Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://personal-service.com.ua - інфекція була виявлена 10.01.2012. Зараз сайт не входить до переліку підозрілих.
• http://r-p.com.ua - інфекція була виявлена 11.12.2011. Зараз сайт не входить до переліку підозрілих.
• http://salesman.ua - інфекція була виявлена 09.01.2012. Зараз сайт не входить до переліку підозрілих.
• http://konkor.com.ua - інфекція була виявлена 10.01.2012. Зараз сайт не входить до переліку підозрілих.
• http://avangard21.com.ua - інфекція була виявлена 05.01.2012. Зараз сайт не входить до переліку підозрілих.

05.02.2012

Виявлені численні уразливості безпеки в продуктах Oracle, Sun, People Soft і MySQL.

Уразливі продукти: Oracle E-Business Suite 11.5, Oracle 10g, Oracle 11g, MySQL 5.0, MySQL 5.1, Oracle Application Server 10g, WebLogic Server 9.2, WebLogic Server 10.0, PeopleSoft Enterprise CRM 8.9 та інші продукти Oracle.

Близько 80 уразливостей у різних продуктах усунуто в щоквартальному оновленні.

• Oracle Outside In OOXML Relationship Tag Parsing Remote Code Execution Vulnerability (деталі)
• Oracle Critical Patch Update Advisory - January 2012 (деталі)

09.03.2012

Додаткова інформація.

• Oracle JD Edwards JDENET Arbitrary File Write (деталі)
• Oracle JD Edwards Security Kernel Remote Password Disclosure (деталі)
• Oracle JD Edwards SawKernel Arbitrary File Read (деталі)
• Oracle JD Edwards SawKernel GET_INI Information Disclosure (деталі)
• Oracle JD Edwards JDENET Multiple Information Disclosure (деталі)
• Oracle JD Edwards JDENET Large Packets Denial of Service (деталі)
• Oracle JD Edwards SawKernel SET_INI Configuration Modification (деталі)
• Oracle JD Edwards Security Kernel Information Disclosure (деталі)

В даній добірці уразливості в веб додатках:

• Citrix Provisioning Services Stream Service 0×40020006 Remote Code Execution Vulnerability (деталі)
• KaiBB 2.0.1 XSS and SQL Injection vulnerabilities (деталі)
• Related POC for JCE Joomla Extension (деталі)
• ZOHO ManageEngine ADSelfService Plus Administrative Access (деталі)
• Google App Enging SDK Code Execution Vulnerability (деталі)
• Citrix Provisioning Services Stream Service 0×40020000 Remote Code Execution Vulnerability (деталі)
• LedgerSMB 1.3.0 released, includes anti-XSRF framework (деталі)
• Multiple vulnerabilities in BugFree (деталі)
• Destination Search Admin Console Access Control Bypass (деталі)
• SQL injection vulnerability in BoonEx Dolphin (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://crimea.dzk.gov.ua (хакером CyberMind) - 01.12.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://brda.gov.ua (хакерами з Turkish Energy Team) - 08.12.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://www.bc-mvs.gov.ua (хакерами з Turkish Energy Team) - 08.12.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://extracomp.com.ua (хакером SonTurk) - 16.11.2011, зараз сайт вже виправлений адмінами
• http://torgsnab.net (хакером iskorpitx) - 12.08.2011, зараз сайт вже виправлений адмінами

Продовжуючи розпочату традицію, після попереднього відео про Blended threat експлоіт для Google Chrome, пропоную нове відео на веб секюріті тематику. Цього разу відео про Address Bar Spoofing в Internet Explorer. Рекомендую подивитися всім хто цікавиться цією темою.

Internet Explorer Address Bar Spoofing Vulnerability

В ролику демонструється Address Bar Spoofing уразливість в Microsoft Internet Explorer. Вразливі IE6, IE7 та IE8. Дана уразливість дозволяє підробити URL в адресному рядку браузера (що може бути використано для проведення фішинг атак). Спочатку в адресному рядку відображається одна адреса, а потім у вікні завантажується інший сайт.

Атака відбувається при відвідуванні в Internet Explorer спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

В даній добірці уразливості в веб додатках:

• HP Business Availability Center (BAC) and Business Service Management (BSM), Remote Unauthorized Access to Sensitive Information (деталі)
• SonicWall Viewpoint v6.0 SP2 - SQL Injection Vulnerability (деталі)
• Phorum 5.2.18 Cross-site scripting vulnerability (деталі)
• Netvolution referer header SQL injection vulnerability (деталі)
• Elastix PBX Extensions Enumeration (деталі)
• EMC SourceOne Web Search Sensitive Information Disclosure Vulnerability (деталі)
• Joomla Component (com_sgicatalog) <= SQL Injection Vulnerability (деталі)
• Active CMS 1.2.0 ‘mod’ Cross-site Scripting Vulnerability (деталі)
• Contao 2.10.1 Cross-site scripting vulnerability (деталі)
• openEngine 2.0 ‘key’ Blind SQL Injection vulnerability (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://ex-ua.net.ua - інфекція була виявлена 07.02.2012. Зараз сайт не входить до переліку підозрілих.
• http://anko.com.ua - інфекція була виявлена 10.02.2012. Зараз сайт входить до переліку підозрілих.
• http://orthodox.uz.ua - інфекція була виявлена 20.02.2012. Зараз сайт не входить до переліку підозрілих.
• http://wol.org.ua - інфекція була виявлена 28.02.2012. Зараз сайт входить до переліку підозрілих.
• http://webhosting.com.ua - інфекція була виявлена 06.03.2012. Зараз сайт не входить до переліку підозрілих.

Після численних DDoS атак на gov.ua сайти, у лютому в Уанеті знову були проведені масові DDoS атаки. Цього разу вони були направлені не на владні ресурси, а на ішні сайти.

Як повідомили мені минулого місяця (шляхом спаму) представники IPU, у лютому були проведені DDoS атаки на ряд сайтів пов’язаних з Дмитром Голубовим, засновником Інтернет Партії України (IPU). Були атаковані сайти інтернет-видань lb.ua і dumskaya.net, на яких розміщувалися блоги Дмитра Голубова, а також сайт Інтернет Партії України та сайт реєстратора домена www.ipu.com.ua компанії NIC.UA.

Всього були проведенні DDoS атаки на наступні сайти:

• lb.ua - 17.02.2012
• dumskaya.net - 18.02.2012
• nic.ua - 18.02-21.02.2012
• www.ipu.com.ua - 21.02.2012

Виявлена можливість виконання коду в PHP.

Уразливі версії: PHP 5.2.

Проблема з очищенням filter_globals за певних умов.

• PHP 5.2.x Remote Code Execution Vulnerability (деталі)

В даній добірці уразливості в веб додатках:

• HP StorageWorks Modular Smart Array P2000 G3, Remote Execution of Arbitrary Code (деталі)
• openEngine 2.0 ‘id’ Blind SQL Injection vulnerability (деталі)
• Bitweaver 2.8.1 Multiple Cross-site Scripting Vulnerabilities (деталі)
• European Security Services GPS v1.0 - Multiple Vulnerabilities (деталі)
• Multiple vulnerabilities in Traq (деталі)
• (0Day) HP StorageWorks P2000 G3 Directory Traversal and Default Account Vulnerabilities (деталі)
• Joomla! 1.7.0 | Multiple Cross Site Scripting (XSS) Vulnerabilities (деталі)
• SQL injection vulnerability in ATCOM Netvolution (деталі)
• vTiger CRM 5.2.x <= Remote Code Execution Vulnerability (деталі)
• vTiger CRM 5.2.x <= Multiple Cross Site Scripting Vulnerabilities (деталі)