Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://mastersam.com.ua - інфекція була виявлена 14.09.2014. Зараз сайт входить до переліку підозрілих.
• http://catalog.if.ua - інфекція була виявлена 14.09.2014. Зараз сайт не входить до переліку підозрілих.
• http://list.poltava.ua - інфекція була виявлена 13.09.2014. Зараз сайт не входить до переліку підозрілих.
• http://poltava.info - інфекція була виявлена 13.09.2014. Зараз сайт не входить до переліку підозрілих.
• http://globalmarket.com.ua - інфекція була виявлена 22.09.2014. Зараз сайт не входить до переліку підозрілих.

В даній добірці уразливості в веб додатках:

• Adtran Netvanta Remote Code Injection via XSS (деталі)
• SQL injection and persistent XSS in the Typo3 3rd party extension si_bibtex (деталі)
• CGILua session.lua Predictable Session ID Vulnerability (деталі)
• Phpbb Forum Denial of Service Vulnerability (деталі)
• Denial of service vulnerability in Citrix NetScaler (деталі)

10.05.2014

У лютому, 15.02.2014, я виявив численні уразливості в Adobe Acrobat Connect Pro. Цей додаток раніше був відомий як Macromedia Breeze, а зараз зветься Adobe Connect. Це Brute Force, Cross-Site Request Forgery, Cross-Site Scripting та Redirector уразливості. Про що найближчим часом повідомлю розробникам веб додатку.

Стосовно програм Adobe, в яких я знаходив дірки, раніше я писав про DoS уразливість в Adobe Flash.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

20.09.2014

Brute Force (WASC-11):

http://server.webinar.ua/system/login

В формі логіна немає захисту від BF атак.

Cross-Site Request Forgery (WASC-09):

http://server.webinar.ua/system/login

В формі логіна немає захисту від CSRF атак. Також в цьому функціоналі є XSS і Redirector уразливості.

Продовжуючи розпочату традицію, після попереднього відео про бекдори, урядовий хакінг та криптографічні війни, пропоную нове відео на веб секюріті тематику. Цього разу відео про атаки на мережеві користувацькі пристрої. Рекомендую подивитися всім хто цікавиться цією темою.

Defcon 21 - Home Invasion 2.0 - Attacking Network-Controlled Consumer Devices

Рік тому на конференції DEFCON 21 відбувся виступ Daniel Crowley, Jennifer Savage і David Bryan. В своєму виступі вони розповіли про атаки на різноманітні мережеві користувацькі пристрої. Від електронних замків до розумних домів.

Вони розповіли та продемонстрували як можна атакувати Smart Home та мережеві пристрої, що складають його основу. Рекомендую подивитися дане відео для розуміння сучасного стану безпеки мережевих пристроїв.

В своєму звіті про хакерську активність в Уанеті в 1 півріччі 2014, я згадував, що в першому півріччі було інфіковано 83 сайти (з них 8 державних сайтів).

Сьогодні я провів дослідження сайтів, що були інфіковані в першому півріччі 2014 року, і на 38 сайтах вдалося виявити движки. Частина з 83 сайтів вже не працювала, частина використовує html (при цьому деякі з них ховають php-додатки за розширенням html), а ще частина використовували власні php-скрипти.

На перевірених сайтах використовуються наступні движки:

Joomla - 18
DataLife Engine - 5
WordPress - 5
Drupal - 3
uCoz - 3
CNCat - 1
SiteEdit - 1
Webconstructor - 1
Webo CMS - 1

Тобто майже всі інфіковані сайти, з числа працюючих, використовували (за станом на сьогодні) опенсорс веб додатки.

В даній добірці експлоіти в веб додатках:

• ISPConfig 3.0.54p1 - Authenticated Admin Local root Vulnerability (деталі)
• TP-Link TL-WR740N v4 Router (FW-Ver. 3.16.6 Build 130529 Rel.47286n) - Command Execution (деталі)
• Voipswitch 6 Local File Disclosure Vulnerability (деталі)
• VM Turbo Operations Manager 4.5.x Directory Traversal Vulnerability (деталі)
• OrbiTeam BSCW 5.0.7 Metadata Information Disclosure Vulnerability (деталі)

У вересні, 04.09.2014, вийшла нова версія WordPress 4.0.

WordPress 4.0 це перший випуск нової 4.0 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, а також виправлено чимало багів.

Серед головних покращень зокрема можна відзначити покращене управління медіа файлами, більше зручний текстовий редактор, зручне включення “ембедів” - від відео з YouTube та інших сервісів, до музики, зображень і твітів. А також новий браузер плагінів та нова тема по замовчуванню

Окрім покращень для користувачів також було зроблено багато покращень для розробників.

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 31, Firefox ESR 24.7, Thunderbird 31, Thunderbird 24.7, Seamonkey 2.26.1.

Пошкодження пам’яті, доступ до локальних файлів.

• Michal Zalewski, Uninit memory disclosure via truncated images in Firefox (деталі)
• Mozilla Foundation Security Advisory 2014-67 (деталі)
• Mozilla Foundation Security Advisory 2014-68 (деталі)
• Mozilla Foundation Security Advisory 2014-69 (деталі)
• Mozilla Foundation Security Advisory 2014-70 (деталі)
• Mozilla Foundation Security Advisory 2014-71 (деталі)
• Mozilla Foundation Security Advisory 2014-72 (деталі)

В даній добірці уразливості в веб додатках:

• HP ArcSight Enterprise Security Manager Management Web Interface, Remote Cross Site Scripting (XSS) (деталі)
• Cross-site scripting (XSS) vulnerability in Videowhisper (деталі)
• drupal6 security update (деталі)
• drupal7 security update (деталі)
• HP IceWall SSO, IceWall File Manager and IceWall Federation Agent, Multiple Remote Unauthorized Access Vulnerabilities (деталі)

Зверну вашу увагу на легальні аспекти Distributed Denial of Service атак. Сам я займаюся лише легальною діяльністю і в рамках Українських Кібер Військ закликаю проводити лише операції в правовому полі. Але деякі бійці Українських Кібер Військ проводять DDoS атаки на сайти терористів.

DDoS атаки підпадають під кримінальний кодекс. Це стаття 363-1 КК України.

Прочитайте про неї в Кримінальному кодексі України. Стаття 363-1. Перешкоджання роботі електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку шляхом масового розповсюдження повідомлень електрозв’язку.

Всі бійці, які проводять DDoS атаки, роблять це з власної ініціативи. Ризикуючи отримати кримінальне переслідування від правоохоронців, вони щодня атакують антиукраїнські сайти. Вони зробили свій вибір. Цим людям я пояснив правові аспекти їх діяльності, але вони з власної ініціативи почали блокувати роботу сайтів терористів, тому що Україна для них важливіша. Вони вірять, що роблять добру справу для країни незважаючи на особливості чинного законодавства.