Websecurity - Веб безпека

У травні, 15.05.2022, я знайшов багато уразливостей в EIB Gateway, зокрема Insufficient Authentication і Brute Force. Це система керування розумним будинком.

Раніше я писав про уразливості в сотнях тисяч різних мережевих пристроїв, в тому числі Smart Home системах.

Ось мій Facebook пост зі скріншотом адмінки EIB Gateway.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах UK / Responsive / WF Cookie Consent, WP With Spritz, Form Maker. Для котрих з’явилися експлоіти.

• WordPress UK Cookie Consent 2.3.9 Cross Site Scripting (деталі)
• WordPress WP With Spritz 1.0 File Inclusion (деталі)
• WordPress Form Maker 1.12.20 CSV Injection (деталі)
• WordPress Responsive Cookie Consent 1.7 / 1.6 / 1.5 Cross Site Scripting (деталі)
• WordPress WF Cookie Consent 1.1.3 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В своєму звіті про атаки та інфікування державних сайтів України за 19 років я навів статистику атак на державні сайти України за останні 19 років. До звіту атаки на державні сайти України за 20 років додам статистику по інфікованим сайтам за останні 20 років.

За 2001 - 2020 роки всього було атаковано 1329 українських державних сайтів (включаючи взломи сайтів та DDoS атаки). А враховуючи інфіковані gov.ua сайти, виявлених за час моїх досліджень інфікованих сайтів в Уанеті, ця кількість ще більше.

Було інфіковано наступну кількість gov.ua сайтів, що без сумніву були взломані для розміщення шкідливого коду:

2009 рік - 5 сайтів
2010 рік - 13 сайтів
2011 рік - 9 сайтів
2012 рік - 16 сайтів
2013 рік - 11 сайтів
2014 рік - 10 сайтів
2015 рік - 3 сайти
2016 рік - 1 сайт
2017 рік - 3 сайти
2018 рік - 1 сайт
2019 рік - 1 сайт
2020 рік - 2 сайти

Всього 75 інфікованих gov.ua сайти за 12 років. Разом з атаками за 20 років всього 1404 державних сайтів.

Статистика від 2 атакованих та інфікованих веб сайтів в 2001 році, 2 сайтів в 2002 році, 1 сайту в 2003 році до 112 сайтів в 2020 році.

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 01.01.2022-28.02.2022, дані за 01.03.2022-06.03.2022, дані за 07.03.2022-13.03.2022, дані за 14.03.2022-20.03.2022, дані за 21.03.2022-27.03.2022, дані за 28.03.2022-03.04.2022, дані за 04.04.2022-10.04.2022, дані за 11.04.2022-17.04.2022, дані за 18.04.2022-24.04.2022 дані за 25.04.2022-01.05.2022, дані за 02.05.2022-08.05.2022, дані за 09.05.2022-15.05.2022, дані за 16.05.2022-22.05.2022, дані за 23.05.2022-29.05.2022, дані за 30.05.2022-05.06.2022, дані за 06.06.2022-12.06.2022, дані за 13.06.2022-19.06.2022, дані за 20.06.2022-26.06.2022, дані за 27.06.2022-03.07.2022 та за 04.07.2022-10.07.2022. Це нові дані.

В липні:

Другий тиждень.

Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/3IJxuhj.
Українські Кібер Війська виявили штаб російських окупантів у Макіївці https://bit.ly/3ca12rR.
Українські Кібер Війська заблокували сайти терористів dnrsovet.su, mvddnr.ru та minsvyazdnr.ru https://bit.ly/3aFtzFk.
Відео розвідка УКВ: у Луганську вибухи, а місцеві купують золото https://bit.ly/3P6cDXw.
Українські Кібер Війська заблокували 285 сайтів терористів https://bit.ly/3yxiUoe.
Українські Кібер Війська виявили новоприбулу російську техніку в Криму https://bit.ly/3cdszJb.
Ми слідкуємо за камерами Росії https://bit.ly/3z4B2Hp.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і glava-lnr.info https://bit.ly/3aLliju.
Українські Кібер Війська виявили як російські окупанти висилають додому награбоване в Україні поштою в Бєлгороді https://bit.ly/3yKbbDl.
Дістав персональні дані росіянина, що віддав наказ на ракетний удар по Вінниці https://bit.ly/3IJAFFp.
Українські Кібер Війська виявили стан російського автопрому https://bit.ly/3za4Ges.
Українські Кібер Війська закрили сайт терористів novorossia.today https://bit.ly/3Ph46Ba.
Українські Кібер Війська заблокували 290 сайтів терористів https://bit.ly/3Ocw9Ra.
Відео розвідка: УКВ виявили російську військову техніку та джипи з кулеметами на півдні https://bit.ly/3OcQl59.
Українські Кібер Війська виявили гео-локацію бази російських окупантів на Донбасі https://bit.ly/3yLa3iQ.

Відбувся масовий взлом сайтів на сервері Hvosting. Він тривав по 2018 рік. Шостий масовий взлом сайтів на сервері Hvosting відбувся раніше.

Був взломаний сервер української компанії Hvosting. Взлом складався з декількох масових дефейсів та багатьох окремих дефейсів. Вони відбулися майже тоді, що й масовий взлом сайтів на сервері URAN.

Всього було взломано 345 сайтів на сервері хостера Hvosting (IP 91.200.40.36). Перелік сайтів можете подивитися на www.zone-h.org. Там всі сайти хакнуті давно, через війну не мав часу написати про це. Зате на їхньому *.38 сервері, про масовий взлом якого писав вище, 28.03.2022 ще хакнули сайт nasikovskyi.com.

Сайти були взломані хакером KkK1337 та іншими хакерами.

Масові дефейси явно були зроблені через взлом серверу хостинг провайдера. У випадку окремих дефейсів по одному чи декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні сервера.

В даній добірці експлоіти в веб додатках:

• Verizon 4G LTE Network Extender - Weak Credentials Algorithm (деталі)
• Delta Controls enteliTOUCH 3.40.3935 - Cross-Site Scripting (XSS) (деталі)
• Delta Controls enteliTOUCH 3.40.3935 - Cookie User Password Disclosure (деталі)
• SAP BusinessObjects Intelligence 4.3 - XML External Entity (XXE) (деталі)
• DLINK DAP-1620 A1 v1.01 - Directory Traversal (деталі)

У липні, 07.07.2022, вийшли PHP 8.0.21 і PHP 8.1.8. У версії 8.0.21 виправлено багато багів і уразливостей, у версії PHP 8.1.8 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 8.0.x і 8.1.x.

У PHP 8.0.21 і 8.1.8 виправлено:

• Пошкодження пам’яті.
• NULL byte injection у деяких функціях OpenSSL.
• Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах File Upload, WP Image Zoom, Caldera Forms, WD Instagram Feed Premium, Woo Import Export. Для котрих з’явилися експлоіти.

• WordPress File Upload 4.3.2 Cross Site Scripting (деталі)
• WordPress WP Image Zoom 1.23 Denial Of Service (деталі)
• WordPress Caldera Forms 1.5.9.1 Cross Site Scripting (деталі)
• WordPress WD Instagram Feed Premium 1.3.0 Cross Site Scripting (деталі)
• WordPress Woo Import Export 1.0 Arbitrary File Deletion (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 01.01.2022-28.02.2022, дані за 01.03.2022-06.03.2022, дані за 07.03.2022-13.03.2022, дані за 14.03.2022-20.03.2022, дані за 21.03.2022-27.03.2022, дані за 28.03.2022-03.04.2022, дані за 04.04.2022-10.04.2022, дані за 11.04.2022-17.04.2022, дані за 18.04.2022-24.04.2022 дані за 25.04.2022-01.05.2022, дані за 02.05.2022-08.05.2022, дані за 09.05.2022-15.05.2022, дані за 16.05.2022-22.05.2022, дані за 23.05.2022-29.05.2022, дані за 30.05.2022-05.06.2022, дані за 06.06.2022-12.06.2022, дані за 13.06.2022-19.06.2022, дані за 20.06.2022-26.06.2022 та за 27.06.2022-03.07.2022. Це нові дані.

В липні:

Перший тиждень.

Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/3NGZGSA.
Українські Кібер Війська виявили копів сепаратистів на окупованій території https://bit.ly/3IldoJG.
Українські Кібер Війська заблокували сайти терористів dnrsovet.su, mvddnr.ru та minsvyazdnr.ru https://bit.ly/3bXJVtu.
Відео-розвідка: УКВ виявили російську військову техніку на окупованій території https://bit.ly/3IBQ5vH.
Українські Кібер Війська заблокували 285 сайтів терористів https://bit.ly/3nL5HTM.
Українські Кібер Війська виявили гео-локацію багатьох баз російських окупантів в Донецьку https://bit.ly/3OYWoeX.
Українські Кібер Війська виявили як російські окупанти висилають додому награбоване поштою в Бєлгороді https://bit.ly/3Phv5fQ.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і glava-lnr.info https://bit.ly/3ywtvjr.
Відео-розвідка: російський окупант висилає додому награбоване в Україні поштою в Брянську https://bit.ly/3ySJrO5.
Українські Кібер Війська отримали доступ в штаб російських окупантів у Донецьку https://bit.ly/3ABwhGA.
Українські Кібер Війська закрили сайт терористів novorossia .org https://bit.ly/3NVnulK.
Українські Кібер Війська контролюють численні мережеві пристрої в Росії та в Криму https://bit.ly/3yW6OGO.
Відео-розвідка: УКВ виявили штаб російських окупантів у Луганську https://bit.ly/3uD3bmu.
Українські Кібер Війська заблокували 285 сайтів терористів https://bit.ly/3RrOOuT.
Українські Кібер Війська записали відео зі штаб-квартири терористів в Алчевську https://bit.ly/3AEEkCs.

Від березня і до кінця 2021 року вийшли Mozilla Firefox 87 - Firefox 95. Нові версії браузера вийшли після виходу Firefox 86.

Mozilla офіційно випустила ці версії веб-браузера Firefox, а також відповідні мобільні версії браузера для платформи Android.

В браузері було зроблено багато нововведень. Та зроблені покращення безпеки.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox усунуто численні уразливості в багатьох патчах.