Websecurity - Веб безпека

Українські Кібер Війська з червня займаються розвідкою. Це аудіо і відео розвідка. Раніше я наводив відео Українських Кібер Військ, що демонструють можливості Українських Кібер Військ по спостереженню за терористами.

Ось 5 нових відео, що зроблені в рамках розвідувальної операції:

Українські Кібер Війська: терористи вимкнули веб камеру в Горлівці 16.03.2015 - УКВ записали переміщення військової техніки терористів в Горлівці та як терористи вимкнули веб камеру.

Українські Кібер Війська: російська військова техніка в Криму за 24.03.2015 - УКВ записали переміщення військової техніки в Криму.

Українські Кібер Війська: російська військова техніка в Криму за 25.03.2015 - УКВ записали переміщення військової техніки в Криму.

Українські Кібер Війська: російська військова техніка в Керчі за 02.04.2015 - УКВ записали переміщення військової техніки в Криму.

Українські Кібер Війська: російська військова техніка і терористи в Криму за 07.04.2015 - УКВ записали переміщення військової техніки в Криму.

24.03.2015

Виявлені численні уразливості безпеки в Apache.

Уразливі версії: Apache 2.3, Apache 2.4.

Обхід обмежень в mod_headers, DoS в mod_cache, обхід обмежень і DoS в mod_lua, DoS в mod_proxy_fcgi, обхід захисту в mod_gnutls.

• Apache HTTP Server vulnerabilities (деталі)
• mod-gnutls security update (деталі)

23.04.2015

• Apache HTTPD 2.4.12, 2.2.29 Security Audit (деталі)
• Apache HTTP Server 2.2.29 / 2.4.12 NULL Pointer dereference in protocol.c (деталі)

В даній добірці уразливості в веб додатках:

• EMC Watch4net Information Disclosure Vulnerability (деталі)
• Opendaylight Vulnerable to Local and Remote File Inclusion in the Netconf (TCP) Service (деталі)
• drupal7 security update (деталі)
• Reflected Cross-Site Scripting (XSS) in Jamroom (деталі)
• Open-Xchange Security Advisory 2014-02-10 (деталі)

У липні, 31.07.2014, я виявив численні уразливості в Gallery для MODx. Зокрема Cross-Site Scripting, Full path disclosure, Abuse of Functionality, Denial of Service уразливості. Про що найближчим часом повідомлю розробникам веб додатку.

В компоненті Gallery для MODx використовуються phpThumb. Ця бібліотека має XSS, FPD, AoF і DoS в уразливості подібні до TimThumb, тому Gallery теж вразливий.

XSS (WASC-08):

http://site/assets/components/gallery/connector.php?action=web/phpthumb&src=%3Cbody%20onload=alert(document.cookie)%3E.jpg

Full path disclosure (WASC-13):

http://site/assets/components/gallery/connector.php?action=web/phpthumb
http://site/assets/components/gallery/connector.php?action=web/phpthumb&src=http://

Abuse of Functionality (WASC-42):

http://site/assets/components/gallery/connector.php?action=web/phpthumb&src=http://site&h=1&w=1

Denial of Service (WASC-10):

http://site/assets/components/gallery/connector.php?action=web/phpthumb&src=src=http://site/big_file&h=1&w=1

Уразливі всі версії компонента Gallery для MODx.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://kosei.com.ua - інфекція була виявлена 16.04.2015. Зараз сайт входить до переліку підозрілих.
• http://luxrent.od.ua - інфекція була виявлена 21.04.2015. Зараз сайт не входить до переліку підозрілих.
• http://akeemdom.com - інфекція була виявлена 23.04.2015. Зараз сайт входить до переліку підозрілих.
• http://seged.od.ua - інфекція була виявлена 30.03.2015. Зараз сайт не входить до переліку підозрілих.
• http://peanut.com.ua - інфекція була виявлена 31.03.2015. Зараз сайт не входить до переліку підозрілих.

Виявлені численні уразливості безпеки в Microsoft Office, а також в серверних продуктах Office Web Apps і SharePoint Server.

Уразливі продукти: Microsoft Office Web Apps 2010 SP2, 2013 SP1, Microsoft SharePoint Server 2007 SP3, 2010 SP2, SharePoint Foundation 2010 SP2, Word Automation Services on SharePoint Server 2010 SP2, 2013 SP1, SharePoint Foundation 2013 SP1, Excel Services on SharePoint Server 2013 SP1.

Виконання коду, використання пам’яті після звільнення.

• Microsoft Security Bulletin MS15-022 - Critical Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (3038999) (деталі)

В даній добірці експлоіти в веб додатках:

• Sagem F@st 3304-V2 Directory Traversal Vulnerability (деталі)
• D-Link DIR636L Remote Command Injection Vulnerability (деталі)
• Internet Explorer 8 - Fixed Col Span ID Full ASLR, DEP & EMET 5.1 Bypass (MS12-037) (деталі)
• Hikvision DVR RTSP Request Remote Code Execution Exploit (деталі)
• Advantech EKI-6340 2.05 Command Injection Vulnerability (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Disqus, All In One SEO Pack та ShortCode. Для котрих з’явилися експлоіти. Disqus - це плагін для написання коментарів, All In One SEO Pack - це плагін для пошукової оптимізації сайта, ShortCode - це мега пакет коротких кодів.

• Disqus 2.7.5 Cross Site Request Forgery / Cross Site Scripting (деталі)
• WordPress All In One SEO Pack 2.2.2 Cross Site Scripting (деталі)
• WordPress ShortCode 0.2.3 Local File Inclusion (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Пропоную ознайомитися зі звітом про хакерську активність в Уанеті в другому півріччі 2014 року.

За другу половину минулого року хакери в Уанеті вели себе дуже активно. Якщо за другу половину 2013 року в Уанеті було проведено 376 атак на веб сайти, то за другу половину 2014 року вже 464 атаки на веб сайти - це більша активність (зростання на 23%). Але атакованих сайтів явно значно більше і хакерська активність постійно зростає. Що видно з великої кількості інфікованих сайтів (які я не відношу до взломаних, бо напевно невідомо, що їх взломали, але це дуже вірогідно).

У даному звіті подана інформація про діяльність хакерів в Уанеті за наступні шість місяців 2014 року - за період з 01.07.2014 по 31.12.2014.

• www.zbarazh-rada.gov.ua (хакерами з ToP-TeaM) - 01.07.2014 - похаканий державний сайт
• DDoS на donetsk-gov.su (Українські Кібер Війська) - 01.07.2014
• DDoS на dnrtv.ru (Українські Кібер Війська) - 01.07.2014 і 04.07.2014
• DDoS на kharkov-resp.su (Українські Кібер Війська) - 01-02.07.2014, 05.07.2014 і 11.07.2014
• DDoS на sprotyv.info (КіберБеркут) - 01.07.2014 і 21.07.2014
• DDoS на nardep.org.ua (КіберБеркут) - 01.07.2014
• DDoS на depo.ua (КіберБеркут) - 01.07.2014
• DDoS на kramatorskinfo.freeforums.org (КіберБеркут) - 01.07.2014
• DDoS на cyber-berkut.org (українськими хакерами) - 03.07.2014
• DDoS на ungu.org (Українські Кібер Війська) - 05-13.07.2014 і 14-31.08.2014
• DDoS на ukrnovosti.info (Українські Кібер Війська) - 06-13.07.2014
• DDoS на dobrovolec.org (Українські Кібер Війська) - 06.07.2014
• 11 сайтів на сервері Server.ua (хакерами з United Bangladeshi Hackers) - 06.07.2014
• DDoS на iskra-news.info (Українські Кібер Війська) - 07.07.2014
• DDoS на novorus.info (Українські Кібер Війська) - 08-10.07.2014 і 13.07.2014
• k61.dn.ua (українськими хакерами) - 09.07.2014
• DDoS на newsdon.info (Українські Кібер Війська) - 10.07.2014 і 13.07.2014
• ceramology.gov.ua (хакером MyCho) - 10.07.2014 - похаканий державний сайт
• DDoS на dnrepublic.info (Українські Кібер Війська) - 11.07.2014
• DDoS на odessa-antimaydan.com (Українські Кібер Війська) - 12-13.07.2014 і 15-31.08.2014
• DDoS на nol.su (Українські Кібер Війська) - 12-13.07.2014
• DDoS на 3rm.info (Українські Кібер Війська) - 13.07.2014
• www.voladm.gov.ua (хакером Adr-Elite404) - 16.07.2014 - похаканий державний сайт
• DDoS на infoodessa.com (Українські Кібер Війська) - 16-31.07.2014
• nmckherson.gov.ua (хакером Hmei7) - 19.07.2014 - похаканий державний сайт
• ibss.nas.gov.ua (хакером Genius-Jordan) - 21.07.2014 - похаканий державний сайт
• www.ndu.edu.ua (хакером MonstersDefacer) - 21.07.2014
• www.advocate-law.com.ua (хакером Q8VA) - 26.07.2014
• www.ilyichevsk-rada.gov.ua (хакером Genius-Jordan) - 27.07.2014 - похаканий державний сайт
• www.clinic-1.gov.ua (хакером Dr.SHA6H) - 28.07.2014 - похаканий державний сайт
• DDoS на president.gov.ua (КіберБеркут) - 29.07.2014 - атакований державний сайт
• 244 сайти на сервері Delta-X (різними хакерами) - 08.2014
• np.ukr.net (російським хакером) - 02.08.2014
• DDoS на bne.su (Українські Кібер Війська) - 03.08.2014
• DDoS на новорус.рф (Українські Кібер Війська) - 03.08.2014
• esthetology.ua (хакером ZeynnymouZ) - 04.08.2014
• DDoS на novorossia.co (Українські Кібер Війська) - 05.08.2014
• unp.ua (хакером KkK1337) - 06.08.2014
• DDoS на novorossia.tv (Українські Кібер Війська) - 07.08.2014
• mediarnbo.org (проросійськими хакерами) - 09.08.2014 - похаканий державний сайт
• cfdgroup.com.ua (невідомими хакерами) - 11.08.2014
• credit-24.kiev.ua (невідомими хакерами) - 11.08.2014
• DDoS на novorossia.su (Українські Кібер Війська) - 13.08.2014 і 15.08.2014
• DDoS на odnarodyna.com.ua (Українські Кібер Війська) - 13-15.08, 17-19.08 і 24-31.08.2014
• DDoS на novorossiya.name (Українські Кібер Війська) - 14-15.08.2014
• poladm.gov.ua (хакером AnonGhost) - 14.08.2014 - похаканий державний сайт
• DDoS на bolotov-lg.ru (Українські Кібер Війська) - 15.08.2014 і 17.08.2014
• DDoS на reportage24.ru (Українські Кібер Війська) - 16-17.08.2014
• DDoS на icp.su (Українські Кібер Війська) - 18.08.2014
• DDoS на rusdozor.ru (Українські Кібер Війська) - 19.08.2014
• mira-foto.com.ua (хакером Hmei7) - 19.08.2014
• www.anilorak.com - 21.08.2014 (проукраїськими хакерами)
• DDoS на mfa.gov.ua (проросійськими хакерами) - 22.08.2014 - атакований державний сайт
• DDoS на molotpravdu.com (Українські Кібер Війська) - 23.08.2014
• DDoS на lvs-global.ru (Українські Кібер Війська) - 24.08 і 29-31.08.2014
• DDoS на slemtt.myjino.ru (Українські Кібер Війська) - 24.08 і 29-31.08.2014
• DDoS на voenkor.info (Українські Кібер Війська) - 25-26.08 і 30.08.2014
• genichesk-rda.gov.ua (хакером HighTech) - 26.08.2014 - похаканий державний сайт
• DDoS на kmu.gov.ua - 27.08.2014 - атакований державний сайт
• DDoS на dstszi.gov.ua - 27.08.2014 - атакований державний сайт
• DDoS на imperiya.by (Українські Кібер Війська) - 29-30.08.2014
• DDoS на interbrigada.org (Українські Кібер Війська) - 30-31.08.2014
• DDoS на newsnews.tv (Українські Кібер Війська) - 30-31.08.2014
• DDoS на www.112.ua (проросійськими хакерами) - 31.08.2014
• DDoS на golos.ua (проросійськими хакерами) - 01.09.2014
• DDoS на censor.net.ua (проросійськими хакерами) - 02.09.2014
• dik.gov.ua (хакером Lootz) - 04.09.2014 - похаканий державний сайт
• DDoS на investigator.org.ua - 05.09 і 15.09.2014
• ratadmin.gov.ua (хакером KkK1337) - 09.09.2014 - похаканий державний сайт
• www.manadm.gov.ua (хакером KkK1337) - 09.09.2014 - похаканий державний сайт
• www.goradm.gov.ua (хакером KkK1337) - 09.09.2014 - похаканий державний сайт
• www.turadm.gov.ua (хакером KkK1337) - 09.09.2014 - похаканий державний сайт
• chasovrada.gov.ua (хакером Ali-HAwleRy) - 10.09.2014 - похаканий державний сайт
• www.hepi.edu.ua (хакером Hmei7) - 10.09.2014
• disgvol.gov.ua (хакером Hmei7) - 12.09.2014 - похаканий державний сайт
• www.nbuviap.gov.ua (хакером NG689Skw) - 14.09.2014 - похаканий державний сайт
• www.dobrrda.gov.ua (хакером panataran) - 16.09.2014 - похаканий державний сайт
• vpu33.com.ua (хакерами з Anonymous Albania) - 16.09.2014
• www.lbmadm.gov.ua (хакером Romantic) - 18.09.2014 - похаканий державний сайт
• www.lbsadm.gov.ua (хакером Ali-HAwleRy) - 18.09.2014 - похаканий державний сайт
• www.vvadm.gov.ua (хакером panataran) - 18.09.2014 - похаканий державний сайт
• poslygi.voladm.gov.ua (хакером Romantic) - 19.09.2014 - похаканий державний сайт
• orthodox.lutsk.ua (хакером d3b~X) - 25.09.2014
• cses.gov.ua (хакером Fatal Error) - 27.09.2014 - похаканий державний сайт
• DDoS на tsn.ua (проросійськими хакерами) - 02.10.2014
• www.tehnodim.lutsk.ua (хакером Solt6n) - 03.10.2014
• snigiryevka-rada.gov.ua (хакером PaWL) - 05.10.2014 - похаканий державний сайт
• gslan.net.ua (хакером PaWL) - 05.10.2014
• kyokushin.gslan.net.ua (хакером PaWL) - 05.10.2014
• ukraina.center (проросійськими хакерами) - 09.10.2014
• tas.zp.ua (хакером Silo) - 11.10.2014
• haircarehome.com.ua (хакерами з Ashiyane Digital Security Team) - 11.10.2014
• www.peremrda.gov.ua (хакером r3d_s0urc3) - 15.10.2014 - похаканий державний сайт
• klew.dp.ua (хакерами з novorossian Cyber Army) - 17.10.2014
• gdemebel.com.ua (хакером Hmei7) - 19.10.2014
• www.orlovtrans.com.ua (хакером Hmei7) - 20.10.2014
• probeg.kiev.ua (хакером Sheytan Azzam) - 24.10.2014
• civilcepro.gov.ua (хакером MyatyFrus) - 24.10.2014 - похаканий державний сайт
• 59 сайтів на сервері Server.ua (хакером MyatyFrus) - 24.10.2014
• yarema.info (хакерами з КіберБеркуту) - 25.10.2014
• vyborkom.org (хакерами з КіберБеркуту) - 25.10.2014 - похаканий державний сайт
• DDoS на cvk.gov.ua (хакерами з КіберБеркуту) - 25.10.2014 - атакований державний сайт
• mzm.zp.ua (хакерами з КіберБеркуту) - 25.10.2014
• www.cvu.org.ua (невідомими хакерами) - 26.10.2014
• stankoplast.com.ua (хакером POW3R G3n3r@70R) - 27.10.2014
• эталонпринт.com.ua (хакером DARKWAR2) - 28.10.2014
• www.cik-lnr.info (Українські Кібер Війська) - 30.10.2014 і 07.11.2014
• www.archives.gov.ua (хакером d3b~X) - 03.11.2014 - похаканий державний сайт
• www.tiraz.biz.ua (хакером Gantengers Crew) - 05.11.2014
• site.sea.gov.ua (хакером TRAFIQUANT) - 08.11.2014 - похаканий державний сайт
• saee.gov.ua (хакером AnonGhost) - 09.11.2014 - похаканий державний сайт
• livestarobelsk.org (Українські Кібер Війська) - 13.11.2014, 19.11.2014 і 19.12.2014
• blogs.ukrinform.gov.ua (хакером Sh4d0w-26) - 16.11.2014
• photo-shkola.odessa.ua (хакером Criminal BD) - 19.11.2014
• doba.te.ua (проросійськими хакерами) - 19.11.2014
• www.alchevsk-pfu.gov.ua (хакером DrSHA67) - 22.11.2014 - похаканий державний сайт
• www.agrofond.gov.ua (хакером DrSHA67) - 22.11.2014 - похаканий державний сайт
• www.zak-dai.gov.ua (хакером DrSHA67) - 22.11.2014 - похаканий державний сайт
• nenc.gov.ua (хакером N1Gh7 F0x) - 27.11.2014 - похаканий державний сайт
• society.nenc.gov.ua (хакером N1Gh7 F0x) - 27.11.2014 - похаканий державний сайт
• isef.nenc.gov.ua (хакером N1Gh7 F0x) - 27.11.2014 - похаканий державний сайт
• intel-eco.nenc.gov.ua (хакером N1Gh7 F0x) - 27.11.2014 - похаканий державний сайт
• positum-psy.zhitomir.ua (хакерами з ayyildiz team) - 30.11.2014
• ahz.com.ua (хакерами з Gantengers Crew) - 30.11.2014
• www.utic5.gov.ua (хакерами з Middle East Cyber Army) - 02.12.2014 - похаканий державний сайт
• DDoS на websecurity.com.ua (невідомими хакерами) - 03-04.12.2014
• www.elay.com.ua (хакером ahor4) - 03.12.2014
• DDoS атака на n1.tcphost.net (невідомими хакерами) - 05.12.2014
• bioenergy.gov.ua (хакером DrSHA67) - 07.12.2014 - похаканий державний сайт
• ovin-kond.com.ua (хакером Gantengers Crew) - 07.12.2014
• www.kyiv-oblosvita.gov.ua (хакером Gantengers Crew) - 08.12.2014 - похаканий державний сайт
• interwood.ua (хакерами з 1923 Turk Group) - 10.12.2014
• www.zt-rada.gov.ua (хакером Nofawkx Al) - 15.12.2014 - похаканий державний сайт
• arhiv.zt-rada.gov.ua (хакером Nofawkx Al) - 15.12.2014 - похаканий державний сайт
• mailadm.zt-rada.gov.ua (хакером Nofawkx Al) - 15.12.2014 - похаканий державний сайт
• www.bidmu-kpu.com.ua (хакером Nofawkx Al) - 15.12.2014
• www.extrimzashchita.org.ua (хакером Nofawkx Al) - 15.12.2014
• www.alaguerre.org.ua (хакером Nofawkx Al) - 15.12.2014
• www.zt-tsou.org.ua (хакером Nofawkx Al) - 15.12.2014
• www.vodokanal-zt.org.ua (хакером Nofawkx Al) - 15.12.2014
• www.pto-zh.org.ua (хакером Nofawkx Al) - 15.12.2014
• msdp.undp.org.ua (хакером Nofawkx Al) - 15.12.2014
• shop.alaguerre.org.ua (хакером Nofawkx Al) - 15.12.2014
• new.bidmu-kpu.com.ua (хакером Nofawkx Al) - 15.12.2014
• terralex.kiev.ua (хакером Dr.AFN[D]ENA) - 16.12.2014
• alexandriya-mebel.com.ua (хакером Firebox) - 18.12.2014
• veloacademy.org.ua (хакером Hmei7) - 18.12.2014
• docss.dn.ua (хакером ProAnje) - 20.12.2014
• igroteki.com.ua (хакером Yassinox_TN) - 26.12.2014
• www.avalon.ua (хакером NginxHaXor) - 26.12.2014
• larche-kovcheh.org.ua (хакером Riad SyR Hack) - 26.12.2014
• np-studio.com.ua (хакером the_warri0r) - 29.12.2014
• iic.dgtu.donetsk.ua (хакером RooT HaXor) - 31.12.2014

З них 49 атак на державні сайти: 44 взломи і 5 DDoS-атак на gov.ua-сайти.

Також були інфіковані 80 сайтів, які вірогідно були похакані в минулому році. Що менше 96 інфікованих сайтів в другій половині 2013 (падіння на 16,7%).

Інфіковані сайти у другій половині 2014 року: dovidka.te.ua, vinet.ua, meteoprog.com.ua, 1582.com.ua, dfp.gov.ua, vechirka.pl.ua, sergeevka.org.ua, gr.biz.ua, meta.ua, kust.net.ua, art-style.com.ua, reni.od.ua, searching.com.ua, bagira.zp.ua, yagazeta.com, bon-appetit.com.ua, columb.net.ua, melitopol.org, mastersam.com.ua, catalog.if.ua, list.poltava.ua, poltava.info, globalmarket.com.ua, kamadm.gov.ua, vuderta-school.at.ua, snasti.com.ua, kamvpu.ucoz.ua, veteran.kiev.ua, openroad.zp.ua, ukrtrans.com, top.zp.ua, ukrdom.biz, jetline.com.ua, translate.zp.ua, lookmy.info, hot-news.at.ua, zona.zp.ua, meddocs.com.ua, aviamodel.org.ua, isheika.com, edem.ck.ua, man.ck.ua, archive.org.ua, nbshop.in.ua, allindustry.com.ua, altaris.in.ua, ukspar.com, ukspar.ua, profi-oil.com.ua, lur.ck.ua, vsvete.com.ua, laki-kraski.com.ua, kievmarket.com, rushnyk.com.ua, ukraine-ru.net, oboz.ua, persten.com.ua, list.uzhgorod.ua, rdi.com.ua, zolota-gora.com, dendropark.km.ua, angliavilla.com, rest.uzhgorod.ua, vrazrabotke.com.ua, xua.com.ua, georg.kiev.ua, aromamania.com.ua, bagagnik.kharkov.ua, sorvizbe.com, polomok.net, 26.com.ua, shopcms.pp.ua, shopcms.net.ua, academpress.kiev.ua, neocm.com, budmeh.com.ua, npu.edu.ua, goldfleece.com.ua, sntc.sumy.ua, np-studio.com.ua.

З них інфіковано 2 державних сайти: dfp.gov.ua, kamadm.gov.ua.

Найближчим часом підведу підсумки активності хакерів в Уанеті за 2014 рік.

Виявлені численні уразливості безпеки в Apple Safari та Webkit.

Уразливі версії: Apple Safari 6.2, Safari 7.1, Safari 8.0.

Некоректна перевірка SSL-сертифікатів, витік інформації, пошкодження пам’яті, міжсайтовий доступ.

• Safari iOS/OS X/Windows cookie access vulnerability (деталі)
• APPLE-SA-2015-04-08-1 Safari 8.0.5, Safari 7.1.5, and Safari 6.2.5 (деталі)