Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• GnuTLS vulnerability (деталі)
• ownCloud Unencrypted Private Key Exposure (деталі)
• Encore Discovery Solution Multiple Vulnerability Disclosure (деталі)
• SaaS Marketing platform Hubspot export vulnerability (деталі)
• Authentication bypass (SSRF) and local file disclosure in Plex Media Server (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://te.gov.ua - інфікований державний сайт - інфекція була виявлена 18.06.2015. Зараз сайт не входить до переліку підозрілих.
• http://orangetravel.com.ua - інфекція була виявлена 28.07.2015. Зараз сайт входить до переліку підозрілих.
• http://brigada3.com - інфекція була виявлена 26.07.2015. Зараз сайт не входить до переліку підозрілих.
• http://danica-biola.com.ua - інфекція була виявлена 30.06.2015. Зараз сайт входить до переліку підозрілих.
• http://wonder.net.ua - інфекція була виявлена 31.05.2015. Зараз сайт не входить до переліку підозрілих.

Виявлені уразливості безпеки в Adobe Shockwave Player.

Уразливі версії: Adobe Shockwave Player 12.1.

Декілька пошкоджень пам’яті.

• Adobe Security Bulletin - Security update available for Adobe Shockwave Player (деталі)

У червні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у липні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на rv.org.ru - 01-15.07.2015
DDoS на cikdnr.ru - 01-15.07.2015
DDoS на cik-lnr.info - 01-15.07.2015
DDoS на без-вести.рф - 01-15.07.2015
DDoS на ungu.org - 01-15.07.2015
DDoS на pravdatoday.info - 01-15.07.2015
DDoS на bne.su - 01-15.07.2015
DDoS на lvs-global.ru - 01-15.07.2015
DDoS на slemtt.myjino.ru - 01-15.07.2015

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

В даній добірці експлоіти в веб додатках:

• Grandstream GXV3275 < 1.0.3.30 - Multiple Vulnerabilities (деталі)
• AirLink101 SkyIPCam1620W OS Command Injection (деталі)
• Cradlepoint MBR1400 and MBR1200 Local File Inclusion (деталі)
• Adobe Flash opaqueBackground Use After Free (деталі)
• Seagate Dashboard 4.0.21.0 - Crash PoC (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Simple Visitor Stat, Simple Sticky Footer, Sliding Recent Posts, WP Symposium, Facebook Like Box. Для котрих з’явилися експлоіти.

• WordPress Simple Visitor Stat Cross Site Scripting (деталі)
• WordPress Simple Sticky Footer 1.3.2 CSRF / XSS (деталі)
• WordPress Sliding Recent Posts 1.0 CSRF / XSS (деталі)
• WordPress WP Symposium 14.11 Shell Upload (деталі)
• WordPress Facebook Like Box 2.8.2 CSRF / XSS (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжуючи розпочату традицію, після попереднього відео про витоки секретів виробництва, пропоную нове відео на секюріті тематику. Цього разу відео про практичний захист від DDoS. Рекомендую подивитися всім хто цікавиться цією темою.

DEF CON 22 Don’t DDoS Me Bro Practical DDoS Defense

Торік влітку на конференції DEFCON 22 відбувся виступ Blake Self і Shawn Burell. В своєму виступі вони розповіли про практичний захист від DDoS атак. Про причини DDoS і відомі атаки, про виявлення атак та захист від них (як на мережевому рівні, так і на веб рівні), як реагувати на атаки і найкращі практики захисту.

Вони розповіли про сучасний стан Distributed Denial of Service атак. І звернули увагу на поширення Layer-7 DDoS атак (на прикладному рівні) в останні роки. При тому, що я досліджую, пишу статті та попередажю про такі атаки з 2007 року, а в 2010 році створив свою програму DAVOSET для демонстрації атак на прикладному рівні OSI. Рекомендую подивитися дане відео для розуміння проблем DDoS атак.

Виявлені численні уразливості безпеки в Adobe Flash Player.

Уразливі версії: Adobe Flash Player 18.0.

Численні пошкодження пам’яті, переповнення буфера, розкриття інформації.

• Adobe Security Bulletin - Security Advisory for Adobe Flash Player (деталі)
• Adobe Security Bulletin - Security updates available for Adobe Flash Player (деталі)
• Adobe Security Bulletin - Security Advisory for Adobe Flash Player (деталі)
• Adobe Security Bulletin - Security updates available for Adobe Flash Player (деталі)

В даній добірці уразливості в веб додатках:

• Barracuda Networks Firewall - Persistent Web Vulnerability (деталі)
• Improper Access Control in ArticleFR (деталі)
• Vulnerability in php-ZendFramework (деталі)
• Vembu Storegrid - Multiple Critical Vulnerabilities (деталі)
• Barracuda Networks Firewall - Client Side Exception Handling Web Vulnerability (деталі)

Українські Кібер Війська з червня займаються розвідкою. Це аудіо і відео розвідка. Раніше я наводив відео Українських Кібер Військ, що демонструють можливості Українських Кібер Військ по спостереженню за терористами.

Ось 5 нових відео, що зроблені в рамках розвідувальної операції:

Українські Кібер Війська: військова техніка на базі терористів у Луганську за 22.02.2015 - УКВ дістали відео терористів на їх базі у Луганську.

Українські Кібер Війська: промисловий об’єкт в Ростові-на-Дону - УКВ показали через камери спостереження російській промисловий об’єкт в Ростові-на-Дону.

Українські Кібер Війська: російська військова техніка в Криму за 20.05.2015 - УКВ записали переміщення військової техніки в Криму.

Українські Кібер Війська: ВАІ та військова техніка терористів в Горлівці за 06-09.06.2015 - УКВ записали переміщення військової техніки терористів в Горлівці.

Українські Кібер Війська: російська військова техніка в Криму за 12.06.2015 - УКВ записали переміщення військової техніки в Криму.