Архів за Травень, 2015

Травневий вівторок патчів від Microsoft

22:49 30.05.2015

У травні місяці Microsoft випустила 13 патчів. Що більше ніж у квітні.

У травневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 13 бюлетенів по безпеці. Що закривають 46 уразливостей в програмних продуктах компанії. Три патчі закривають критичні уразливості та десять патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1 та RT 8.1. А також Microsoft Office, Internet Explorer, SharePoint Server, .NET Framework і Silverlight.

Уразливості в Apache Tomcat

20:03 30.05.2015

Виявлені уразливості безпеки в Apache Tomcat.

Уразливі версії: Apache Tomcat 8.0.

Вичерпання ресурсів, обхід обмежень.

Добірка експлоітів

17:26 30.05.2015

В даній добірці експлоіти в веб додатках:

  • Palo Alto Traps Server 3.1.2.1546 - Persistent XSS Vulnerability (деталі)
  • Ericsson Drutt MSDP (Instance Monitor) - Directory Traversal Vulnerability (деталі)
  • CAS Server 3.5.2 LDAP Authentication Bypass Vulnerability (деталі)
  • Arris VAP2500 Command Execution Exploit (деталі)
  • Symantec Data Center Security - Multiple Vulnerabilities (деталі)

Уразливості в плагінах для WordPress №186

23:51 29.05.2015

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Content Audit, BulletProof Security, InfusionSoft, EWWW Image Optimizer, Contact Form DB. Для котрих з’явилися експлоіти.

  • WordPress Content Audit 1.6 Blind SQL Injection (деталі)
  • WordPress BulletProof Security 50.8 Script Insertion (деталі)
  • Wordpress InfusionSoft Upload (деталі)
  • WordPress EWWW Image Optimizer 2.0.1 Cross Site Scripting (деталі)
  • WordPress Contact Form DB 2.8.13 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Інфіковані хостери в 2014 році

22:41 29.05.2015

В своїх звітах про Інфіковані хостери в 1 півріччі 2014 року та Інфіковані хостери в 2 півріччі 2014 року я розповів, що в Уанеті було 83 інфікованих сайтів в першому півріччі та 80 інфікованих сайти в другому півріччі минулого року, і навів перелік хостерів, що хостили ці інфіковані сайти. А зараз наведу загальний перелік інфікованих хостерів за весь рік.

Всього в 2014 році було інфіковано 163 сайтів (виявлених мною). Всього було 71 провайдерів, що розміщували дані сайти.

Багато з цих хостінг провайдерів, робили це як в першому, так й другому півріччі минулого року (16 провайдерів), а деякі робили це і 2013 року. Тобто це в них звичайна практика. Цей звіт призначений для того, щоб і хостери і Інтернет користувачі знали найбільших розповсюджувачів шкідливого програмного забезпечення (через інфіковані сайти).

В минулому році наступні хостінг провайдери розміщували на своїх серверах інфіковані сайти: 1GB LLC, AboveNet, Adamant, AlexHost, Besthosting, Bigmir-Internet, Carolina Internet, Chereda, CityTelecom, Colocall, Compubyte Limited, DCTel, DIPT, Datagroup, Delta-X, Dream Line, EVEREST, Fortune, Freehost, GIGABASE, GOODNET, GoDaddy, Golden Lines, HOST-TELECOM, HVDS, Hetzner, HostBizUa, Hvosting, ISPsystem, ITLAS, IWEB, Infocom, Inter-Telecom, Internet Communications, LANDIS HOLDINGS, LINIATEL, LNUA, LeaseWeb, MACHOSTER, MAGEAL, MEDIATEMPLE, METR, McLaut, MiroHost, NAVIGATOR, NEOCOM, NETART, OMNILANCE, PLUSSERVER, POLUOSTROV, RADIOCOM, RTCOMM, SERVERCENTRAL, SMARTYMEDIA, SOFTLAYER, TEST-UA, Technical Centre Radio Systems, The Planet, UARNet, UTEAM, Ukraine, Ukrnames, VIVANET, Velton Telecom, Volia, Wnet, X-Host, XServer, Візор, Мета, Укртелеком.

Найбільші інфіковані хостери (TOP-10):

  1. Datagroup - 15 сайтів
  2. Hetzner - 10 сайтів
  3. Ukraine - 8 сайтів
  4. Besthosting - 7 сайтів
  5. ISPsystem - 7 сайтів
  6. Volia - 5 сайтів
  7. Dream Line - 4 сайтів
  8. MiroHost - 4 сайтів
  9. X-Host - 4 сайтів
  10. Colocall - 3 сайтів

Всього було виявлено хостінги 157 сайтів з 163. У випадку інших 6 сайтів визначити хостінги не вдалося, тому що в даний момент ці сайти вже не працювали (вони явно були закриті через розміщення malware на цих ресурсах). За допомогою власної системи моніторингу SecurityAlert в більшості випадків я визначив хостерів під час виявлення цих інфікованих сайтів.

Виконання коду в PHP Snoopy

20:01 29.05.2015

Виявлена можливість виконання коду в PHP бібліотеці Snoopy.

Уразливі версії: libphp-snoopy 2.0.

В Snoopy відсутня фільтрація вхідних даних, що призводить до RCE.

XML Injection уразливість в мережевих камерах Hikvision

17:10 29.05.2015

27.02.2015

Ще 11.10.2014 я знайшов XML Injection уразливість в інших моделях мережевих камер Hikvision. Це IP Camera та DVR пристрої. А у лютому, 18.02.2015, я знайшов аналогічні уразливості в Hikvision DS-2DF5284-A.

Стосовно веб камер та відеореєстраторів Hikvision раніше я писав про уразливості в Hikvision DS-7108HWI-SH.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

29.05.2015

XML Injection (WASC-23):

http://site/ISAPI/%3C/requestURL%3E%3Clink%3Ehttp://site%3C/link%3E%3CrequestURL%3E/

Її можна використати для XML Injection та XSS атак.

Уразливі моделі: Hikvision DS-2CD2412F-IW, DS-2CD2412F-I, DS-7204HWI-SH, DS-2CD2412F-IW, DS-2CD2012-I, DS-2CD2232-I5, DS-7108HWI-SH, DS-2CD7153-E, DS-2CD2132-I, DS-2DF5284-A.

Розробники вже виправили XML Injection уразливість в версії V3.2.0 для DVR/NVR і версії V5.2.0 для IPC.

Похакані сайти №295

23:54 28.05.2015

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://www.isc.gov.ua (хакерами з Moroccan Islamic Union-Mail) - 02.04.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://www.dnpb.gov.ua (хакерами з Moroccan Islamic Union-Mail) - 02.04.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://www.hrebinka.org.ua (хакером Nofawkx Al) - 26.02.2015, зараз сайт вже виправлений адмінами
  • http://law.lnu.edu.ua (хакерами з Moroccan Islamic Union-Mail) - 02.04.2015, зараз сайт вже виправлений адмінами
  • http://www.vostorg.ua (хакером el Moujahidin) - 03.05.2015, зараз сайт не працює

Телепередача зі мною на каналі ТВі

22:49 28.05.2015

У лютому, 19.02.2015, я дав інтерв’ю каналу ТВі. Знявся для даного телеканалу.

Сюжет вийшов 27.05.2015 в програмі Студія ТВі. В сюжеті йшлося про інформаційну безпеку з експертом Дмитром Золотухіним. Де вставали частину мого інтерв’ю.

Студія ТВі. Про інформаційну безпеку.

Частину інтерв’ю вони пустили в ефір в програмі Студія ТВі. А це повний запис мого інтерв’ю, знятого в лютому на каналі ТВі, без жодних правок і цензури.

В інтерв’ю я розповів про Українські Кібер Війська, нашу роботу та проведення мною анти-терористичної операції в Інтернеті. Всі бажаючі можуть його подивитися.

Переповнення буфера в FastCGI

20:02 28.05.2015

Виявлене переповнення буфера в FastCGI.

Уразливі версії: libfcgi 2.4.

Переповнення буфера при роботі зі структурою fd_set.