Архів за Лютий, 2017

Уразливості в плагінах для WordPress №246

23:50 28.02.2017

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах qTranslate, Job Manager, Filedownload, Candidate Application Form, Simple Image Manipulator. Для котрих з’явилися експлоіти.

  • WordPress qTranslate 2.5.39 Cross Site Scripting (деталі)
  • WordPress Job Manager 0.7.22 Cross Site Scripting (деталі)
  • WordPress Filedownload 1.4 Open Proxy (деталі)
  • WordPress Candidate Application Form 1.0 File Download (деталі)
  • WordPress Simple Image Manipulator 1.0 File Download (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Лютневі DDoS атаки на сайти ДНР і ЛНР

21:08 28.02.2017

У січні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у лютому.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на rv.org.ru - 01-28.02.2017
DDoS на cikdnr.ru - 01-28.02.2017
DDoS на cik-lnr.info - 01-28.02.2017
DDoS на без-вести.рф - 01-28.02.2017
DDoS на bne.su - 01-28.02.2017
DDoS на lvs-global.ru - 01-28.02.2017
DDoS на dnrpress.ru - 01-28.02.2017
DDoS на interbrigada.org - 01-28.02.2017
DDoS на patriot.dn.ua - 24.02.2017-28.08.2017
DDoS на ukrop.dn.ua - 24.02.2017-28.08.2017

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

Уразливості на www.pravexonline.com

19:33 28.02.2017

04.12.2015

В жовтні, 11.10.2012, я знайшов Brute Force та Cross-Site Request Forgery на www.pravexonline.com - це система інтернет-банкінгу Правекс Банку. А також багато інших уразливостей. Про що найближчим часом повідомлю розробникам системи.

Раніше я писав про уразливості на pravex.com. Стосовно уразливостей на сайтах банків останній раз я писав про уразливості на acsk.privatbank.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

28.02.2017

Цей онлайн банкінг доступний на https і використовує самопідписаний SSL сертифікат.

Brute Force:

https://www.pravexonline.com/names.nsf

Немає захисту від BF атак.

Cross-Site Request Forgery:

Відсутність захисту від Brute Force (такого як капча) також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін. Що стане в нагоді при проведенні атак на різні CSRF і XSS уразливості в акаунті.

На сайті використовується IBM Lotus Domino, тому там також можуть бути численні уразливості в Domino, які я виявив у 2012 році.

Добірка експлоітів

17:23 28.02.2017

В даній добірці експлоіти в веб додатках:

  • XpoLog Center 6 - Remote Command Execution / Cross-Site Request Forgery (деталі)
  • PaKnPost Pro 1.14 - Multiple Vulnerabilities (деталі)
  • Advanced Webhost Billing System (AWBS) 2.9.6 - Multiple Vulnerabilities (деталі)
  • OpenSSHd 7.2p2 - Username Enumeration (деталі)
  • TFTP Server 1.4 - WRQ Buffer Overflow (деталі)

Інфіковані сайти №267

23:52 27.02.2017

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://mr.gov.ua - інфікований державний сайт - інфекція була виявлена 24.01.2017. Зараз сайт не входить до переліку підозрілих.
  • http://chsp.com.ua - інфекція була виявлена 24.01.2017. Зараз сайт входить до переліку підозрілих.
  • http://gayrayrada.gov.ua - інфікований державний сайт - інфекція була виявлена 24.01.2017. Зараз сайт не входить до переліку підозрілих.
  • http://kosei.com.ua - інфекція була виявлена 24.01.2017. Зараз сайт не входить до переліку підозрілих.
  • http://prof-legion.com.ua - інфекція була виявлена 24.01.2017. Зараз сайт входить до переліку підозрілих.
  • http://elefanto.ua - інфекція була виявлена 27.02.2017. Зараз сайт не входить до переліку підозрілих.
  • http://hram-uspennya.te.ua - інфекція була виявлена 27.02.2017. Зараз сайт входить до переліку підозрілих.
  • http://procurement.in.ua - інфекція була виявлена 27.02.2017. Зараз сайт не входить до переліку підозрілих.
  • http://patoka.ua - інфекція була виявлена 27.02.2017. Зараз сайт не входить до переліку підозрілих.
  • http://teploart.com.ua - інфекція була виявлена 27.02.2017. Зараз сайт не входить до переліку підозрілих.

Лютневий вівторок патчів від Microsoft

22:45 27.02.2017

У лютому місяці Microsoft випустила 1 патч. Що менше ніж у січні.

У лютневий “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшов один бюлетень по безпеці. Що закриває уразливості в програмних продуктах компанії. Один патч закриває критичні уразливості.

Даний патч стосуються поточних операційних систем компанії Microsoft - Windows 8.1, 2012, 2012 R2, RT 8.1, 10 та 2016. Microsoft випустила патч для уразливостей в Adobe Flash Player, що постачається з Windows.

Мій виступ на круглому столі НАТО

20:01 27.02.2017

В лютому, 09.02.2017, я виступив з доповіддю на круглому столі “Україна-НАТО: спільна невійськова співпраця у протидії гібридній війні”, де розповів про кібервійну Росії проти України.

Доповідь розмістив в форматах Flash і PDF:

Кібервійна проти України та захист від гібридних загроз (Flash)

Кібервійна проти України та захист від гібридних загроз (PDF)

Добірка уразливостей

17:28 27.02.2017

В даній добірці уразливості в веб додатках:

  • HP Network Virtualization, Remote Execution of Code, Disclosure of Information (деталі)
  • TORNADO Computer Trading CMS - SQL Injection Vulnerability (деталі)
  • CSRF/XSS In Manage Engine Asset Explorer (деталі)
  • Alienvault OSSIM/USM Multiple Vulnerabilities (деталі)
  • EMC Network Configuration Manager (NCM) Report Advisor Session Fixation Vulnerability (деталі)

Вийшла SecurityAlert 1.3.3

23:55 04.02.2017

В січні, 23.01.2017, вийшла версія SecurityAlert 1.3.3. Моя система SecurityAlert - це система для інформування про інциденти з безпекою на веб сайтах.

В жовтні я випустив версію 1.3, в якій реалізував визначення попередніх версій движка на сайті, що буде дуже корисною функцією. В наступних версіях ще більше покращив систему. Можете подивитися на визначення версій веб додатків (WordPress, в т.ч. попередню версію, та плагіни) на тестовому сайті.

SecurityAlert

Шостий масовий взлом сайтів на сервері Freehost

22:45 04.02.2017

В період з 22.01.2014 по 22.08.2016 відбувся новий масовий взлом сайтів на сервері Freehost. П’ятий масовий взлом сайтів на сервері Freehost відбувся раніше.

Був взломаний сервер української компанії Freehost. Взлом складався з одного масового дефейсу та кількох невеликих дефейсів сайтів. Дефейси відбулися під час масового взлому сайтів на сервері Укртелекому.

Всього було взломано 52 сайти на сервері хостера Freehost (IP 178.20.153.56). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державні сайти: mh.justzp.gov.ua, ml.justzp.gov.ua, new.justzp.gov.ua, nm.justzp.gov.ua, old.justzp.gov.ua, or.justzp.gov.ua, pa.justzp.gov.ua, pg.justzp.gov.ua, pm.justzp.gov.ua, roz.justzp.gov.ua, tm.justzp.gov.ua, vas.justzp.gov.ua, vb.justzp.gov.ua, ves.justzp.gov.ua, vl.justzp.gov.ua, yk.justzp.gov.ua, zm.justzp.gov.ua, zr.justzp.gov.ua, justzp.gov.ua.

З зазначених 52 сайтів 19 сайтів були взломані хакером Kuroi’SH та інші сайти іншими хакерами.

Масовий дефейс хакером Kuroi’SH явно був зроблений через взлом одного сайту та атаку на інші сайти під одним акаунтом. У випадку інших дефейсів сайтів, всі вони явно були зроблені при взломах окремих сайтів.