Архів за Березень, 2016

Уразливості в плагінах для WordPress №215

23:57 19.03.2016

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Google Map Travel, Aspose Doc Exporter, Aspose PDF Exporter, Aspose Importer / Exporter, Business Intelligence Lite. Для котрих з’явилися експлоіти.

  • WordPress Google Map Travel 3.4 XSS / CSRF (деталі)
  • WordPress Aspose Doc Exporter File Download (деталі)
  • WordPress Aspose PDF Exporter File Download (деталі)
  • WordPress Aspose Importer / Exporter 1.0 File Download (деталі)
  • WordPress Business Intelligence Lite 1.6.1 SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Використання сервісу Safe Browsing

22:41 19.03.2016

Торік восени Гугл змінив свій сервіс Safe Browsing. В 2009 році в статті Використання Safe Browsing від Google я вже розповідав про цей онлайн сервіс. Він застосовується в браузерах Mozilla Firefox, Google Chrome й Apple Safari та його можна використовувати через веб сайт.

За його допомогою можна знаходити інфіковані веб сайти. Після оновлення сервісу раніше наведений мною алгоритм не діє, потрібно по іншому шукати інфіковані сайти. Але перевіряти сайти можна як через сайт, так і у вказаних браузерах.

Сервіс доступний за адресою https://google.com/transparencyreport/safebrowsing/. Тут наведена загальна інформація та графіки. Зокрема кількість користувачів, що отримують попередження в браузерах про інфікованість сайтів від цієї системи, кількість небезпечних сайтів - сайти зі шкідливим ПЗ та фішінгові сайти,

Також наведені дані про зловмисне програмне забезпечення (атакувальні сайти та хакнуті сайти) та стосовно попередження веб-майстрам. Власників сайтів, що проіндексовані Гуглом і які зареєстровані в службі Інструменти Google для веб-майстрів, компанія попереджає про інфікування. Наведена інформація про час реагування веб-майстра та показник повторного інфікування сайта. В розділі “Розподіл зловмисного програмного забезпечення за автономними системами” наведена статистика про шкідливе ПЗ по автономними системам та країнам.

Цей сервіс є конкурентом моїй системі SecurityAlert та різні його функції доступні в моїй системі, але в мене значно більше функцій. В тому числі SecurityAlert попереджає не тільки про інфікованість, але й про багато інших інцидентів з безпекою сайту.

Гугл детально розповідає про свій Safe Browsing, про інфіковані сайти та надає можливість перевірити статус безпеки сайту https://google.com/transparencyreport/safebrowsing/diagnostic/. Наведене відео про шляхи інфікування та очищення сайтів.

Уразливість в Microsoft .NET Framework

20:08 19.03.2016

Виявлена уразливість в Microsoft .NET Framework, що дозволяє обійти захист.

Уразливі продукти: Microsoft .NET Framework 2.0 SP2, 3.0 SP2, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1.

Обхід захисту через підписаний XML документ.

  • Microsoft Security Bulletin MS16-035 - Important Security Update for .NET Framework to Address Security Feature Bypass (3141780) (деталі)

Уразливості в D-Link DVG-5402SP

16:24 19.03.2016

09.01.2015

У січні, 01.01.2015, я виявив Brute Force, Abuse of Functionality та Cross-Site Request Forgery уразливості в D-Link DVG-5402SP VoIP Router. Це перша частина дірок в DVG-5402SP.

Раніше я писав про уразливості в пристроях даної компанії, зокрема в D-Link DCS-2103 та D-Link DCS-930L.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

27.01.2016

Brute Force (WASC-11):

http://site - в формі логіна немає захисту від BF атак.

Abuse of Functionality (WASC-42):

Фіксовані логіни: “admin” і “user”. Що спрощує атаки.

Cross-Site Request Forgery (WASC-09):

Зміна пароля адміна:

D-Link DVG-5402SP CSRF-1.html

Cross-Site Request Forgery (WASC-09):

Після зміни, пароль потрібно зберегти і перезапустити пристрій окремим GET запитом:

http://site/ConfigBackupForm.asp

Уразлива версія D-Link DVG-5402SP, Firmware RU_1.01. Дана модель з іншими прошивками також повинна бути вразливою.

Безпека e-commerce сайтів в Уанеті №21

23:57 18.03.2016

Продовжу своє дослідження безпеки e-commerce сайтів в Уанеті.

Веб сайти, що займаються електронною комерцією (e-commerce), повинні дбати про свою безпеку. Бо вони заробляють гроші на своїй онлайн діяльності і будь-які проблеми з безпекою на їх сайтах можуть їм коштувати фінансових втрат.

Але нажаль e-commerce сайти в Уанеті достатньо діряві, бо власники цих сайтів за безпекою особливо не слідкують.

В себе в новинах я писав про уразливості на наступних сайтах банків та e-commerce сайтів України:

Також згадував про взломані онлайн магазини в Уанеті:

А також згадував про інфіковані онлайн магазини в Уанеті:

Так що українським банкам та e-commerce сайтам є куди покращувати свою безпеку.

Вийшов Google Chrome 49

22:42 18.03.2016

У березні, 03.03.2016, через півтора місяці після виходу Google Chrome 48, вийшов Google Chrome 49.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлено 26 уразливостей. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer і MemorySanitizer. Що менше ніж в попередній версії.

  • Релиз web-браузера Chrome 49, прекративший поддержку 32-разрядных систем Linux (деталі)

Численні уразливості в Microsoft Office Web Apps

20:07 18.03.2016

Виявлені численні уразливості безпеки в Microsoft Office, а також в серверних продуктах Office Web Apps і SharePoint Server.

Уразливі продукти: Microsoft Office Web Apps 2010 SP2, Office Web Apps Server 2013 SP1, Word Automation Services on SharePoint Server 2010 SP2 і 2013 SP1.

Пошкодження пам’яті, виконання коду.

  • Microsoft Security Bulletin MS16-029 - Important Security Update for Microsoft Office to Address Remote Code Execution (3141806) (деталі)

Добірка уразливостей

17:23 18.03.2016

В даній добірці уразливості в веб додатках:

  • EMC Cloud Tiering Appliance XML External Entity (XXE) and Information Disclosure Vulnerabilities (деталі)
  • phpTrafficA SQL injection (деталі)
  • Concrete5 CMS Reflected Cross-Site Scripting Vulnerabilities (деталі)
  • CMS Made Simple PHP Code Injection Vulnerability (деталі)
  • EMC Documentum Content Server Information Disclosure Vulnerability (деталі)

Вийшов Mozilla Firefox 45

23:59 17.03.2016

У березні, 08.03.2016, вийшов Mozilla Firefox 45. Нова версія браузера вийшла через півтора місяці після виходу Firefox 44.

Mozilla офіційно випустила реліз веб-браузера Firefox 45, а також мобільну версію Firefox 45 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 46 намічений на 19 квітня, а Firefox 47 на 7 червня.

Також був випущений Seamonkey 2.40 та були оновлені гілки із тривалим терміном підтримки Firefox 38.7 і Thunderbird 38.7.

В браузері була додана можливість завдання через убудований на сторінку тег META правил CSP (Content Security Policy) для захисту від організації міжсайтового скриптінгу (XSS) і підстановки в сторінки “IFRAME/JavaScript src” блоків.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 45.0 усунуто 23 уразливості, серед яких 9 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

Атаки та інфікування державних сайтів України за 14 років

20:08 17.03.2016

В своєму звіті про атаки та інфікування державних сайтів України за 13 років я навів статистику атак на державні сайти України за останні 13 років. До звіту атаки на державні сайти України за 14 років додам статистику по інфікованим сайтам за останні 14 років.

За 2001 - 2014 роки всього було атаковано 698 українських державних сайтів (включаючи взломи сайтів та DDoS атаки). А враховуючи інфіковані gov.ua сайти, виявлених за час моїх досліджень інфікованих сайтів в Уанеті, ця кількість ще більше.

Було інфіковано наступну кількість gov.ua сайтів, що без сумніву були взломані для розміщення шкідливого коду:

2009 рік - 5 сайтів
2010 рік - 13 сайтів
2011 рік - 9 сайтів
2012 рік - 16 сайтів
2013 рік - 11 сайтів
2014 рік - 10 сайтів

Всього 64 інфікованих gov.ua сайтів за 6 років. Разом з атаками за 14 років всього 762 державних сайти.

Статистика від 2 атакованих та інфікованих веб сайтів в 2001 році до 140 веб сайтів в 2014 році.

Атаки та інфікування державних сайтів в Уанеті