Архів за Грудень, 2015

Уразливості в плагінах для WordPress №208

23:51 26.12.2015

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Easy Social Icons, ADPlugg, Media Cleaner і темах Holding Pattern, Photocrati. Для котрих з’явилися експлоіти.

  • WordPress Easy Social Icons 1.2.2 CSRF / XSS (деталі)
  • WordPress ADPlugg 1.1.33 Cross Site Scripting (деталі)
  • WordPress Holding Pattern Theme Arbitrary File Upload (деталі)
  • WordPress Media Cleaner 2.2.6 Cross Site Scripting (деталі)
  • WordPress Photocrati Theme 4.x.x SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Проблеми DNS та їх вирішення

22:47 26.12.2015

Продовжуючи розпочату традицію, після попереднього відео про взлом SSL через атаки на синхронізацію часу, пропоную нове відео на секюріті тематику. Цього разу відео про проблеми DNS та їх вирішення. Рекомендую подивитися всім хто цікавиться цією темою.

DEF CON 22 Domain Name Problems and Solutions

Торік влітку на конференції DEFCON 22 відбувся виступ Paul Vixie. В своєму виступі він розповів про структуру системи доменних імен та її безпеку, про проблеми DNS та їх вирішення. В тому числі розповів про атаки на DNS і методи захисту від них.

Він розповів стосовно різних аспектів безпеки DNS. Рекомендую подивитися дане відео для розуміння поточного стану безпеки доменних імен.

Грудневі DDoS атаки та взломи

20:09 26.12.2015

Раніше я писав про листопадові DDoS атаки та взломи в Україні, а зараз розповім про ситуацію у грудні.

В зв’язку з сепаратистськими і терористичними акціями на сході України хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземними хакерами були проведені неполітичні взломи:

kyiv-oblosvita.gov.ua (хакерами з Ashiyane Digital Security Team) - 10.12.2015

Проукраїнськими хакерами були атаковані наступні сайти:

gazeta-dnr.ru (Українські Кібер Війська) - 15.12.2015
dnr-online.ru (Українські Кібер Війська) - 30.12.2015
Грудневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі грудня.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт ombudsmandnr.org (через скаргу хостеру) - 12.2015
Закритий сайт istina.com.ua (через скаргу хостеру) - 12.2015
Закритий окупований державний сайт dzhankoi-rada.gov.ua (через звернення до СБУ) - 12.2015
Закритий окупований державний сайт krp-rada.gov.ua (через звернення до СБУ) - 12.2015

Уразливості в Office Document Reader

17:26 26.12.2015

У грудні, 26.12.2015, я виявив Cross-Site Scripting та Cross-Site Request Forgery уразливості уразливості в Office Document Reader для iOS. В цьому додатку є вбудований веб сервер і ftp сервер, через які можна проводити атаку.

Cross-Site Scripting (WASC-08) (Persistent XSS):

http://192.168.0.28/createdir?path=%3Cimg%20src=%271%27%20onerror=%27alert(document.cookie)%27%3E

http://192.168.0.28/rename?path=%2FFolder&newpath=%271%27%20onerror=%27alert(document.cookie)%27%3E

Cross-Site Scripting (WASC-08) (Persistent XSS):

Через FTP можна вказати ім’я папки чи файлу з XSS кодом. Доступ до http і ftp сервера по локальній мережі не обмежений (без пароля). Тому через аплоадінг в т.ч. можна провести XSS атаку.

Cross-Site Request Forgery (WASC-09):

Весь функціонал вразливий до CSRF атак: створення, перейменування і видалення директорії та видалення файлів.

http://192.168.0.28/createdir?path=%2FFolder

http://192.168.0.28/rename?path=%2FFolder&newpath=%2FFolder2

http://192.168.0.28/delete?path=%2FFolder

Уразливі Office Document Reader 5.1.13 для iOS та попередні версії. Вразливі як платна, так і безкоштовна версія (на початку працює платна функція доступу через Wi-Fi, що вмикає http і ftp сервер).

Четвертий масовий взлом сайтів на сервері Ukraine

23:54 25.12.2015

Цього року відбувся новий масовий взлом сайтів на сервері Ukraine. Він відбувся з 15.02.2015 по 25.12.2015. Третій масовий взлом сайтів на сервері Ukraine відбувся раніше.

Був взломаний сервер української компанії Ukraine. Взлом складався з двох масових дефейсів та декількох окремих дефейсів. Більшу частину сайтів дефейснули сьогодні.

Всього був взломано 47 сайтів на сервері хостера Ukraine (IP 185.68.16.126). Перелік сайтів можете подивитися на www.zone-h.org.

З зазначених 47 сайтів 27 сайтів були взломані хакером CoMoDo, 10 сайтів хакером qeles-hacker, 3 сайти хакером ZoRRoKiN, 3 сайти хакерами з Blacksmith Hackers та по одному хакерами TheZero, Lakhdar DZ, khdeface, d3b~X.

Масові дефейси хакерами CoMoDo і qeles-hacker явно були зроблені через взлом серверу хостінг провайдера. У випадку окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера.

Уразливості в Mobile Safari

22:42 25.12.2015

В середині грудня я провів перевірку всіх своїх експлоітів для браузерів з 2006 року, що я оприлюднив на сайті (та деяких не оприлюднених експлоітів). І виявив численні Denial of Service та Cross-Site Scripting уразливості в Mobile Safari 6.0.1 та 8.4.1 для iOS.

Це перша частина уразливостей. До деяких DoS вразливий Mobile Safari 6.0.1, але не версія 8.4.1, а до деяких вразливі обидві версії.

Denial of Service (WASC-10):

Вибивання браузера чи зависання (з подальшим вибиванням).

Mozilla_Firefox_IE_DoS_Exploit.html - в 6.0.1, а в 8.4.1 без вибивання, лише споживання 60% CPU.

Firefox 3 DoS Exploit.html - в 6.0.1.

Firefox DoS Exploit3.html - в 6.0.1, а в 8.4.1 без вибивання, лише споживання 60% CPU.

Firefox DoS Exploit4.html - в 6.0.1, а в 8.4.1 без вибивання, лише споживання 60% CPU.

Firefox, IE, Opera & Chrome DoS Exploit.html - в 6.0.1, а в 8.4.1 без вибивання, лише споживання 60% CPU.

Зробив експлоіт для Mobile Safari, що аналогічний експлоіту 2008 року для Firefox:

Safari DoS Exploit.html

Cross-Site Scripting (WASC-08):

Обхід XSS фільтрів в Mobile Safari 6.0.1 та 8.4.1. Атака можлива з використанням символів: 9 (0×09), 10 (0×0a), 12 (0×0c), 13 (0×0d), 32 (0×20), 47 (0×2f).

Уразливі Mobile Safari 6.0.1, 8.4.1 та попередні версії для iOS.

Вийшов Mozilla Firefox 43

20:04 25.12.2015

У грудні, 15.12.2015, вийшов Mozilla Firefox 43. Нова версія браузера вийшла через півтора місяці після виходу Firefox 42.

Mozilla офіційно випустила реліз веб-браузера Firefox 43, а також мобільну версію Firefox 43 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 44 намічений на 26 січня, а Firefox 45 на 8 березня.

Також були оновлені гілки із тривалим терміном підтримки Firefox 38.5 і Thunderbird 38.5.

В браузері була покращена приватність в режимі Private Browsing. Тепер можна змінювати список блокування сайтів, що відслідковують переміщення користувачів. Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 43.0 усунуто 16 уразливостей, серед яких 4 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

Добірка експлоітів

17:23 25.12.2015

В даній добірці експлоіти в веб додатках:

  • netis RealTek Wireless Router / ADSL Modem - Multiple Vulnerabilities (деталі)
  • Beckhoff CX9020 CPU Module - Remote Code Execution Exploit (деталі)
  • Sagem FAST3304-V2 - Authentication Bypass (деталі)
  • Samsung SecEmailUI Script Injection (деталі)
  • Symantec pcAnywhere 12.5.0 Windows x86 - Remote Code Execution (деталі)

Грудневий вівторок патчів від Microsoft

23:59 24.12.2015

У грудні місяці Microsoft випустила 12 патчів. Що так само як у листопаді.

У грудневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 12 бюлетенів по безпеці. Що закривають 71 уразливість в програмних продуктах компанії. Вісім патчі закривають критичні уразливості та чотири патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1, RT 8.1 та 10. А також Microsoft Office, Internet Explorer і Edge, .NET Framework і Silverlight, Skype for Business, Microsoft Lync, JScript і VBScript. Також MS допустила витік сертифікату SSL/TLS для *.xboxlive.com і приватних ключів для нього. Даний сертифікат вже відкликаний компанією.

Уразливості в Microsoft JScript і VBScript

22:45 24.12.2015

Виявлені уразливості безпеки в Microsoft JScript і VBScript, що використовуються в Internet Explorer та інших продуктах.

Уразливі продукти: Microsoft JScript 5.7 і 5.8, VBScript 5.7 і 5.8.

Виконання коду, пошкодження пам’яті.

  • Microsoft Security Bulletin MS15-126 - Critical Cumulative Security Update for JScript and VBScript to Address Remote Code Execution (3116178) (деталі)