Websecurity - Веб безпека

Всі атаковані сайти Міністерства Юстиції за 2009-2017 роки.

Давно наголошую, що Мінюст не слідкує за безпекою своїх сайтів. Торік писав про дірявий Мінюст. Наведу детальну статистику за дев’ять років.

Наступні сайти Мінюсту були інфіковані (явно після взлому), похакані чи заблоковані DDoS атаками:

kyivobljust.gov.ua - інфікований державний сайт - 14.10.2009
kyivobljust.gov.ua (хакером Uxor) - 27.07.2010
justice-km.gov.ua (хакерами з UAH-Crew) - 10.10.2010
justice.km.ua (хакерами з UAH-Crew) - 10.10.2010
kyivobljust.gov.ua - інфікований державний сайт - 04.12.2010
kyivobljust.gov.ua (хакерами з Ashiyane Digital Security Team) - 11.08.2011
minjust.gov.ua - інфікований державний сайт - 30.06.2012
kyivobljust.gov.ua (хакерами з Ashiyane Digital Security Team) - 31.08.2012
vinjust.gov.ua (хакером Nob0dy) - 22.10.2012
justzp.gov.ua (хакерами з Muslim Cyber Army) - 17.11.2013
kremjust.gov.ua (хакером Onser19) - 16.02.2014
just.odessa.gov.ua (хакером Pentasec) - 27.02.2014
notary-just.odessa.gov.ua (хакером Nofawkx Al) - 31.12.2015
justzp.gov.ua (хакером Kuroi’SH) - 22.08.2016
18 піддоменів justzp.gov.ua (хакером Kuroi’SH) - 22.08.2016
DDoS атака на usr.minjust.gov.ua (невідомими хакерами) - 22.09.2016
DDoS на usr.minjust.gov.ua (невідомими хакерами) - 21.10.2016
justvolyn.gov.ua (хакером Anonymous Arabe) - 03.01.2017
obljust.gov.ua (хакером Anonymous Arabe) - 03.01.2017
zakjust.gov.ua (хакером Dr.SiLnT HilL) - 10.01.2017
just.odessa.gov.ua (російськими хакерами) - 30.01.2017 та 05.07.2017
webmail.just.gov.ua (невідомі хакери) - 08.05.2017 - хакнули веб пошту для розсилки фішингу
justice-dn.gov.ua (хакером maress) - 02.07.2017

Зверніть увагу, що сайт kyivobljust.gov.ua (Головне територіальне управління юстиції у Київській області) був двічі інфікований та тричі хакнутий, а сайт justzp.gov.ua (Головне територіальне управління юстиції у Запорізькій області) був хакнутий в 2013 і 2016 роках (в останній раз одразу 19 доменів). А сайт just.odessa.gov.ua (Головне територіальне управління юстиції в Одеській області) був хакнутий в 2014 та двічі 2017 році.

Лише почався новий рік, а черговий сайт Мінюсту взломали. Це vinjust.gov.ua (хакером Alarg53) - 14.01.2018.

Всі мої публікації про всі атаковані державні сайти, в тому числі ці сайти Мінюсту, та мої виступи на конференціях в 2007-2017 роках (де я наводив статистику), були проігноровані як керівництвом та працівниками міністерства, так і владою загалом. Ними нічого не було зроблено для забезпечення безпеки державних Інтернет ресурсів. Тому сайти міністерства продовжують хакати по сьогоднішній день. Тисячі gov.ua сайтів були хакнуті чи інфіковані за 17 років, але жодного держслужбовця не засудили за це.

Добре видно, що Мінюст, як і всі державні органи 27 років економлять на безпеці сайтів та інших ресурсів. В своїх звітах я писав про тисячі успішних атак на державні сайти з 2001 року, а також про взломи та інфікування недержавних сайтів в Україні.

Виявлені численні уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge. Що були виправлені у вівторку патчів у січні.

Уразливі продукти: Microsoft Internet Explorer 9, 10, 11 та Edge під Windows Server 2008, Windows 7, Windows Server 2012, Windows 8.1, Windows 10, Windows Server 2016.

Численні пошкодження пам’яті та виконання коду.

Раніше я писав про грудневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію в січні.

В зв’язку з сепаратистськими і терористичними акціями на сході України, хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

j2.iitta.gov.ua (хакером LolzSec) - 04.01.2018
journal.sops.gov.ua (хакером B0c4H_Id30T) - 10.01.2018
vinjust.gov.ua (хакером Alarg53) - 14.01.2018

Проукраїнськими хакерами були атаковані наступні сайти:

Січневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі місяця.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт ursr.com.ua (через скаргу хостеру) - 01.2018
Закритий сайт slavgromada.wordpress.com (через скаргу хостеру) - 01.2018

В даній добірці експлоіти в веб додатках:

• InfraPower PPS-02-S Q213V1 - Multiple Cross-Site Scripting Vulnerabilities (деталі)
• InfraPower PPS-02-S Q213V1 - Local File Disclosure (деталі)
• Alienvault OSSIM/USM 5.3.1 - PHP Object Injection (деталі)
• Eir D1000 Wireless Router - WAN Side Remote Command Injection (Metasploit) (деталі)
• Disk Pulse Enterprise 9.0.34 - ‘Login’ Remote Buffer Overflow (Metasploit) (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Email Encoder Bundle, Bulletproof, Import CSV, eBook Download, HB Audio Gallery Lite. Для котрих з’явилися експлоіти.

• WordPress Email Encoder Bundle 1.4.3 Cross Site Scripting (деталі)
• WordPress Bulletproof 0.53.2 Cross Site Scripting (деталі)
• WordPress Import CSV 1.1 Directory Traversal (деталі)
• WordPress eBook Download 1.1 Directory Traversal (деталі)
• WordPress HB Audio Gallery Lite 1.0.0 Arbitrary File Download (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Виявлені уразливості безпеки в Apple Safari і Webkit.

Уразливі продукти: Apple Safari 11.

Пошкодження пам’яті, виконання коду.

• APPLE-SA-2017-12-13-5 Safari 11.0.2 (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://shtorm.inf.ua - інфекція була виявлена 31.12.2017. Зараз сайт входить до переліку підозрілих
• http://phoenix-mg.ucoz.com - інфекція була виявлена 13.07.2017. Зараз сайт не входить до переліку підозрілих
• http://professionalshippngng.com - інфекція була виявлена 02.08.2017. Зараз сайт не входить до переліку підозрілих
• http://jokoli.ucoz.net - інфекція була виявлена 26.09.2017. На сайті криптомайнер
• http://msvcnet.ucoz.net - інфекція була виявлена 06.10.2017. На сайті криптомайнер
• http://netnetget.ucoz.net - інфекція була виявлена 24.10.2017. На сайті криптомайнер
• http://booksonline.com.ua - інфекція була виявлена 31.12.2017. На сайті криптомайнер
• http://diagnoz.net.ua - інфекція була виявлена 31.12.2017. На сайті криптомайнер
• http://eternalphi.zzz.com.ua - інфекція була виявлена 07.01.2018. Зараз сайт не входить до переліку підозрілих
• http://arihard.kl.com.ua - інфекція була виявлена 08.01.2018. Зараз сайт не входить до переліку підозрілих

У травні, 15.05.2013, я знайшов Brute Force та Insufficient Anti-automation уразливості на сайті uniordreams.privatbank.ua. В той же день вислав ці уразливості банку.

Brute Force:

http://uniordreams.privatbank.ua/admin/

Відсутність захисту від підбору пароля адміна.

Insufficient Anti-automation:

На сторінці http://uniordreams.privatbank.ua не було захисту від автоматизованих атак. Що дозволяло спамити смсками.

Дані уразливості не були виправлені в 2013 році. ПриватБанк тоді проігнорував ці дірки, а вже в 2016 році всі вони були виправлені шляхом закриття сайту - любить банк так “виправляти” уразливості аби не платити винагороду. Відтоді на ньому працює лише редирект на інший сайт банку. Таким чином банк кинув мене, як це було з дірками на limit.privatbank.ua та інших сайтах ПБ.

У травні, 27.05.2016, я виявив Cross-Site Scripting та Cross-Site Request Forgery уразливості в ASUS Wireless Router RT-N10. А також в його модифікаціях RT-N10E, RT-N10LX і RT-N10U. Це третя частина дірок в RT-N10.

Раніше я писав про уразливості ASUS RT-N15U та ASUS RT-N10.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

У листопаді, 16.11.2017, вийшла нова версія WordPress 4.9.

WordPress 4.9 це перший випуск нової 4.9 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, а також виправлені баги.

Серед головних покращень зокрема можна відзначити покращений кастумайзер, перевірка розмітки на помилки, пісочниця для безпечної перевірки плагінів і тем, новий віджет для створення галерей, новий віджет для додання медіа та інші нововведення.

Окрім покращень для користувачів також було зроблено багато покращень для розробників.