Websecurity - Веб безпека

Виявлені численні уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge. Що були виправлені у вівторку патчів у липні.

Уразливі продукти: Microsoft Internet Explorer 9, 10, 11 та Edge під Windows Server 2008, Windows 7, Windows Server 2012, Windows 8.1, Windows 10, Windows Server 2016.

Численні пошкодження пам’яті та виконання коду.

В даній добірці експлоіти в веб додатках:

• SIEMENS IP Cameras (Multiple Models) - Credential Disclosure / Configuration Download (деталі)
• C2S DVR Management IRDOME-II-C2S / IRBOX-II-C2S / DVR - Credentials Disclosure / Authentication Bypass (деталі)
• TOSHIBA IP-Camera IK-WP41A - Authentication Bypass / Configuration Download (деталі)
• Disk Savvy Enterprise 9.0.32 - ‘Login’ Buffer Overflow (деталі)
• Billion Router 7700NR4 - Remote Command Execution (деталі)

Продовжуючи розпочату традицію, після попереднього відео про автоматизацію атак на Wi-Fi мережі, пропоную нове відео на секюріті тематику. Цього разу відео про взлом банкоматів. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 24 - Hacking Next Gen ATMs From Capture to Cashout

Торік влітку на конференції DEFCON 24 відбувся виступ Weston Hecker. В своєму виступі він розповів про атаки на банкомати. Про скімери та інші пристрої. Про те, як захоплювати дані з магнітних стрічок і чипів платіжних карт та як отримувати пін коди для подальшого зняття коштів в банкоматах.

Він розповів про аспекти безпеки платіжних карт і банкоматів. Рекомендую подивитися дане відео для розуміння поточного стану безпеки банкоматів.

Продовжу своє дослідження безпеки e-commerce сайтів в Уанеті.

Веб сайти, що займаються електронною комерцією (e-commerce), повинні дбати про свою безпеку. Бо вони заробляють гроші на своїй онлайн діяльності і будь-які проблеми з безпекою на їх сайтах можуть їм коштувати фінансових втрат.

Але нажаль e-commerce сайти в Уанеті достатньо діряві, бо власники цих сайтів за безпекою особливо не слідкують.

В себе в новинах я писав про уразливості на наступних сайтах банків України:

• limit.privatbank.ua

Також згадував про взломані онлайн магазини в Уанеті:

• dostavkapizza.kiev.ua
• isol-pack.com.ua

А також згадував про інфіковані онлайн магазини в Уанеті:

• jumboo.com.ua
• kamushki.com.ua
• kilowattik.com.ua
• kiri.com.ua
• knigoo.com.ua
• kolesiko.ua
• kulturist.com.ua
• lady-boy.com.ua
• leshiy.com.ua
• luckytails.com.ua
• masterskaya.dn.ua
• mc-store.ua

Так що українським банкам та e-commerce сайтам є куди покращувати свою безпеку.

В даній добірці уразливості в веб додатках:

• Denial of Service in Squid (деталі)
• jqueryui security update (деталі)
• Enhanced SQL Portal 5.0.7961 XSS Vulnerability (деталі)
• Freebox OS Web interface 3.0.2 XSS, CSRF (деталі)
• F5 BIG-IP Reflected Cross-Site Scripting (деталі)

Одинадцять років тому, 18.07.2006, мій проект розпочав свою роботу. Так що сьогодні виповнилося 11 років з моменту початку офіційної роботи проекту Websecurity - Веб безпека. З чим вас і себе поздоровляю .

За останній рік роботи проекту було зроблено чимало і ще багато чого заплановано. Зокрема мною були оновлені DAVOSET, SecurityAlert та інші Секюріті програми.

Також опубліковано багато цікавих статей та досліджень, а також даних про діяльність Українських Кібер Військ.

Багато цікавого ще попереду, тому слідкуйте за новинами.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Gallery, Google Captcha, Email Queue, BestWebSoft Google Maps, Google +1. Для котрих з’явилися експлоіти.

• WordPress Gallery 4.2.1 Cross Site Scripting (деталі)
• WordPress Google Captcha 1.05 Cross Site Scripting (деталі)
• WordPress Email Queue 1.0.0 Cross Site Request Forgery (деталі)
• WordPress BestWebSoft Google Maps 1.2.1 Cross Site Scripting (деталі)
• WordPress Google +1 1.1.6 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В червні, 30.06.2017, я дав інтерв’ю для телеканалу ТВ-7. Що вийшло 02.07.2017.

Сюжет вийшов в новинах на каналі ТВ-7 з приводу масштабної вірусної атаки, яка 27.06.2017 відбулася в Україні. Що вважаю найбільшою кібер атакою в Україні на даний час. Всі бажаючі можуть його подивитися.

В своєму звіті Хакерська активність в Уанеті в 1 півріччі 2016 я навів дані про діяльність хакерів в Уанеті за період з 01.01.2016 по 30.06.2016, а в звіті Хакерська активність в Уанеті в 2 півріччі 2016 - дані за період з 01.07.2016 по 31.12.2016.

За весь 2016 рік в Уанеті було проведено 732 атак на веб сайти - 444 за перше півріччя і 288 за друге. Для порівняння, за весь 2015 рік було зафіксовано всього 688 атаки на веб сайти. І це тільки виявлені мною випадки (і я ще не всі данні обробив), реальна кількість інцидентів може бути значно вищою.

Динаміка зростання хакерської активності за минулий рік: за перше півріччя 2016 активність більша на 19,7% в порівнянні з аналогічним періодом 2015 року, а за друге півріччя 2016 - на 4% менша за аналогічний період 2015 року. А в цілому в 2016 році активність зросла на 6,4% порівняно з 2015 роком - зростання в 1,06 рази.

В 2016 році загалом було атаковано 732 веб ресурсів (як взломи, так і DDoS атаки), перелік яких ви можете знайти у відповідних звітах за перше і друге півріччя минулого року. Але ще не всі дані обробив. А також були інфіковані 168 сайтів, які вірогідно були похакані в 2016 році.

Головні тенденції 2016 року в діяльності хакерів в Уанеті:

• Хакерська активність зросла - на 6,4% порівняно з 2015 роком (збільшення динаміки у 1,06 рази).
• Багато сайтів в Уанеті заражуються вірусами: в 2015 я виявив 158 інфікованих сайтів, в 2016 - вже 168 сайтів (збільшення динаміки у 1,06 рази).
• Кількість DDoS атак на сайти більша ніж в 2015 році - 16 випадків DDoS атак за рік (збільшення у 3,2 рази). Це 2,2% від всіх атак за 2016 рік.
• Атаковано 137 державних сайтів та інфіковано ще 1 gov.ua-сайт.
• Збільшення взломів державних сайтів в 1,13 разів та зменшення інфікування gov.ua-сайтів в 3 рази порівняно з 2015 роком. Збільшення кількості DDoS-атак на gov.ua-сайти в 16 разів.

Велика кількість заражених сайтів в Уанеті (в тому числі gov.ua-сайтів) свідчить про чималий відсоток кримінальних взломів сайтів.

Підсумовуючи скажу, що активність хакерів в минулому році була високою і вона продовжить такою бути. І в 2017 році ця тенденція збережеться.

Очікуйте на нові звіти про хакерську активність в Уанеті.

У червні місяці Microsoft випустила нові патчі.

У червневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло багато патчів, але починаючи з квітня бюлетені по безпеці не випускаються, тому їх кількість невідома. Компанія вказує лише назви продуктів та номера патчів, а не кількість і деталі бюлетенів (патчів). Вони закривають уразливості в програмних продуктах компанії.

Дані патчі стосуються поточних операційних систем компанії Microsoft - Windows Vista, 2008, 7, 2008 R2, 8.1, 2012, 2012 R2, RT 8.1, 10 та 2016. А також Microsoft Office, Internet Explorer і Edge, Office Web Apps і SharePoint Server, Microsoft Malware Protection Engine, Silverlight, Skype for Business і Lync.

Також Microsoft випустила патч для уразливостей в Adobe Flash Player, що постачається з Windows.