Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Photo Gallery, Simple Security, CIP4 Folder Download, Pixarbay Images і в темі Bretheon. Для котрих з’явилися експлоіти.

• Wordpress Photo Gallery Unauthenticated SQL Injection User Enumeration (деталі)
• WordPress Simple Security 1.1.5 Cross Site Scripting (деталі)
• WordPress Bretheon Theme Arbitrary File Download (деталі)
• WordPress CIP4 Folder Download 1.10 Local File Inclusion (деталі)
• WordPress Pixarbay Images 2.3 XSS / Bypass / Upload / Traversal (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Влітку відбувся новий масовий взлом сайтів на сервері TheHost. Він відбувся з 05.06.2013 по 10.08.2015. Перший масовий взлом сайтів на сервері TheHost відбувся раніше.

Був взломаний сервер української компанії TheHost. Взлом складався з багатьох окремих дефейсів.

Всього був взломаний 31 сайт на сервері хостера TheHost (IP 91.234.33.250). Це наступні сайти: europumps.com.ua, ifox.biz, bassein-ozero.com.ua, grafio-decor.com.ua, homemadedrink.com.ua, indyuk.com.ua, dom-yagotin.com.ua, remontluxe.kiev.ua, rizka.kiev.ua, action.vishop.com.ua, uafkl.com.ua, dor-znak.pp.ua, my.selyandia.ru, jurinvest.vst-group.com, admin-blog.pp.ua, yacheslav-sherstiuk.com, transform-energo.com.ua, selyandia.ru, vst-group.com, bassein-ozero.com.ua, www.vacc-ua.aero, indyuk.com.ua, lrsys.com, otkos.dn.ua, rainway.biz, jurinvestprom.com.ua, chicgift.com.ua, eshop.stimpex.com.ua, news1.stimpex.com.ua, pens.stimpex.com.ua, www.sweetbud.com.ua.

Під час взлому хакера Anxiety було дефейснуто багато сайтів, тому немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Стосовно інших, то враховуючи велику кількість окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів.

У жовтні, 13.10.2015, через півтора місяці після виходу Google Chrome 45, вийшов Google Chrome 46.

В браузері зроблено багато нововведень. Та виправлені численні уразливості. Серед покращень безпеки:

• Cache API тепер працює лише з HTTPS.
• Скасовано проміжний жовтий індикатор захищеності сайта. Тепер https ресурс з мінімальними помилками (зображення по http) буде вважатися незахищеним.

Виправлено 24 уразливості, з яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer і MemorySanitizer. Що менше ніж в попередній версії.

• Релиз web-браузера Chrome 46 (деталі)

В даній добірці експлоіти в веб додатках:

• ManageEngine OpManager 11.5 - Multiple Vulnerabilities (деталі)
• ManageEngine EventLog Analyzer < 10.6 build 10060 - SQL Query Execution (деталі)
• ADH-Web Server IP-Cameras - Multiple Vulnerabilities (деталі)
• Android libstagefright - Integer Overflow Remote Code Execution (деталі)
• Thomson CableHome Gateway (DWG849) Cable Modem Gateway - Information Exposure (деталі)

В статті Inter-Protocol Communication розповідається про міжпротокольну комунікацію. Це можливість двох різних протоколів обмінюватися командами і даними. Що створює нові вектори атак. Зокрема можливості для Mail Command Injection (цей клас уразливостей раніше називався CRLF Injection) для включення команд в поштові та інші протоколи.

В даній статті розглянуті наступні аспекти міжпротокольної комунікації в контексті безпеки:

• Що таке міжпротокольна комунікація.
• Одно та двонаправлена міжпротокольна комунікація.
• Приклади обміну командами між HTTP та IMAP3.
• Проведення Cross-Site Scripting атак.
• Проведення Fingerprinting атак.
• Проведення Brute Force атак.
• Підсумки та подальші дослідження.

Мені доводилося знаходити Mail Command Injection уразливості на веб сайтах, що дозволяли включати SMTP, IMAP та POP команди, і таким чином проводити атаки за допомогою міжпротокольної комунікації. Так що ця тема є достатньо актуальною.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://brusyliv-rda.gov.ua (хакером the_warri0r) - 25.08.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://disgvol.gov.ua (хакерами з Ashiyane Digital Security Team) - 12.09.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://devup.com.ua (хакером HaMza-x Ben) - 13.07.2015, зараз сайт вже виправлений адмінами
• http://gorozhanin.com.ua (хакером Matrix Dz) - 12.09.2015, зараз сайт вже виправлений адмінами
• http://infomix.com.ua (хакером Matrix Dz) - 12.09.2015, зараз сайт вже виправлений адмінами

Виявлена можливість проведення DoS атаки проти Apache ActiveMQ.

Уразливі версії: Apache ActiveMQ 5.10.

Доступна недокументована команда shutdown.

• activemq security update (деталі)

В даній добірці уразливості в веб додатках:

• IcedTea Web vulnerability (деталі)
• LiveZilla 5.3.0.7 Security Issue (деталі)
• Elastix Multiple vulnerabilities (Remote Command Execution, XSS, CSRF) (деталі)
• Multiple XSS Vulnerabilities in LiteCart (деталі)
• Unauthenticated access & manipulation of settings in Huawei E5331 MiFi mobile hotspot (деталі)

Цього року відбувся масовий взлом сайтів на сервері Ukraine. Він відбувся з 29.01.2015 по 17.10.2015. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Ukraine. Взлом складався з багатьох окремих дефейсів. Вони переважно відбулися після масового взлому сервера 1GB.

Всього було взломано 38 сайтів на сервері хостера Ukraine (IP 185.68.16.59). Перелік сайтів можете подивитися на www.zone-h.org. Від biz-registr.com.ua до webmarketing.org.ua.

З зазначених 38 сайтів 25 сайтів були взломані хакером red virus maroc, 4 сайти хакером d3b~X, по два сайти хакерами Abdellah Elmaghribi і Virus OS та по одному хакерами w4l3XzY3, Team_CC, the_warri0r, muaad scorpion і Ashiyane Digital Security Team.

Масовий дефейс хакером red virus maroc явно був зроблений через взлом серверу хостінг провайдера. У випадку окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера.

Виявлені уразливості безпеки в LibreSSL.

Уразливі версії: LibreSSL 2.0, LibreSSL 2.3.

DoS, переповнення буфера.

• LibreSSL (CVE-2015-5333 and CVE-2015-5334) (деталі)