Архів за Вересень, 2017

Вересневі DDoS атаки на сайти ДНР і ЛНР

20:01 28.09.2017

У серпні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у вересні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на rv.org.ru - 01-30.09.2017
DDoS на cikdnr.ru - 01-30.09.2017
DDoS на cik-lnr.info - 01-30.09.2017
DDoS на без-вести.рф - 01-30.09.2017
DDoS на dnrpress.ru - 01-30.09.2017
DDoS на icp.su - 01-30.09.2017
DDoS на interbrigada.org - 01-30.09.2017
DDoS на dokcpp.dn.ua - 01-30.09.2017
DDoS на antiukrop.su - 01-30.09.2017
DDoS на banner.dn.ua - 01-30.09.2017

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

Добірка експлоітів

17:25 28.09.2017

В даній добірці експлоіти в веб додатках:

  • Intellinet IP Camera INT-L100M20N - Unauthorized Admin Credential Change (деталі)
  • ZKTeco ZKBioSecurity 3.0 - ‘visLogin.jsp’ Local Authentication Bypass (деталі)
  • ZKTeco ZKAccess Security System 5.3.1 - Persistent Cross-Site Scripting (деталі)
  • Rumba FTP Client 4.x - Stack Buffer Overflow (SEH) (деталі)
  • PCMan FTP Server 2.0.7 - ‘DELETE’ Command Buffer Overflow (деталі)

Уразливості в плагінах для WordPress №265

23:58 27.09.2017

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах NextGEN Gallery, AzonPop, JS External Link Info, Symposium Pro Social Network, Tubepress. Для котрих з’явилися експлоіти.

  • WordPress NextGEN Gallery 2.1.15 Cross Site Scripting / Path Traversal (деталі)
  • WordPress AzonPop 1.0.0 SQL Injection (деталі)
  • WordPress JS External Link Info 1.21 Open Redirect (деталі)
  • WordPress Symposium Pro Social Network 16.1 Cross Site Scripting (деталі)
  • WordPress Tubepress 2 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Вийшов Google Chrome 61

22:46 27.09.2017

У вересні, 06.09.2017, через півтора місяці після виходу Google Chrome 60, вийшов Google Chrome 61.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлено 22 уразливості. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity і LibFuzzer. Що менше ніж в попередній версії.

  • Выпуск web-браузера Chrome 61 (деталі)

Численні уразливості в Mozilla Firefox і Thunderbird

20:03 27.09.2017

Виявлені численні уразливості безпеки в Mozilla Firefox і Thunderbird.

Уразливі продукти: Mozilla Firefox 54, Firefox ESR 52.2, Thunderbird 52.2.

Пошкодження пам’яті, переповнення буферу, виконання коду, обхід обмежень, витік інформації через обхід SOP, атака Domain hijacking через механізм AppCache, підробка навігації в браузері, витік інформації про CSP, некоректна обробка директив у CSP, обнулення файлів у Linux, XSS через XUL injection, DoS, іфрейми на сторінці about:srcdoc не наслідують CSP, проблеми з HSTS, читання додаткової пам’яті в Windows crash reporter, оновлювач на Windows може видаляти довільні файли з іменем update.log.

  • MFSA 2017-18 Security vulnerabilities fixed in Firefox 55 (деталі)

Добірка уразливостей

17:21 27.09.2017

В даній добірці уразливості в веб додатках:

  • Ultra Electronics / AEP Networks - SSL VPN (Netilla / Series A / Ultra Protect) Vulnerabilities (деталі)
  • Concrete5 <= 5.7.3.1 (sendmail) Remote Code Execution Vulnerability (деталі)
  • Symphony CMS XSS Vulnerability (деталі)
  • SilverStripe CMS Unvalidated Redirect & XSS vulnerabilities (деталі)
  • HP-UX running System Management Homepage (SMH), Remote Cross-Site Request Forgery (деталі)

Інфіковані сайти №278

23:58 26.09.2017

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://thekorol.zzz.com.ua - інфекція була виявлена 19.07.2017. Зараз сайт не входить до переліку підозрілих
  • https://net.dn.ua - інфекція була виявлена 26.07.2017. Зараз сайт не входить до переліку підозрілих.
  • http://filin.at.ua - інфекція була виявлена 13.08.2017. Зараз сайт не входить до переліку підозрілих
  • http://duh-i-litera.com - інфекція була виявлена 13.02.2017. Зараз сайт не входить до переліку підозрілих
  • http://tn.esco.co.ua - інфекція була виявлена 15.02.2017. Зараз сайт не входить до переліку підозрілих

Численні уразливості в Microsoft Internet Explorer і Edge

22:49 26.09.2017

Виявлені численні уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge. Що були виправлені у вівторку патчів у вересні.

Уразливі продукти: Microsoft Internet Explorer 9, 10, 11 та Edge під Windows Server 2008, Windows 7, Windows Server 2012, Windows 8.1, Windows 10, Windows Server 2016.

Численні пошкодження пам’яті та виконання коду.

Вийшов Mozilla Firefox 55

20:04 26.09.2017

У серпні, 08.08.2017, вийшов Mozilla Firefox 55. Нова версія браузера вийшла через півтора місяці після виходу Firefox 54.

Mozilla офіційно випустила реліз веб-браузера Firefox 55, а також мобільну версію Firefox 55 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 56 намічений на 26 вересня.

Також була оновлена гілка із тривалим терміном підтримки Firefox 52.3.

В браузері були зроблені покращення безпеки, зокрема для доповнень WebExtensions активована система підтвердження розширених повноважень, таких як доступ до вмісту сайтів, що відкриваються або можливість обробки вкладок. Також зроблене блокування доступу до Geolocation API та Storage API для сайтів, що працюють не через захищене з’єднання та заборонене завантаження зовнішніх JAR-файлів.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 55.0 усунуто 29 уразливостей, що більше ніж в попередній версії. Серед яких п’ять позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

Уразливості на limit.privatbank.ua

17:23 26.09.2017

У серпні, 31.08.2013, я знайшов Cross-Site Scripting, Insufficient Anti-automation та інші уразливості на сайтах http://limit.pb.ua та http://limit.privatbank.ua. Це два домени одного сайту, тому всі уразливості однакові на них обох (зараз limit.pb.ua перенаправляє на limit.privatbank.ua). Тоді у вересні вислав всі ці уразливості банку.

Якщо всі дірки ПриватБанк підтвердив і взяв в роботу, то лише одну найбільш важливу дірку (з витоком даних клієнтів) ПБ виправив через два місяці та пізніше виплатив мені премію. Про інші дірки, як згадана в попередньому пості XSS і ця Insufficient Anti-automation, жодної відповіді за чотири роки я не отримав. Хоча нагадував їм про попередні уразливості в 2014-2016 роках. Торік я виявив, що ПриватБанк вже виправив всі інші уразливості (але без жодних премій мені) шляхом повної переробки сайту.

Стосовно ПриватБанка я вже писав про уразливості на acsk.privatbank.ua та уразливості на limit.privatbank.ua.

Insufficient Anti-automation:

На сторінці http://limit.pb.ua/verify (http://limit.privatbank.ua/verify) немає захисту від автоматизованих атак. Що дозволяє спамити смсками.

Insufficient Anti-automation:

На сторінці http://limit.pb.ua/verifySMS (http://limit.privatbank.ua/verifySMS) немає захисту від автоматизованих атак. Що дозволяє підбирати OTP висланий в смсці.

OTP код всього 4 символи, що всього 10000 комбінацій - це легко підбирається. І немає захисту від підбору OTP. Тому можна легко отримати доступ до акаунту користувача без наявності мобільного телефону жертви, щоб дізнатися кредитний ліміт і змінити його.

Дані уразливості та деякі інші не були виправлені в 2013 році. Але вже в 2016 році всі вони були виправлені. Проте я знайшов нові уразливості на limit.privatbank.ua, про які повідомив ПБ наприкінці минулого року і вони виправили їх.