Websecurity - Веб безпека

Продовжуючи розпочату традицію, після попереднього відео про взлом різноманітних мережевих пристроїв, пропоную нове відео на секюріті тематику. Цього разу відео про ботнети з мережевих пристроїв. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 25 - The call is coming from inside the house

Раніше я багато розповідав про уразливості в мережевих пристроях і взлом IoT пристроїв, як то IP камер, розумних будинків і smart пристроїв. Цього разу мова йде про використання IoT пристроїв для створення ботнетів.

В жовтні на конференції DEFCON 25 відбувся виступ Steinthor Bjarnason і Jason Jones. В своєму виступі вони розповіли про уразливі мережеві пристрої, які захоплюють зловмисники - від IP камер до роутерів та інших IoT пристроїв. Щоб створити ботнети для проведення DDoS атак, як ботнет Mirai, що з’явився два роки тому. Це небезпечна тенденція, враховуючи мільйони вразливих мережевих пристроїв в Інтернеті, кількість яких постійно зростає.

Вони розповіли про процес інфікування мережевих пристроїв і створення ботнету, показали масштаби та наслідки їх діяльності, на прикладі відомих атак IoT ботнетів. Будь-які домашні мережеві пристрої можуть бути інфіковані та залучені в ботнет, в тому числі веб камери, DVR, мережеві принтери, мережеві системи зберігання даних (NAS), Wi-Fi роутери, розумні телевізори (Smart TV). Рекомендую подивитися дане відео для розуміння поточного стану безпеки мережевих пристроїв.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах PeepSo, Custom Frontend Login Registration Form, Ninja Forms, Universal Post Manager і темах CherryFramework. Для котрих з’явилися експлоіти.

• WordPress PeepSo 1.11.2 Cross Site Scripting (деталі)
• WordPress Custom Frontend Login Registration Form 1.01 Cross Site Scripting (деталі)
• WordPress Ninja Forms 3.3.17 Cross Site Scripting (деталі)
• WordPress CherryFramework Themes 3.1.4 Backup File Download (деталі)
• WordPress Universal Post Manager 1.5.0 Database Disclosure (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 2022 рік, дані за 26.12.2022-01.01.2023 та за 02.01.2023-08.01.2023. Це нові дані.

У січні:

Другий тиждень.

Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/3IBMOyi.
Українські Кібер Війська щодня виявляють російську військову техніку в Донецьку https://bit.ly/3GwMXk0.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і msdnr.ru https://bit.ly/3GUdCbD.
Відео-розвідка: УКВ виявили, як російські окупанти висилають додому награбоване поштою в Бєлгороді https://bit.ly/3X2ZFOq.
Українські Кібер Війська заблокували 320 сайтів терористів https://bit.ly/3CG7ilz.
Українські Кібер Війська виявили гео-локацію російських окупантів в Соледарі https://bit.ly/3H0lVD6.
Українські Кібер Війська заблокували сайти терористів dnrsovet.su, mvddnr.ru та minsvyazdnr.ru https://bit.ly/3Xlf0tC.
Відео-розвідка: російський окупант отримав бронежилет поштою в Шебекіно https://bit.ly/3GHW9C7.
Українські Кібер Війська ідентифікували росіянина, що віддав наказ на ракетний удар по Дніпру https://bit.ly/3iJebvR.
Українські Кібер Війська заблокували 320 сайтів терористів https://bit.ly/3iGoNLW.

В даній добірці експлоіти в веб додатках:

• SOUND4 LinkAndShare Transmitter 1.1.2 - Format String Stack Buffer Overflow (деталі)
• EasyNas 1.1.0 - OS Command Injection (деталі)
• Osprey Pump Controller 1.0.1 - Predictable Session Token / Session Hijack (деталі)
• Osprey Pump Controller 1.0.1 - Unauthenticated File Disclosure (деталі)
• Osprey Pump Controller 1.0.1 - (userName) Blind Command Injection (деталі)

У жовтні я знявся з серіалі для телеканалу 1+1. Що почав виходити в січні, п’ята серія 26.02.2024. Кібербезпека.UA - цікавий навчальний серіал з кібербезпеки.

Ніколи не використовуйте ці паролі! Як захистити свої дані в інтернеті

Мій виступ є в п’ятій серії про паролі. Також їм розповідав про захист е-пошти і месенджерів. Раджу весь навчальний серіал подивитися.

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 2022 рік та за 26.12.2022-01.01.2023. Це нові дані.

У січні:

Перший тиждень.

Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/3XhhOb9.
Українські Кібер Війська виявили гео-локацію російських окупантів на Донеччині https://bit.ly/3IhoUIg.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і msdnr.ru https://bit.ly/3GEkHgw.
Відео-розвідка: УКВ щодня виявляють російську військову техніку в Донецьку https://bit.ly/3IpssZ1.
Українські Кібер Війська заблокували 315 сайтів терористів https://bit.ly/3In6oOz.
Українські Кібер Війська виявили, що російські окупанти як висилають додому награбоване поштою, так і отримують санкційний Cisco в Бєлгороді https://bit.ly/3jVWGZi.
Українські Кібер Війська заблокували сайти терористів dnrsovet.su, mvddnr.ru та minsvyazdnr.ru https://bit.ly/3WOoYDG.
Відео-розвідка: УКВ записали військову техніку в Севастополі https://bit.ly/3iijthx.
Українські Кібер Війська виявили російську військову техніку, якою збивають наші дрони https://bit.ly/3CtCRyU.
Українські Кібер Війська закрили сайт терористів kievforum.org https://bit.ly/3XeFrkt.
Українські Кібер Війська виявили гео-локацію російської військової бази в Макіївці https://bit.ly/3Gs5bTw.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• DDoS атака на mon.gov.ua (росіянами) - 07.02.2024 - атакований державний сайт
• https://apostrophe.ua (російські хакери) - 18.02.2024
• https://telegraf.com.ua (російські хакери) - 18.02.2024
• http://cqham.org.ua (хакером Indonesia Attacker) - 16.01.2023
• http://teplyypol-woks.com.ua (хакером KingSmoke) - 22.02.2023

Також росіянами були хакнуті 18.02.2024 акаунти УП і Liga в X.

Раніше, 18.03.2013, я знайшов Full path disclosure, Information Leakage та інші уразливості на сайті bonus.privatbank.ua. В той час я вислав ці уразливості банку.

Full path disclosure (WASC-13):

http://bonus.privatbank.ua/news/list/-1
http://bonus.privatbank.ua/stock/list/-1

Information Leakage (WASC-13):

SQL DB Structure Extraction на обох цих сторінках.

Full path disclosure (WASC-13):

http://bonus.privatbank.ua/stock/

Abuse of Functionality (WASC-42):

Також можна було на сторінці сайту (лише за IP адресою) підбирати LDAP-логіни керівників департаментів. Бо різні відповіді при коректному і некоректному логіні.

http://217.117.65.248/s3/monitoring/report/create

Insufficient Authentication (WASC-01):

Доступ до цього розділу заборонений по домену, але доступний на 217.117.65.248 (по IP).

ПриватБанк тоді прийняв ці уразливості в свою програму, не оплатив і через багато років приховано виправив. Таким чином банк кинув мене, як це було з дірками на цьому та інших сайтах ПБ.

У червні, 08.06.2023, вийшли PHP 8.0.29, PHP 8.1.20 і PHP 8.2.7. У PHP 8.0.29 виправлена одна уразливість, у всіх інших версіях виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 8.0.x, 8.1.x і 8.2.x.

У PHP 8.0.29, 8.1.20 і 8.2.7 виправлено:

• Недостатня ентропія байтів у HTTP Digest authentication для SOAP (лише ця в усіх версіях).
• Численні вибивання.
• Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 01.01.2022-28.02.2022, дані за 01.03.2022-06.03.2022, дані за 07.03.2022-13.03.2022, дані за 14.03.2022-20.03.2022, дані за 21.03.2022-27.03.2022, дані за 28.03.2022-03.04.2022, дані за 04.04.2022-10.04.2022, дані за 11.04.2022-17.04.2022, дані за 18.04.2022-24.04.2022 дані за 25.04.2022-01.05.2022, дані за 02.05.2022-08.05.2022, дані за 09.05.2022-15.05.2022, дані за 16.05.2022-22.05.2022, дані за 23.05.2022-29.05.2022, дані за 30.05.2022-05.06.2022, дані за 06.06.2022-12.06.2022, дані за 13.06.2022-19.06.2022, дані за 20.06.2022-26.06.2022, дані за 27.06.2022-03.07.2022, дані за 04.07.2022-10.07.2022, дані за 11.07.2022-17.07.2022, дані за 18.07.2022-24.07.2022, дані за 25.07.2022-31.07.2022, дані за 01.08.2022-07.08.2022, дані за 08.08.2022-14.08.2022, дані за 15.08.2022-21.08.2022, дані за 22.08.2022-28.08.2022, дані за 29.08.2022-04.09.2022, дані за 05.09.2022-11.09.2022, дані за 12.09.2022-18.09.2022, дані за 19.09.2022-25.09.2022, дані за 26.09.2022-02.10.2022, дані за 03.10.2022-09.10.2022, дані за 10.10.2022-16.10.2022, дані за 17.10.2022-23.10.2022, дані за 24.10.2022-30.10.2022, дані за 31.10.2022-06.11.2022, дані за 07.11.2022-13.11.2022, дані за 14.11.2022-20.11.2022 та за 21.11.2022-27.11.2022, дані за 28.11.2022-04.12.2022, дані за 05.12.2022-11.12.2022, дані за 12.12.2022-18.12.2022 та за 19.12.2022-25.12.2022. Це нові дані.

У грудні:

П’ятий тиждень.

Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/3WIEVLd.
Українські Кібер Війська виявили нові супутникові дані аеродрому в Саратові https://bit.ly/3hQjTf5.
Відео-розвідка: УКВ виявили, як російський окупант висилає додому награбоване поштою в м. Клинці https://bit.ly/3Vr5weE.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і msdnr.ru https://bit.ly/3WPxx0M.
Українські Кібер Війська щодня виявляють російські гради в Донецьку https://bit.ly/3vuTfv7.
Ось як будуть святкувати Новий Рік в Росії. Поки українці без електрики через їхні ракетні удари https://bit.ly/3WwNgCd.
Українські Кібер Війська заблокували 315 сайтів терористів https://bit.ly/3CbllPM.
Українські Кібер Війська щодня виявляють російську військову техніку в Донецьку і Криму https://bit.ly/3G5rjD9.
Українські Кібер Війська заблокували сайти терористів dnrsovet.su, mvddnr.ru та minsvyazdnr.ru https://bit.ly/3Q7p2f7.
Вітаю українців з Новим Роком! А росіянам в подарунок вимкнення кондиціонерів і навіть електрики https://bit.ly/3VD9q48.
Українські Кібер Війська записали відео як окупанти святкували в Луганську http://on.fb.me/17jACgP.