Архів за Березень, 2018

Уразливості в плагінах для WordPress №281

23:54 31.03.2018

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Easy Social Share Buttons, Unlimited Pop-Ups, Export To Ghost, Advanced Custom Fields і темі Truemag. Для котрих з’явилися експлоіти.

  • WordPress Easy Social Share Buttons 3.2.5 XSS (деталі)
  • WordPress Unlimited Pop-Ups 1.4.3 Cross Site Scripting (деталі)
  • WordPress Truemag Theme Cross Site Scripting (деталі)
  • WordPress Export To Ghost Export Download (деталі)
  • WordPress Advanced Custom Fields 4.4.7 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Березневий вівторок патчів від Microsoft

22:48 31.03.2018

У березні місяці Microsoft випустила нові патчі.

У березневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло багато патчів, але починаючи з квітня 2017 року бюлетені по безпеці не випускаються, тому їх кількість невідома. Компанія вказує лише назви продуктів та номера патчів, а не кількість і деталі бюлетенів (патчів). Вони закривають уразливості в програмних продуктах компанії.

Дані патчі стосуються поточних операційних систем компанії Microsoft - Windows 7, 8.1, RT 8.1, 10 та 2016. А також Microsoft Office, Internet Explorer і Edge, Exchange Server, Office Web Apps і SharePoint Server, .NET Framework і ASP.NET.

Також Microsoft випустила патч для уразливостей в Adobe Flash Player, що постачається з Windows.

Масовий взлом сайтів на сервері NeoCom

20:01 31.03.2018

В період з 11.01.2013 по 25.10.2016 та 16.01.2017 відбувся масовий взлом сайтів на сервері NeoCom. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Ukrnames. Взлом складався з кількох масових дефейсів та багатьох невеликих дефейсів сайтів. Він відбувся після згаданого масового взлому сайтів на сервері TheHost.

Всього був взломаний 51 сайт на сервері хостера NeoCom (IP 212.82.217.9). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти gorzdrav.ck.ua (2013 і 2014), oblradack.gov.ua.

З зазначених 51 сайту 46 сайтів були взломані хакером TheWayEnd та інші сайти іншими хакерами.

Масовий дефейс хакером TheWayEnd явно був зроблений через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері. У випадку інших дефейсів сайтів, всі вони явно були зроблені при взломах окремих сайтів.

Добірка експлоітів

17:29 31.03.2018

В даній добірці експлоіти в веб додатках:

  • Roundcube 1.2.2 - Remote Code Execution (деталі)
  • Splunk Enterprise 6.4.3 - Server-Side Request Forgery (деталі)
  • D-Link DI-524 - Cross-Site Request Forgery (деталі)
  • Shuttle Tech ADSL Wireless 920 WM - Multiple Vulnerabilities (деталі)
  • Dup Scout Enterprise 9.1.14 - Remote Buffer Overflow (SEH) (деталі)

Нові уразливості на feerverk.privatbank.ua

23:55 30.03.2018

Раніше, 16.04.2013, я знайшов численні уразливості на feerverk.privatbank.ua та fireworks.privatbank.ua - це два домени одного сайта. Зокрема такі дірки як Fingerprinting та Insufficient Anti-automation. В той час вислав ці уразливості банку.

Fingerprinting (WASC-45):

http://feerverk.privatbank.ua

Витік версій серверних додатків у HTTP заголовках.

Також використання старих й уразливих версій nginx і PHP.

Insufficient Anti-automation (WASC-21):

В одній формі на сайті не було захисту від автоматизованих атак. Це дозволяло автоматизовано реєструватися на сайті. А також спамити листами і смсками.

В інший формі на сайті не було захисту від автоматизованих атак і OTP код всього два символи. Це дозволяло автоматизовано підтверджувати реєстрацію на сайті.

ПриватБанк тоді проігнорував ці уразливості. За кілька років вони були виправлені шляхом закриття сайту - любить банк так “виправляти” уразливості аби не платити винагороду. Таким чином банк кинув мене, як це було з дірками на skype.privatbank.ua та інших сайтах ПБ.

Вийшов WordPress 4.9.2

22:48 30.03.2018

В січні, 16.01.2018, вийшла нова версія WordPress 4.9.2.

WordPress 4.9.2 це багфікс та секюріті випуск нової 4.9 серії. В якому розробники виправили 21 баг та 1 уразливість. Була виправлена XSS уразливість в Flash fallback файлах в MediaElement.

Також в цій версії зробили звичайні виправлення в движку.

Уразливості в Microsoft .NET і ASP.NET

20:09 30.03.2018

Виявлені уразливості в Microsoft .NET Core і ASP.NET Core. Що були виправлені у вівторку патчів у березні.

Уразливі продукти: Microsoft .NET Core 1.0, 1.1, 2.0, ASP.NET Core 1.0, 1.1, 2.0, .NET Framework.

Обхід безпеки та витік інформації.

Викрадання коштів з платіжних карт з NFC

17:26 30.03.2018

Платіжні карти широко використовуються в Україні та в усьому світі. Сам багато років користуюся ними. Дебітними і кредитними платіжними картами серед іншого можна розплачуватися за покупки в торговій мережі та в Інтернеті.

Вже писав, що через уразливості в онлайн банкінгах можна як викрадати кошти з карт, так і блокувати платіжні карти.

І такі уразливості на сайтах банків я знаходив багато разів з початку десятиліття. Розповім про викрадання коштів з платіжних карт з технологією Near Field Communication (NFC).

Вже давно в Україні присутні карти з бездротовою технологією NFC. Компанія MasterCard назвала цю функцію PayPass, а Visa назвала її payWave (різні виробники називають технологію по різному, але в основі лежить NFC) - це безконтактна технологія оплати, що не потребує проводити магнітною стрічкою по терміналу, що забезпечує більшу безпеку і більш швидкі розрахунки.

Технологія сучасна та популярна, окрім оплати в торговельній мережі, вона також застосовується для сплати проїзду в київському метро. Відсутність контакту карти з терміналом - це добре, але українські банки також дозволяють не підтверджувати оплату (за звичай для сум до 100 грн.) при використанні безконтактної технології оплати. Саме це може бути використано зловмисниками для крадіжки коштів.

Поєднання безконтактної оплати та ліміту на “транзакцію без підтвердження” дозволяє викрадання коштів з платіжних карт з NFC. Багато разів у цьому десятилітті бачив як люди користувалися такими платіжними картами, тому одразу підозрював таку можливість, але в мене були лише карти без NFC. Віднедавна в мене з’явилася банківська карта з бездротовою технологією NFC і я зміг це перевірити на практиці в різних магазинах, що мають термінали з підтримкою PayPass і payWave. Тим самим повністю підтвердив свої підозри про таку атаку, що були багато років.

Для цього зловмисникам потрібно вкрасти карту, або “взяти її тимчасово” (наприклад, родичі можуть взяти карту на короткий час), і робити покупки на суми до 100 грн. Це можна робити підряд в різних точках продажу чи навіть на різних касах в одному магазині. Аналогічна можливість викрадання коштів є на картах навіть без NFC, де банки дозволяють не підтверджувати транзакції підписом чи пін-кодом (в межах ліміту). В мене була така преміальна карта від Правекс Банку з лютого 2016 року, де я не підтверджував оплату в більшості магазинів, хоча на інших картах Правекс Банку і ПриватБанку я завжди вводив пін-коди. Тому за всіма картами, де немає підтвердження, потрібно надійно слідкувати.

Зазначу, що також існує можливість віддаленого викрадення коштів з NFC карт. На це мені звернули увагу в Facebook після того, як я опублікував там свою статтю. Такі випадки атак давно відомі на заході та вже мають місце в Україні.

Існують методи захисту карт. Щоб захиститися від родичів (що взяли карту тимчасово), злочинців (що вкрали карту), злочинних працівників магазинів (що перед основною транзакцією можуть приховано собі провести транзакцію), шахраїв (що віддалено тирять кошти по NFC в транспорті та інших місцях) та інших сценаріїв, зробіть один з наступних кроків:

1. Користуйтеся картками без NFC загалом і лише в надійних випадках картками з NFC. Сам користуюся 10 років лише звичайними картами, тому вважаю їх надійними. Повністю відмовитися від таких карт слід лише у крайньому випадку.

2. Користуйтеся смс-банкінгом, щоб отримувати повідомлення про всі транзакції. Якщо шахраї вкрадуть гроші, то ви швидко про це дізнаєтеся і зможете відреагувати. Свій телефон завжди ношу з собою коли беру карту з NFC.

3. Існують методи фізичного захисту карток від віддалених атак.

Вийшли Mozilla Firefox 57.0.2-57.0.4

23:57 29.03.2018

У грудні, 07.12.2017, вийшов Mozilla Firefox 57.0.2. Нова версія браузера вийшла більше ніж через пів місяця після виходу Firefox 57.

Це секюріті випуск в якому виправлена уразливість CVE-2017-7845: Buffer overflow when drawing and validating elements with ANGLE library using Direct 3D 9. Після цього в грудні вийшла версія Firefox 57.0.3 з виправленням багів.

У січні, 04.01.2018, вийшов Mozilla Firefox 57.0.4. Це секюріті випуск в якому виправлена уразливість, що стосується сучасних процесорів Speculative execution side-channel attack - ця атака отримала назву “Spectre”. Вона також була виправлена в Firefox 52 ESR.

  • MFSA 2017-29 Security vulnerabilities fixed in Firefox 57.0.2 (деталі)
  • MFSA 2018-01 Speculative execution side-channel attack (”Spectre”) (деталі)

Уразливості в Microsoft Office Web Apps

22:41 29.03.2018

Виявлені уразливості безпеки в Microsoft Office, а також в серверних продуктах Office Web Apps і SharePoint Server. Що були виправлені у вівторку патчів у березні.

Уразливі продукти: Microsoft Office Web Apps 2010 SP2, Office Web Apps Server 2013 SP1, Project Server 2013 SP1, SharePoint Enterprise Server 2016.

Обхід безпеки та виконання коду.