Websecurity - Веб безпека

Виявлені численні уразливості безпеки в Mozilla Firefox і Thunderbird.

Уразливі продукти: Mozilla Firefox 60, Firefox ESR 52.8, Thunderbird 52.8.

Пошкодження пам’яті, переповнення буферу, виконання коду, обхід SOP через воркери і редирекцію, обхід обмежень, CSRF атака через NPAPI плагіни такі як Flash, витік інформації, виконання файлів з розширенням SettingContent-ms в Windows 10 (користувач сам клікне і запустить файл, бо немає попереджень, або віддалено через WebExtensions), підняття привілеїв у WebExtensions, обхід CSRF захисту при виході з Reader View.

• MFSA 2018-15 Security vulnerabilities fixed in Firefox 61 (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://maids.ua - інфекція була виявлена 31.12.2017. На сайті криптомайнер
• http://ndiop.kiev.ua - інфекція була виявлена 31.12.2017. На сайті криптомайнер
• http://hd-world.org - інфекція була виявлена 31.12.2017. На сайті криптомайнер
• http://rev.atbmarket.com - інфекція була виявлена 31.12.2017. На сайті криптомайнер
• http://s1.pcw.pp.ua - інфекція була виявлена 31.12.2017. На сайті криптомайнер

Виявлені уразливості безпеки в Microsoft Office, а також в серверних продуктах SharePoint Server. Що були виправлені у вівторку патчів у серпні.

Уразливі продукти: Microsoft SharePoint Server 2013 SP1, SharePoint Enterprise Server 2013 SP1, SharePoint Enterprise Server 2016, Word Automation Services on SharePoint Server.

Обхід безпеки та виконання коду.

В серпні, 31.08.2018, вийшла нова версія програми DAVOSET v.1.3.6. В новій версії:

• Додав підтримку SSRF уразливості в Splunk Enterprise.
• Додав нові сервіси в списки зомбі.
• Прибрав неробочі сервіси зі списків зомбі.

Всього в списку міститься 210 зомбі-сервісів.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality та XML External Entities уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.3.6.rar.

В даній добірці експлоіти в веб додатках:

• Sawmill Enterprise 8.7.9 - Authentication Bypass (деталі)
• DIGISOL DG-HR1400 Wireless Router - Cross-Site Request Forgery (деталі)
• Sonicwall 8.1.0.2-14sv - ‘viewcert.cgi’ Remote Command Injection (Metasploit) (деталі)
• ProjectSend r754 - Insecure Direct Object Reference (деталі)
• Teradici Management Console 2.2.0 - Privilege Escalation (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WP No External Links, Google Forms, Paid Memberships Pro, Ultimate Product Catalog, Easy Testimonials. Для котрих з’явилися експлоіти.

• WordPress WP No External Links 3.5.15 Cross Site Scripting (деталі)
• WordPress Google Forms 0.84 Cross Site Scripting (деталі)
• WordPress Paid Memberships Pro 1.8.9.3 Cross Site Scripting (деталі)
• WordPress Ultimate Product Catalog 3.9.8 SQL Injection (деталі)
• WordPress Easy Testimonials 1.36.1 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В своєму звіті Хакерська активність в Уанеті в 1 півріччі 2017 я навів дані про діяльність хакерів в Уанеті за період з 01.01.2017 по 30.06.2017, а в звіті Хакерська активність в Уанеті в 2 півріччі 2017 - дані за період з 01.07.2017 по 31.12.2017.

За весь 2017 рік в Уанеті було проведено 827 атак на веб сайти - 520 за перше півріччя і 307 за друге. Для порівняння, за весь 2016 рік було зафіксовано всього 732 атаки на веб сайти. І це тільки виявлені мною випадки (і я ще не всі данні обробив), реальна кількість інцидентів може бути значно вищою.

Динаміка зростання хакерської активності за минулий рік: за перше півріччя 2017 активність більша на 17,1% в порівнянні з аналогічним періодом 2016 року, а за друге півріччя 2017 - на 6,6% більша за аналогічний період 2016 року. А в цілому в 2017 році активність зросла на 12,98% порівняно з 2016 роком - зростання в 1,13 рази.

В 2017 році загалом було атаковано 827 веб ресурсів (як взломи, так і DDoS атаки), перелік яких ви можете знайти у відповідних звітах за перше і друге півріччя минулого року. Але ще не всі дані обробив. А також були інфіковані 145 сайтів, які вірогідно були похакані в 2017 році.

Головні тенденції 2017 року в діяльності хакерів в Уанеті:

• Хакерська активність зросла - на 12,98% порівняно з 2016 роком (збільшення динаміки у 1,13 рази).
• Багато сайтів в Уанеті заражуються вірусами: в 2016 я виявив 168 інфікованих сайтів, в 2017 - вже 145 сайтів (зменшення динаміки у 1,16 рази).
• Кількість DDoS атак на сайти трохи менша ніж в 2016 році - 14 випадків DDoS атак за рік (зменшення у 1,14 рази). Це 1,7% від всіх атак за 2017 рік.
• Атаковано 109 державних сайтів та інфіковано ще 3 gov.ua-сайти.
• Зменшення взломів державних сайтів в 1,22 разів та збільшення інфікування gov.ua-сайтів в 3 рази порівняно з 2016 роком. Зменшення кількості DDoS-атак на gov.ua-сайти в 1,75 разів.

Велика кількість заражених сайтів в Уанеті (в тому числі gov.ua-сайтів) свідчить про чималий відсоток кримінальних взломів сайтів.

Підсумовуючи скажу, що активність хакерів в минулому році була високою і вона продовжить такою бути. І в 2018 році ця тенденція збережеться.

Очікуйте на нові звіти про хакерську активність в Уанеті.

У червні, 21 і 22.06.2018, вийшли PHP 7.1.19 і PHP 7.2.7. У версії 7.1.19 виправлено багато багів і уразливостей, у версії 7.2.7 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 7.1.x і 7.2.x.

У PHP 7.1.19 і 7.2.7 виправлено:

• Вибивання.
• Пошкодження пам’яті.
• Уразливості в ядрі та модулях.

По матеріалам http://www.php.net.

Виявлені уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge. Що були виправлені у вівторку патчів у серпні.

Уразливі продукти: Microsoft Internet Explorer 9, 10, 11 та Edge під Windows Server 2008, Windows 7, Windows Server 2012, Windows 8.1, Windows 10, Windows Server 2016.

Численні пошкодження пам’яті та виконання коду.

Виходячи з моїх звітів про веб додатки на інфікованих сайтах в 1 півріччі та веб додатки на інфікованих сайтах в 2 півріччі, я підведу підсумки. Та наведу загальну статистику про веб додатки на інфікованих сайтах в 2017 році.

Як я зазначав в своїх звітах про хакерську активність в Уанеті, в першому півріччі було інфіковано 75 сайтів, а в другому півріччі було інфіковано 70 сайтів. Всього 145 сайтів за 2017 рік. І з них на 76 сайтах вдалося виявити движки.

На перевірених в минулому році сайтах використовуються наступні движки:

Joomla - 20
uCoz - 18
WordPress - 17
DataLife Engine - 6
Drupal - 6
Magento - 3
OpenCart - 2
Bitrix - 1
VaM Shop - 1

Зазначу, що три лідери серед веб додатків у першому й другому півріччі були незмінними. Й відповідно в підсумкових результатах за весь рік.

Тобто майже всі інфіковані сайти, з числа працюючих, використовували опенсорс веб додатки. Більшість з них публічні відкриті CMS, але деякі й комерційні відкриті веб програми.