Websecurity - Веб безпека

Виходячи з моїх звітів про веб додатки на інфікованих сайтах в 1 півріччі та веб додатки на інфікованих сайтах в 2 півріччі, я підведу підсумки. Та наведу загальну статистику про веб додатки на інфікованих сайтах в 2014 році.

Як я зазначав в своїх звітах про хакерську активність в Уанеті, в першому півріччі було інфіковано 83 сайти, а в другому півріччі було інфіковано 80 сайтів. Всього 163 сайтів за 2014 рік. І з них на 70 сайтах вдалося виявити движки.

На перевірених в минулому році сайтах використовуються наступні движки:

Joomla - 25
DataLife Engine - 9
WordPress - 9
Drupal - 6
uCoz - 6
CNCat - 3
Zen Cart - 2
I-Soft Bizness - 1
Kohana - 1
osCommerce - 1
PHP-Nuke - 1
PrestaShop - 1
SiteEdit - 1
WebCommander CMS - 1
Webconstructor - 1
WebElite CMS - 1
Webo CMS - 1

Зазначу, що трійка лідерів серед веб додатків у першому й другому півріччі була незмінною. Й відповідно в підсумкових результатах за весь рік.

Тобто майже всі інфіковані сайти, з числа працюючих, використовували опенсорс веб додатки. Більшість з них публічні відкриті CMS, але деякі й комерційні відкриті веб програми.

В даній добірці уразливості в веб додатках:

• Open-Xchange Security Advisory 2014-03-17 (деталі)
• Apache OFBiz Cross-site scripting (XSS) vulnerability (деталі)
• check_mk vulnerabilities (деталі)
• cacti security update (деталі)
• Open-Xchange Security Advisory 2014-01-17 (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Disqus, WPtouch Mobile, Slideshow Gallery, Huge IT Image Gallery та різних темах. Для котрих з’явилися експлоіти. Disqus - це плагін для написання коментарів, WPtouch Mobile - це плагін, що додає елегантну мобільну тему для мобільних відвідувачів сайта, Slideshow Gallery - це плагін для створення галереї зображень зі слайдшоу, Huge IT Image Gallery - це плагін для створення галереї зображень та теми Ultimate, IncredibleWP, Ultimatum, Medicate, Centum, Avada, Striking, Beach, CuckooTap, eShop.

• WordPress Disqus 2.7.7 Cross Site Request Forgery (деталі)
• WordPress WPtouch Mobile 3.4.5 Shell Upload (деталі)
• WordPress Slideshow Gallery 1.4.6 Shell Upload (деталі)
• WordPress Multiple Themes Arbitrary File Download (деталі)
• WordPress Huge IT Image Gallery 1.0.0 SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжуючи розпочату традицію, після попереднього відео про визначення і протидію стеженню, пропоную нове відео на секюріті тематику. Цього разу відео про витоки секретів виробництва. Рекомендую подивитися всім хто цікавиться цією темою.

DEF CON 22 - Michael Schrenk - You’re Leaking Trade Secrets

Влітку на конференції DEFCON 22 відбувся виступ Michael Schrenk. В своєму виступі він розповів про витоки секретної інформації. Зокрема секретів виробництва, тобто комерційної таємниці.

Він розповів про те, як в Інтернет витікає багато секретної інформації. Особливо комерційних таємниць компаній. І як її можна знайти, без жодних взломів, лише скориставшись пошуковими системами (про такі речі я розповідав неодноразово з 2006 року). Рекомендую подивитися дане відео для розуміння проблеми витоку інформації та комерційної таємниці.

У квітні, 16.04.2015, вийшли PHP 5.4.40, PHP 5.5.24 і PHP 5.6.8. У версії 5.4.40 виправлено 15 уразливостей, у версіях 5.5.24 і 5.6.8 виправлено декілька багів і 20 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.4.x, 5.5.x і 5.6.x.

У PHP 5.4.40, 5.5.24 і 5.6.8 виправлено:

• Потенційне віддалене виконання коду в Apache 2.4 apache2handler.
• Помилка з типізацією в exception::getTraceAsString.
• Помилка з типізацією в php_stream_url_wrap_http_ex().
• NULL byte дозволялися в шляхах в різних модулях PHP.
• Уразливості в модулях cURL, Ereg, Fileinfo, GD, Phar, Postgres, SOAP, Sqlite3.

По матеріалам http://www.php.net.

У квітні місяці Microsoft випустила 11 патчів. Що менше ніж у березні.

У квітневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 11 бюлетенів по безпеці. Що закривають 26 уразливостей в програмних продуктах компанії. Чотири патчі закривають критичні уразливості та сім патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1 та RT 8.1. А також Microsoft Office, Internet Explorer, SharePoint Server, .NET Framework, Windows Hyper-V і XML Core Services.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://autobaza.pz.gov.ua (хакером Cyb3r_Sw0rd) - 24.02.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.dzhankoi-rada.gov.ua (хакером Nofawkx Al) - 26.02.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://tarplast.com.ua (хакером the_warri0r) - 25.03.2015, зараз сайт вже виправлений адмінами
• http://www.academy.org.ua (хакером Nofawkx Al) - 26.02.2015, зараз сайт вже виправлений адмінами
• http://dontechprom.ua (хакером YunusIncredibl) - 10.03.2015, зараз сайт вже виправлений адмінами

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10, 11 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1.

Численні пошкодження пам’яті.

• Microsoft Security Bulletin MS15-018 - Critical Cumulative Security Update for Internet Explorer (3032359) (деталі)
• Microsoft Security Bulletin MS15-032 - Critical Cumulative Security Update for Internet Explorer (3038314) (деталі)

В даній добірці експлоіти в веб додатках:

• Jetty 9.2.8 Shared Buffer Leakage Vulnerability (деталі)
• D-Link and TRENDnet ‘ncc2′ service - multiple Vulnerabilities (деталі)
• Android WAPPushManager SQL Injection Vulnerability (деталі)
• Pandora FMS SQL Injection Remote Code Execution Vulnerability (деталі)
• ARRIS VAP2500 Management Portal Remote Command Execution Vulnerability (деталі)

В своєму звіті про хакерську активність в Уанеті в 2 півріччі 2014, я згадував, що в другому півріччі було інфіковано 80 сайтів (з них 2 державних сайтів).

Сьогодні я провів дослідження сайтів, що були інфіковані в другому півріччі 2014 року, і на 32 сайтах вдалося виявити движки. Частина з 80 сайтів вже не працювала, декілька використовують html (при цьому частина з них ховає php-додатки за розширенням html), а ще частина використовували власні php-скрипти.

На перевірених сайтах використовуються наступні движки:

Joomla - 7
DataLife Engine - 4
WordPress - 4
Drupal - 3
uCoz - 3
CNCat - 2
Zen Cart - 2
I-Soft Bizness - 1
Kohana - 1
osCommerce - 1
PHP-Nuke - 1
PrestaShop - 1
WebCommander CMS - 1
WebElite CMS - 1

Тобто майже всі інфіковані сайти, з числа працюючих, використовували (за станом на сьогодні) опенсорс веб додатки.