Архів за Липень, 2016

Третій масовий взлом сайтів на сервері Goodnet

23:55 30.07.2016

В серпні відбувся новий масовий взлом сайтів на сервері Goodnet. Він тривав з 19.12.2015 по 03.04.2016. Другий масовий взлом сайтів на сервері Goodnet відбувся раніше.

Був взломаний сервер української компанії Goodnet. Взлом, що складався з одного масового дефейсу та кількох окремих дефейсів по одному або декількох сайтах, відбувся в той же період, що і згаданий масовий взлом сайтів на сервері Hetzner.

Всього було взломано 35 сайтів на сервері хостера Goodnet (91.203.147.183). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт letrada.gov.ua.

З зазначених 35 сайтів 30 сайтів були взломані хакером ElKiller, 2 сайти хакером Unknown Al та по одному хакерами Moroccanwolf, d3b~X, w4l3XzY3.

Під час взлому хакера ElKiller було дефейснуто багато сайтів, тому немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Стосовно інших, то враховуючи велику кількість окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів.

Уразливості в плагінах для WordPress №230

22:48 30.07.2016

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WP Membership, Video Gallery, MailChimp Subscribe Forms і темі Estrutura-Basica. Для котрих з’явилися експлоіти.

  • WordPress WP Membership 1.2.3 Cross Site Scripting (деталі)
  • WordPress WP Membership 1.2.3 Privilege Escalation (деталі)
  • WordPress Video Gallery 2.8 Unprotected Mail Page (деталі)
  • WordPress Estrutura-Basica File Disclosure (деталі)
  • WordPress MailChimp Subscribe Forms 1.1 Remote Code Execution (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Уразливості в PHP

20:09 30.07.2016

Виявлені уразливості безпеки в PHP.

Уразливі версії: PHP 5.5, PHP 5.6, PHP 7.0.

Пошкодження пам’яті, виконання коду.

Моє інтерв’ю для Факти

17:23 30.07.2016

У червні я дав інтерв’ю для газети Факти. І 27.07.2016 воно вийшло в номері та було оприлюднене на сайті газети.

В інтерв’ю розповідається про мою діяльність та кібер війну Росії проти України. Про різні прояви російської агресії в Інтернеті та реальному світі, про громадську ініціативу Українські Кібер Війська, що я створив 09.06.2014, і протидію інформаційній та кібер війні.

Евгений Докукин: “За два года украинские кибервойска заблокировали на счетах террористов почти 13 миллионов долларов”

Так що кому буде цікаво прочитати інформацію про кібер війну, про мене і УКВ, як тим хто вже читав мої попередні інтерв’ю, зокрема інтерв’ю для Yle, чи дивився виступи на ТБ, зокрема телепередачу зі мною на каналі Обоз LIVE, так і всім іншим, можете прочитати це інтерв’ю.

CSRF та XSS уразливості в D-Link DIR-300

23:51 29.07.2016

У січні, 29.01.2015, я виявив Cross-Site Request Forgery та Cross-Site Scripting уразливості в D-Link DIR-300. Це Wireless Router і AP.

Раніше я писав про уразливості в пристроях даної компанії, зокрема в D-Link DVG-5402SP та D-Link DIR-300.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

Вийшов Google Chrome 52

22:47 29.07.2016

У липні, 20.07.2016, через півтора місяці після виходу Google Chrome 51, вийшов Google Chrome 52.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Серед покращень безпеки в Content Security Policy доданий вираз unsafe-dynamic, що дозволяє використовувати білі списки допустимих джерел скриптів.

Виправлено 48 уразливостей. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer і MemorySanitizer. Що значно більше ніж в попередній версії.

  • Выпуск web-браузера Chrome 52 (деталі)

Липневі DDoS атаки та взломи

20:01 29.07.2016

Раніше я писав про червневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію у липні.

В зв’язку з сепаратистськими і терористичними акціями на сході України хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

osvitapoltava.gov.ua (хакером Aziz Laabidi) - 04.07.2016
kakhovka-rayrada.gov.ua (хакером Xvirus) - 06.07.2016
kakhovka-rada.gov.ua (хакером Xvirus) - 06.07.2016
Та багато інших gov.ua сайтів.

Проукраїнськими хакерами були атаковані наступні сайти:

Липневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі місяця.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт warday.su (через скаргу хостеру) - 07.2016

Добірка експлоітів

17:20 29.07.2016

В даній добірці експлоіти в веб додатках:

  • Zimbra 8.0.9 GA - CSRF (деталі)
  • Infor CRM 8.2.0.1136 - Multiple HTML Script Injection Vulnerabilities (деталі)
  • TeamPass 2.1.24 - Multiple Vulnerabilities (деталі)
  • Sysax Multi Server 6.50 - HTTP File Share SEH Overflow RCE Exploit (деталі)
  • Multiple CCTV-DVR Vendors - Remote Code Execution (деталі)

Уразливості в ASUS RT-N10

23:57 28.07.2016

У листопаді, 30.11.2015, я виявив Code Execution, Cross-Site Scripting та URL Redirector Abuse уразливості уразливості в ASUS Wireless Router ASUS RT-N10. А також в його модифікаціях RT-N10E, RT-N10LX і RT-N10U. Це перша частина дірок в RT-N10.

Раніше я писав про уразливості ASUS RT-N15U.

Code Execution (OS Commanding) (WASC-31):

В розділі System Command можна виконувати системні команди. Код можна виконати також через CSRF атаку.

http://site/Main_AdmStatus_Content.asp

cat /proc/version

Cross-Site Scripting (WASC-08):

http://site/apply.cgi?current_page=javascript:alert(document.cookie) (в старих браузерах)
http://site/apply.cgi?current_page=%22%3E%3Cbody%20onload=alert%28document.cookie%29%3E

URL Redirector Abuse (WASC-38):

http://site/apply.cgi?current_page=http://google.com
http://site/apply.cgi?next_host=http://google.com

Уразливі всі версії ASUS RT-N10. Перевірялося в прошивці v.1.9.2.7.

Липневий вівторок патчів від Microsoft

22:48 28.07.2016

У липні місяці Microsoft випустила 11 патчів. Що менше ніж у червні.

У липневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 11 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Шість патчів закривають критичні уразливості та п’ять патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1, RT 8.1 та 10. А також Microsoft Office, Internet Explorer і Edge, JScript і VBScript, Office Web Apps і SharePoint Server та .NET Framework.

Також Microsoft випустила патч для уразливостей в Adobe Flash Player, що постачається з Windows.