Архів за Листопад, 2018

Вийшов Google Chrome 69

22:46 30.11.2018

У вересні, 05.09.2018, через півтора місяці після виходу Google Chrome 68, вийшов Google Chrome 69.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлено 40 уразливостей. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer і AFL. Що трохи менше ніж в попередній версії.

  • Релиз web-браузера Chrome 69 с переработанным интерфейсом пользователя (деталі)

Уразливості в Microsoft Exchange

20:07 30.11.2018

Виявлені уразливості в Microsoft Exchange. Що були виправлені у вівторку патчів у листопаді.

Уразливі продукти: Microsoft Exchange Server 2010 SP3, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019.

Обхід безпеки та підняття привілеїв.

Атаки на державні сайти України за 17 років

17:22 30.11.2018

В своєму звіті про атаки на державні сайти України за 16 років, я навів статистику атак на державні сайти України за останні 16 років, а зараз наведу статистику за останні 17 років.

За 2001 - 2017 роки всього було атаковано 1065 українських державних сайтів (включаючи взломи сайтів та DDoS атаки). Це без врахування інфікованих gov.ua сайтів, яких було виявлено чимало за час моїх досліджень інфікованих сайтів в Уанеті.

Статистика від 2 атакованих веб сайтів в 2001, 2 сайтів в 2002 році, 1 сайту в 2003 році до 109 атакованих веб сайтів в 2017 році.

Атаки на державні сайти в Уанеті

Уразливості на online.pravex.ua

16:21 30.11.2018

27.02.2016

В грудні, 04.12.2015, я знайшов Brute Force та Cross-Site Request Forgery на online.pravex.ua - це система інтернет-банкінгу Правекс Банку. Про що найближчим часом повідомлю розробникам системи.

Стосовно уразливостей на сайтах банків останній раз я писав про уразливості на www.pravexonline.com та acsk.privatbank.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

30.11.2018

Brute Force та Cross-Site Request Forgery:

https://online.pravex.ua

Дані уразливості досі не виправлені. Як і багато інших, про які повідомив банку.

Вийшов WordPress 4.9.7

23:55 29.11.2018

В липні, 05.07.2018, вийшла нова версія WordPress 4.9.7.

WordPress 4.9.7 це секюріті та багфікс випуск нової 4.9 серії. В якому розробники виправили одну уразливість і 17 багів. Це Directory Traversal уразливість, що дозволяла видаляти файли за межами upload директорії (подібні дірки я знаходив багато разів у WP раніше). Серед багів зокрема виправили наступні: видалення кукісу паролю посту при логауті та налаштування приватності більше не видають повідомлення про фатальну помилку при очищенні rewrite правил.

Також в цій версії зробили звичайні виправлення в движку.

Ботнети з мережевих пристроїв

22:49 29.11.2018

Продовжуючи розпочату традицію, після попереднього відео про захоплення індустріальних IoT пристроїв, пропоную нове відео на секюріті тематику. Цього разу відео про ботнети з мережевих пристроїв. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 25 - The call is coming from inside the house

Раніше я багато розповідав про уразливості в мережевих пристроях і взлом IoT пристроїв, як то IP камер, розумних будинків і smart пристроїв. Цього разу мова йде про використання IoT пристроїв для створення ботнетів.

В жовтні на конференції DEFCON 25 відбувся виступ Steinthor Bjarnason і Jason Jones. В своєму виступі вони розповіли про уразливі мережеві пристрої, які захоплюють зловмисники - від IP камер до роутерів та інших IoT пристроїв. Щоб створити ботнети для проведення DDoS атак, як ботнет Mirai, що з’явився два роки тому. Це небезпечна тенденція, враховуючи мільйони вразливих мережевих пристроїв в Інтернеті, кількість яких постійно зростає.

Вони розповіли про процес інфікування мережевих пристроїв і створення ботнету, показали масштаби та наслідки їх діяльності, на прикладі відомих атак IoT ботнетів. Будь-які домашні мережеві пристрої можуть бути інфіковані та залучені в ботнет, в тому числі веб камери, DVR, мережеві принтери, мережеві системи зберігання даних (NAS), Wi-Fi роутери, розумні телевізори (Smart TV). Рекомендую подивитися дане відео для розуміння поточного стану безпеки мережевих пристроїв.

Уразливості в Microsoft .NET і ASP.NET

20:03 29.11.2018

Виявлені уразливості в Microsoft .NET Core, ASP.NET Core і ChakraCore. Що були виправлені у вівторку патчів у листопаді.

Уразливі продукти: Microsoft .NET Core 2.1, ASP.NET Core 2.1, Azure App Service on Azure Stack, ChakraCore.

Виконання коду та підробка вмісту.

Листопадові DDoS атаки та взломи

17:24 29.11.2018

Раніше я писав про жовтневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію в листопаді.

В зв’язку з сепаратистськими і терористичними акціями на сході України, хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

tet.gov.ua (хакером Kripton) - 04.11.2018
rda.tet.gov.ua (хакерами з chinafans) - 04.11.2018
upravles.gov.ua (хакером Dz Bomb3r) - 28.11.2018

Уразливості в плагінах для WordPress №296

23:57 28.11.2018

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Google Maps, Email Users, Peter’s Login Redirect, Tevolution, Ajax Load More. Для котрих з’явилися експлоіти.

  • WordPress Google Maps 2.1.2 Cross Site Scripting (деталі)
  • WordPress Email Users 4.8.3 Cross Site Request Forgery (деталі)
  • WordPress Peter’s Login Redirect 2.9.0 XSS / CSRF (деталі)
  • WordPress Tevolution 2.3.1 Shell Upload (деталі)
  • WordPress Ajax Load More 2.11.1 Local File Inclusion (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Уразливості в Microsoft Office Web Apps

22:46 28.11.2018

Виявлені уразливості безпеки в Microsoft Office, а також в серверних продуктах Office Web Apps, Skype for Business і Team Foundation Server. Що були виправлені у вівторку патчів у листопаді.

Уразливі продукти: Microsoft Office Web Apps 2010 SP2, Office Web Apps Server 2013 SP1, Office Online Server 2016, Skype for Business 2016, Team Foundation Server 2017, Team Foundation Server 2018.

Обхід безпеки, підробка вмісту та виконання коду.