Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Booking Calendar Contact Form, WooCommerce, WP User Frontend, Duplicator, ALO EasyMail Newsletter. Для котрих з’явилися експлоіти.

• WordPress Booking Calendar Contact Form 1.0.23 Blind SQL Injection (деталі)
• WordPress WooCommerce 1.5.5 Privilege Escalation (деталі)
• WordPress WP User Frontend 3.4.6 File Upload (деталі)
• WordPress Duplicator 1.1.0 / 1.2.0 Cross Site Request Forgery (деталі)
• WordPress ALO EasyMail Newsletter 2.6.01 CSRF (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В період з 03.11.2012 по 15.02.2015 та з 04.12.2016 по 18.05.2017 відбувся масовий взлом сайтів на сервері Ukrnames. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Ukrnames. Взлом складався з кількох масових дефейсів та багатьох невеликих дефейсів сайтів. Він відбувся після згаданого масового взлому сайтів на сервері Freehost.

Всього було взломано 215 сайтів на сервері хостера Freehost (IP 195.64.154.9). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт khoas.gov.ua.

З зазначених 215 сайтів 63 сайти були взломані хакером RxR та інші сайти іншими хакерами.

Масовий дефейс хакером RxR явно був зроблений через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері. У випадку інших дефейсів сайтів, всі вони явно були зроблені при взломах окремих сайтів.

У жовтні, 26.10.2017 і 27.10.2017, вийшли PHP 5.6.32, PHP 7.0.25 і PHP 7.1.11. У версії 5.6.32 виправлено багато уразливостей, у версії 7.0.25 виправлено багато багів і уразливостей, у версії 7.1.11 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.6.x, 7.0.x і 7.1.x.

У PHP 5.6.32, 7.0.25 і 7.1.11 виправлено:

• Пошкодження пам’яті.
• Численні вибивання в різних функціях (DoS).
• Уразливості в ядрі та модулях.

По матеріалам http://www.php.net.

16.09.2017

У серпні, 28.08.2017, я виявив Cross-Site Request Forgery уразливості в D-Link DGS-3000-10TC. Це друга частина дірок в цьому комутаторі.

Раніше я писав про уразливості в пристроях даної компанії, зокрема в D-Link DAP-1360 та D-Link DGS-3000-10TC.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

28.10.2017

Cross-Site Request Forgery (WASC-09):

Панель адміністратора має CSRF уразливості в усьому функціоналі. Наприклад в цьому функціоналі.

Додати нового адміна:

D-Link DGS-3000-10TC CSRF-1.html

Змінити пароль в нового адміна:

D-Link DGS-3000-10TC CSRF-2.html

Видалити нового адміна:

D-Link DGS-3000-10TC CSRF-3.html

Уразлива версія D-Link DGS-3000-10TC, Firmware Version 2.00.006. Дана модель з іншими прошивками також повинна бути вразливою.

Продовжуючи розпочату традицію, після попереднього відео про взлом банкоматів - Next Gen ATMs, пропоную нове відео на секюріті тематику. Цього разу відео про взлом ключів і POS систем готелів. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 24 - Hacking Hotel Keys and Point of Sale Systems

Торік влітку на конференції DEFCON 24 відбувся виступ Weston Hecker. В своєму виступі він розповів про атаки на готелі, зокрема на електронні ключі і POS системи готелів. Про ін’єкцію натискання клавіш у POS термінали та в касові апарати (для подальшого взяття коштів в них) - ці атаки відбуваються віддалено. А про атаки на банкомати Вестон розповідав у попередньому відео.

Він розповів про аспекти безпеки інформаційних систем, що застосовуються в готелях. Рекомендую подивитися дане відео для розуміння поточного стану безпеки таких систем.

Ще в 2012 році я писав про аналогічні уразливості на kredobank.com.ua і повідомив про дірки в клієнт-банкінгу власникам цього та інших банків. А також повідомив про всі ці 109 дірок розробникам цієї системи КБ, але всі вони проігнорували.

Сьогодні я знайшов ці уразливості, зокрема Brute Force, Cross-Site Scripting та Cross-Site Request Forgery дірки на http://dvbank.ua - сайті банка DV Bank (ДІВІ Банк). Зокрема на піддомені, де розміщений клієнт-банк. Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно уразливостей на сайтах банків останній раз я писав про limit.privatbank.ua.

BF + XSS + CSRF:

Всі зазначені уразливості знаходиться в клієнт-банкінгу ДІВІ Банк. Всього 109 уразливостей в системі IFOBS.

https://ifobs.dvbank.ua/ifobsClient/

Дані уразливості досі не виправлені.

Раніше я писав про вересневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію в жовтні.

В зв’язку з сепаратистськими і терористичними акціями на сході України, хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

disgvol.gov.ua (хакерами з chinafans) - 02.10.2017
tsdazu.gov.ua (хакером NoFace 47) - 09.10.2017
dts.gov.ua (хакером r00tkit) - 25.10.2017

Проукраїнськими хакерами були атаковані наступні сайти:

Жовтневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі місяця.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт uinp.info (через вплив на хостера) - 10.2017
Закритий сайт runner.org.ua (через скаргу хостеру) - 10.2017
Закритий сайт crimeavector.com.ua (через скаргу хостеру) - 10.2017
Закритий сайт actualnews.pro (через вплив на хостера) - 10.2017

В даній добірці експлоіти в веб додатках:

• Tenda ADSL2/2+ Modem 963281TAN - Unauthenticated DNS Change (деталі)
• COMTREND ADSL Router CT-5367 C01_R12 / CT-5624 C01_R03 - Unauthenticated DNS Change (деталі)
• TP-Link Archer CR-700 - Cross-Site Scripting (деталі)
• WinaXe 7.7 ‘FTP client’ - Remote Buffer Overflow (деталі)
• PCMan FTP Server 2.0.7 - ‘ACCT’ Buffer Overflow (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://vinoblzem.gov.ua (хакером Imam) - 05.03.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://zt.gov.ua (хакерами з Yunkers Crew) - 16.04.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://ergobud.com.ua (хакером Hawleri hacker) - 28.02.2017, зараз сайт вже виправлений адмінами
• http://medkol-moodle.net.ua (хакерами з chinafans) - 29.06.2017, зараз сайт вже виправлений адмінами
• http://imperial.co.ua (хакерами з chinafans) - 29.06.2017, зараз сайт вже виправлений адмінами

В даній добірці уразливості в веб додатках:

• TP-LINK WDR4300 - Stored XSS & DoS (деталі)
• novius-os.5.0.1 Persistent XSS, LFI & Open Redirect Vulnerabilities (деталі)
• CollabNet Subversion Edge indes local file inclusion (деталі)
• CollabNet Subversion Edge missing single login restriction (деталі)
• wpa_supplicant vulnerability (деталі)