Websecurity - Веб безпека

В 2010 році я писав про витік IP адреси в електронних листах в статті Визначення IP автора е-майл листа. Тоді я розповів про заголовки X-Originating-IP та X-Sender-IP. Розповім про нові веб додатки і сервіси електронної пошти, що додають ці заголовки в емайл листи.

В електронних листах окрім IP відправника можна в заголовках знайти багато цікавого. Наприклад сервер, що відправив пошту, і всі проміжні хости, аж до сервера отримувача. Що дозволить перевірити чи не є підробленим емайл відправника, щоб його електронна пошта відповідала серверу, з якого надійшов лист. Але найбільш важливим є саме IP адреса відправника.

Визначити IP автора емайл листа можна через заголовок X-Originating-IP або X-Sender-IP. Вперше я отримав лист з заголовком X-Originating-IP ще в 2004 році. Так що практика використання даних заголовків існує вже давно.

В першій статті я писав, що ці заголовки вставляють в листи поштові сервери IceWarp Web Mail та Visual Online SMTP gateway і деякі поштові скрипти, що використовуються на деяких сайтах. Цього року я виявив ще сервер Zimbra.

X-Originating-IP: [xxx.xxx.xxx.xxx]
X-Mailer: Zimbra 7.2.4_GA_2900 (ZimbraWebClient - FF3.0 (Win)/7.2.4_GA_2900)

Як і в 2010 році, моє цьогорічне дослідження показало, що один з даних заголовків встановлюється при відправці пошти через наступні сервери: mail.ru (inbox.ru, bk.ru, list.ru та всі їхні домени), ukr.net, bigmir.net та i.ua. Також ще виявив сервер ukrtelecom.ua. Але більше не висилають сервери inet.ua, hotmail.com і gmail.com.

Так що сховати свій IP при використанні даних поштових серверів не вийде. Лише використання проксі (якщо це можливо для конкретного сервера) може допомогти. З іншої сторони вищезгадані поштові сервери призводять до витоку приватних даних, що не може сподобатися шанувальникам приватності. І вони повинні врахувати цей аспект при використанні даних серверів.

В даній добірці експлоіти в веб додатках:

• Octogate UTM 3.0.12 - Admin Interface Directory Traversal (деталі)
• Synology Video Station 1.5-0757 - Multiple Vulnerabilities (деталі)
• php - cgimode fpm writeprocmemfile bypass disable function demo (деталі)
• Android Stagefright - Remote Code Execution (деталі)
• TP-Link NC200/NC220 Cloud Camera 300Mbps Wi-Fi - Hard-Coded Credentials (деталі)

Українські Кібер Війська з червня займаються розвідкою. Це аудіо і відео розвідка. Раніше я наводив відео Українських Кібер Військ, що демонструють можливості Українських Кібер Військ по спостереженню за терористами.

Ось 5 нових відео, що зроблені в рамках розвідувальної операції:

Українські Кібер Війська: російська військова техніка з Криму в РФ на Донбас 24.08.2015 - УКВ записали переміщення військової техніки в Криму.

Українські Кібер Війська: військова техніка терористів з БТР в Горлівці за 12.08.2015 - УКВ записали переміщення військової техніки в Горлівці.

Українські Кібер Війська: російська військова техніка в Керчі за 30.08.2015 - УКВ записали переміщення військової техніки в Криму.

Українські Кібер Війська: російська військова техніка в Криму для направлення на Донбас 11.09.2015 - УКВ записали переміщення військової техніки в Криму.

Українські Кібер Війська: банк терористів в Краснодоні за 25.09.2015 - УКВ записали банк ЛНР в Краснодоні.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://chasy.com.ua - інфекція була виявлена 20.10.2015. Зараз сайт входить до переліку підозрілих.
• http://milkua.info - інфекція була виявлена 20.10.2015. Зараз сайт не входить до переліку підозрілих.
• http://sports.zp.ua - інфекція була виявлена 20.10.2015. Зараз сайт входить до переліку підозрілих.
• http://kig.in.ua - інфекція була виявлена 20.10.2015. Зараз сайт не входить до переліку підозрілих.
• http://roganska.com.ua - інфекція була виявлена 20.10.2015. Зараз сайт не входить до переліку підозрілих.

Виявлені уразливості безпеки в PostgreSQL.

Уразливі версії: PostgreSQL 9.4.

Розкриття інформації, DoS.

• PostgreSQL vulnerabilities (деталі)

В даній добірці уразливості в веб додатках:

• HP Rapid Deployment Pack (RDP) or HP Insight Control Server Deployment, Multiple Remote Vulnerabilities affecting Confidentiality, Integrity and Availability (деталі)
• Web Encryption Extension security update (деталі)
• Kunena Forum Extension for Joomla Multiple SQL Injection Vulnerabilities (деталі)
• Kunena Forum Extension for Joomla Multiple Reflected Cross-Site Scripting Vulnerabilities (деталі)
• EMC VPLEX Multiple Vulnerabilities (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Slideoptinproxr, Shopping Cart, WP Symposium, Pods. Для котрих з’явилися експлоіти. А також брутфорсер паролів WP-Bruteforce.

• WP-Bruteforce c0d3Lib WordPress Bruteforcing Tool (деталі)
• WordPress Slideoptinprox Cross Site Scripting (деталі)
• WordPress Shopping Cart 3.0.4 Unrestricted File Upload (деталі)
• WordPress WP Symposium 14.11 Shell Upload (деталі)
• WordPress Pods 2.4.3 CSRF / Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Про взломи державних сайтів я пишу з 2006 року і постійно наводжу випадки атак (взломів і DDoS) та інфікувань gov.ua сайтів. Ось мій останній звіт про атаки на державні сайти України за 14 років. Але іноді трапляються масові взломи державних сайтів, коли на одному сервері проведені дефейси десятків державних ресурсів.

• Масовий взлом сайтів на сервері Vizor - 12 держ. сайтів
• Масовий взлом сайтів на сервері OIAC - 37 держ. сайтів
• П’ятий масовий взлом сайтів на сервері Freehost - 14 держ. сайтів
• Другий масовий взлом сайтів на сервері Укртелекому - 30 держ. сайтів
• Третій масовий взлом сайтів на сервері Укртелекому - 21 держ. сайт

Таким чином окрім безпеки окремих gov.ua сайтів та проблем з українськими державними сайтами на закордонних хостингах, потрібно дбати про безпеку серверів, де розміщені такі сайти, особливо коли багато сайтів на одному сервері. Також потрібно дбати про безпеку електронної пошти державних служб.

Виходячи з наведеної мною статистики атак на державні сайти за 2001-2015 роки можна стверджувати, що державні сайти України регулярно взламують (та іноді проводять DDoS атаки), в тому числі під час масових дефейсів. Дана ситуація зі взломами gov.ua сайтів, пов’язана з недостатнім рівнем їх безпеки та безпеки серверів, де вони розміщені. Кожна країна в світі повинна слідкувати за безпекою власних державних сайтів, чого я бажаю й Україні.

Виявлені уразливості безпеки в Microsoft .NET Framework та WebDAV.

Уразливі продукти: Microsoft .NET Framework 4.6, WebDAV.

Підвищення привілеїв, витік інформації.

• Microsoft Security Bulletin MS15-089 - Important Vulnerability in WebDAV Could Allow Information Disclosure (3076949) (деталі)
• Microsoft Security Bulletin MS15-092 - Important Vulnerabilities in .NET Framework Could Allow Elevation of Privilege (3086251) (деталі)

У вересні, 30.09.2015, вийшов Mozilla Firefox 41.0.1. А в жовтні, 15.10.2015, вийшов Mozilla Firefox 41.0.2. Нові версії браузера вийшли через деякий час після виходу Firefox 41.

Це багфікс і секюріті випуски в яких виправлені баги (в 41.0.1) і одна уразливість (в 41.0.2). Але в першій версії виправлені численні помилки, в тому числі п’ять вибивань браузера, що пов’язані з Intel GMA 3150, Facebook, Yandex Toolbar, Adblock Plus та серіалізацію в браузері. Мозіла не зарахувала ці crash до уразливостей, а до багів, як вона це дуже часто робить.

• MFSA 2015-115 Cross-origin restriction bypass using Fetch (деталі)