Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• Poor Quality Implementation of Diffie-Hellman Key Exchange in Citrix Netscaler (деталі)
• Alienvault OSSIM/USM Command Execution Vulnerability (деталі)
• Pandora FMS v5.1 SP1 - Persistent SNMP Editor Vulnerability (деталі)
• CatBot v0.4.2 (PHP) - SQL Injection Vulnerability (деталі)
• HP Operations Manager i, Execution of Arbitrary Code (деталі)

В своїх звітах про Інфіковані хостери в 1 півріччі 2015 року та Інфіковані хостери в 2 півріччі 2015 року я розповів, що в Уанеті було 88 інфікованих сайтів в першому півріччі та 70 інфікованих сайти в другому півріччі минулого року, і навів перелік хостерів, що хостили ці інфіковані сайти. А зараз наведу загальний перелік інфікованих хостерів за весь рік.

Всього в 2015 році було інфіковано 158 сайтів (виявлених мною). Всього було 63 провайдери, що розміщували дані сайти.

Багато з цих хостінг провайдерів, робили це як в першому, так й другому півріччі минулого року (8 провайдерів), а деякі робили це і 2014 року. Тобто це в них звичайна практика. Цей звіт призначений для того, щоб і хостери і Інтернет користувачі знали найбільших розповсюджувачів шкідливого програмного забезпечення (через інфіковані сайти).

В минулому році наступні хостінг провайдери розміщували на своїх серверах інфіковані сайти: 1GB LLC, AVITI, AboveNet, Alkar Teleport, Apex, BN, Besthosting, CityTelecom, Colocall, Compubyte Limited, DCTel, DE-FIRSTCOLO, DOMASHKA, Datagroup, Dream Line, FastVPS, Fiord, Fortune, GoDaddy, HOMEPL, HOSTINGER, HOSTKEY, Hetzner, ITLAS, IWEB, Infocom, Internet Communications, LANDIS HOLDINGS, LNUA, LUCKYNET, LeaseWeb, MASTERTEL, MEDIATEMPLE, METR, McLaut, MiroHost, NAVIGATOR, NEOCOM, NEOHOST, OMNILANCE, OVH, POLUOSTROV, PTW, RADIOCOM, RTCOMM, SOFTLAYER, SUPERHOST, TERABIT, TEST-UA, THEHOST, Technical Centre Radio Systems, UKRNAMES, Ukraine, Ukrnames, VIKS, VIVANET, Volia, Wnet, X-HOST, X-Host, Візор, Мета, Укртелеком.

Найбільші інфіковані хостери (TOP-10):

• Ukraine - 19 сайтів
• Colocall - 14 сайтів
• Datagroup - 13 сайтів
• MiroHost - 8 сайтів
• Alkar Teleport - 6 сайтів
• Hetzner - 6 сайтів
• Apex - 5 сайтів
• CityTelecom - 4 сайтів
• Dream Line - 4 сайтів
• X-Host - 4 сайтів

Всього було виявлено хостінги 140 сайтів з 158. У випадку інших 18 сайтів визначити хостінги не вдалося, тому що в даний момент ці сайти вже не працювали (вони явно були закриті через розміщення malware на цих ресурсах). За допомогою власної системи моніторингу SecurityAlert в більшості випадків я визначив хостерів під час виявлення цих інфікованих сайтів.

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 46, Firefox ESR 45.1, Thunderbird 45.1, SeaMonkey 2.39.

Пошкодження пам’яті, переповнення буфера, підвищення привілеїв, підробка адресного рядку, витік інформації, обхід обмежень.

• MFSA-49 Miscellaneous memory safety hazards (rv:47.0 / rv:45.2) (деталі)
• MFSA-50 Buffer overflow parsing HTML5 fragments (деталі)
• MFSA-51 Use-after-free deleting tables from a contenteditable document (деталі)
• MFSA-52 Addressbar spoofing though the SELECT element (деталі)
• MFSA-53 Out-of-bounds write with WebGL shader (деталі)
• MFSA-54 Partial same-origin-policy through setting location.host through data URI (деталі)
• MFSA-55 File overwrite and privilege escalation through Mozilla Windows updater (деталі)
• MFSA-56 Use-after-free when textures are used in WebGL operations after recycle pool destruction (деталі)
• MFSA-57 Incorrect icon displayed on permissions notifications (деталі)
• MFSA-58 Entering fullscreen and persistent pointerlock without user permission (деталі)
• MFSA-59 Information disclosure of disabled plugins through CSS pseudo-classes (деталі)
• MFSA-60 Java applets bypass CSP protections (деталі)
• MFSA-61 Network Security Services (NSS) vulnerabilities (деталі)

Українські Кібер Війська з червня 2014 року займаються розвідкою. Це аудіо і відео розвідка. Раніше я наводив відео Українських Кібер Військ, що демонструють можливості Українських Кібер Військ по спостереженню за терористами.

Ось 5 нових відео, що зроблені в рамках розвідувальної операції:

Українські Кібер Війська: російська військова техніка в Криму - УКВ записали переміщення військової техніки в Керчі.

Українські Кібер Війська: покупка коштовностей в Криму - УКВ записали покупку коштовностей в Криму.

Українські Кібер Війська: покупка коштовностей в Криму - УКВ записали покупку коштовностей в Євпаторії.

Українські Кібер Війська: порушення українського кордону російським літаком - УКВ записали порушення українського повітряного простору російським літаком.

Українські Кібер Війська: порушення українського кордону російським літаком - УКВ записали порушення українського повітряного простору російським літаком.

В даній добірці експлоіти в веб додатках:

• Vesta Control Panel <= 0.9.8-15 - Persistent XSS Vulnerability (деталі)
• ManageEngine Firewall Analyzer 8.5 - Multiple Vulnerabilities (деталі)
• SOLIDserver <=5.0.4 - Local File Inclusion Vulnerability (деталі)
• Proxmox VE 3/4 - Insecure Hostname Checking Remote Root Exploit (деталі)
• NETGEAR ProSafe Network Management System 300 - Arbitrary File Upload (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Freshmail, Ad Buttons, RevSlider, Yet Another Related Posts, Roomcloud. Для котрих з’явилися експлоіти.

• WordPress Freshmail 1.5.8 SQL Injection (деталі)
• WordPress Ad Buttons 2.3.1 CSRF / Cross Site Scripting (деталі)
• WordPress RevSlider 3.0.95 File Upload / Execute (деталі)
• WordPress Yet Another Related Posts 4.2.4 CSRF / XSS / Code Execution (деталі)
• WordPress Roomcloud 1.1 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У червні місяці Microsoft випустила 17 патчів. Що більше ніж у травні.

У червневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 17 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Шість патчів закривають критичні уразливості та одинадцять патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1, RT 8.1 та 10. А також Microsoft Office, Internet Explorer і Edge, JScript і VBScript, Office Web Apps і SharePoint Server, Windows DNS Server та Exchange Server.

Також Microsoft випустила патчі для уразливостей в бібліотеці PDF та в Adobe Flash Player, що постачаються з Windows.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://tennovation.scm.com.ua - інфекція була виявлена 30.06.2016. Зараз сайт входить до переліку підозрілих.
• http://scm.com.ua - інфекція була виявлена 30.06.2016. Зараз сайт не входить до переліку підозрілих.
• http://aboutkids.org.ua - інфекція була виявлена 30.06.2016. Зараз сайт входить до переліку підозрілих.
• http://olma.kh.ua - інфекція була виявлена 30.06.2016. Зараз сайт не входить до переліку підозрілих.
• http://2service.com.ua - інфекція була виявлена 30.06.2016. Зараз сайт не входить до переліку підозрілих.

В даній добірці уразливості в веб додатках:

• Lack of SSL Certificate Validation in Citrix Netscaler (деталі)
• Privilege Escalation & XSS & Missing Authentication in Ansible Tower (деталі)
• Sitefinity Enterprise v7.2.53 - Persistent Vulnerability (деталі)
• Django vulnerabilities (деталі)
• D-Link DIR-652/DIR-835/DIR-855L/DGL-5500/DHP-1565 - Clear Text Password/XSS/Information Disclosure (деталі)

Виявлені уразливості безпеки в PHP.

Уразливі версії: PHP 5.5, PHP 5.6, PHP 7.0.

Пошкодження пам’яті, виконання коду.

• php5 security update (деталі)