Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://igrakot.in.ua - інфекція була виявлена 11.05.2015. Зараз сайт входить до переліку підозрілих.
• http://el.dp.ua - інфекція була виявлена 09.05.2015. Зараз сайт входить до переліку підозрілих.
• http://ce.lviv.ua - інфекція була виявлена 30.04.2015. Зараз сайт не входить до переліку підозрілих.
• http://vip-cars.lviv.ua - інфекція була виявлена 30.04.2015. Зараз сайт не входить до переліку підозрілих.
• http://koledg-knutd.com.ua - інфекція була виявлена 13.05.2015. Зараз сайт не входить до переліку підозрілих.

Виявлені численні уразливості безпеки в продуктах Oracle, Sun, PeopleSoft і MySQL.

Уразливі продукти: Oracle 11.2 і 12.1, MySQL 5.6, Oracle Java SE 8, Solaris 10 і 11.2, WebLogic Server 12.1, E-Business Suite 12.2, JRockit 28.3, GlassFish Server 3.1, iPlanet Web Proxy Server 4.0, iPlanet Web Server 7.0 та інші продукти Oracle.

Більше 90 уразливостей у різних додатках виправлено в щоквартальному оновленні.

• Oracle Outside In ibpsd2.dll PSD File Processing Buffer Overflow Vulnerability (деталі)
• Oracle Critical Patch Update Advisory - April 2015 (деталі)

У квітні, 23.04.2015, вийшла нова версія WordPress 4.2.

WordPress 4.2 це перший випуск нової 4.2 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, а також виправлено чимало багів.

Серед головних покращень зокрема можна відзначити нову тему по замовчуванню, покращене візуальне редагування, що не відволікає, підтримка багатьох локалізацій і зміна мови в налаштуваннях сайту, в адмінці можна зробити повний логаут (щоб вихід був зроблений для всіх пристроїв, з яких заходили в акаунт), підтримка включення відео з Vine та рекомендації плагінів в інсталяторі плагінів.

Окрім покращень для користувачів також було зроблено багато покращень для розробників.

Також в цей день вийшов WordPress 4.1.3. Версія 4.1.3 це багфікс випуск 4.1 серії.

В даній добірці уразливості в веб додатках:

• EMC Data Protection Advisor JBOSS Remote Code Execution Vulnerability (деталі)
• CSRF in Innovaphone PBX (деталі)
• python-django security update (деталі)
• Node Browserify RCE vuln (<= 4.2.0) (деталі)
• HP Officejet Pro 8500 (A909) All-in-One Printer, Cross-Site Scripting (XSS) (деталі)

Виявлені уразливості безпеки в PHP і libgd.

Уразливі продукти: PHP 5.5, libgd 2.1.

Переповнення буфера, звернення по нульовому вказівнику.

• libgd2 security update (деталі)

В підсумках хакерської активності в Уанеті в 2 півріччі 2014 я зазначав, що всього за цей період я виявив 80 інфікованих сайтів в Уанеті. Дані сайти хостилися на серверах різних хостінг провайдерів, як українських, так і закордонних.

Пропоную вам звіт про результати мого дослідження хостінгів, які розміщували інфіковані сайти в другому півріччі 2014 року. Багато з цих хостінг провайдерів робили це і в першому півріччі. Щоб і хостери і Інтернет користувачі знали найбільших розповсюджувачів шкідливого програмного забезпечення (через інфіковані сайти).

В другому півріччі минулого року наступні хостінг провайдери розміщували на своїх серверах інфіковані сайти: 1GB LLC, GoDaddy, AboveNet, Besthosting, CityTelecom, Colocall, Compubyte Limited, DCTel, Datagroup, Dream Line, Fortune, Hetzner, ITLAS, IWEB, Internet Communications, LANDIS HOLDINGS, LNUA, LeaseWeb, McLaut, MEDIATEMPLE, METR, MiroHost, NAVIGATOR, NEOCOM, OMNILANCE, POLUOSTROV, RADIOCOM, SOFTLAYER, TEST-UA, Technical Centre Radio Systems, Ukraine, Ukrnames, VIVANET, Volia, Wnet, X-Host, Візор, Мета, Укртелеком.

Найбільші інфіковані хостери (TOP-10):

• Datagroup - 10 сайтів
• Ukraine - 8 сайтів
• Dream Line - 4 сайтів
• Hetzner - 4 сайтів
• MiroHost - 4 сайтів
• X-Host - 4 сайтів
• Colocall - 3 сайтів
• McLaut - 3 сайтів
• Volia - 3 сайтів
• CityTelecom - 2 сайтів

Були виявлені хостінги всіх 80 сайтів. Хоча деякі з цих сайтів в даний момент вже не працювали (вони явно були закриті через розміщення malware на цих ресурсах), але за допомогою власної системи моніторингу SecurityAlert я визначив хостерів під час виявлення цих інфікованих сайтів.

У квітні, 21.04.2015, вийшла нова версія WordPress 4.1.2.

WordPress 4.1.2 це секюріті випуск нової 4.1 серії. В якому розробники виправили 3 уразливості та зробили 4 посилення безпеки, а також виправили уразливості в багатьох плагінах.

• Критична Cross-Site Scripting уразливість.
• Можливість аплоадити файли з небезпечними іменами.
• Обмежена Cross-Site Scripting уразливість.
• SQL injection уразливість в декількох плагінах.
• Також було виявлено багато плагінів з двома однаковими XSS уразливостями, розробники яких виправили дірки в плагінах разом з WordPress security team.
• 4 посилення безпеки (які розробники не віднесли до уразливостей, що типово для них).

Також в цей день вийшла WordPress 4.0.2. Версія 4.0.2 це секюріті випуск 4.0 серії, в якій виправлені дані уразливості й баги.

31.01.2015

У листопаді, 27.11.2012, я знайшов Content Spoofing та Cross-Site Scripting уразливості на http://www.kmu.gov.ua - сайті Кабінету Міністрів України. Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на www.kmu.gov.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

01.05.2015

Content Spoofing:

http://www.kmu.gov.ua/swf/flowplayer-3.2.7.swf?config=http://site/1

Cross-Site Scripting:

http://www.kmu.gov.ua/swf/flowplayer-3.2.7.swf?config=http://site/xss

Дані уразливості вже виправлені шляхом оновлення флешки Flowplayer. Багато років вони використовували діряву флешку, після мого листа змінили її на безпечну версію, але не подякували мені за повідомлення про уразливості. Як це завжди робили адміни КМУ та багатьох інших державних сайтів на протязі 2006-2015 років.

Виявлені уразливості в Microsoft Windows у компонентах HTTP.sys і XML Core Services. В першому випадку атака відбувається через відправлення HTTP запиту веб серверу з ОС Windows, а в другому випадку атака відбувається через Internet Explorer.

Уразливі продукти: Microsoft Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1.

Виконання коду, міжсайтовий скриптінг, витік інформації.

• Microsoft Security Bulletin MS15-034 - Critical Vulnerability in HTTP.sys Could Allow Remote Code Execution (3042553) (деталі)
• Microsoft Security Bulletin MS15-039 - Important Vulnerability in XML Core Services Could Allow Security Feature Bypass (3046482) (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://peremyshrada.gov.ua (хакером Abdellah Elmaghribi) - 05.03.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://izmail-rada.gov.ua (хакером brwsk007) - 11.03.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://marketpro.biz (хакером wongbodo) - 04.01.2015, зараз сайт вже виправлений адмінами
• http://mantiya.ua (хакером wongbodo) - 04.01.2015, зараз сайт вже виправлений адмінами
• http://usqb.org.ua (хакером Dr.Pc) - 18.04.2015, зараз сайт не працює