Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://kamadm.gov.ua - інфікований державний сайт - інфекція була виявлена 28.07.2014. Зараз сайт не входить до переліку підозрілих.
• http://vuderta-school.at.ua - інфекція була виявлена 22.07.2014. Зараз сайт не входить до переліку підозрілих.
• http://snasti.com.ua - інфекція була виявлена 30.09.2014. Зараз сайт входить до переліку підозрілих.
• http://kamvpu.ucoz.ua - інфекція була виявлена 18.07.2014. Зараз сайт не входить до переліку підозрілих.
• http://veteran.kiev.ua - інфекція була виявлена 18.09.2014. Зараз сайт не входить до переліку підозрілих.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах All In One Carousel, Post To PDF та Widget Control. Для котрих з’явилися експлоіти. All In One Carousel - це плагін для ротації банерів, Post To PDF - це плагін для публікації в формат PDF, Widget Control - це плагін для керування віджетами.

• Wordpress all_in_one_carousel Plugin XSS, CSRF Vuln (деталі)
• WordPress Post To PDF 2.3.1 Cross Site Scripting (деталі)
• WordPress Widget Control 1.0.1 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Раніше я вже писав про численні уразливості в численних темах для WordPress виробництва RocketTheme. Окрім тем цих розробників я виявив подібні уразливості в багатьох темах інших розробників (в тому числі в custom темах).

Інформую про Cross-Site Scripting, Content Spoofing та Full path disclosure уразливості в темі Refraction для WordPress. Розробленої RocketTheme.

Папка теми може називатися refraction або rt_refraction_wp.

Cross-Site Scripting (WASC-08):

http://site/wp-content/themes/refraction/js/rokbox/jwplayer/jwplayer.swf?abouttext=Player&aboutlink=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

Ця XSS уразливість є лише в нових версіях теми з 5.x версією JW Player:

http://site/wp-content/themes/rt_refraction_wp/js/rokbox/jwplayer/jwplayer.swf?playerready=alert(document.cookie)

Content Spoofing (WASC-12):

http://site/wp-content/themes/refraction/js/rokbox/jwplayer/jwplayer.swf?file=1.flv&backcolor=0xFFFFFF&screencolor=0xFFFFFF
http://site/wp-content/themes/refraction/js/rokbox/jwplayer/jwplayer.swf?file=1.flv&image=1.jpg
http://site/wp-content/themes/refraction/js/rokbox/jwplayer/jwplayer.swf?config=1.xml
http://site/wp-content/themes/refraction/js/rokbox/jwplayer/jwplayer.swf?abouttext=Player&aboutlink=http://site

Full path disclosure (WASC-13):

В папці http://site/wp-content/themes/refraction/ (http://site/wp-content/themes/rt_refraction_wp/) в index.php та багатьох інших php-файлах теми є FPD, що спрацьовують при налаштуваннях PHP по замовчуванню.

Уразливі всі версії теми Refraction для WordPress.

У серпні Українські Кібер Війська окрім того, що взломали сайт Міністерства Оборони РФ, також взломали державний сервер Російської Федерації.

09.08.2014 Українські Кібер Війська захопили російських державний сервер. Всього було отримано та викладено в Інтернет 9,13 ГБ даних в архівах. В розархівованому вигляді це 33,97 ГБ даних.

Для демонстрації спочатку я розмістив один документ, а сьогодні ще два документи з цього серверу.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://dik.gov.ua (хакером Lootz) - 04.09.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://chasovrada.gov.ua (хакером Ali-HAwleRy) - 10.09.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://okotele.com (хакером xWARRIORtn) - 25.06.2014, зараз сайт вже виправлений адмінами
• http://okotel.net (хакером xWARRIORtn) - 25.06.2014, зараз сайт вже виправлений адмінами
• http://ptf.kiev.ua (хакером xWARRIORtn) - 25.06.2014, зараз сайт вже виправлений адмінами

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах EasyMedia Gallery, Thank You Counter Button та Zedity. Для котрих з’явилися експлоіти. EasyMedia Gallery - це плагін для створення медіа галерей, Thank You Counter Button - це плагін для додавання кнопки “Thank You” з рахівником натискань, Zedity - це візуальний текстовий редактор.

• WordPress EasyMedia Gallery 1.2.29 Cross Site Scripting (деталі)
• WordPress Thanks You Counter Button 1.8.7 Cross Site Scripting (деталі)
• WordPress Zedity 2.4.0 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://mastersam.com.ua - інфекція була виявлена 14.09.2014. Зараз сайт входить до переліку підозрілих.
• http://catalog.if.ua - інфекція була виявлена 14.09.2014. Зараз сайт не входить до переліку підозрілих.
• http://list.poltava.ua - інфекція була виявлена 13.09.2014. Зараз сайт не входить до переліку підозрілих.
• http://poltava.info - інфекція була виявлена 13.09.2014. Зараз сайт не входить до переліку підозрілих.
• http://globalmarket.com.ua - інфекція була виявлена 22.09.2014. Зараз сайт не входить до переліку підозрілих.

У вересні, 04.09.2014, вийшла нова версія WordPress 4.0.

WordPress 4.0 це перший випуск нової 4.0 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, а також виправлено чимало багів.

Серед головних покращень зокрема можна відзначити покращене управління медіа файлами, більше зручний текстовий редактор, зручне включення “ембедів” - від відео з YouTube та інших сервісів, до музики, зображень і твітів. А також новий браузер плагінів та нова тема по замовчуванню

Окрім покращень для користувачів також було зроблено багато покращень для розробників.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://poladm.gov.ua (хакером AnonGhost) - 14.08.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://genichesk-rda.gov.ua (хакером HighTech) - 26.08.2014 - похаканий державний сайт, файл хакерів все ще знаходиться на сайті
• http://farforopt.com (хакером xWARRIORtn) - 25.06.2014, зараз сайт вже виправлений адмінами
• http://aunas.info (хакером xWARRIORtn) - 25.06.2014, зараз сайт вже виправлений адмінами
• http://forest10.com.ua (хакером xWARRIORtn) - 25.06.2014, зараз сайт вже виправлений адмінами

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Buddypress, Better WP Security та Media File Renamer. Для котрих з’явилися експлоіти. Buddypress - це плагін для створення форуму, Better WP Security - це секюріті плагін, Media File Renamer - це плагін для перейменування медійних файлів.

• WordPress Buddypress 1.9.1 Privilege Escalation (деталі)
• WordPress Better WP Security 3.6.3 XSS / Disclosure (деталі)
• WordPress Media File Renamer 1.7.0 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.