Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Pie Register, Huge IT Slider, WPML, Yoast SEO і темі Fraction. Для котрих з’явилися експлоіти.

• WordPress Fraction Theme 1.1.1 Privilege Escalation (деталі)
• WordPress Pie Register 2.0.14 Cross Site Scripting (деталі)
• WordPress Huge IT Slider 2.6.8 SQL Injection (деталі)
• WordPress WPML XSS / Deletion / SQL Injection (деталі)
• WordPress SEO By Yoast 1.7.3.3 SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Раніше я писав про грудневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію у січні.

В зв’язку з сепаратистськими і терористичними акціями на сході України хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери проведели неполітичні взломи державних сайтів:

www.ekolog.kr-admin.gov.ua (хакерами з Fallaga Team) - 04.01.2016
kuibrda.gov.ua (хакером Mr.Ferksh) - 06.01.2016

Проукраїнськими хакерами були атаковані наступні сайти:

mtop.rk.gov.ru (Українські Кібер Війська) - 05.01.2016
Січневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі січня.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт novorossia.at.ua (через скаргу хостеру) - 01.2016
Закритий сайт partizankh.su (через скаргу хостеру) - 01.2016
Також СБУ закрила сайт vilniy-shlah.org - 11.01.2016

У січні, 26.01.2016, вийшов Mozilla Firefox 44. Нова версія браузера вийшла через півтора місяці після виходу Firefox 43.

Mozilla офіційно випустила реліз веб-браузера Firefox 44, а також мобільну версію Firefox 44 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 45 намічений на 8 березня, а Firefox 46 на 19 квітня.

Також були оновлені гілки із тривалим терміном підтримки Firefox 38.6 і Thunderbird 38.7.

В браузері було змінено оформлення сторінки з попередженням про проблеми із SSL-сертифікатом та зроблене виведення попередження для сторінок, що завантажуються по HTTPS із серверів, що підтримують тільки шифр RC4.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 44.0 усунуто 12 уразливостей, серед яких 3 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 44 (деталі)

В даній добірці експлоіти в веб додатках:

• eBay Magento CE <= 1.9.2.1 - Unrestricted Cron Script (Potential Code Execution / DoS) (деталі)
• Google AdWords API PHP client library <= 6.2.0 - Arbitrary PHP Code Execution (деталі)
• Arris TG1682G Modem - Stored XSS Vulnerability (деталі)
• D-Link DIR-815, DIR-850L - SSDP Command Injection (деталі)
• D-Link DIR-890L/R - Multiple Buffer Overflow Vulnerabilities (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://swrailway.gov.ua (невідомими хакерами) - 11.11.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://scinn.nas.gov.ua (невідомими хакерами) - 11.11.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.archivelviv.gov.ua (невідомими хакерами) - 11.11.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.chervonograd-city.gov.ua (невідомими хакерами) - 11.11.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://vilnogirskrada.gov.ua (невідомими хакерами) - 11.11.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.lgbtnews.in.ua (хакером d3b~X) - 10.01.2015, зараз сайт вже виправлений адмінами
• http://ukrmetall.com.ua (хакером jangene_cakep) - 03.07.2015, зараз сайт вже виправлений адмінами
• http://ukrmetall.biz (хакером jangene_cakep) - 03.07.2015, зараз сайт вже виправлений адмінами
• http://ukrmetall.net (хакером jangene_cakep) - 03.07.2015, зараз сайт вже виправлений адмінами
• http://proekt.lviv.ua (хакером w4l3XzY3) - 22.12.2015, зараз сайт вже виправлений адмінами

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки (статті з Вікіпедії):

• Internet security
• BREACH (security exploit)
• Content sniffing
• Double encoding
• Referer spoofing

Виявлені уразливості безпеки в Microsoft Exchange Server.

Уразливі продукти: Microsoft Exchange Server 2013, Microsoft Exchange Server 2013 SP1, Microsoft Exchange Server 2016.

Підробка вмісту, зокрема підробка адреси в Outlook Web Access.

• Microsoft Security Bulletin MS16-010 - Important Security Update in Microsoft Exchange Server to Address Spoofing (3124557) (деталі)

В даній добірці уразливості в веб додатках:

• ClassLoader manipulation issue confirmed for Struts 1 (деталі)
• Struts 1 - Mitigation Advice Available, Possible RCE Impact (деталі)
• drupal7 security update (деталі)
• Multiple SQL Injection in SP Client Document Manager plugin (деталі)
• Struts 2.3.16.3 GA release available - security fix (деталі)

У грудні, 18.12.2015, вийшов Mozilla Firefox 43.0.1, а 22.12.2015 вийшов Mozilla Firefox 43.0.2. Нові версії браузера вийшли через декілька днів після виходу Firefox 43.

Це багфікс і секюріті випуски в яких зроблене покращення і виправлена уразливість. У версії 43.0.1 зроблена підготовка до використання SHA-256 підписуючих сертифікатів для Windows версій браузера. У версії 43.0.2 використаний SHA-256 сертифікат для Windows версій браузера. Також виправлена одна уразливість в Firefox 43.0.2 і Firefox ESR 38.6.

• MFSA 2015-150 MD5 signatures accepted within TLS 1.2 ServerKeyExchange in server signature (деталі)

Відбувся четвертий масовий взлом сайтів на сервері Hvosting. Він тривав на протязі 2010-2015 років: з 05.04.2010 до 03.07.2015. Третій масовий взлом сайтів на сервері Hvosting відбувся раніше.

Був взломаний сервер української компанії Hvosting. Взлом складався з двох масових дефейсів та багатьох окремих дефейсів. Вони відбулися паралельно до масового взлому сервера Ukraine.

Всього було взломано 40 сайтів на сервері хостера Hvosting (IP 91.200.40.32). Перелік сайтів можете подивитися на www.zone-h.org.

З зазначених 40 сайтів 8 сайтів були взломані хакером HighTech, 7 сайтів хакером jangene_cakep та інші сайти різними хакерами.

Масові дефейси хакерами HighTech і jangene_cakep явно були зроблені через взлом серверу хостінг провайдера. У випадку окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні сервера.