Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://lenraion.gov.ua - інфікований державний сайт - інфекція була виявлена 06.06.2017. Зараз сайт входить до переліку підозрілих.
• http://360.fruitfuldemo.com - інфекція була виявлена 23.05.2017. Зараз сайт не входить до переліку підозрілих.
• http://megabet77.fruitfuldemo.com - інфекція була виявлена 21.06.2017. Зараз сайт не входить до переліку підозрілих.
• http://gooood.zzz.com.ua - інфекція була виявлена 17.07.2017. Зараз сайт не входить до переліку підозрілих.
• http://nord.adr.com.ua - інфекція була виявлена 19.07.2017. Зараз сайт не входить до переліку підозрілих.

В даній добірці експлоіти в веб додатках:

• TOPSEC Firewalls - ‘ELIGIBLECANDIDATE’ Remote Code Execution (деталі)
• Fortigate Firewalls - ‘EGREGIOUSBLUNDER’ Remote Code Execution (деталі)
• MESSOA IP Cameras (Multiple Models) - Unauthenticated Password Change (деталі)
• Subversion 1.6.6/1.6.12 - Code Execution (деталі)
• Ruby on Rails - Dynamic Render File Upload / Remote Code Execution (Metasploit) (деталі)

Виявлені уразливості в Microsoft Exchange. Що були виправлені у вівторку патчів у липні.

Уразливі продукти: Microsoft Exchange Server 2013 і 2013 SP1, Exchange Server 2016.

Виконання коду в Outlook Web Access (OWA).

У червні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у липні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на rv.org.ru - 01-31.07.2017
DDoS на cikdnr.ru - 01-31.07.2017
DDoS на cik-lnr.info - 01-31.07.2017
DDoS на без-вести.рф - 01-31.07.2017
DDoS на dnrpress.ru - 01-31.07.2017
DDoS на icp.su - 01-31.07.2017
DDoS на interbrigada.org - 01-31.07.2017
DDoS на dokcpp.dn.ua - 01-31.07.2017
DDoS на antiukrop.su - 01-31.07.2017
DDoS на gazeta-dnr.ru - 01-31.07.2017

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

Сьогодні вийшла нова версія програми DAVOSET v.1.3.5. В новій версії:

• Додав нові сервіси в повний список зомбі.
• Додав аргумент командного рядка для проксі.
• Змінив налаштування по замовчуванню.

Всього в списку міститься 220 зомбі-сервісів.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality та XML External Entities уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.3.5.rar.

В даній добірці уразливості в веб додатках:

• Multiple Vulnerabilities with Aztech Modem Routers (деталі)
• Ektron CMS 9.10 SP1 - XSS Vulnerability (деталі)
• Various critical vulnerabilities in SysAid Help Desk (RCE, file download, DoS, etc) (деталі)
• IBM Watson (Cognea) - XSS and Redirect Vulnerabilities (деталі)
• Glype proxy cookie jar path traversal allows code execution (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Contact Form To DB, Donate, Facebook Like Button, Sender, PDF And Print. Для котрих з’явилися експлоіти.

• WordPress Contact Form To DB 1.4.0 Cross Site Scripting (деталі)
• WordPress Donate 2.0.1 Cross Site Scripting (деталі)
• WordPress Facebook Like Button 2.32 Cross Site Scripting (деталі)
• WordPress Sender 0.7 Cross Site Request Forgery (деталі)
• WordPress PDF And Print 1.7.4 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У червні, 06.06.2017, через півтора місяці після виходу Google Chrome 58, вийшов Google Chrome 59.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлено 30 уразливостей. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity і LibFuzzer. Що більше ніж в попередній версії.

• Выпуск web-браузера Chrome 59 (деталі)

Після минулорічного звіту про інфікованість Уанета, наведу нову порівняльну статистику інфікованості Уанета за останні роки.

Статистика буде за 2014 - 2016 роки. Статистичні дані базуються на моїх дослідженнях хакерської активності в Уанеті в 2014, 2015 і 2016 роках.

За весь 2014 рік в Уанеті було інфіковано 163 веб сайтів.

За весь 2015 рік в Уанеті було інфіковано 158 веб сайтів.

За весь 2016 рік в Уанеті було інфіковано 168 веб сайтів.

Велика кількість заражених сайтів свідчить про зростання кримінальних взломів сайтів (коли на взломаних сайтах розміщуються віруси).

Динаміка зараження сайтів в Уанеті.

В 2014 році активність зменшилась на 28% порівняно з 2013 роком (спад в 1,38 рази). В порівнянні з 2008 роком активність зросла на 3975% (в 40,75 разів).

В 2015 році активність зменшилась на 3% порівняно з 2014 роком (спад в 1,03 рази). В порівнянні з 2008 роком активність зросла на 3850% (в 39,5 разів).

В 2016 році активність зросла на 6% порівняно з 2015 роком (зростання в 1,1 рази). В порівнянні з 2008 роком активність зросла на 4100% (в 42 рази).

Як видно зі статистики, кількість інфікованих сайтів в Уанеті в останні роки стабільно велика. Хоча через зменшення моїх досліджень мало місце загальне зменшення динаміки в останні роки.

Виявлені уразливості в Microsoft .NET Framework та Microsoft Windows. Що були виправлені у вівторку патчів у липні.

Уразливі продукти: Microsoft .NET Framework 4.6, 4.6.1, 4.6.2, 4.7.

Виконання коду через пошкодження пам’яті.