався з багатьох окремих дефейсів. Останні дефейси відбулися після третього масового взлому сайтів на сервері Укртелекому.

Якщо першого разу було взломано 26 сайтів, то цього разу було взломано 68 сайтів на сервері хостера 1GB (IP 195.234.4.52). Всього 94 сайти.

Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти www.kyivobljust.gov.ua (в 2011 і 2012) та disg-rivne.gov.ua (в 2015).

Враховуючи велику кількість окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера.

Виявлена можливість виконання коду в Apache Storm.

Уразливі версії: Apache Storm 0.10.

Виконання коду на веб сервері.

• Apache Storm remote code execution vulnerability (деталі)

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox ESR 38.2, Firefox 40, Thunderbird 38.2, SeaMonkey 2.37.

Пошкодження пам’яті, розкриття інформації, DoS, переповнення буфера, обхід обмежень.

• MFSA 2015-96 Miscellaneous memory safety hazards (rv:41.0 / rv:38.3) (деталі)
• MFSA 2015-97 Memory leak in mozTCPSocket to servers (деталі)
• MFSA 2015-98 Out of bounds read in QCMS library with ICC V4 profile attributes (деталі)
• MFSA 2015-99 Site attribute spoofing on Android by pasting URL with unknown scheme (деталі)
• MFSA 2015-101 Buffer overflow in libvpx while parsing vp9 format video (деталі)
• MFSA 2015-102 Crash when using debugger with SavedStacks in JavaScript (деталі)
• MFSA 2015-103 URL spoofing in reader mode (деталі)
• MFSA 2015-104 Use-after-free with shared workers and IndexedDB (деталі)
• MFSA 2015-105 Buffer overflow while decoding WebM video (деталі)
• MFSA 2015-106 Use-after-free while manipulating HTML media content (деталі)
• MFSA 2015-107 Out-of-bounds read during 2D canvas display on Linux 16-bit color depth systems (деталі)
• MFSA 2015-108 Scripted proxies can access inner window (деталі)
• MFSA 2015-109 JavaScript immutable property enforcement can be bypassed (деталі)
• MFSA 2015-110 Dragging and dropping images exposes final URL after redirects (деталі)
• MFSA 2015-111 Errors in the handling of CORS preflight request headers (деталі)
• MFSA 2015-112 Vulnerabilities found through code inspection (деталі)
• MFSA 2015-113 Memory safety errors in libGLES in the ANGLE graphics library (деталі)
• MFSA 2015-114 Information disclosure via the High Resolution Time API (деталі)

У жовтні, 01.10.2015, вийшли PHP 5.5.30 і PHP 5.6.14. У версії 5.5.30 виправлено 2 уразливості, у версії 5.6.14 виправлено багато багів і 2 уразливості.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.5.x і 5.6.x.

У PHP 5.5.30 і 5.6.14 виправлено:

• Виправлено дві уразливості.
• Проблеми в модулі OpenSSL (PHP 5.6.14).

По матеріалам http://www.php.net.

Торік відбувся новий масовий взлом сайтів на сервері Укртелекому. Він відбувся 27-28.02.2014 і 20-21.05.2014. Другий масовий взлом сайтів на сервері Укртелекому відбувся раніше.

Був взломаний сервер української компанії Укртелеком. Взлом складався з двох масових дефейсів.

Всього був взломаний 21 сайт (причому всі державні) на сервері хостера Укртелеком (IP 212.113.36.194). Це наступні українські державні сайти: novomoskovsk-rada.gov.ua, uns.adm-pl.gov.ua, brody-rda.gov.ua, agroprom.gov.ua, apcourtlg.gov.ua, dzz.gov.ua, nmrda.gov.ua, sumy.ukrstat.gov.ua, vbeloz.gov.ua, kryshtalevypalats.gov.ua, mrr.gov.ua, khedai.gov.ua, pfu-sumy.gov.ua, sumyrayrada.gov.ua, sumylis.gov.ua, rada-vv.gov.ua, dairivne.gov.ua, www.zaksoc.gov.ua, www.dabksumy.gov.ua, rivneoblzem.gov.ua, www.sumyzemres.gov.ua.

З зазначеного 21 сайту 5 сайтів були взломані хакером PentaSec та 16 сайтів хакером Libero.

Цілком імовірно, що дані сайти могли бути атаковані хакерами через взлом серверу хостінг провайдера. Також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів.