Websecurity - Веб безпека

Українські Кібер Війська з червня займаються розвідкою. Це аудіо і відео розвідка. Раніше я наводив відео Українських Кібер Військ, що демонструють можливості Українських Кібер Військ по спостереженню за терористами.

Ось 5 нових відео, що зроблені в рамках розвідувальної операції:

Українські Кібер Війська: російська військова техніка і БТР в Криму для направлення на Донбас 14.10.2015 - УКВ записали переміщення військової техніки в Криму.

Українські Кібер Війська: колони російської військової техніки і БТР в Криму 02.11.2015 - УКВ записали переміщення військової техніки в Криму.

Українські Кібер Війська: терористи купують коштовності в Луганську - УКВ записали ювелірний магазин в Луганську.

Українські Кібер Війська: колона російської військової техніки в Криму 26.12.2015 - УКВ записали переміщення військової техніки в Криму.

Українські Кібер Війська: російська військова техніка з Криму в РФ на Донбас 17.09.2015 - УКВ записали переміщення військової техніки в Криму.

Виявлені численні уразливості безпеки в продуктах Oracle, Sun, PeopleSoft і MySQL.

Уразливі продукти: Oracle 11.2 і 12.1, MySQL 5.6, Java SE Embedded 8, Oracle Mobile Server 12.1, Solaris 11.2, E-Business Suite 12.2, JRockit 28.3, Oracle Identity Manager 11.1, GlassFish Server 3.1, Endeca Server 7.6 та інші продукти Oracle.

140 уразливостей у різних додатках виправлено в щоквартальному оновленні.

• Oracle Outside In Two Buffer Overflow Vulnerabilities (деталі)
• Oracle E-Business Suite - Cross Site Scripting Vulnerability (деталі)
• Oracle E-Business Suite - SQL injection Vulnerability (деталі)
• Oracle E-Business Suite Database user enumeration Vulnerability (деталі)
• Oracle E-Business Suite - XXE injection Vulnerability (деталі)
• Oracle E-Business Suite - XXE injection Vulnerability (деталі)
• Oracle E-Business Suite - XXE injection Vulnerability (деталі)
• Oracle Critical Patch Update Advisory - October 2015 (деталі)

В даній добірці експлоіти в веб додатках:

• Mango Automation 2.6.0 - Multiple Vulnerabilities (деталі)
• Kaseya Virtual System Administrator - Multiple Vulnerabilities (деталі)
• Western Digital My Cloud 04.01.03-421, 04.01.04-422 - Command Injection (деталі)
• PIXORD Vehicle 3G Wi-Fi Router 3GR-431P - Multiple Vulnerabilities (деталі)
• Kaseya VSA uploader.aspx Arbitrary File Upload (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Pixabay Images, Holding Pattern, WPLMS і в темах Quasar, Platform. Для котрих з’явилися експлоіти.

• WordPress Quasar Theme 1.9.1 Privilege Escalation (деталі)
• WordPress Platform Theme Remote Code Execution (деталі)
• WordPress Pixabay Images PHP Code Upload (деталі)
• WordPress Holding Pattern 0.6 Shell Upload (деталі)
• WordPress WPLMS 1.8.4.1 Privilege Escalation (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В підсумках хакерської активності в Уанеті в 1 півріччі 2015 я зазначав, що всього за цей період я виявив 88 інфікованих сайтів в Уанеті. Дані сайти хостилися на серверах різних хостінг провайдерів, як українських, так і закордонних.

Пропоную вам звіт про результати мого дослідження хостінгів, які розміщували інфіковані сайти в першому півріччі 2015 року. Багато з цих хостінг провайдерів робили це і минулого року. Щоб і хостери і Інтернет користувачі знали найбільших розповсюджувачів шкідливого програмного забезпечення (через інфіковані сайти).

В першому півріччі цього року наступні хостінг провайдери розміщували на своїх серверах інфіковані сайти: AVITI, Alkar Teleport, Apex, BN, Besthosting, CityTelecom, Colocall, DE-FIRSTCOLO, DOMASHKA, Datagroup, FastVPS, Fiord, HOMEPL, HOSTINGER, HOSTKEY, Hetzner, Infocom, LUCKYNET, MASTERTEL, MiroHost, NEOHOST, OVH, PTW, RTCOMM, SUPERHOST, TERABIT, THEHOST, UKRNAMES, Ukraine, VIKS, Volia, X-HOST.

Найбільші інфіковані хостери (TOP-10):

• Colocall - 11 сайтів
• Ukraine - 11 сайтів
• Alkar Teleport - 6 сайтів
• Apex - 5 сайтів
• MiroHost - 4 сайтів
• Datagroup - 3 сайтів
• Fiord - 3 сайтів
• Besthosting - 2 сайтів
• CityTelecom - 2 сайтів
• Hetzner - 2 сайтів

Всього було виявлено хостінги 74 сайтів з 88. У випадку інших 14 сайтів визначити хостінги не вдалося, тому що в даний момент ці сайти вже не працювали (вони явно були закриті через розміщення malware на цих ресурсах). За допомогою власної системи моніторингу SecurityAlert в більшості випадків я визначив хостерів під час виявлення цих інфікованих сайтів.

Виявлені уразливості безпеки в PHP.

Уразливі версії: PHP 5.3, PHP 5.5, PHP 5.6

DoS в разширенні PHAR.

• PHP vulnerabilities (деталі)

В даній добірці уразливості в веб додатках:

• Directory Traversal vulnerabilities in CA Erwin Web Portal (деталі)
• Multiple vulnerabilities in EspoCRM (деталі)
• Multiple critical vulnerabilities in Vizensoft Admin Panel (деталі)
• Persistent cross site scripting in Confluence RefinedWiki Original Theme (деталі)
• Security Notice for CA 2E Web Option (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://udaiciinternat.com.ua - інфекція була виявлена 31.10.2015. Зараз сайт входить до переліку підозрілих.
• http://akva-plus.com - інфекція була виявлена 31.10.2015. Зараз сайт не входить до переліку підозрілих.
• http://vntu.edu.ua - інфекція була виявлена 31.10.2015. Зараз сайт не входить до переліку підозрілих.
• http://gotnorest.com - інфекція була виявлена 31.10.2015. Зараз сайт не входить до переліку підозрілих.
• http://vita-infinity.com - інфекція була виявлена 31.10.2015. Зараз сайт не входить до переліку підозрілих.

Виявлені уразливості безпеки в Microsoft JScript і VBScript, що використовуються в Internet Explorer та інших продуктах.

Уразливі продукти: Microsoft JScript 5.7 і 5.8, VBScript 5.7 і 5.8.

Виконання коду, пошкодження пам’яті.

• Microsoft Security Bulletin MS15-108 - Critical Security Update for JScript and VBScript to Address Remote Code Execution (3089659) (деталі)

В своєму звіті про хакерську активність в Уанеті в 1 півріччі 2015, я згадував, що в першому півріччі було інфіковано 88 сайти (з них 2 державних сайти).

Сьогодні я провів дослідження сайтів, що були інфіковані в першому півріччі 2015 року, і на 39 сайтах вдалося виявити движки. Частина з 88 сайтів вже не працювала, частина використовує html (при цьому деякі з них ховають php-додатки за розширенням html), а ще частина використовували власні php-скрипти.

На перевірених сайтах використовуються наступні движки:

WordPress - 13
Joomla - 12
DataLife Engine - 7
uCoz - 3
CNCat - 1
Drupal - 1
GetSimple - 1
I-Soft Bizness - 1

Тобто майже всі інфіковані сайти, з числа працюючих, використовували (за станом на сьогодні) опенсорс веб додатки.