Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Author Manager, Chief Editor, arcResBookingWidget, Default Facebook Thumbnails, Content Grabber. Для котрих з’явилися експлоіти.

• WordPress Author Manager 1.0 Cross Site Scripting (деталі)
• WordPress Chief Editor 3.6.1 Cross Site Scripting (деталі)
• WordPress arcResBookingWidget 1.0 Cross Site Scripting (деталі)
• WordPress Default Facebook Thumbnails 0.4 Cross Site Scripting (деталі)
• WordPress Content Grabber 1.0 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Раніше я писав про листопадові DDoS атаки та взломи в Україні, а зараз розповім про ситуацію грудні.

В зв’язку з сепаратистськими і терористичними акціями на сході України хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Російські хакери провели атаки на державні сайти:

treasury.gov.ua (хакером Mr. Robot) - 06.12.2016 - сайт взломав можливо американець під час атак російських хакерів на інші державні сайти
DDoS на www.pfu.gov.ua (російськими хакерами) - 06.12.2016
DDoS на www.minfin.gov.ua (російськими хакерами) - 06.12.2016
DDoS на www.mil.gov.ua (російськими хакерами) - 13.12.2016
DDoS на www.uz.gov.ua (російськими хакерами) - 15.12.2016
DDoS на mtu.gov.ua (російськими хакерами) - 16.12.2016
DDoS на www.avia.gov.ua (російськими хакерами) - 16.12.2016

Іноземні хакери провели неполітичні взломи державних сайтів:

bc-mvs.gov.ua (хакерами з Attack Cyber Prophecy team) - 06.12.2016
kyiv-oblosvita.gov.ua (хакером Darkshadow-tn) - 12.12.2016
nu-rada.gov.ua (хакером silo) - 17.12.2016
forum.grad.gov.ua (хакером SilverT3AM) - 21.12.2016
ecohm.gov.ua (хакером AnonymousFox) - 24.12.2016
www.barrda.gov.ua (хакерами з Anonymous Ghost Gaza) - 31.12.2016
www.dubnozem.gov.ua (хакером Nofawkx Al) - 31.12.2016
www.sarnyzem.gov.ua (хакером Nofawkx Al) - 31.12.2016
www.demzem.gov.ua (хакером Nofawkx Al) - 31.12.2016
www.berezneland.gov.ua (хакером Nofawkx Al) - 31.12.2016

Проукраїнськими хакерами були атаковані наступні сайти:

sgzt.com (Українські Кібер Війська) - 09.12.2016
cgnf.ru (Українські Кібер Війська) - 09.12.2016
Грудневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі місяця.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт zaberkut.ru (через скаргу хостеру) - 12.2016

Виявлена Information Disclosure уразливість в Microsoft .NET Framework та Microsoft Windows.

Уразливі продукти: Microsoft .NET Framework 4.6.2.

Витік інформації через Data Provider for SQL Server компонент .NET Framework. Що дозволяє обійти захисний механізм Always Encrypted і отримати інформацію.

• Microsoft Security Bulletin MS16-155 - Important Security Update for .NET Framework (3205640) (деталі)

24.06.2015

У червні, 12.06.2015, я виявив Cross-Site Scripting уразливість в Bitrix Site Manager. Які обходять WAF та захисні фільтри Bitrix. Про що найближчим часом повідомлю розробникам системи.

Раніше я вже писав про численні Content Spoofing та XSS уразливості в Bitrix.

Детальна інформація про уразливість з’явиться пізніше.

31.12.2016

Cross-Site Scripting (WASC-08):

Це persistent XSS в полі text в формі коментарів:

<img src=”http://1″ on onerror=”$(’p').text(’Hacked’)” />

Уразливість виявив на сайті терористів у червні 2015 року, про взлом tribunal-today.ru я в той час написав.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://poltava.man.gov.ua (хакерами з Fallaga Team) - 01.06.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://man.gov.ua (хакерами з Fallaga Team) - 01.06.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://vinnytsia.man.gov.ua (хакерами з Fallaga Team) - 01.06.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://forum.grad.gov.ua (хакером SilverT3AM)
• http://bc-mvs.gov.ua (хакерами з Attack Cyber Prophecy team) - 06.12.2016 - державний сайт хакнули повторно після його захоплення в жовтні

Продовжуючи розпочату традицію, після попереднього відео про автоматизацію атак на Wi-Fi мережі, пропоную нове відео на секюріті тематику. Цього разу відео про дистанційне захоплення дронів. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 24 - Drones Hijacking: Multidimensional attack vectors and countermeasures

Торік влітку на конференції DEFCON 24 відбувся виступ Aaron Luo. В своєму виступі він розповів про атаки на дрони та показав живі демонстрації. Як можна дистанційно захопити дрони перехопивши керування ними. Це робиться через уразливості в апаратному і програмному забезпеченні дронів та SDK, а також шляхом атак через радіо сигнали, Wi-Fi та GPS.

Він розповів про аспекти безпеки дронів, які можна захопити через різні уразливості. Це актуальна тема в Україні враховуючи, що дрони використовуються на війні як з нашої сторони, так і зі сторони російських окупантів. Рекомендую подивитися дане відео для розуміння поточного стану безпеки дронів.

У грудні місяці Microsoft випустила 12 патчів. Що менше ніж у листопаді.

У грудневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 12 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Шість патчів закривають критичні уразливості та шість патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1, RT 8.1, 10 та 2016. А також Microsoft Office, Internet Explorer і Edge, Office Web Apps та .NET Framework.

Також Microsoft випустила патч для уразливостей в Adobe Flash Player, що постачаються з Windows.

В даній добірці експлоіти в веб додатках:

• Cisco EPC 3928 - Multiple Vulnerabilities (деталі)
• Dell OpenManage Server Administrator 8.3 - XML External Entity Exploit (деталі)
• Zabbix 2.2 < 3.0.3 - API JSON-RPC Remote Code Execution (деталі)
• Apache Continuum - Arbitrary Command Execution (Metasploit) (деталі)
• DarkComet Server - Arbitrary File Download (Metasploit) (деталі)

У серпні, 31.08.2013, я знайшов Cross-Site Scripting та інші уразливості на сайтах http://limit.pb.ua та http://limit.privatbank.ua. Це два домени одного сайту, тому всі уразливості однакові на них обох (зараз limit.pb.ua перенаправляє на limit.privatbank.ua). Тоді у вересні вислав всі ці уразливості ПриватБанку.

Якщо всі дірки банк підтвердив і взяв в роботу, то лише одну найбільш важливу дірку (з витоком даних клієнтів) ПБ виправив через два місяці та пізніше виплатив мені премію. Про інші дірки, як ось ця XSS, жодної відповіді за понад три роки я не отримав. Хоча нагадував їм про попередні уразливості в 2014-2016 роках. В цьому році я виявив, що ПриватБанк вже виправив всі інші уразливості (але без жодних премій мені) шляхом повної переробки сайту.

Стосовно ПриватБанка я вже писав про уразливість на partner.privatbank.ua та уразливості на acsk.privatbank.ua.

Cross-Site Scripting:

http://limit.pb.ua/%27;alert(document.cookie);a=%27

http://limit.privatbank.ua/%27;alert(document.cookie);a=%27

Дані уразливості та деякі інші не були виправлені в 2013 році. Але вже в 2016 році всі вони були виправлені. Проте я знайшов нові уразливості на limit.privatbank.ua, про які повідомив банк.

У грудні, 08.12.2016, вийшли PHP 5.6.29 і PHP 7.0.14. У версії 5.6.29 виправлено багато багів і уразливостей, у версії 7.0.14 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.6.x і 7.0.x.

У PHP 5.6.29 і 7.0.14 виправлено:

• Некоректне читання при декодуванні в модулі WDDX.
• Вибивання segfault в Opcache в PHP 5.6.29.
• Use After Free уразливість в unserialize() в PHP 7.0.14.
• Витоки пам’яті в модулях в PHP 7.0.14.
• Уразливості в ядрі та модулях.

По матеріалам http://www.php.net.