Архів за Жовтень, 2016

Уразливості в плагінах для WordPress №239

23:52 29.10.2016

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах The Events Calendar: Eventbrite Tickets, Plotly, Image Export, WP Attachment Export, Subscribe To Comments. Для котрих з’явилися експлоіти.

  • The Events Calendar: Eventbrite Tickets 3.9.6 Cross Site Scripting (деталі)
  • WordPress Plotly 1.0.2 Cross Site Scripting (деталі)
  • WordPress Image Export 1.1 Arbitrary File Download (деталі)
  • WordPress WP Attachment Export 0.2.3 Arbitrary File Download (деталі)
  • WordPress Subscribe To Comments 2.1.2 LFI / Code Execution (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Восьмий масовий взлом сайтів на сервері Ukraine

20:03 29.10.2016

Цього року відбувся новий масовий взлом сайтів на сервері Ukraine. Він відбувся з 05.02.2015 по 24.05.2016. Сьомий масовий взлом сайтів на сервері Ukraine відбувся в той самий час.

Був взломаний сервер української компанії Ukraine. Взлом складався з декількох масових дефейсів та декількох окремих дефейсів.

Всього було взломано 95 сайтів на сервері хостера Ukraine (IP 185.68.16.120). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт drohobych-rda.gov.ua.

З них 44 сайти були взломані хакерами з Team_CC, 38 сайтів хакером Zorrokin, 10 сайтів хакером TheWayEnd та по одному хакерами Phenomene Dz, ReSPiRaToR, iCodeR.

Масові дефейси хакерами TheWayEnd, ZoRRoKiN і Team_CC явно були зроблені через взлом серверу хостінг провайдера. У випадку окремих дефейсів по одному сайту, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера.

CSRF уразливості в D-Link DVG-5402SP

17:24 29.10.2016

29.01.2015

У січні, 01.01.2015, я виявив Cross-Site Request Forgery уразливості в D-Link DVG-5402SP VoIP Router. Це друга частина дірок в DVG-5402SP.

Раніше я писав про уразливості в пристроях даної компанії, зокрема в D-Link DCS-2103 та D-Link DVG-5402SP.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

29.10.2016

Cross-Site Request Forgery (WASC-09):

Зміна пароля адміна:

D-Link DVG-5402SP CSRF-1.html

Зміна пароля користувача:

D-Link DVG-5402SP CSRF-2.html

Вимкнути віддалений доступ у веб адмінку:

D-Link DVG-5402SP CSRF-3.html

Увімкнути віддалений доступ у веб адмінку:

D-Link DVG-5402SP CSRF-4.html

Так само можна змінити будь-які налаштування в адмінці, як то вимкнути telnet доступ.

Cross-Site Request Forgery (WASC-09):

Після зміни налаштувань, їх потрібно зберегти і перезапустити пристрій окремим GET запитом:

http://site/ConfigBackupForm.asp

Уразлива версія D-Link DVG-5402SP, Firmware RU_1.01. Дана модель з іншими прошивками також повинна бути вразливою.

Автоматизація атак на Wi-Fi мережі

23:57 28.10.2016

Продовжуючи розпочату традицію, після попереднього відео про масовий моніторинг Wi-Fi мереж, пропоную нове відео на секюріті тематику. Цього разу відео про атаки на Wi-Fi мережі. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 23 - Automatic Live WPA WPA2 Attacks and WPA Supplicant

Торік влітку на конференції DEFCON 23 відбувся виступ Vivek Ramachandran. В своєму виступі він розповів про атаки на бездротові мережі та їх автоматизацію. Зокрема з використанням програм на Python та його власного інструменту WPA Supplicant, що він розробив для атак на Wi-Fi мережі. Ця програма дозволяє автоматизувати атаки на бездротові мережі, що використовують алгоритми шифрування WPA, WPA2 та WPA2-Enterprise.

Він розповів про аспекти безпеки бездротових мереж, які можна атакувати за допомогою WPA Supplicant. Рекомендую подивитися дане відео для розуміння поточного стану безпеки Wi-Fi мереж.

Веб додатки на інфікованих сайтах в 1 півріччі 2016 року

22:42 28.10.2016

В своєму звіті про хакерську активність в Уанеті в 1 півріччі 2016, я згадував, що в першому півріччі було інфіковано 60 сайтів (з них 1 державний сайт).

Сьогодні я провів дослідження сайтів, що були інфіковані в першому півріччі 2016 року, і на 37 сайтах вдалося виявити движки. Частина з 60 сайтів вже не працювала, частина використовує html (при цьому деякі з них ховають php-додатки за розширенням html), а ще частина використовували власні php-скрипти.

На перевірених сайтах використовуються наступні движки:

Joomla - 15
WordPress - 15
Drupal - 4
AS Commerce CMS - 1
Django - 1
SLAED CMS - 1

Тобто майже всі інфіковані сайти, з числа працюючих, використовували (за станом на сьогодні) опенсорс веб додатки.

Уразливості в Ubiquiti airOS

20:01 28.10.2016

У лютому, 09.02.2015, я знайшов Abuse of Functionality, Brute Force та Cross-Site Request Forgery уразливості в Ubiquiti airOS. Це Wireless Router і AP.

Стосовно мережевих пристроїв раніше я писав про уразливості в D-Link DIR-300 та TP-Link TL-WR941N.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

Добірка експлоітів

17:27 28.10.2016

В даній добірці експлоіти в веб додатках:

  • PHP Imagick 3.3.0 - disable_functions Bypass (деталі)
  • IPFire < 2.19 Core Update 101 - Remote Command Execution (деталі)
  • NetCommWireless HSPA 3G10WVE Wireless Router - Multiple Vulnerabilities (деталі)
  • Oracle Application Testing Suite (ATS) - Arbitrary File Upload (Metasploit) (деталі)
  • HP Data Protector A.09.00 - Arbitrary Command Execution (деталі)

Похакані сайти №327

23:55 27.10.2016

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://lugansk.man.gov.ua (хакерами з Fallaga Team) - 01.06.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://lviv.man.gov.ua (хакерами з Fallaga Team) - 01.06.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://mykolaiv.man.gov.ua (хакерами з Fallaga Team) - 01.06.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://sevastopol.man.gov.ua (хакерами з Fallaga Team) - 01.06.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://scinn.nas.gov.ua (хакером Red hell sofyan) - 03.09.2016 - похаканий державний сайт, хоча він вже виправлений, але на сайті все ще залишилася сторінка хакерів
  • http://gas-on.com.ua (хакером Xvirus) - 06.07.2016, зараз сайт вже виправлений адмінами
  • http://atlas-plast.com.ua (хакером Xvirus) - 06.07.2016, зараз сайт вже виправлений адмінами
  • http://khimic.dp.ua (хакером Djamel11154) - 04.04.2016, зараз сайт вже виправлений адмінами
  • http://grafika.dp.ua (хакером Djamel11154) - 04.04.2016, зараз сайт вже виправлений адмінами
  • http://artmebel.dp.ua (хакером Djamel11154) - 04.04.2016, зараз сайт вже виправлений адмінами

Уразливості в PHP

22:41 27.10.2016

Виявлені уразливості безпеки в PHP.

Уразливі версії: PHP 5.6, PHP 7.0.

Пошкодження пам’яті, виконання коду.

Вийшли Mozilla Firefox 49.0.1 і 49.0.2

20:08 27.10.2016

У вересні, 23.09.2016, вийшов Mozilla Firefox 49.0.1, де усунутий баг з плагіном Websense (вибивання браузера). У жовтні, 20.10.2016, вийшов Mozilla Firefox 49.0.2. Нова версія браузера вийшли через місяць після виходу Firefox 49.

Це багфікс та секюріті випуск в якому зроблені покращення. У версії 49.0.2 виправлені як баги, так і уразливості. Зроблений асинхронний рендеринг Flash вмісту - це має виправити вибивання браузера при перегляді флеш файлів (що можна віднести до DoS уразливості, але Mozilla типово не відносить це до уразливостей, а до багів). Та виправлені use-after-free уразливість і витік інформації з кешу браузера.

  • MFSA 2016-87 Security vulnerabilities fixed in Firefox 49.0.2 (деталі)