Websecurity - Веб безпека

Поздоровляю вас з Новим роком і Різдвом Христовим!

У зв’язку з Новим роком та Різдвом пропоную вам подивитися мої святкові листівки на флеші. На українській мові, російській мові та англійські мові.

Бажаю вам всього найкращого .

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://catalog.biz.ua - інфекція була виявлена 30.12.2015. Зараз сайт не входить до переліку підозрілих.
• http://vodograi.org - інфекція була виявлена 30.12.2015. Зараз сайт не входить до переліку підозрілих.
• http://fotolive.com.ua - інфекція була виявлена 30.12.2015. Зараз сайт не входить до переліку підозрілих.
• http://living.biz.ua - інфекція була виявлена 30.12.2015. Зараз сайт не входить до переліку підозрілих.
• http://elvis.com.ua - інфекція була виявлена 30.12.2015. Зараз сайт не входить до переліку підозрілих.

В січні, 09.01.2016, я дав нове інтерв’ю Громадське радіо. Що транслювалося на першому каналі Українського радіо.

Прямий ефір був розміщений 10.01.2015 як аудіо сюжет. В сюжеті йшлося про Українські Кібер Війська, про проведення мною анти-терористичної операції в Інтернеті, блокування рахунків терористів та іншу діяльність в КіберАТО.

Торішній прямий ефір зі мною на Громадське радіо.

В даній добірці уразливості в веб додатках:

• HP Universal Configuration Management Database Integration Service, Remote Code Execution (деталі)
• Modx CMS CSRF Bypass & XSS Vulnerabilities (деталі)
• Ahrareandeysheh CMS Cross-Site Scripting Vulnerability (деталі)
• RCE in phpMemcachedAdmin <=1.2.2 (деталі)
• RSA Access Manager Sensitive Information Disclosure Vulnerability (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Easy Social Icons, ADPlugg, Media Cleaner і темах Holding Pattern, Photocrati. Для котрих з’явилися експлоіти.

• WordPress Easy Social Icons 1.2.2 CSRF / XSS (деталі)
• WordPress ADPlugg 1.1.33 Cross Site Scripting (деталі)
• WordPress Holding Pattern Theme Arbitrary File Upload (деталі)
• WordPress Media Cleaner 2.2.6 Cross Site Scripting (деталі)
• WordPress Photocrati Theme 4.x.x SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжуючи розпочату традицію, після попереднього відео про взлом SSL через атаки на синхронізацію часу, пропоную нове відео на секюріті тематику. Цього разу відео про проблеми DNS та їх вирішення. Рекомендую подивитися всім хто цікавиться цією темою.

DEF CON 22 Domain Name Problems and Solutions

Торік влітку на конференції DEFCON 22 відбувся виступ Paul Vixie. В своєму виступі він розповів про структуру системи доменних імен та її безпеку, про проблеми DNS та їх вирішення. В тому числі розповів про атаки на DNS і методи захисту від них.

Він розповів стосовно різних аспектів безпеки DNS. Рекомендую подивитися дане відео для розуміння поточного стану безпеки доменних імен.

Раніше я писав про листопадові DDoS атаки та взломи в Україні, а зараз розповім про ситуацію у грудні.

В зв’язку з сепаратистськими і терористичними акціями на сході України хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземними хакерами були проведені неполітичні взломи:

kyiv-oblosvita.gov.ua (хакерами з Ashiyane Digital Security Team) - 10.12.2015

Проукраїнськими хакерами були атаковані наступні сайти:

gazeta-dnr.ru (Українські Кібер Війська) - 15.12.2015
dnr-online.ru (Українські Кібер Війська) - 30.12.2015
Грудневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі грудня.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт ombudsmandnr.org (через скаргу хостеру) - 12.2015
Закритий сайт istina.com.ua (через скаргу хостеру) - 12.2015
Закритий окупований державний сайт dzhankoi-rada.gov.ua (через звернення до СБУ) - 12.2015
Закритий окупований державний сайт krp-rada.gov.ua (через звернення до СБУ) - 12.2015

У грудні, 26.12.2015, я виявив Cross-Site Scripting та Cross-Site Request Forgery уразливості уразливості в Office Document Reader для iOS. В цьому додатку є вбудований веб сервер і ftp сервер, через які можна проводити атаку.

Cross-Site Scripting (WASC-08) (Persistent XSS):

http://192.168.0.28/createdir?path=%3Cimg%20src=%271%27%20onerror=%27alert(document.cookie)%27%3E

http://192.168.0.28/rename?path=%2FFolder&newpath=%271%27%20onerror=%27alert(document.cookie)%27%3E

Cross-Site Scripting (WASC-08) (Persistent XSS):

Через FTP можна вказати ім’я папки чи файлу з XSS кодом. Доступ до http і ftp сервера по локальній мережі не обмежений (без пароля). Тому через аплоадінг в т.ч. можна провести XSS атаку.

Cross-Site Request Forgery (WASC-09):

Весь функціонал вразливий до CSRF атак: створення, перейменування і видалення директорії та видалення файлів.

http://192.168.0.28/createdir?path=%2FFolder

http://192.168.0.28/rename?path=%2FFolder&newpath=%2FFolder2

http://192.168.0.28/delete?path=%2FFolder

Уразливі Office Document Reader 5.1.13 для iOS та попередні версії. Вразливі як платна, так і безкоштовна версія (на початку працює платна функція доступу через Wi-Fi, що вмикає http і ftp сервер).

Цього року відбувся новий масовий взлом сайтів на сервері Ukraine. Він відбувся з 15.02.2015 по 25.12.2015. Третій масовий взлом сайтів на сервері Ukraine відбувся раніше.

Був взломаний сервер української компанії Ukraine. Взлом складався з двох масових дефейсів та декількох окремих дефейсів. Більшу частину сайтів дефейснули сьогодні.

Всього був взломано 47 сайтів на сервері хостера Ukraine (IP 185.68.16.126). Перелік сайтів можете подивитися на www.zone-h.org.

З зазначених 47 сайтів 27 сайтів були взломані хакером CoMoDo, 10 сайтів хакером qeles-hacker, 3 сайти хакером ZoRRoKiN, 3 сайти хакерами з Blacksmith Hackers та по одному хакерами TheZero, Lakhdar DZ, khdeface, d3b~X.

Масові дефейси хакерами CoMoDo і qeles-hacker явно були зроблені через взлом серверу хостінг провайдера. У випадку окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера.

В середині грудня я провів перевірку всіх своїх експлоітів для браузерів з 2006 року, що я оприлюднив на сайті (та деяких не оприлюднених експлоітів). І виявив численні Denial of Service та Cross-Site Scripting уразливості в Mobile Safari 6.0.1 та 8.4.1 для iOS.

Це перша частина уразливостей. До деяких DoS вразливий Mobile Safari 6.0.1, але не версія 8.4.1, а до деяких вразливі обидві версії.

Denial of Service (WASC-10):

Вибивання браузера чи зависання (з подальшим вибиванням).

Mozilla_Firefox_IE_DoS_Exploit.html - в 6.0.1, а в 8.4.1 без вибивання, лише споживання 60% CPU.

Firefox 3 DoS Exploit.html - в 6.0.1.

Firefox DoS Exploit3.html - в 6.0.1, а в 8.4.1 без вибивання, лише споживання 60% CPU.

Firefox DoS Exploit4.html - в 6.0.1, а в 8.4.1 без вибивання, лише споживання 60% CPU.

Firefox, IE, Opera & Chrome DoS Exploit.html - в 6.0.1, а в 8.4.1 без вибивання, лише споживання 60% CPU.

Зробив експлоіт для Mobile Safari, що аналогічний експлоіту 2008 року для Firefox:

Safari DoS Exploit.html

Cross-Site Scripting (WASC-08):

Обхід XSS фільтрів в Mobile Safari 6.0.1 та 8.4.1. Атака можлива з використанням символів: 9 (0×09), 10 (0×0a), 12 (0×0c), 13 (0×0d), 32 (0×20), 47 (0×2f).

Уразливі Mobile Safari 6.0.1, 8.4.1 та попередні версії для iOS.