Websecurity - Веб безпека

У листопаді, 30.11.2015, я виявив Code Execution, Cross-Site Scripting та URL Redirector Abuse уразливості уразливості в ASUS Wireless Router ASUS RT-N10. А також в його модифікаціях RT-N10E, RT-N10LX і RT-N10U. Це перша частина дірок в RT-N10.

Раніше я писав про уразливості ASUS RT-N15U.

Code Execution (OS Commanding) (WASC-31):

В розділі System Command можна виконувати системні команди. Код можна виконати також через CSRF атаку.

http://site/Main_AdmStatus_Content.asp

cat /proc/version

Cross-Site Scripting (WASC-08):

http://site/apply.cgi?current_page=javascript:alert(document.cookie) (в старих браузерах)
http://site/apply.cgi?current_page=%22%3E%3Cbody%20onload=alert%28document.cookie%29%3E

URL Redirector Abuse (WASC-38):

http://site/apply.cgi?current_page=http://google.com
http://site/apply.cgi?next_host=http://google.com

Уразливі всі версії ASUS RT-N10. Перевірялося в прошивці v.1.9.2.7.

У липні місяці Microsoft випустила 11 патчів. Що менше ніж у червні.

У липневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 11 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Шість патчів закривають критичні уразливості та п’ять патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1, RT 8.1 та 10. А також Microsoft Office, Internet Explorer і Edge, JScript і VBScript, Office Web Apps і SharePoint Server та .NET Framework.

Також Microsoft випустила патч для уразливостей в Adobe Flash Player, що постачається з Windows.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://journal.iitta.gov.ua (хакером TOGEL3739) - 24.04.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://j2.iitta.gov.ua (хакером TOGEL3739) - 24.04.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.abud.lviv.ua (хакером NeT.Defacer) - 15.03.2016, зараз сайт вже виправлений адмінами
• http://kleenflo.com.ua (хакером Red hell sofyan) - 15.05.2016, зараз сайт вже виправлений адмінами
• http://kostvlada.org (хакером Red hell sofyan) - 28.06.2016, зараз сайт вже виправлений адмінами

В даній добірці уразливості в веб додатках:

• XML External Entity (XXE) in libvirt (деталі)
• XSS vulnerability in osTicket (деталі)
• XSS vulnerability in Exponent (деталі)
• XSS vulnerability in X-Cart (деталі)
• FTP Rush: missing X.509 validation (FTP with TLS) (деталі)

В липні, 21.07.2016, вийшли PHP 5.5.38, PHP 5.6.24 і PHP 7.0.9. У версії 5.5.38 виправлено 15 уразливостей, у версії 5.6.24 виправлено декілька багів і 17 уразливостей, у версії 7.0.9 виправлено багато багів і 25 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.5.x, 5.6.x і 7.0.x.

У PHP 5.5.38, 5.6.24 і 7.0.9 виправлено:

• П’ятнадцять уразливостей в ядрі та модулях.
• Вибивання при знищенні HTTP_RAW_POST_DATA в PHP 5.6.24.
• Integer Overflow в Length строкового-типу ZVAL в PHP 5.6.24 і 7.0.9.
• Витік пам’яті в jit_stack в модулі PCRE в PHP 7.0.9.
• Ще вісім уразливостей в ядрі та модулях в PHP 7.0.9.

По матеріалам http://www.php.net.

Виявлені уразливості безпеки в Apple Safari і Webkit.

Уразливі продукти: Apple Safari 7.1, Safari 8.0, Safari 9.1.

Численні пошкодження пам’яті, міжсайтовий доступ до даних, підробка інтерфейсу, витік інформації, Cross-Protocol Cross-Site Scripting.

• APPLE-SA-2016-07-18-5 Safari 9.1.2 (деталі)

У червні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у липні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на rv.org.ru - 01-15.07.2016
DDoS на cikdnr.ru - 01-15.07.2016
DDoS на cik-lnr.info - 01-15.07.2016
DDoS на без-вести.рф - 01-15.07.2016
DDoS на ungu.org - 01-15.07.2016
DDoS на bne.su - 01-15.07.2016
DDoS на dnrpress.ru - 01-15.07.2016
DDoS на europeanfront.info - 01-15.07.2016
DDoS на batalyonmoskva.ru - 01-15.07.2016
DDoS на icp.su - 01-15.07.2016

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

В даній добірці експлоіти в веб додатках:

• InstantCoder 1.0 iOS - Multiple Vulnerabilities (деталі)
• Dell OpenManage Server Administrator 8.2 - Authenticated Directory Traversal (деталі)
• IBM Lotus Domino <= R8 Password Hash Extraction Exploit (деталі)
• OpenSSH <= 7.2p1 - xauth Injection (деталі)
• Cisco UCS Manager 2.1(1b) - Remote Exploit (Shellshock) (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Encrypted Contact Form, Simple Backup, FeedWordPress, WP Photo Album Plus і темах ThemeMakers. Для котрих з’явилися експлоіти.

• WordPress Encrypted Contact Form 1.0.4 CSRF / XSS (деталі)
• ThemeMakers WordPress Themes Information Disclosure (деталі)
• WordPress Simple Backup Arbitrary Download (деталі)
• WordPress FeedWordPress 2015.0426 SQL Injection (деталі)
• WordPress WP Photo Album Plus 6.1.2 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Виявлена Information Disclosure уразливість в Microsoft .NET Framework та Microsoft Windows.

Уразливі продукти: Microsoft .NET Framework 2.0 SP2, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1.

Витік інформації через завантаження XML файлу у веб додаток. Враховуючи, що це XXE уразливість, то окрім читання локальних файлів, також можна проводити DDoS атаки на віддалені хости. Що можна автоматизувати використовуючи DAVOSET.

• Microsoft Security Bulletin MS16-091 - Important Security Update for .NET Framework (3170048) (деталі)