Websecurity - Веб безпека

Раніше я писав про серпневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію у вересні.

В зв’язку з сепаратистськими і терористичними акціями на сході України хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

nbuviap.gov.ua (хакером jok3r) - 02.09.2016
pereyaslav-rda.gov.ua (хакером KkK1337) - 11.09.2016
disgvol.gov.ua (хакером NeT.Defacer) - 12.09.2016
osvita.sm.gov.ua (хакером Turan Ordusu) - 23.09.2016

Російські хакери провели атаки на державні ресурси:

DDoS на dorogamira org.ua (сайт створений СБУ) - 24.09.2016
Взлом mediarnbo.org (сайт створений РНБО) - 30.09.2016

Проукраїнськими хакерами були атаковані наступні сайти:

Вересневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі місяця.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт lnr.tv (через вплив на хостера) - 09.2016
Закритий сайт live.lnr.tv (через вплив на хостера) - 09.2016
Закритий сайт radio.lnr.tv (через вплив на хостера) - 09.2016

В даній добірці експлоіти в веб додатках:

• Axis Network Cameras - Multiple Vulnerabilities (деталі)
• WPN-XM Serverstack 0.8.6 - Cross-Site Request Forgery (деталі)
• Hikvision Digital Video Recorder - Cross-Site Request Forgery (деталі)
• Novell ServiceDesk - Authenticated Arbitrary File Upload (Metasploit) (деталі)
• PCMan FTP Server 2.0.7 - RENAME Command Buffer Overflow (Metasploit) (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://orangetravel.com.ua - інфекція була виявлена 30.08.2016. Зараз сайт входить до переліку підозрілих.
• http://procurement.in.ua - інфекція була виявлена 30.08.2016. Зараз сайт не входить до переліку підозрілих.
• http://modul.biz.ua - інфекція була виявлена 30.08.2016. Зараз сайт не входить до переліку підозрілих.
• http://sed-eparhia.com - інфекція була виявлена 30.08.2016. Зараз сайт не входить до переліку підозрілих.
• http://internetsales.com.ua - інфекція була виявлена 30.08.2016. Зараз сайт не входить до переліку підозрілих.

Виявлена уразливість безпеки в Microsoft VBScript, що використовуються в Internet Explorer та інших продуктах.

Уразливі продукти: Microsoft VBScript Scripting Engine для Windows.

Виконання коду через пошкодження пам’яті.

• Microsoft Security Bulletin MS16-116 - Critical Security Update in OLE Automation for VBScript Scripting Engine (3188724) (деталі)

Сьогодні пройшла конференція [кібер]Захист Енергетичної Інфраструктури України, на якій я виступив з доповіддю “Кібервійна на російсько-українському фронті”. В своїй доповіді я розповів про інформаційну та кібервійну Росії проти України і про Українські Кібер Війська, що я створив для протидії інформаційній та кібервійні.

Доповідь доступна в мене на сайті:

Кібервійна на російсько-українському фронті

В даній добірці уразливості в веб додатках:

• Proxmox VE < 3.2 user enumeration vulnerability (деталі)
• Two XSS Vulnerabilities in SupportCenter Plus (деталі)
• FancyFon FAMOC - Use of a One-Way Hash without a Salt (деталі)
• FancyFon FAMOC - Session Fixation (деталі)
• HP Software Executive Scorecard, Remote Execution of Code, Directory Traversal (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах History Collection, Paypal Currency Converter Basic, Yoast, Users To CSV і темі NativeChurch. Для котрих з’явилися експлоіти.

• WordPress History Collection 1.1.1 Arbitrary File Download (деталі)
• WordPress Paypal Currency Converter Basic For Woocommerce 1.3 File Read (деталі)
• WordPress Yoast 2.1.1 Cross Site Scripting (деталі)
• WordPress NativeChurch Theme 1.0 / 1.5 Arbitrary File Download (деталі)
• WordPress Users To CSV 1.4.5 Cross Site Request Forgery (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Виявлена можливість виконання коду в Microsoft Silverlight.

Уразливі продукти: Microsoft Silverlight 5 для Windows і Mac до версії 5.1.50709.0.

Виконання коду в браузерах з плагіном Silverlight.

• Microsoft Security Bulletin MS16-109 - Important Security Update for Silverlight (3182373) (деталі)

У серпні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у вересні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на rv.org.ru - 01-15.09.2016
DDoS на cikdnr.ru - 01-15.09.2016
DDoS на cik-lnr.info - 01-15.09.2016
DDoS на без-вести.рф - 01-15.09.2016
DDoS на ungu.org - 01-15.09.2016
DDoS на bne.su - 01-15.09.2016
DDoS на dnrpress.ru - 01-15.09.2016
DDoS на batalyonmoskva.ru - 01-15.09.2016
DDoS на monitor-kherson.net - 10-15.09.2016
DDoS на mnyug.com - 14-15.09.2016

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

У січні, 29.01.2015, я виявив Cross-Site Request Forgery та Cross-Site Scripting уразливості в D-Link DIR-100. Це четверта частина дірок в router DIR-100.

Раніше я писав про уразливості в пристроях даної компанії, зокрема в D-Link DIR-100 та D-Link DIR-300.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.