Архів за Жовтень, 2014

Репозиторії секюріті програм

20:17 29.10.2014

Додав свою програму BWA в репозиторій на https://github.com/MustLive. Тепер в мене на GitHub три програми з числа секюріті додатків, що я розробив за 2005-2014 роки:

Потім додам на GitHub інші програми. Як свої програми на тему безпеки, так і веб додатки в яких я виправив уразливості.

Добірка експлоітів

17:24 29.10.2014

В даній добірці експлоіти в веб додатках:

  • Nessus Web UI 2.3.3 Cross Site Scripting Vulnerability (деталі)
  • BMC Track-It! - Multiple Vulnerabilities (деталі)
  • D-Link DIR645, DIR865, DIR845 authentication.cgi Buffer Overflow (деталі)
  • Cogent DataHub Command Injection Exploit (деталі)
  • HP AutoPass License Server File Upload Exploit (деталі)

Уразливості в плагінах для WordPress №159

23:54 28.10.2014

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Felici, Custom, HTML Sitemap та Quick Page/Post Redirect. Для котрих з’явилися експлоіти. Felici, Custom - це теми движка, HTML Sitemap - це плагін для створення карти сайта, Quick Page/Post Redirect - це плагін для створення перенаправлення в постах і сторінках сайта.

  • WordPress Felici / Custom Background Shell Upload (деталі)
  • WordPress HTML Sitemap 1.2 Cross Site Request Forgery (деталі)
  • WordPress Quick Page/Post Redirect Plugin 5.0.3 CSRF / XSS (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Інфіковані сайти №208

20:08 28.10.2014

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://aviamodel.org.ua - інфекція була виявлена 22.10.2014. Зараз сайт входить до переліку підозрілих.
  • http://isheika.com - інфекція була виявлена 22.10.2014. Зараз сайт не входить до переліку підозрілих.
  • http://edem.ck.ua - інфекція була виявлена 26.10.2014. Зараз сайт входить до переліку підозрілих.
  • http://man.ck.ua - інфекція була виявлена 23.10.2014. Зараз сайт не входить до переліку підозрілих.
  • http://archive.org.ua - інфекція була виявлена 20.10.2014. Зараз сайт не входить до переліку підозрілих.

Добірка уразливостей

17:24 28.10.2014

В даній добірці уразливості в веб додатках:

  • openssl security update (деталі)
  • Local File Inclusion in Vtiger CRM (деталі)
  • SQL Injection in Procentia IntelliPen (деталі)
  • Spring MVC Incomplete fix for CVE-2013-4152 / CVE-2013-6429 (XXE) (деталі)
  • RSA Authentication Agent for Web for Internet Information Services (IIS) Security Controls Bypass Vulnerability (деталі)

Уразливості в D-Link DAP-1360

23:54 25.10.2014

21.05.2014

У квітні, 30.04.2014, я виявив уразливості в D-Link DAP-1360 (Wi-Fi Access Point and Router). Це Abuse of Functionality, Brute Force та Cross-Site Request Forgery уразливості.

Уразлива версія D-Link DAP-1360, Firmware 1.0.0. Дана модель з іншими прошивками також повинна бути вразливою.

Раніше я вже писав про численні уразливості в D-Link DAP 1150.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

25.10.2014

Abuse of Functionality (WASC-42):

Логін постійний: admin.

Brute Force (WASC-11):

В формі логіна http://192.168.0.50 немає захисту від Brute Force атак.

Для атаки потрібно відправляти кукіс з логіном і паролем:

Cookie: cookie_lang=ukr; client_login=admin; client_password=1

Cross-Site Request Forgery (WASC-09):

Відсутність захисту від Brute Force (такого як капча) також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін. Що стане в нагоді при проведенні атак на різні CSRF уразливості в панелі керування.

Для атаки потрібно відправляти кукіс з логіном і паролем (він може бути вказаний використовуючи Flash чи інший плагін):

Cookie: cookie_lang=ukr; client_login=admin; client_password=1

Нова версія прошивки з виправленням даних уразливостей вийде в першій половині листопада, за виключенням AoF дірки, яку вони не будуть виправляти.

Передвиборчі взломи

22:41 25.10.2014

Розповім вам про передвиборчі взломи КіберБеркуту.

24 жовтня вони взломали рекламні білборди в Києві. Є відео чотирьох таких білбордів, на яких транслювався їх відео-ролик. Хоча КіберБеркут заявив про десятки взломаних білбордів, але доказів в них немає, тому схоже, що вони перебільшили кількість хакнутих білбордів (як це вони полюбляють робити) й їх всього було чотири (до яких є відео докази).

25 жовтня вони заявили про взлом сайту і системи ЦВК. Доказом чому є дефейс сайту vyborkom.org (це система онлайн навчання членів виборчих комісій, а не офіційний сайт ЦВК) та розміщення заяви Яреми на своєму офіційному сайті (який взломав КіберБеркут і розмістив підробну заяву). Також вони виклали підроблений документ, неначе ЦВК (за підписом голови комісії) розіслав заяву про порушення функціонування системи ЦВК. Тобто їхні заяви - це фейк і 25.10.2014 КіберБеркут лише взломав сайти yarema.info і vyborkom.org.

Також в цей день повільно працював сайт cvk.gov.ua. Що було пов’язано з DDoS атакою на нього та від напливу користувачів подивитися чи не взломали цей сайт.

Вийшов Google Chrome 38

20:12 25.10.2014

У жовтні, 08.10.2014, через півтора місяці після виходу Google Chrome 37, вийшов Google Chrome 38.

В браузері зроблено багато нововведень. А також виправлено 159 уразливостей. Що є рекордом порівняно з попередніми випусками браузера.

113 уразливостей виявлені в результаті автоматизованого тестування інструментом MemorySanitizer і представляють помірний ступінь небезпеки. Окремого згадування заслуговує критична уразливість (CVE-2014-3188), що стосується помилок в движку V8 і механізмі IPC. Вона дозволяє обійти всі рівні захисту браузера і виконати код у системі, за межами sandbox-оточення.

  • Релиз web-браузера Chrome 38 с устранением 159 уязвимостей (деталі)

Українські Кібер Війська: відео розвідка

23:58 24.10.2014

Українські Кібер Війська з червня займаються розвідкою. Це аудіо і відео розвідка. Раніше я наводив промо відео Українських Кібер Військ, що демонструє можливості УКВ по спостереженню за терористами.

Ось три відео, що зроблені в рамках розвідувальної операції:

Українські Кібер Війська - Ukrainian Cyber Forces - промо відео.

Веб камера в Донецьку - УКВ виявили терориста, який відкручує веб камеру.

Українські Кібер Війська: секретне відео з бази терористів - УКВ записали секретне відео з бази терористів в Донецьку.

Похакані сайти №275

22:43 24.10.2014

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://disgvol.gov.ua (хакером Hmei7) - 12.09.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://www.nbuviap.gov.ua (хакером NG689Skw) - 14.09.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://probeg.kiev.ua (хакером Sheytan Azzam)
  • http://gdemebel.com.ua (хакером Hmei7) - 19.10.2014, зараз сайт вже виправлений адмінами
  • http://www.orlovtrans.com.ua (хакером Hmei7) - 20.10.2014, зараз сайт вже виправлений адмінами