Websecurity - Веб безпека

Виявлені численні уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge.

Уразливі продукти: Microsoft Internet Explorer 7, 8, 9, 10, 11 та Edge під Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1, Windows 10.

Численні пошкодження пам’яті.

• Microsoft Security Bulletin MS15-106 - Critical Cumulative Security Update for Internet Explorer (3096441) (деталі)
• Microsoft Security Bulletin MS15-107 - Important Cumulative Security Update for Microsoft Edge (3096448) (деталі)

24.07.2015

У серпні, 01.08.2014, я виявив Abuse of Functionality та Cross-Site Request Forgery уразливості в D-Link DCS-2103 (веб камера). Це четверта частина дірок в DCS-2103.

Раніше я писав про CSRF та XSS уразливості в D-Link DCS-2103.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

24.10.2015

Abuse of Functionality (WASC-42):

Фіксований логін адміна: admin. Що спрощує BF і CSRF атаки.

Cross-Site Request Forgery (WASC-09):

Зміна паролю адміна:

http://site/vb.htm?adduser=admin:password:0

Додавання користувача:

http://site/vb.htm?adduser=user:pass:2

Видалення користувача:

http://site/vb.htm?deluser=user

Уразлива версія D-Link DCS-2103, Firmware 1.20. Дана модель з іншими прошивками також повинна бути вразливою.

У жовтні місяці Microsoft випустила 6 патчів. Що менше ніж у вересні.

У жовтневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 6 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Три патчі закривають критичні уразливості та три патчі закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1, RT 8.1 та 10. А також Microsoft Office, Internet Explorer і Edge, Office Web Apps і SharePoint Server.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Photo Gallery, Simple Security, CIP4 Folder Download, Pixarbay Images і в темі Bretheon. Для котрих з’явилися експлоіти.

• Wordpress Photo Gallery Unauthenticated SQL Injection User Enumeration (деталі)
• WordPress Simple Security 1.1.5 Cross Site Scripting (деталі)
• WordPress Bretheon Theme Arbitrary File Download (деталі)
• WordPress CIP4 Folder Download 1.10 Local File Inclusion (деталі)
• WordPress Pixarbay Images 2.3 XSS / Bypass / Upload / Traversal (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Влітку відбувся новий масовий взлом сайтів на сервері TheHost. Він відбувся з 05.06.2013 по 10.08.2015. Перший масовий взлом сайтів на сервері TheHost відбувся раніше.

Був взломаний сервер української компанії TheHost. Взлом складався з багатьох окремих дефейсів.

Всього був взломаний 31 сайт на сервері хостера TheHost (IP 91.234.33.250). Це наступні сайти: europumps.com.ua, ifox.biz, bassein-ozero.com.ua, grafio-decor.com.ua, homemadedrink.com.ua, indyuk.com.ua, dom-yagotin.com.ua, remontluxe.kiev.ua, rizka.kiev.ua, action.vishop.com.ua, uafkl.com.ua, dor-znak.pp.ua, my.selyandia.ru, jurinvest.vst-group.com, admin-blog.pp.ua, yacheslav-sherstiuk.com, transform-energo.com.ua, selyandia.ru, vst-group.com, bassein-ozero.com.ua, www.vacc-ua.aero, indyuk.com.ua, lrsys.com, otkos.dn.ua, rainway.biz, jurinvestprom.com.ua, chicgift.com.ua, eshop.stimpex.com.ua, news1.stimpex.com.ua, pens.stimpex.com.ua, www.sweetbud.com.ua.

Під час взлому хакера Anxiety було дефейснуто багато сайтів, тому немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Стосовно інших, то враховуючи велику кількість окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів.

У жовтні, 13.10.2015, через півтора місяці після виходу Google Chrome 45, вийшов Google Chrome 46.

В браузері зроблено багато нововведень. Та виправлені численні уразливості. Серед покращень безпеки:

• Cache API тепер працює лише з HTTPS.
• Скасовано проміжний жовтий індикатор захищеності сайта. Тепер https ресурс з мінімальними помилками (зображення по http) буде вважатися незахищеним.

Виправлено 24 уразливості, з яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer і MemorySanitizer. Що менше ніж в попередній версії.

• Релиз web-браузера Chrome 46 (деталі)

В даній добірці експлоіти в веб додатках:

• ManageEngine OpManager 11.5 - Multiple Vulnerabilities (деталі)
• ManageEngine EventLog Analyzer < 10.6 build 10060 - SQL Query Execution (деталі)
• ADH-Web Server IP-Cameras - Multiple Vulnerabilities (деталі)
• Android libstagefright - Integer Overflow Remote Code Execution (деталі)
• Thomson CableHome Gateway (DWG849) Cable Modem Gateway - Information Exposure (деталі)

В статті Inter-Protocol Communication розповідається про міжпротокольну комунікацію. Це можливість двох різних протоколів обмінюватися командами і даними. Що створює нові вектори атак. Зокрема можливості для Mail Command Injection (цей клас уразливостей раніше називався CRLF Injection) для включення команд в поштові та інші протоколи.

В даній статті розглянуті наступні аспекти міжпротокольної комунікації в контексті безпеки:

• Що таке міжпротокольна комунікація.
• Одно та двонаправлена міжпротокольна комунікація.
• Приклади обміну командами між HTTP та IMAP3.
• Проведення Cross-Site Scripting атак.
• Проведення Fingerprinting атак.
• Проведення Brute Force атак.
• Підсумки та подальші дослідження.

Мені доводилося знаходити Mail Command Injection уразливості на веб сайтах, що дозволяли включати SMTP, IMAP та POP команди, і таким чином проводити атаки за допомогою міжпротокольної комунікації. Так що ця тема є достатньо актуальною.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://brusyliv-rda.gov.ua (хакером the_warri0r) - 25.08.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://disgvol.gov.ua (хакерами з Ashiyane Digital Security Team) - 12.09.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://devup.com.ua (хакером HaMza-x Ben) - 13.07.2015, зараз сайт вже виправлений адмінами
• http://gorozhanin.com.ua (хакером Matrix Dz) - 12.09.2015, зараз сайт вже виправлений адмінами
• http://infomix.com.ua (хакером Matrix Dz) - 12.09.2015, зараз сайт вже виправлений адмінами

Виявлена можливість проведення DoS атаки проти Apache ActiveMQ.

Уразливі версії: Apache ActiveMQ 5.10.

Доступна недокументована команда shutdown.

• activemq security update (деталі)