Архів за Липень, 2014

Фізичний вимір безпеки державних сайтів

23:57 31.07.2014

Окрім інформаційної безпеки державних сайтів є ще фізичний вимір безпеки. Він полягає в тому, в якій країні фізично розміщені державні сайти.

За період 2011-2014 років я виявив, що багато державних сайтів хоститься не в Україні. Ще в 2012 році я оприлюднив статтю Хостінги державних сайтів - про своє дослідження gov.ua сайтів, що хостяться за кордоном.

Розміщення державних сайтів на серверах інших країн я вважаю серйозною проблемою. Бо вся важлива, конфіденційна чи секретна інформація легко може бути отримана хостером або спецслужбами тієї країні, де розміщений сервер. Це як здача національних інтересів. Що є несерйозним і це потрібно виправляти.

Тоді я написав про сайти, що хостяться в Германії и США. Але серед державних сайтів є багато таких, що хостяться в Росії.

Зокрема в 2013-2014 роках я виявив наступні gov.ua сайти на російських хостінгах:

  • dubno-adm.gov.ua
  • milicialviv.gov.ua
  • utmlviv.gov.ua
  • turka-rda.gov.ua
  • turka-culture.gov.ua

Враховуючи війну Росії проти України, розміщення державних сайтів в РФ є не допустимим, це просто державна зрада. Всі ці сайти повинні бути переведені на український хостинг. Це стосується взагалі всіх державних сайтів на закордонних хостінгах.

Численні уразливості в Mozilla Firefox, Thunderbird, Seamonkey

22:46 31.07.2014

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 30, Firefox ESR 24.6, Thunderbird 24.6, Seamonkey 2.26.1.

Численні пошкодження пам’яті, переповнення буфера.

  • Mozilla Foundation Security Advisory 2014-56 (деталі)
  • Mozilla Foundation Security Advisory 2014-57 (деталі)
  • Mozilla Foundation Security Advisory 2014-58 (деталі)
  • Mozilla Foundation Security Advisory 2014-59 (деталі)
  • Mozilla Foundation Security Advisory 2014-60 (деталі)
  • Mozilla Foundation Security Advisory 2014-61 (деталі)
  • Mozilla Foundation Security Advisory 2014-62 (деталі)
  • Mozilla Foundation Security Advisory 2014-63 (деталі)
  • Mozilla Foundation Security Advisory 2014-64 (деталі)
  • Mozilla Foundation Security Advisory 2014-65 (деталі)
  • Mozilla Foundation Security Advisory 2014-66 (деталі)

Похакані сайти №268

20:01 31.07.2014

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • DDoS атака на president.gov.ua (КіберБеркут) - 29.07.2014 - атакований державний сайт
  • http://www.gaisumy.gov.ua (хакером UAH-Crew) - 14.01.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://gutszndn.gov.ua (хакером HighTech) - 04.02.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://turka-culture.gov.ua (хакером LUN4T1C0) - 30.03.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://turka-rda.gov.ua (хакером LUN4T1C0) - 30.03.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://promedlab.net (хакером norton) - 20.03.2014, зараз сайт вже виправлений адмінами
  • http://ekstramed.com.ua (хакером HighTech) - 20.03.2014, зараз сайт вже виправлений адмінами
  • http://vnk1.kiev.ua (хакером d3b~X) - 18.04.2014, зараз сайт вже виправлений адмінами
  • http://www.jeansy.com.ua (хакером d3b~X) - 22.05.2014, зараз сайт вже виправлений адмінами
  • http://o-doctore.org (хакерами з Tangerang Cyber Army) - 12.06.2014, зараз сайт вже виправлений адмінами

Добірка уразливостей

17:20 31.07.2014

В даній добірці уразливості в веб додатках:

  • RSA BSAFE SSL-C Security Update for SSL/TLS Plaintext Recovery (aka “Lucky Thirteen”) Vulnerability (деталі)
  • Remote code execution in Apache Syncope (деталі)
  • SQL Injection in AdRotate (деталі)
  • Cross-Site Scripting (XSS) in Ilch CMS (деталі)
  • RSA Archer GRC Multiple Vulnerabilities (деталі)

Уразливості в плагінах для WordPress №149

23:51 30.07.2014

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Photocrati, Stop User Enumeration та Dandelion. Для котрих з’явилися експлоіти. Photocrati - це тема движка, Stop User Enumeration - це секюріті плагін (для захисту від підбору логінів), Dandelion - це тема движка.

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Липневі DDoS атаки на сайти ДНР і ЛНР

22:49 30.07.2014

В червні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце в липні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на donetsk-gov.su - 01.07.2014 (після чого сайт був закритий)
DDoS на dnrtv.ru - 01.07.2014 і 04.07.2014
DDoS на kharkov-resp.su - 01-02.07.2014, 05.07.2014 і 11.07.2014
DDoS на ungu.org - 05-13.07.2014
DDoS на ukrnovosti.info - 06-13.07.2014
DDoS на dobrovolec.org - 06.07.2014
DDoS на iskra-news.info - 07.07.2014 (після чого сайт був закритий)
DDoS на novorus.info - 08-10.07.2014 і 13.07.2014
DDoS на newsdon.info - 10.07.2014 і 13.07.2014
DDoS на dnrepublic.info - 11.07.2014 (після чого сайт був закритий)
DDoS на odessa-antimaydan.com - 12-13.07.2014
DDoS на nol.su - 12-13.07.2014
DDoS на 3rm.info - 13.07.2014
Та інші сайти в липні.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

DoS проти PHP і libgd

20:13 30.07.2014

Виявлена можливість проведення DoS атаки проти PHP і libgd.

Уразливі продукти: PHP 5.4, libgd 2.0.

Звертання по нульовому вказівнику при розборі файлів XPM.

Добірка експлоітів

17:25 30.07.2014

В даній добірці експлоіти в веб додатках:

  • D-link DSL-2760U-E1 - Persistent XSS Vulnerability (деталі)
  • Python CGIHTTPServer Encoded Path Traversal Vulnerability (деталі)
  • Thomson TWG87OUIR - POST Password CSRF Vulnerability (деталі)
  • Sercomm TCP/32674 Backdoor Reactivation (деталі)
  • Adobe Flash Player Regular Expression Heap Overflow (деталі)

Інфіковані сайти №200

22:42 29.07.2014

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://dfp.gov.ua - інфікований державний сайт - інфекція була виявлена 10.07.2014. Зараз сайт не входить до переліку підозрілих.
  • http://mycargo.com.ua - інфекція була виявлена 02.06.2014. Зараз сайт не входить до переліку підозрілих.
  • http://igsu.org.ua - інфекція була виявлена 13.05.2014. Зараз сайт входить до переліку підозрілих.
  • http://rks.kr.ua - інфекція була виявлена 07.06.2014. Зараз сайт не входить до переліку підозрілих.
  • http://pro-interior.com.ua - інфекція була виявлена 11.06.2014. Зараз сайт не входить до переліку підозрілих.
  • http://vechirka.pl.ua - інфекція була виявлена 29.07.2014. Зараз сайт входить до переліку підозрілих.
  • http://kep.kr.ua - інфекція була виявлена 07.06.2014. Зараз сайт не входить до переліку підозрілих.
  • http://prichernomorie.com.ua - інфекція була виявлена 26.05.2014. Зараз сайт не входить до переліку підозрілих.
  • http://teza.in.ua - інфекція була виявлена 13.06.2014. Зараз сайт не входить до переліку підозрілих.
  • http://sintal.com.ua - інфекція була виявлена 19.06.2014. Зараз сайт не входить до переліку підозрілих.

Численні уразливості в Apache

20:03 29.07.2014

Виявлені численні уразливості безпеки в Apache.

Уразливі версії: Apache 2.4.

Переповнення буфера в mod_status, DoS через mod_proxy, mod_deflate, mod_cgid.