Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.scourt.gov.ua (хакером LOST SOULS) - 04.09.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.vlada-yahotyn.gov.ua (хакерами з Suram-Crew) - 02.01.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://cabel-provod.com (хакером Sejeal) - 08.08.2013, зараз сайт не працює
• http://carsystems.com.ua (хакером fallag tnx hani xavi) - 09.12.2013, зараз сайт вже виправлений адмінами
• http://www.fotki.zp.ua (хакером fallag tnx hani xavi) - 09.12.2013, зараз сайт вже виправлений адмінами

Сьогодні вийшла нова версія програми DAVOSET v.1.1.7. Це випуск нової надії - New Hope Edition. В новій версії:

• Додав нові сервіси в повний список зомбі.
• Додав підтримку годин в таймері.
• Покращив підтриму плагіна Google Maps 3.

Всього в списку міститься 151 зомбі-сервіс, які готові нанести удар по сайтам злочинного режиму.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.1.7.rar.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Highlight Premium Theme, Make A Statement та Tweet Blender. Для котрих з’явилися експлоіти. Highlight Premium Theme - це тема движка, Make A Statement - це тема движка, Tweet Blender - це плагін для розміщення на сайті повідомлень з Twitter.

• WordPress Highlight Premium Theme CSRF / Shell Upload (деталі)
• WordPress Make A Statement Cross Site Request Forgery (деталі)
• WordPress Tweet Blender 4.0.1 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У грудні, 31.12.2013, я виявив численні уразливості в плагіні VideoWhisper Live Streaming Integration для WordPress. Це Cross-Site Scripting та Code Execution через Arbitrary File Uploading. Про що найближчим часом повідомлю розробникам веб додатку.

Стосовно плагінів для WordPress раніше я писав про уразливості в Contact Form 7 для WordPress.

Детальна інформація про уразливості з’явиться пізніше.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://xekaxoz.pp.ua - інфекція була виявлена 06.02.2014. Зараз сайт входить до переліку підозрілих.
• http://coagulant.com.ua - інфекція була виявлена 24.01.2014. Зараз сайт не входить до переліку підозрілих.
• http://xoloxyz.pp.ua - інфекція була виявлена 25.12.2013. Зараз сайт входить до переліку підозрілих.
• http://qww.com.ua - інфекція була виявлена 06.02.2014. Зараз сайт не входить до переліку підозрілих.
• http://tetra.zp.ua - інфекція була виявлена 02.02.2014. Зараз сайт не входить до переліку підозрілих.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах ThisWay, Gallery Bank та Kernel. Для котрих з’явилися експлоіти. ThisWay - це тема движка, Gallery Bank - це плагін для створення галерей зображень, Kernel - це тема движка.

• WordPress ThisWay Shell Upload (деталі)
• WordPress Gallery Bank 2.0.19 Cross Site Scripting (деталі)
• WordPress Theme Kernel Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.golovderzhkarantyn.gov.ua (хакером Dr.SHA6H) - 18.08.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.korosten-rayrada.in.ua (хакером Hmei7) - 23.08.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://revizor911.com (хакером Sejeal) - 16.08.2013, зараз сайт вже виправлений адмінами
• http://www.creativeschool.com.ua (хакером M05L3K) - 07.01.2014, зараз сайт вже виправлений адмінами
• http://chehly.com.ua (хакером Ayyildiz tim) - 11.01.2014, зараз сайт вже виправлений адмінами

У січні, 23.01.2014, вийшла нова версія WordPress 3.8.1.

WordPress 3.8.1 це багфікс випуск нової 3.8 серії. В якому розробники виправили 31 баг.

Офіційно жодних уразливостей не виправлено, лише баги. Але треба враховувати, що розробники WP полюбляють виправляти дірки приховано. Лише в минулому році я виявив десятки приховано виправлених уразливостей в WP, про що я писав раніше.

09.10.2013

У вересні, 17.09.2013, я виявив нові уразливості в плагіні Contact Form 7 для WordPress. Про що найближчим часом повідомлю розробникам веб додатку.

Раніше я вже писав про Code Execution в Contact Form 7 для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

28.01.2014

Code Execution (WASC-31):

Атака відбувається через аплоадер. Для виконання коду треба використати обхідні методи для IIS і Apache. Можна використати “;” в імені файла (1.asp;.txt) на IIS або подвійні розширення (1.php.txt) на Apache.

В контактній формі потрібно, щоб був тег аплоадера.

[file file-423]

Файли завантажуються в папку:

http://site/wp-content/uploads/wpcf7_uploads/

При створенні цієї папки створюється файл .htaccess (Deny from all).

Це можна обійти або при використанні інших веб серверів окрім Apache (де .htaccess ігнорується), або на Апачі можна використати уразливості в WP для видалення файлів, або через LFI уразливість включити файл з цієї папки.

Уразливі Contact Form 7 3.5.3 та попередні версії. В версії 3.5.3 розробник виправив попередню CE уразливість, але не ці дві. Тому що атаки можливі на більш ранніх версіях WordPress, а в останніх версіях код самого WP блокує атаки через “крапку з комою” та подвійні розширення, тому розробник не хоче реалізовувати захист в своєму плагіні й радить використовувати останні версії движка.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://parpar.com.ua - інфекція була виявлена 15.01.2014. Зараз сайт входить до переліку підозрілих.
• http://dctel.net.ua - інфекція була виявлена 11.01.2014. Зараз сайт не входить до переліку підозрілих.
• http://zen.in.ua - інфекція була виявлена 04.12.2013. Зараз сайт входить до переліку підозрілих.
• http://misto.zp.ua - інфекція була виявлена 22.01.2014. Зараз сайт не входить до переліку підозрілих.
• http://megalit.net.ua - інфекція була виявлена 10.01.2014. Зараз сайт не входить до переліку підозрілих.