Архів за Березень, 2012

Уразливості в плагінах для WordPress №58

23:53 31.03.2012

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Flexible Custom Post Type, Dean’s With Pwwangs Code та WordPress Integrator. Для котрих з’явилися експлоіти. Flexible Custom Post Type - це плагін для створення довільних типів постів та довільних таксономій, Dean’s With Pwwangs Code - це плагін для заміни вбудованого редактора WP на FCKeditor with pwwang’s code, WordPress Integrator - це плагін для виведення статистики движка на не WP частинах сайта або зовнішніх ресурсах.

  • wordpress Flexible Custom Post Type plugin Xss Vulnerabilities (деталі)
  • WordPress Deans With Pwwangs Code Shell Upload (деталі)
  • WordPress Integrator 1.32 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Підсумки хакерської активності в Уанеті в 2011

22:43 31.03.2012

В своєму звіті Хакерська активність в Уанеті в 1 півріччі 2011 я навів дані про діяльність хакерів в Уанеті за період з 01.01.2011 по 30.06.2011, а в звіті Хакерська активність в Уанеті в 2 півріччі 2011 - дані за період з 01.07.2011 по 31.12.2011.

За весь 2011 рік в Уанеті було проведено 1419 атак на веб сайти - 782 за перше півріччя і 637 за друге. Але додам, що я поки ще не обробив дані по всім масовим дефейсам за другу половину минулого року, то це не повні дані й взломів було набагато більше. Для порівняння, за весь 2010 рік було зафіксовано всього 1554 атаки на веб сайти. І це тільки виявлені мною випадки, реальна кількість інцидентів може бути значно вищою.

Динаміка зростання хакерської активності за минулий рік: за перше півріччя 2011 активність більша на 404% в порівнянні з аналогічним періодом 2010 року, а за друге півріччя 2011 - на 54% менше за аналогічний період 2010 року (і на 18% менше за перше півріччя 2011 року). А в цілому в 2011 році активність впала на 8% порівняно з 2010 роком - спад в 1,1 рази (але ще не всі дані мною оброблені).

В 2011 році загалом було атаковано 1419 веб ресурсів (як взломи, так і DDoS атаки), перелік яких ви можете знайти у відповідних звітах за перше і друге півріччя минулого року. А також були інфіковані 233 сайти, які вірогідно були похакані в 2011 році.

Головні тенденції 2011 року в діяльності хакерів в Уанеті:

  • Хакерська активність дещо впала - на 8% порівняно з 2010 роком (зменшення динаміки у 1,1 рази).
  • Багато сайтів в Уанеті заражуються вірусами: в 2010 я виявив 264 інфікованих сайтів, в 2011 - вже 233 сайтів (зменшення динаміки у 1,1 рази).
  • Кількість DDoS атак на сайти більша ніж в 2010 році - 28 випадків DDoS атак за рік (зростання у 1,5 рази). Це 2% від всіх атак за 2011 рік.
  • Атаковано 104 державних сайтів та інфіковано ще 9 gov.ua-сайтів.
  • Зростання взломів державних сайтів в 2,1 рази та зменшення інфікування gov.ua-сайтів в 1,4 рази порівняно з 2010 роком.

Велика кількість заражених сайтів в Уанеті (в тому числі gov.ua-сайтів) свідчить про чималий відсоток кримінальних взломів сайтів.

Підсумовуючи скажу, що активність хакерів в минулому році була високою і вона продовжить такою бути. І в 2012 році ця тенденція збережеться.

В новому році очікуйте на нові звіти про хакерську активність в Уанеті.

Новини: витік 10 мільйонів пластикових карт, ціни на 0-day експлоіти та інфіковані сайти

20:06 31.03.2012

За повідомленням www.xakep.ru, витік до 10 мільйонів карт VISA і MasterCard.

Компанії VISA і MasterCard попередили банки про інцидент в одному з американських процесінгових центрів, у результаті чого можливий витік до 10 мільйонів пластикових карт. Банкам вислані номери скомпрометованих карт для аналізу транзакций по них, що дозволить виявити джерело атаки і, можливо, особистості зловмисників. По цих картах будуть початі додаткові антифродові дії та, імовірно, буде здійснена повторна емісія карт. Першим інформацію про витік опублікував Брайан Кребс у п’ятницю, після чого інформацію офіційно підтвердили VISA і MasterCard.

За повідомленням www.itsec.ru, опубліковано прайс-лист за експлоіти для 0-day уразливостей.

Ціни на 0-day експлоіти

Не секрет, що в будь-якому бізнесі найбільш привабливим замовником є державні структури. Не виключенням виявився і ринок експлоітів для zero-day уразливостей. За даними Forbes, урядові агентства готові заплатити хакерам від $5000 до $250000 за докладну інформацію про методи атак популярного програмного забезпечення.

Днями журналіст Forbes, у продовження недавньої історії про Vupen, опублікував орієнтовну вартість експлоітів для популярних програмних продуктів. Компанія Vupen, що перемогла на останньому конкурсі Pwn2Own, займайється створенням 0-day експлотів та їх продажем розвідувальним агентствам і державним спецслужбам.

За повідомленням www.xakep.ru, McAfee щодня реєструє 6500 нових заражених веб сайтів.

Компанія McAfee опублікувала підсумковий звіт за четвертий квартал 2011 року зі статистикою по шкідливому ПЗ, кількості заражених сайтів і аналізом тенденцій веб загроз.

Серед головних підсумків кварталу. Загальна кількість шкідливого ПЗ, виявленого системами McAfee за всю історію, перевищила 75 мільйонів семплів. При цьому кількість нових шкідливих програм для десктопних систем останнім часом знижується. Але є тенденція збільшення кількості шкіливого ПЗ під мобільні платформи.

Добірка уразливостей

16:28 31.03.2012

В даній добірці уразливості в веб додатках:

Уразливості на a1market.com.ua

23:53 30.03.2012

15.12.2011

У листопаді, 09.11.2011, я знайшов Full path disclosure, Cross-Site Scripting та Brute Force уразливості на сайті http://a1market.com.ua (онлайн магазин). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливості на norma.kiev.ua.

Детальна інформація про уразливості з’явиться пізніше.

30.03.2012

FPD:

http://a1market.com.ua/1/

http://a1market.com.ua/frontend/1

http://a1market.com.ua/library/Zend/Controller/Front.php

http://a1market.com.ua/library/Zend/Application/Bootstrap/Bootstrap.php

http://a1market.com.ua/application/Bootstrap.php

XSS:

Атака можлива через параметри mode та xmlpath.

Brute Force:

http://a1market.com.ua/admin/

Дані уразливості досі не виправлені.

Вичерпання ресурсів у модулі Apache FCGID

22:47 30.03.2012

Виявлена DoS уразливість (вичерпання ресурсів) у модулі Apache FCGID.

Уразливі версії: Apache mod_fcgid 2.3.

Не працює обмеження FcgidMaxProcessesPerClass.

Березневий вівторок патчів від Microsoft

20:13 30.03.2012

У березні місяці Microsoft випустила 6 патчів. Що менше ніж у лютому.

У березневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 6 бюлетенів по безпеці. Що закривають 9 уразливостей в програмних продуктах компанії. З них один патч закриває критичну уразливість (в RDP), чотири патчі закривають важливі уразливості та один - помірну уразливість.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2. А також різних версій Visual Studio та Expression Design.

Добірка уразливостей

17:24 30.03.2012

В даній добірці уразливості в веб додатках:

  • Total Defense Suite UNC Management Console ExportReport SQL Injection Vulnerability (деталі)
  • WikkaWiki <= 1.3.2 Multiple Security Vulnerabilities (деталі)
  • PHP Inventory 1.3.1 Remote (Auth Bypass) SQL Injection Vulnerability (деталі)
  • Ariadne 2.7.6 Multiple XSS vulnerabilities (деталі)
  • Database information disclosure in Kayako Fusion (деталі)
  • HP Data Protector Media Operations, Remote Execution of Arbitrary Code (деталі)
  • Cross-Site Scripting vulnerabilities in Nagios XI < 2011R1.9 (деталі)
  • Privilege escalation vulnerabilities in Nagios XI installer < 2011R1.9 (деталі)
  • PHP-SCMS 1.6.8 “lang” parameter XSS vulnerability (деталі)
  • Owl Intranet Engine: Authentication Bypass (деталі)

Інфіковані хостери в 2 півріччі 2011 року

23:53 29.03.2012

В підсумках хакерської активності в Уанеті в 2 півріччі 2011 я зазначав, що всього за цей період я виявив 104 інфікованих сайти в Уанеті. Дані сайти хостилися на серверах різних хостінг провайдерів, як українських, так і закордонних.

Пропоную вам звіт про результати мого дослідження хостінгів, які розміщували інфіковані сайти в другому півріччі 2011 року. Багато з цих хостінг провайдерів робили це і в першому півріччі. Щоб і хостери і Інтернет користувачі знали найбільших розповсюджувачів шкідливого програмного забезпечення (через інфіковані сайти).

В другому півріччі минулого року наступні хостінг провайдери розміщували на своїх серверах інфіковані сайти: AIKOTECH, ANSUA, APEXNCC, Adamant, Besthosting, Bluehost, CTISYSTEMS, CaroNet, Colocall, Compubyte Limited, DATASVIT, Dprc, Datagroup, Delta-X, Dream Line, Freehost, GARANT, HBUA, HOSTING, Hetzner, HostPark, Hvosting, ITLAS, Infocom, Interframe, LUCKYLINE, LeaseWeb, MiroHost, NAVIGATOR, NET, NTUU, OVERSUN, Operator of Virtual Data Computing, Pavlabor, QL, ROOT, RTCOMM, SEVENUP, STEADFAST, Service Online, UAIPT, UARNet, UKRINDEX, Uteam, Volia, Webalta, Wnet, inferno.name, Візор, Укртелеком.

Найбільші інфіковані хостери (TOP-10):

  1. Datagroup - 10 сайтів
  2. Freehost - 8 сайтів
  3. Compubyte Limited - 7 сайтів
  4. Webalta - 5 сайтів
  5. HBUA - 4 сайтів
  6. Укртелеком - 4 сайтів
  7. MiroHost - 4 сайтів
  8. ANSUA - 4 сайтів
  9. Hetzner - 3 сайтів
  10. LeaseWeb - 3 сайтів

Всього було виявлено хостінги 96 сайтів з 104. У випадку інших 8 сайтів визначити хостінги не вдалося, тому що в даний момент ці сайти вже не працювали (вони явно були закриті через розміщення malware на цих ресурсах).

Захист від XSS атак за допомогою MSD

20:49 29.03.2012

В презентації Introducing Malware Script Detector, d0ubl3_h3lix розповідає про MSD. Цей додаток до Firefox (який сумісний зі всіма браузерами на движку Gecko), може використовуватися для захисту від XSS атак.

Він є аналогом таких аддонів до Firefox як NoScript та XSS warning. Окрім версії MSD реалізованої як плагін до додатку GreaseMonkey, є також самостійна версія (для встановлення на веб сайтах).