Архів за Червень, 2017

Прямий ефір зі мною на Еспресо.TV

19:08 28.06.2017

Сьогодні о 14:20 я виступив у прямому ефірі на Еспресо.TV.

Виступив у ефірі телеканалу Еспресо з приводу масштабної вірусної атаки, яка 27.06.2017 відбулася в Україні. Що вважаю найбільшою кібер атакою в Україні на даний час. Всі бажаючі можуть його подивитися на YouTube каналі.

Масштабна вірусна атака в Україні

17:24 28.06.2017

Вчора відбувалася масштабна вірусна атака в Україні. Про що я писав у FB і TW. Окрім зараження тисяч комп’ютерів, також в результаті вірусної атаки та халатності працівників заблоковані деякі сайти.

Про заблоковані комп’ютери в багатьох державних та приватних компаніях, у т.ч. банках, а також банкомати і термінали ви могли читати в новинах. Винним у цій атаці є вірус вимагач Win32/Petya.A. Зверну вашу увагу саме на заблоковані сайти.

Всього я виявив дев’ять заблокованих сайтів: novaposhta.ua, dtek.com, ukrposhta.ua, korrespondent.net, ua.energy, football.ua, mvs.gov.ua, cybercrime.gov.ua, cyberpolice.gov.ua. Це така собі DDoS атака вірусом зсередини LAN.

Зазначу, що ransomware та інші віруси завжди атакують комп’ютери користувачів, але не веб сервери з сайтами. Бо вони мають бути розміщені в інших хостинг компаніях. При цьому Petya.A не є вимагачем, він лише маскується під ransomware, насправді цей вірус знищує ОС і файли на комп’ютерах - в цьому його головна задача, щоб нанести максимальні збитки в Україні.

Таким чином через халатність працівників та небажання слідкувати за безпекою в цих компаніях, що загнали собі вірус, а також через скупість (що сайти тримали на власних серверах, а не в хостера), ця вірусна атака заблокували їхні сайти. Про необхідність слідкувати за безпекою казав в усіх своїх виступах на конференціях та інтерв’ю з 2006 року та в багатьох публікаціях. Але державний і приватний сектори в Україні постійно економлять на безпеці. Тому маємо всі атаки на сайти в Уанеті, на енергосистему (в 2015 і в 2016 роках) та поточну атаку на тисячі комп’ютерів.

Уразливості в плагінах для WordPress №257

23:59 24.06.2017

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах S3 Video, Admin Management Xtended, Symposium і темі Squirrel. Для котрих з’явилися експлоіти.

  • WordPress Squirrel Theme 1.6.4 Remote File Inclusion (деталі)
  • WordPress S3 Video Remote Shell Upload (деталі)
  • WordPress Admin Management Xtended 2.4.0 Privilege Escalation (деталі)
  • WordPress Symposium 14.05.02 Cross Site Request Forgery (деталі)
  • WordPress Symposium 14.05.02 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Шостий масовий взлом сайтів на сервері Hetzner

22:36 24.06.2017

В період з 27.12.2014 по 18.11.2016 відбувся новий масовий взлом сайтів на сервері Hetzner. Раніше я вже розповідав про інші масові взломи.

Був взломаний сервер німецької компанії Hetzner, на якому хостилося багато українських сайтів. Взлом складався з декількох дефейсів сайтів. Раніше я писав про п’ятий масовий взлом сайтів на сервері Hetzner.

Всього було взломано 83 сайти на сервері хостера Hetzner (IP 136.243.0.152). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт pograirada.gov.ua.

З зазначених 83 сайтів 73 сайти були взломані хакерами з Anonymous Ghost Gaza, 3 сайти AnonymousFox, 2 сайти halako та по одному сайту хакерами Shade, BD GREY HAT HACKERS, Ogmass, ZoRRoKiN, Hmei7.

Масовий дефейс хакерами Anonymous Ghost Gaza явно був зроблений через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері. У випадку інших дефейсів сайтів, всі вони явно були зроблені при взломах окремих сайтів.

Вийшов Google Chrome 58

19:22 24.06.2017

У квітні, 20.04.2017, через півтора місяці після виходу Google Chrome 57, вийшов Google Chrome 58.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлено 29 уразливостей. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity і LibFuzzer. Що менше ніж в попередній версії.

  • Выпуск web-браузера Chrome 58 (деталі)

XSS та CSRF уразливості в Transcend Wi-Fi SD Card

23:54 23.06.2017

У травні, 10.05.2014, я знайшов Cross-Site Scripting та Cross-Site Request Forgery уразливості в Transcend Wi-Fi SD Card. Це флешка з бездротовим доступом.

Раніше я писав про уразливості в Transcend Wi-Fi SD Card.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

Добірка експлоітів

21:43 23.06.2017

В даній добірці експлоіти в веб додатках:

  • vBulletin 5.2.2 - Unauthenticated Server-Side Request Forgery (деталі)
  • SIEMENS IP-Camera CVMS2025-IR / CCMS2025 - Credentials Disclosure (деталі)
  • Honeywell IP-Camera HICC-1100PT - Credentials Disclosure (деталі)
  • VX Search Enterprise 9.0.26 - ‘Login’ Buffer Overflow (деталі)
  • Sync Breeze Enterprise 8.9.24 - ‘Login’ Buffer Overflow (деталі)

Численні уразливості в Microsoft Office Web Apps

20:09 23.06.2017

Виявлені численні уразливості безпеки в Microsoft Office, а також в серверних продуктах Office Web Apps і SharePoint Server. Що були виправлені у вівторку патчів у червні.

Уразливі продукти: Microsoft Office Web Apps 2010 SP2, Office Web Apps Server 2013 SP1, Excel Services on SharePoint Server 2007 SP3, 2010 SP2 і 2013 SP1, Word Automation Services on SharePoint Server 2010 SP2, SharePoint Foundation 2013 SP1.

Обхід безпеки, пошкодження пам’яті, виконання коду.

Похакані сайти №339

17:22 23.06.2017

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://cgo.nbuv.gov.ua (хакером Nofawkx Al) - 29.10.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://nbuv.gov.ua (хакером Nofawkx Al) - 29.10.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • DDOS атака на president.gov.ua (російськими хакерами) - 16.05.2017 - атакований державний сайт
  • http://polarsol.com.ua (хакером GAZA) - 08.08.2016, зараз сайт вже виправлений адмінами
  • http://pepworldwide.com.ua (хакером GAZA) - 08.08.2016, зараз сайт вже виправлений адмінами

DDoS attacks via other sites execution tool

23:57 22.06.2017

Сьогодні вийшла нова версія програми DAVOSET v.1.3.4. В новій версії:

  • Додав підтримку XXE уразливості в Qlikview.
  • Додав нові сервіси в списки зомбі.
  • Прибрав неробочі сервіси зі списків зомбі.

Всього в списку міститься 210 зомбі-сервісів.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality та XML External Entities уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.3.4.rar.