Websecurity - Веб безпека

Раніше я писав про лютневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію в березні.

В зв’язку з сепаратистськими і терористичними акціями на сході України, хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

zaryabinka-rada.gov.ua (хакерами з TeaM_CC) - 11.03.2018
bogodukhivrda.gov.ua (хакерами з TeaM_CC) - 11.03.2018
new.bogodukhivrda.gov.ua (хакерами з TeaM_CC) - 11.03.2018
nmckherson.gov.ua (хакерами з TeaM_CC) - 18.03.2018
uon.gov.ua (хакерами з TeaM_CC) - 18.03.2018
ochakiv-rada.gov.ua (хакерами з TeaM_CC) - 19.03.2018

Проукраїнськими хакерами були атаковані наступні сайти:

Березневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі місяця.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт pomogi-donbassu.ru (через скаргу хостеру) - 03.2018
Закритий сайт gum-lnr.su (через відкликання SSL сертифікату) - 03.2018
Закритий сайт gtklnr.su (через відкликання SSL сертифікату) - 03.2018
Закритий сайт phoenix-dnr.ru (через відкликання SSL сертифікату) - 03.2018
Закритий сайт феникс-днр.рус (через відкликання SSL сертифікату) - 03.2018

В даній добірці експлоіти в веб додатках:

• Xfinity Gateway - Remote Code Execution (деталі)
• Cisco Unified Communications Manager 7/8/9 - Directory Traversal (деталі)
• NETGEAR R7000 - Command Injection (деталі)
• BlackStratus LOGStorm 4.5.1.35/4.5.1.96 - Remote Code Execution (деталі)
• Alcatel Lucent Omnivista 8770 - Remote Code Execution (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах iThemes Security, Tweet-Wheel, Echosign, Google SEO Pressor Snippet, CM Ad Changer. Для котрих з’явилися експлоіти.

• WordPress iThemes Security Insecure Backup / Logfile Generation (деталі)
• WordPress Tweet-Wheel 1.0.3.2 Cross Site Scripting (деталі)
• WordPress Echosign 1.1 Cross Site Scripting (деталі)
• WordPress Google SEO Pressor Snippet 1.2.6 XSS (деталі)
• WordPress CM Ad Changer 1.7.2 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Виявлені численні уразливості безпеки в Mozilla Firefox і Thunderbird.

Уразливі продукти: Mozilla Firefox 56, Firefox ESR 52.4, Thunderbird 52.4.

Пошкодження пам’яті, виконання коду, обхід обмежень, витік інформації, підробка адресного рядка, обхід CSP, встановлення кукіс через SVG зображення, self-XSS.

• MFSA 2017-24 Security vulnerabilities fixed in Firefox 57 (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://testosvita.kam-pod.gov.ua (хакером Ayyildiz Tim-maress) - 10.07.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінам
• http://portal.kam-pod.gov.ua (хакером Ayyildiz Tim-maress) - 10.07.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінам
• http://richmangroup.com.ua (хакером w0rmexpl0it)
• http://evrik.com.ua (хакером ReC0ded) - 23.09.2017, зараз сайт вже виправлений адмінам
• http://ecotestvip.com (хакерами з ToP-TeaM) - 10.12.2017, зараз сайт вже виправлений адмінам

Виявлені уразливості в Microsoft Exchange. Що були виправлені у вівторку патчів у березні.

Уразливі продукти: Microsoft Exchange Server 2013, Exchange Server 2016.

Виконання коду в Malware Protection Engine.

Торік, 29.11.2017, вийшла нова версія WordPress 4.9.1.

WordPress 4.9.1 це багфікс та секюріті випуск нової 4.9 серії. В якому розробники виправили 11 багів та 4 уразливості. Це покращення в CMS, що мають захистити від багатовекторної атаки. Зроблені ескейпінги в декількох функціоналах проти потенційних XSS, для ключа newbloguser зроблене генерування повноцінного хешу та прибрана можливість завантаження JavaScript файлів для непривілейованих користувачів системи.

Також в цій версії зробили звичайні виправлення в движку.

У лютому вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у березні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на без-вести.рф - 01-31.03.2018
DDoS на cikdnr.ru - 01-31.03.2018
DDoS на cik-lnr.info - 01-31.03.2018
DDoS на dokcpp.dn.ua - 01-31.03.2018
DDoS на antiukrop.su - 01-31.03.2018
DDoS на milion.kiev.ua - 01-31.03.2018
DDoS на banner.dn.ua - 01-31.03.2018
DDoS на patriot.donetsk.ua - 01-31.03.2018
DDoS на infoodessa.com - 01-31.03.2018
DDoS на kharkov-resp.su - 01-31.03.2018

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://vbi.od.ua - інфекція була виявлена 31.12.2017. Зараз сайт входить до переліку підозрілих
• http://profashion.com.ua - інфекція була виявлена 22.02.2018. Зараз сайт не входить до переліку підозрілих
• http://ridnaoselya.if.ua - інфекція була виявлена 25.02.2018. Зараз сайт не входить до переліку підозрілих
• http://win-666.at.ua - інфекція була виявлена 16.03.2018. Зараз сайт не входить до переліку підозрілих
• http://qant.pp.ua - інфекція була виявлена 16.03.2018. Зараз сайт не входить до переліку підозрілих
• http://la2-bag.at.ua - інфекція була виявлена 16.03.2018. Зараз сайт не входить до переліку підозрілих
• http://event-show.com.ua - інфекція була виявлена 23.03.2018. Зараз сайт не входить до переліку підозрілих
• http://stitch.com.ua - інфекція була виявлена 23.03.2018. Зараз сайт не входить до переліку підозрілих
• http://center-ukraine.org.ua - інфекція була виявлена 30.03.2018. Зараз сайт не входить до переліку підозрілих
• http://v13083.dh.net.ua - інфекція була виявлена 30.03.2018. Зараз сайт не входить до переліку підозрілих

В даній добірці експлоіти в веб додатках:

• Red Hat JBoss EAP - Deserialization of Untrusted Data (деталі)
• Trend Micro InterScan Web Security Virtual Appliance (IWSVA) 6.5 - Multiple Vulnerabilities (деталі)
• Xfinity Gateway - Cross-Site Request Forgery (деталі)
• Disk Pulse Enterprise 9.1.16 - ‘Login’ Remote Buffer Overflow (деталі)
• Disk Savvy Enterprise 9.1.14 - ‘GET’ Remote Buffer Overflow (деталі)