Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.goradm.gov.ua (хакером KkK1337) - 09.09.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.turadm.gov.ua (хакером KkK1337) - 09.09.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://esthetology.ua (хакером ZeynnymouZ)
• http://vassr.org (хакером xWARRIORtn) - 25.06.2014, зараз сайт вже виправлений адмінами
• http://ukraina.center (проросійськими хакерами) - 09.10.2014, зараз сайт закритий

В 2010 році я писав про розповсюдження шкідливого ПЗ через TinyURL. А зараз розповім про розповсюдження шкідливого ПЗ через п’ять сервісів редирекції. Що є найбільш популярними сервісами скорочення URL.

Це наступні сервіси: tinyurl.com, bit.ly, fb.me, t.co і goo.gl. TinyURL і Bitly - це відомі редиректори, fb.me - редиректор від Facebook, t.co - редиректор від Twitter, goo.gl - редиректор від Google (що використовується в Google+ та інших їхніх сервісах).

Про можливість розповсюдження шкідливого ПЗ через редиректори я писав в 2009 році в свої статтях Редиректори: прихована загроза та Атаки через закриті редиректори. Власник сервісів редирекції я попереджав про уразливості та про можливість зловживання їхніми сервісами. Атаки на користувачів можуть відбуватися як через редирекцію на зловмисні сайти, так і через поширення шкідливого коду безпосередньо через уразливості на сервісах редирекції. Але на всі мої попередження власники даних сервісів не звертали уваги.

Ще на початку 2010 року я виявив, що tinyurl.com почав активно використовуватися для поширення malware. А пізніше виявив подібну ситуацію і з іншими сервісами редирекції. За цей час я слідкував за їх інфікованістю, бо ці сервіси постійно використовували для розповсюдження malware. Про що вирішив написати окрему статтю.

Гугл виявив наступне шкідливе ПЗ:

1. На tinyurl.com перевірено 62578 редиректорів, з яких на 368 було виявлене шкідливе ПЗ. Серед якого: 370 троянів, 235 експлоітів і 171 скриптових експлоітів.

Частина сайта була внесена до переліку сайтів із підозрілою активністю 93 рази протягом останніх 90 днів і за цей час tinyurl.com був посередником зараження 40 сайтів.

2. На bit.ly перевірено 91921 редиректорів, з яких на 677 було виявлене шкідливе ПЗ. Серед якого: 206 троянів, 185 експлоітів і 154 скриптових експлоітів.

Частина сайта була внесена до переліку сайтів із підозрілою активністю 31 раз протягом останніх 90 днів і за цей час bit.ly був посередником зараження 36 сайтів.

3. На fb.me перевірено 62456 редиректорів, з яких на 536 було виявлене шкідливе ПЗ. Серед якого: 204 троянів, 172 експлоітів і 210 скриптових експлоітів.

За останні 90 днів fb.me був посередником зараження 5 сайтів.

4. На t.co перевірено 273031 редиректорів, з яких на 135 було виявлене шкідливе ПЗ. Серед якого: 141 троянів, 50 експлоітів і 3086 скриптових експлоітів.

Частина сайта була внесена до переліку сайтів із підозрілою активністю 8 разів протягом останніх 90 днів і за цей час t.co був посередником зараження 8 сайтів.

5. На goo.gl перевірено 5295228 редиректорів, з яких на 550 було виявлене шкідливе ПЗ. Серед якого: 6226 троянів, 737 експлоітів і 109 скриптових експлоітів.

За останні 90 днів goo.gl був посередником зараження 959 сайтів.

Виявлений витік інформації в Mozilla Firefox і Microsoft Internet Explorer.

Уразливі продукти: Mozilla Firefox до 33.0, Microsoft Internet Explorer 11 та попередні версії.

Можливий витік умісту пам’яті при розборі зображень.

• two browser mem disclosure bugs (CVE-2014-1580) (деталі)

У вересні я знайшов Cross-Site Scripting уразливості в Megapolis.Portal Manager на сайті Державної служби зайнятості. Це комерційна CMS від компанії Cофтлайн. Дані уразливості я виявив ще в 2012 році на державному сайті zpd.gov.ua, а в 2014 виявив аналогічні уразливості на dcz.gov.ua.

Є багато українських державних сайтів на цій системі. Раніше я вже писав про численні уразливості в Megapolis.Portal Manager.

XSS (WASC-08):

http://site/control/uk/publish/category?dateFrom=%22%3E%3Cscript%3Ealert%28document.cookie%29%3C/script%3E
http://site/control/uk/publish/category?dateTo=%22%3E%3Cscript%3Ealert%28document.cookie%29%3C/script%3E

Про ці уразливості я повідомив розробника ще в 2012 році. Дані уразливості досі не виправлені, тому що розробник Megapolis.Portal Manager відмовився їх виправляти. Хоча інші дірки в CMS від Cофтлайн, що були на сайтах www.kmu.gov.ua та portal.rada.gov.ua, вже виправлені.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах mp3-jplayer, PrintFriendly та The Cotton. Для котрих з’явилися експлоіти. mp3-jplayer - це аудіо-плеєр, PrintFriendly - це плагін для створення сторінок для друку на принтері, The Cotton - це тема движка.

• WordPress mp3-jplayer 1.8.7 Cross Site Scripting (деталі)
• WordPress PrintFriendly 3.3.7 Cross Site Scripting (деталі)
• WordPress TheCotton Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, зокрема про DoS і DDoS атаки (статті з Вікіпедії):

• DoSnet
• Email bomb
• Fork bomb
• Hit-and-run DDoS
• Low Orbit Ion Cannon (LOIC)

Виявлені численні уразливості безпеки в Google Chrome і Chromium.

Обхід обмежень, пошкодження пам’яті, витік інформації, підміна URL.

Уразливі продукти: Google Chrome 36.0, Chromium 36.0.

• chromium-browser security update (деталі)

В даній добірці експлоіти в веб додатках:

• ZTE ZXDSL-931VII Unauthenticated Configuration Dump (деталі)
• ZyXEL Prestig P-660HNU-T1 ISP Credentials Disclosure Exploit (деталі)
• Easy File Management Web Server v5.3 - UserID Remote Buffer Overflow (ROP) (деталі)
• ElasticSearch Dynamic Script Arbitrary Java Execution (деталі)
• TORQUE Resource Manager 2.5.x-2.5.13 - Stack Based Buffer Overflow Stub (деталі)

Нещодавно зробив промо ролик для Українських Кібер Військ, що демонструють роботу відділу відео-розвідки.

Подивіться відео Українські Кібер Війська - Ukrainian Cyber Forces:

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://openroad.zp.ua - інфекція була виявлена 08.09.2014. Зараз сайт входить до переліку підозрілих.
• http://ukrtrans.com - інфекція була виявлена 03.08.2014. Зараз сайт не входить до переліку підозрілих.
• http://top.zp.ua - інфекція була виявлена 26.09.2014. Зараз сайт не входить до переліку підозрілих.
• http://ukrdom.biz - інфекція була виявлена 12.10.2014. Зараз сайт не входить до переліку підозрілих.
• http://jetline.com.ua - інфекція була виявлена 09.08.2014. Зараз сайт не входить до переліку підозрілих.