Архів за Грудень, 2020

З Новим роком!

23:05 31.12.2020

Вітаю вас з Новим роком!

З нагоди Нового року, Різдва Христового та інших свят пропоную вам подивитися мої святкові листівки на флеші. На українській мові, російській мові та англійські мові.

Також подивіться мої подарунки на Facebook.

Бажаю вам всього найкращого ;-) .

Добірка експлоітів

16:27 31.12.2020

В даній добірці експлоіти в веб додатках:

  • Aruba ClearPass Policy Manager 6.7.0 - Unauthenticated Remote Command Execution (деталі)
  • Microsoft SQL Server Reporting Services 2016 - Remote Code Execution (деталі)
  • Sony IPELA Network Camera 1.82.01 - ‘ftpclient.cgi’ Remote Stack Buffer Overflow (деталі)
  • Adtec Digital Multiple Products - Default Hardcoded Credentials Remote Root (деталі)
  • GoAhead Web Server 5.1.1 - Digest Authentication Capture Replay Nonce Reuse (деталі)

Уразливості в плагінах для WordPress №326

23:58 30.12.2020

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Ultimate Affiliate Pro, FormCraft Form Builder, YouTube Embed Plus, Stop User Enumeration, Logosware Suite. Для котрих з’явилися експлоіти.

  • WordPress Ultimate Affiliate Pro 3.6 Cross Site Scripting (деталі)
  • WordPress FormCraft Form Builder 3.2.31 Cross Site Scripting (деталі)
  • WordPress YouTube Embed Plus 11.8.1 Cross Site Request Forgery (деталі)
  • WordPress Stop User Enumeration 1.3.8 User Enumeration (деталі)
  • WordPress Logosware Suite Uploader 1.1.6 File Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Масовий взлом сайтів на сервері Inter-Telecom

19:01 30.12.2020

Відбувся дванадцятий масовий взлом сайтів на сервері Inter-Telecom. Він тривав на протязі десяти років: з 18.08.2008 по 14.12.2018.

Був взломаний сервер української компанії Inter-Telecom, інтернет-провайдера Cyfra. Взлом складався з одного масового дефейсу та багатьох окремих дефейсів. Вони відбулися в той час, що й масовий взлом сайтів на сервері Ukraine.

Всього було взломано 294 сайти на сервері хостера Inter-Telecom (IP 62.80.178.142). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти dcssm.gov.ua та kyiv-oblosvita.gov.ua.

З них 273 сайтів були взломані хакером T0r3x та інші сайти іншими хакерами.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері. У випадку окремих дефейсів по одному чи декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів.

Вийшли PHP 7.3.24 і 7.4.12

16:25 30.12.2020

У жовтні, 29.10.2020, вийшли PHP 7.3.24 і PHP 7.4.12. У версії 7.3.24 виправлено багато багів і уразливостей, у версії 7.4.12 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 7.3.x і 7.4.x.

У PHP 7.3.24 і 7.4.12 виправлено:

  • Витік інформації.
  • Пошкодження пам’яті.
  • Вибивання.
  • Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.

Уразливість в Xiaomi Mi Temperature & Humidity Monitor

23:50 29.12.2020

У вересні я купив пристрій та вже 30.09.2020 знайшов уразливість в Xiaomi Mi Temperature & Humidity Monitor. Це метеостанція з бездротовим доступом по Bluetooth.

Знову я купив пристрій для оцінки його безпеки, як це було з флеш-картою Transcend в 2014 році (бо до того і після того я купував собі Wi-Fi роутери, безпеку яких теж перевіряв, але більшість мережевих пристроїв я знаходив онлайн). Раніше я неодноразово писав про уразливості в Transcend Wi-Fi SD Card.

В метеостанції Xiaomi ненадійна аутентифікація. При наявності смартфону чи будь-якого пристрою з Bluetooth, стандартної програми Xiaomi для роботи зі smart пристроями та знаходячись в радіусі доступу можна під’єднатися до пристрою.

Наприклад, щоб побачити його статистику (про температуру та вологість в квартирі), а також можна буде керувати його smart функціями, як то під’єднаними до метеостанції побутовими пристроями. Щоб вони вмикалися чи вимикалися при заданих параметрах температури чи вологості. Хоча у BT менший радіус дії ніж в Wi-Fi, але все ж таки є ризик атаки. Зокрема коли метеостанція знаходиться в коридорі квартирі та нападник ходить по будинку, підносить свій смартфон до дверей квартир, щоб виявити BT пристрої, знаходить цей Xiaomi та хакає його.

Захистися можна шляхом вимкнення Bluetooth на метеостанції. Це також економить заряд батареї.

Похакані сайти №376

19:08 29.12.2020

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://uon.gov.ua (хакером FaHaD-HacK-IRaQ) - 13.03.2020 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://perechinrda.gov.ua (хакером Mamad Warning) - 04.02.2020 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://myhsilrada.gov.ua (хакером Mamad Warning) - 04.02.2020 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://retrocup.net (хакером Black Kingdom) - 21.01.2020 - зараз сайт вже виправлений адмінами
  • http://list.ns-plus.com.ua (хакером Black Kingdom) - 21.01.2020 - зараз сайт вже виправлений адмінами
  • http://openheart.in.ua (хакером Black Kingdom) - 21.01.2020 - зараз сайт вже виправлений адмінами
  • http://forum.umka.org.ua (хакером Bax 026 Of Iran) - 04.02.2020 - зараз сайт вже виправлений адмінами
  • http://maps.if.ua (хакером Bax 026 Of Iran) - 04.02.2020 - зараз сайт вже виправлений адмінами
  • http://texcarmats.com (хакером TheWayEnd) - 11.02.2020 - зараз сайт вже виправлений адмінами
  • http://ukrgranite.com (хакером Mr.Kro0oz.305) - 21.11.2020 - зараз сайт вже виправлений адмінами

Добірка експлоітів

16:31 29.12.2020

В даній добірці експлоіти в веб додатках:

  • SOS JobScheduler 1.13.3 - Stored Password Decryption (деталі)
  • mySCADA myPRO 7 - Hardcoded Credentials (деталі)
  • Microsoft Windows mshta.exe 2019 - XML External Entity Injection (деталі)
  • Qmail SMTP 1.03 - Bash Environment Variable Injection (деталі)
  • CompleteFTP Professional 12.1.3 - Remote Code Execution (деталі)

Інфікованість Уанета за останні роки

23:55 26.12.2020

Після минулорічного звіту про інфікованість Уанета, наведу нову порівняльну статистику інфікованості Уанета за останні роки.

Статистика буде за 2017 - 2019 роки. Статистичні дані базуються на моїх дослідженнях хакерської активності в Уанеті в 2017, 2018 і 2019 роках.

За весь 2017 рік в Уанеті було інфіковано 145 веб сайтів.

За весь 2018 рік в Уанеті було інфіковано 130 веб сайтів.

За весь 2019 рік в Уанеті було інфіковано 140 веб сайтів.

Інфіковані сайти в Уанеті

Велика кількість заражених сайтів свідчить про зростання кримінальних взломів сайтів (коли на взломаних сайтах розміщуються віруси).

Динаміка зараження сайтів в Уанеті.

В 2017 році активність зменшилась на 13% порівняно з 2016 роком (спад в 1,16 рази). В порівнянні з 2008 роком активність зросла на 3525% (в 36,25 разів).

В 2018 році активність зменшилась на 10% порівняно з 2017 роком (спад в 1,11 рази). В порівнянні з 2008 роком активність зросла на 3150% (в 32,5 разів).

В 2019 році активність зросла на 8% порівняно з 2018 роком (зростання в 1,08 рази). В порівнянні з 2008 роком активність зросла на 3400% (в 35 рази).

Динаміка зараження сайтів в Уанеті

Як видно зі статистики, кількість інфікованих сайтів в Уанеті в останні роки стабільно велика. Хоча через зменшення моїх досліджень мало місце загальне зменшення динаміки в минулий рік.

Уразливості в плагінах для WordPress №325

20:09 26.12.2020

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Photo Gallery, Download Manager, FormCraft Basic, Ultimate Product Catalogue, Task Manager Pro. Для котрих з’явилися експлоіти.

  • WordPress Photo Gallery 1.3.34 / 1.3.42 Path Traversal (деталі)
  • WordPress Download Manager 2.9.46 / 2.9.51 Cross Site Scripting (деталі)
  • WordPress FormCraft Basic 1.0.5 SQL Injection (деталі)
  • WordPress Ultimate Product Catalogue 4.2.2 SQL Injection (деталі)
  • WordPress Task Manager Pro 1.31 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.