Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах iframe, Googmonify, Analyticator, Car Rental System, YouTube Embed. Для котрих з’явилися експлоіти.

• WordPress iframe 3.0 Reflective Cross Site Scripting (деталі)
• WordPress Googmonify 0.8.1 Cross Site Request Forgery / Cross Site Scripting (деталі)
• Google Analyticator 6.4.9.4 Cross Site Scripting (деталі)
• WordPress Car Rental System SQL Injection (деталі)
• WordPress YouTube Embed 3.3.2 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В квітні, 04.04.2017, вийшла нова версія програми DAVOSET v.1.3.1. В новій версії:

• Додав обхід захисту через використання кукісів на відповідних сайтах.
• Додав нові сервіси в списки зомбі.
• Прибрав неробочі сервіси зі списків зомбі.

Всього в списку міститься 190 зомбі-сервісів.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality та XML External Entities уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.3.1.rar.

Виявлена уразливість в Microsoft Exchange.

Уразливі продукти: Microsoft Exchange Server 2013, Exchange Server 2016.

Виконання коду в Outlook Web Access (OWA) через вкладення в листі та через лінку в листі.

• Microsoft Security Bulletin MS17-015 - Important Security Update for Microsoft Exchange Server (4013242) (деталі)

В даній добірці експлоіти в веб додатках:

• Micro Focus Filr 2 2.0.0.421, Filr 1.2 1.2.0.846 - Multiple Vulnerabilities (деталі)
• Bellini/Supercook Wi-Fi Yumi SC200 - Multiple Vulnerabilities (деталі)
• Compal CH7465LG-LC Modem/Router CH7465LG-NCIP-4.50.18.13-NOSH - Multiple Vulnerabilities (деталі)
• Barracuda Web Application Firewall 8.0.1.008 - Authenticated Remote Command Execution (деталі)
• Easy File Sharing Web Server 7.2 - SEH Overflow (Egghunter) (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://osvita.sm.gov.ua (хакером Turan Ordusu) - 23.09.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://pma.nbuv.gov.ua (хакером Nofawkx Al) - 29.10.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://ukrjuntur.org.ua (хакером mohamed.xo) - 05.01.2017, зараз сайт закритий адмінами
• http://manufactura-art.com.ua (хакером TheSenius)
• http://vodomet.com.ua (хакером HolaKo, а потім хакером NG689Skw) - 08.02.2017, зараз сайт вже виправлений адмінами

У березні місяці Microsoft випустила 18 патчів. Що значно більше ніж в лютому.

У березневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло вісімнадцять бюлетенів по безпеці. Що закривають уразливості в програмних продуктах компанії. Дев’ять патчів закривають критичні уразливості та дев’ять патчів закривають важливі уразливості.

Дані патчі стосуються поточних операційних систем компанії Microsoft - Windows Vista, 2008, 7, 2008 R2, 8.1, 2012, 2012 R2, RT 8.1, 10 та 2016. А також Microsoft Office, Internet Explorer і Edge, Skype for Business, Lync, Silverlight, Office Web Apps і SharePoint Server, Exchange, Internet Information Services та XML Core Services.

Також Microsoft випустила патч для уразливостей в бібліотеці PDF і Adobe Flash Player, що постачаються з Windows.

Виявлені уразливості безпеки в Microsoft Office, а також в серверних продуктах Office Web Apps і SharePoint Server.

Уразливі продукти: Microsoft Office Web Apps 2010 SP2, Office Web Apps Server 2013 SP1, Excel Services on SharePoint Server 2007 SP3, 2010 SP2 і 2013 SP1, Word Automation Services on SharePoint Server 2010 SP2, SharePoint Foundation 2013 SP1, Lync for Mac 2011.

Обхід безпеки, пошкодження пам’яті, виконання коду, витік інформації, XSS, відмова в обслуговуванні (DoS).

• Microsoft Security Bulletin MS17-014 - Important Security Update for Microsoft Office (4013241) (деталі)

В даній добірці уразливості в веб додатках:

• SAP Business Objects Search Token Privilege Escalation via CORBA (деталі)
• Vulnerabilities in Drupal (деталі)
• Multiple vulnerabilities in DokuWiki (деталі)
• Vulnerabilities in phpMyAdmin (деталі)
• Cross Site Flashing in SAP BusinessObjects Explorer (деталі)

У березні, 07.03.2017, вийшов Mozilla Firefox 52. Нова версія браузера вийшла через півтора місяці після виходу Firefox 51.

Mozilla офіційно випустила реліз веб-браузера Firefox 52, а також мобільну версію Firefox 52 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 53 намічений на 18 квітня, а Firefox 54 на 13 червня.

Також була оновлена гілка із тривалим терміном підтримки Firefox 45.8.

В браузері були зроблені покращення безпеки, зокрема реалізована специфікація Strict Secure Cookies та додане виведення попередження при зверненні без використання HTTPS до сторінок, що містять форму введення паролю. Також припинена підтримка за замовчуванням плагінів з інтерфейсом NPAPI.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 52.0 усунуто 28 уразливостей, що більше ніж в попередній версії. Серед яких вісім позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 52 (деталі)

Раніше я писав про лютневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію березні.

В зв’язку з сепаратистськими і терористичними акціями на сході України хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Російські хакери провели атаки на державні сайти:

DDoS на www.spfu.gov.ua (російськими хакерами) - 27.03.2017

Іноземні хакери провели неполітичні взломи державних сайтів:

vinoblzem.gov.ua (хакером Imam) - 05.03.2017
trostrda.gov.ua (хакерами з Yunkers Crew) - 23.03.2017
stryirairada.gov.ua (хакером RxR) - 28.03.2017
re.gov.ua (хакером RxR) - 28.03.2017
luglis.gov.ua (хакерами з chinafans) - 28.03.2017

Проукраїнськими хакерами були атаковані наступні сайти:

Березневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі місяця.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт gorlovka.media (через вплив на хостера) - 03.2017