Websecurity - Веб безпека

У травні, 02.05.2015, я виявив Cross-Site Request Forgery та Cross-Site Scripting уразливості в D-Link DGS-3200-16. Це друга частина дірок в цьому комутаторі.

Раніше я писав про уразливості в пристроях даної компанії, зокрема в D-Link DGS-3200-16 та D-Link DAP-1360.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://chasy.com.ua - інфекція була виявлена 31.05.2017. Зараз сайт входить до переліку підозрілих.
• http://orion-sparta.com - інфекція була виявлена 14.01.2017. Зараз сайт не входить до переліку підозрілих.
• http://stream-ts.com - інфекція була виявлена 14.01.2017. Зараз сайт входить до переліку підозрілих.
• http://dosk.kiev.ua - інфекція була виявлена 31.05.2017. Зараз сайт не входить до переліку підозрілих.
• http://talmix.com.ua - інфекція була виявлена 31.05.2017. Зараз сайт входить до переліку підозрілих.

Продовжуючи розпочату традицію, після попереднього відео про дистанційне захоплення дронів, пропоную нове відео на секюріті тематику. Цього разу відео про атаки на Wi-Fi мережі. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 23 - Automatic Live WPA WPA2 Attacks and WPA Supplicant

Позаминулого літа на конференції DEFCON 23 відбувся виступ Vivek Ramachandran. В своєму виступі він розповів про атаки на бездротові мережі та їх автоматизацію. Зокрема з використанням програм на Python та його власного інструменту WPA Supplicant, що він розробив для атак на Wi-Fi мережі. Ця програма дозволяє автоматизувати атаки на бездротові мережі, що використовують алгоритми шифрування WPA, WPA2 та WPA2-Enterprise.

Він розповів про аспекти безпеки бездротових мереж, які можна атакувати за допомогою WPA Supplicant. Рекомендую подивитися дане відео для розуміння поточного стану безпеки Wi-Fi мереж.

В даній добірці експлоіти в веб додатках:

• NUUO NVRmini 2 3.0.8 - Arbitrary File Deletion (деталі)
• NUUO NVRmini 2 3.0.8 - ’strong_user.php’ Backdoor Remote Shell Access (деталі)
• WebNMS Framework Server 5.2 / 5.2 SP1 - Multiple Vulnerabilities (деталі)
• Metasploit Web UI - Diagnostic Console Command Execution (Metasploit) (деталі)
• NetMan 204 - Backdoor Account (деталі)

У квітні, 20.04.2017, вийшла нова версія WordPress 4.7.4.

WordPress 4.7.4 це багфікс випуск нової 4.7 серії. В якому розробники виправили 47 багів.

Також в цей день вийшли WordPress 4.0.17, 4.1.17, 4.2.14, 4.3.10, 4.4.9, 4.5.8 і 4.6.5. Вказані версії це багфікс випуски 4.0, 4.1, 4.2, 4.3, 4.4, 4.5 і 4.6 серії, в яких виправлені дані уразливості.

Виходячи з моїх звітів про веб додатки на інфікованих сайтах в 1 півріччі та веб додатки на інфікованих сайтах в 2 півріччі, я підведу підсумки. Та наведу загальну статистику про веб додатки на інфікованих сайтах в 2016 році.

Як я зазначав в своїх звітах про хакерську активність в Уанеті, в першому півріччі було інфіковано 60 сайтів, а в другому півріччі було інфіковано 108 сайтів. Всього 168 сайтів за 2016 рік. І з них на 132 сайтах вдалося виявити движки.

На перевірених в минулому році сайтах використовуються наступні движки:

Magento - 68
Joomla - 27
WordPress - 25
Drupal - 5
AS Commerce CMS - 1
DataLife Engine - 1
Django - 1
SLAED CMS - 1

Зазначу, що двоє з трьох лідери серед веб додатків у першому й другому півріччі були незмінними. Й відповідно в підсумкових результатах за весь рік.

Тобто майже всі інфіковані сайти, з числа працюючих, використовували опенсорс веб додатки. Більшість з них публічні відкриті CMS, але деякі й комерційні відкриті веб програми.

У травні місяці Microsoft випустила нові патчі.

У травневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло багато патчів, але починаючи з квітня бюлетені по безпеці не випускаються, тому їх кількість невідома. Компанія вказує лише назви продуктів та номера патчів, а не кількість і деталі бюлетенів (патчів). Вони закривають уразливості в програмних продуктах компанії.

Дані патчі стосуються поточних операційних систем компанії Microsoft - Windows Vista, 2008, 7, 2008 R2, 8.1, 2012, 2012 R2, RT 8.1, 10 та 2016. А також Microsoft Office, Internet Explorer і Edge, Office Web Apps і SharePoint Server, Microsoft Malware Protection Engine та .NET Framework.

Також Microsoft випустила патч для уразливостей в Adobe Flash Player, що постачається з Windows.

В даній добірці уразливості в веб додатках:

• HTTP verb tampering issue in SAP_JTECHS (деталі)
• Multiple vulnerabilities in Loxone Smart Home (part 2) (деталі)
• phpMyAdmin 4.4.6 Man-In-the-Middle API Github (деталі)
• Multiple critical vulnerabilities in WSO2 Identity Server (деталі)
• SAP HANA IU5 SDK Authentication Bypass (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Easy2Map, Support Ticket System, Font, Pie Register, Events Made Easy. Для котрих з’явилися експлоіти.

• WordPress Easy2Map 1.2.9 Cross Site Scripting (деталі)
• WordPress Support Ticket System 1.2 SQL Injection (деталі)
• WordPress Font 7.5 Path Traversal (деталі)
• WordPress Pie Register 2.0.18 SQL Injection (деталі)
• WordPress Events Made Easy 1.5.49 CSRF / XSS (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У квітні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у травні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на rv.org.ru - 01-31.05.2017
DDoS на cikdnr.ru - 01-31.05.2017
DDoS на cik-lnr.info - 01-31.05.2017
DDoS на без-вести.рф - 01-31.05.2017
DDoS на bne.su - 01-31.05.2017
DDoS на lvs-global.ru - 01-31.05.2017
DDoS на dnrpress.ru - 01-31.05.2017
DDoS на icp.su - 01-31.05.2017
DDoS на interbrigada.org - 01-31.05.2017
DDoS на dokcpp.dn.ua - 01-31.05.2017

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.