Websecurity - Веб безпека

У березні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у квітні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на rv.org.ru - 01-30.04.2017
DDoS на cikdnr.ru - 01-30.04.2017
DDoS на cik-lnr.info - 01-30.04.2017
DDoS на без-вести.рф - 01-30.04.2017
DDoS на bne.su - 01-30.04.2017
DDoS на lvs-global.ru - 01-30.04.2017
DDoS на dnrpress.ru - 01-30.04.2017
DDoS на icp.su - 01-30.04.2017
DDoS на interbrigada.org - 01-30.04.2017
DDoS на dokcpp.dn.ua - 01-30.04.2017

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

У квітні, 19.04.2017, вийшов Mozilla Firefox 53. Нова версія браузера вийшла через півтора місяці після виходу Firefox 52.

Mozilla офіційно випустила реліз веб-браузера Firefox 53, а також мобільну версію Firefox 53 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 54 намічений на 13 червня.

Також була оновлена гілка із тривалим терміном підтримки Firefox 52.1.

В браузері були зроблені покращення безпеки, зокрема додана підтримка встановлення захищених з’єднань з використанням TLS 1.3 та додана опція network.http.referer.userControlPolicy, що дозволяє визначити за замовчуванням політику відправлення заголовка Referrer.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 53.0 усунуто 39 уразливостей, що значно більше ніж в попередній версії. Серед яких вісім позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 53 (деталі)

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, зокрема про кібератаки на енергетичний сектор, про що я доповідав на останніх конференціях в 2016-2017 роках (статті з Вікіпедії):

• Cyber attack on Saudi Aramco
• December 2015 Ukraine power grid cyberattack в яких використовувався BlackEnergy для атаки на енергосистеми
• Dexter (malware)
• Duqu вірус для атаки на енергосистеми
• Flame (malware)

В даній добірці уразливості в веб додатках:

• SAP Business Objects Denial of Service via CORBA (деталі)
• Reflected Cross-Site Scripting vulnerability in asdoc generated documentation (деталі)
• Multiple XSS & XSRF vulnerabilities in Comalatech Comala Workflows (деталі)
• Format String vulnerability in Movable Type (деталі)
• SAP Business Objects Information Disclosure via CORBA (деталі)

У лютому, 15.02.2017, я знайшов Cross-Site Scripting уразливість на сайті http://w3schools.com. Ця уразливість працює й досі. Про що найближчим часом сповіщу адміністрацію сайта.

Це онлайновий інтерпретатор HTML і JavaScript. Подібний до мого інтерпретатору MustLive Perl Pascal Programs Interpreter, що я розробив в 2006 році. Раніше я писав про уразливості в онлайн інтерпретаторах, зокрема про Cross-Site Scripting в моєму Perl Pas Interpreter і в CodeIDE, а також DoS в Perl Pas Interpreter і TryRuby. Про що можете почитати в статтях Міжмовний XSS - Cross-Language Scripting та DoS в онлайн інтерпретаторах.

XSS (Strictly social XSS):

https://www.w3schools.com/code/tryit.asp?filename=FCQSXD7SFDNW

Код спрацює при кліку по кнопці Run, що можна автоматизувати з використанням ClickJacking, тому що на сайті немає захисту від таких атак.

XSS:

POST запит до https://tryit.w3schools.com/tryit_view.php
code=%3Cw3scrw3ipttag%3Ealert(document.cookie)%3C%2Fw3scrw3ipttag%3E

Це два варіанти запуску тієї самої уразливості. Враховуючи, що XSS в онлайн інтерпретаторі, то це Cross-Language Scripting.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://compet.kh.gov.ua (хакером jok3r) - 26.10.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://vn.dsp.gov.ua (хакером RxR) - 08.11.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://sadyukrainy.com.ua (хакером dump3cz) - 18.03.2017. Спочатку сайт був хакнутий іншими хакерами, потім 18.03.2017 хакером dump3cz, 27.03.2017 хакерами darkshadow-tn і fallag gassrini, 30.03.2017 хакером GeNErAL, зараз сайт закритий адмінами
• http://ufc.dp.ua (хакером TheWayEnd) - 25.02.2017, зараз сайт вже виправлений адмінами
• http://kinematica.com.ua (хакером GeNErAL) - 01.04.2017, зараз сайт вже виправлений адмінами

Виявлені численні уразливості безпеки в Mozilla Firefox і Thunderbird.

Уразливі продукти: Mozilla Firefox 52, Firefox ESR 45.8, ESR 52, Thunderbird 52.

Пошкодження пам’яті, переповнення буферу, виконання коду, обхід обмежень, XSS, вибивання, витік інформації, читання та запис довільних файлів на комп’ютері, підробка адресного рядку, включення HTML у вбудований RSS Reader.

• MFSA2017-10 Security vulnerabilities fixed in Firefox 53 (деталі)

В даній добірці експлоіти в веб додатках:

• Hitron CGNV4 Modem/Router 4.3.9.9-SIP-UPC - Multiple Vulnerabilities (деталі)
• Iris ID IrisAccess ICU 7000-2 - Multiple Vulnerabilities (деталі)
• Iris ID IrisAccess ICU 7000-2 - Remote Command Execution (деталі)
• FreePBX 13 / 14 - Remote Command Execution / Privilege Escalation (деталі)
• Samsung Smart Home Camera SNH-P-6410 - Command Injection (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Private Only, Navis DocumentCloud, Responsive Thumbnail Slider, Captain Slider, sourceAFRICA. Для котрих з’явилися експлоіти.

• WordPress Private Only 3.5.1 CSRF / Cross Site Scripting (деталі)
• WordPress Navis DocumentCloud 0.1 Cross Site Scripting (деталі)
• WordPress Responsive Thumbnail Slider 1.0 Shell Upload (деталі)
• WordPress Captain Slider 1.0.6 Cross Site Scripting (деталі)
• WordPress sourceAFRICA 0.1.3 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В квітні, 20.04.2017, вийшла нова версія програми DAVOSET v.1.3.2. В новій версії:

• Додав підтримку XXE уразливості в CyberPower Systems PowerPanel.
• Додав нові сервіси в повний список зомбі.
• Прибрав неробочі сервіси з повного списку зомбі.

Всього в списку міститься 200 зомбі-сервісів.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality та XML External Entities уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.3.2.rar.