Websecurity - Веб безпека

Виходячи з моїх звітів про веб додатки на інфікованих сайтах в 1 півріччі та веб додатки на інфікованих сайтах в 2 півріччі, я підведу підсумки. Та наведу загальну статистику про веб додатки на інфікованих сайтах в 2017 році.

Як я зазначав в своїх звітах про хакерську активність в Уанеті, в першому півріччі було інфіковано 75 сайтів, а в другому півріччі було інфіковано 70 сайтів. Всього 145 сайтів за 2017 рік. І з них на 76 сайтах вдалося виявити движки.

На перевірених в минулому році сайтах використовуються наступні движки:

Joomla - 20
uCoz - 18
WordPress - 17
DataLife Engine - 6
Drupal - 6
Magento - 3
OpenCart - 2
Bitrix - 1
VaM Shop - 1

Зазначу, що три лідери серед веб додатків у першому й другому півріччі були незмінними. Й відповідно в підсумкових результатах за весь рік.

Тобто майже всі інфіковані сайти, з числа працюючих, використовували опенсорс веб додатки. Більшість з них публічні відкриті CMS, але деякі й комерційні відкриті веб програми.

Дванадцять років тому, 18.07.2006, мій проект розпочав свою роботу. Так що нещодавно виповнилося 12 років з моменту початку офіційної роботи проекту Websecurity - Веб безпека. З чим вас і себе поздоровляю .

За останній рік роботи проекту було зроблено чимало і ще багато чого заплановано. Зокрема мною були оновлені DAVOSET, SecurityAlert та інші Секюріті програми.

Також опубліковано багато цікавих статей та досліджень, а також даних про діяльність Українських Кібер Військ.

Багато цікавого ще попереду, тому слідкуйте за новинами.

Вчора, 30.07.2018, вийшла версія SecurityAlert 1.5. Моя система SecurityAlert - це система для інформування про інциденти з безпекою на веб сайтах.

У версіях SecurityAlert 1.4.x я зробив багато покращень, в тому числі додав визначення криптомайнінг вірусів (crypto mining malware) на сайтах. У наступній версії 1.5 додав підтримку nginx 1.15, інших доменів Coinhive майнерів, Saphali Lite плагіна для WordPress, зробив паралелізацію перевірки дефейсів сайтів у кеші Google та покращив визначення Drupal.

Це перша Security as а service (SaaS) система з таким функціоналом. А весь набір функцій є унікальним в світі.

В даній добірці експлоіти в веб додатках:

• Kodi 17.1 - Arbitrary File Disclosure (деталі)
• Geutebruck 5.02024 G-Cam/EFD-2250 - ‘testaction.cgi’ Remote Command Execution (Metasploit) (деталі)
• NETGEAR DGN2200v1/v2/v3/v4 - ‘ping.cgi’ Remote Command Execution (деталі)
• Piwik 2.14.0/2.16.0/2.17.1/3.0.1 - Superuser Plugin Upload (Metasploit) (деталі)
• F5 BIG-IP 11.6 SSL Virtual Server - ‘Ticketbleed’ Memory Disclosure (деталі)

В квітні, 03.04.2018, вийшла нова версія WordPress 4.9.5.

WordPress 4.9.5 це багфікс та секюріті випуск нової 4.9 серії. В якому розробники виправили 25 багів та 3 уразливості. Була виправлена Redirector уразливість в процесі логіну при використанні SSL, тепер localhost не вважається тим самим сайтом, рядок версії движка тепер фільтрується (додали output validation для захисту від атак, зокрема XSS, коли в коді сайту цей рядок змінили).

Також в цій версії зробили звичайні виправлення в движку.

Виявлені уразливості безпеки в Apple Safari і Webkit.

Уразливі продукти: Apple Safari 11.

Пошкодження пам’яті, виконання коду, DoS, підробка адресного рядка, перезапис довільних кукіс, витік інформації.

• APPLE-SA-2018-06-01-2 Safari 11.1.1 (деталі)

Постійно нагадую стосовно безпеки сайтів і мережевих пристроїв. Багато дірок я знайшов на сайтах і у веб додатках з 2005 року, а також в численних мережевих пристроях. Це стосується всіх виробників роутерів та інших мережевих пристроїв - всюди знаходив дірки, бо не хочуть виробники пристроїв вкладати кошти в безпеку. Хакнути можуть все - від роутера і принтера, до холодильника і тостера.

Вже писав, що Українські Кібер Війська захопили 250000 мережевих пристроїв. Це ми зробили в попередні роки, а захопленням численних розумних будинків займалися в липні, прочитайте про хакнуті Smart House (Smart Home) системи.

Дуже багато разів повідомляв з 2005 року власникам сайтів і розробникам веб додатків та мережевих пристроїв про дірки, але вони часто ігнорують. А треба проводити аудит безпеки. На жаль більшість не проводить аудити безпеки (особливо в Україні) - не те, що в мене не замовляють аудит, а взагалі. А в державному секторі все значно гірше. Наприклад, влада Києва та силовики заявляють про збільшення кількості веб камер у столиці. В останні роки вони активно про це заявляли, у т.ч. на останніх форумах. Але за безпекою ні сайтів міської влади, ні всіх цих веб камер вони не слідкують (а всі веб камери діряві, про що я наголошую багато років), як і не слідкували раніше. Та всі мої звернення за ці роки були ними проігноровані. Про уразливості на київських gov.ua сайтах та всіх gov.ua сайтах і про їх взломи писав багато разів.

Про уразливості в тисячах моделей мережевих пристроїв я писав у себе на сайті. Сам знайшов численні уразливості в різних мережевих пристроях десятків виробників, у тому числі веб камерах і DVR, принтерах, ADSL модемах, VoIP шлюзах, проводових роутерах, Wi-Fi роутерах і точках доступу. Наприклад, уразливості в мережевих камерах Hikvision, в ASUS RT-N10 та в комутаторі D-Link DGS-3000-10TC. Враховуючи, що жоден виробник IP камер і DVR, як і інших мережевих пристроїв, по суті не слідкує за безпекою, то вкладати в аудити безпеки мають користувачі цих пристроїв.

Тому кожен громадянин України та всі державні органи, що мають сайт чи будь-який мережевий ресурс, повинні спитати себе, скільки коштів вони вклали у веб безпеку. І чим більше вклали, тим краще. Бо враховуючи, що за 27 років мало хто в це вкладав, то це вимагає значних фінансових вкладень в межах держави.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Simple Membership, Top 10 Popular Posts, Ninja Forms, Icegram, Video Player. Для котрих з’явилися експлоіти.

• WordPress Simple Membership 3.2.8 Cross Site Scripting (деталі)
• WordPress Top 10 Popular Posts 2.3.0 Cross Site Scripting (деталі)
• WordPress Ninja Forms 2.9.51 Cross Site Scripting (деталі)
• WordPress Icegram 1.9.18 Cross Site Request Forgery (деталі)
• WordPress Video Player 1.5.16 SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Виявлені уразливості в Microsoft Exchange. Що були виправлені у вівторку патчів у липні.

Уразливі продукти: Microsoft Exchange Server 2010 SP3, Exchange Server 2013, Exchange Server 2016.

Вибивання та інші помилки.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://maids.ua - інфекція була виявлена 31.12.2017. На сайті криптомайнер
• http://ndiop.kiev.ua - інфекція була виявлена 31.12.2017. На сайті криптомайнер
• http://hd-world.org - інфекція була виявлена 31.12.2017. На сайті криптомайнер
• http://rev.atbmarket.com - інфекція була виявлена 31.12.2017. На сайті криптомайнер
• http://s1.pcw.pp.ua - інфекція була виявлена 31.12.2017. На сайті криптомайнер
• http://polishchukproject.com - інфекція була виявлена 19.03.2018. Зараз сайт не входить до переліку підозрілих
• http://mastervdome.kh.ua - інфекція була виявлена 23.03.2018. Зараз сайт не входить до переліку підозрілих
• http://icta.kh.ua - інфекція була виявлена 30.03.2018. Зараз сайт не входить до переліку підозрілих
• http://labyrinth.kh.ua - інфекція була виявлена 30.03.2018. Зараз сайт не входить до переліку підозрілих
• http://spezshtamp.kiev.ua - інфекція була виявлена 30.03.2018. Зараз сайт не входить до переліку підозрілих