Websecurity - Веб безпека

Після минулорічного звіту про інфікованість Уанета, наведу нову порівняльну статистику інфікованості Уанета за останні роки.

Статистика буде за 2014 - 2016 роки. Статистичні дані базуються на моїх дослідженнях хакерської активності в Уанеті в 2014, 2015 і 2016 роках.

За весь 2014 рік в Уанеті було інфіковано 163 веб сайтів.

За весь 2015 рік в Уанеті було інфіковано 158 веб сайтів.

За весь 2016 рік в Уанеті було інфіковано 168 веб сайтів.

Велика кількість заражених сайтів свідчить про зростання кримінальних взломів сайтів (коли на взломаних сайтах розміщуються віруси).

Динаміка зараження сайтів в Уанеті.

В 2014 році активність зменшилась на 28% порівняно з 2013 роком (спад в 1,38 рази). В порівнянні з 2008 роком активність зросла на 3975% (в 40,75 разів).

В 2015 році активність зменшилась на 3% порівняно з 2014 роком (спад в 1,03 рази). В порівнянні з 2008 роком активність зросла на 3850% (в 39,5 разів).

В 2016 році активність зросла на 6% порівняно з 2015 роком (зростання в 1,1 рази). В порівнянні з 2008 роком активність зросла на 4100% (в 42 рази).

Як видно зі статистики, кількість інфікованих сайтів в Уанеті в останні роки стабільно велика. Хоча через зменшення моїх досліджень мало місце загальне зменшення динаміки в останні роки.

Виявлені уразливості в Microsoft .NET Framework та Microsoft Windows. Що були виправлені у вівторку патчів у липні.

Уразливі продукти: Microsoft .NET Framework 4.6, 4.6.1, 4.6.2, 4.7.

Виконання коду через пошкодження пам’яті.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://nbuviap.gov.ua (хакером jok3r) - 02.09.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://kyiv-oblosvita.gov.ua (хакером darkshadow-tn) - 12.12.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://expolviv.ua (хакером Shade)
• http://ukrstock.com (хакерами з chinafans) - 29.06.2017, зараз сайт вже виправлений адмінами
• http://bravotour.com.ua (хакерами з chinafans) - 29.06.2017, зараз сайт вже виправлений адмінами

У червні, 08.06.2017, вийшла нова версія WordPress 4.8.

WordPress 4.8 це перший випуск нової 4.8 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, а також виправлені баги.

Серед головних покращень зокрема можна відзначити інтуїтивний інтерфейс, нові та покращені віджети, оновлена робота з лінками у візуальному редакторі та інші нововведення.

Окрім покращень для користувачів також було зроблено багато покращень для розробників.

Виявлені численні уразливості безпеки в Microsoft Office, а також в серверних продуктах Office Web Apps і SharePoint Server. Що були виправлені у вівторку патчів у липні.

Уразливі продукти: Microsoft Office Web Apps 2010 SP2, Office Online Server 2016, Excel Services on SharePoint Server 2010 SP2, SharePoint Enterprise Server 2013, SharePoint Enterprise Server 2016.

Обхід безпеки, пошкодження пам’яті, виконання коду.

В даній добірці експлоіти в веб додатках:

• MESSOA IP-Camera NIC990 - Authentication Bypass / Configuration Download (деталі)
• ZYCOO IP Phone System - Remote Command Execution (деталі)
• TOPSEC Firewalls - ‘ELIGIBLECONTESTANT’ Remote Code Execution (деталі)
• Exagate WEBPack Management System - Multiple Vulnerabilities (деталі)
• HP Client 9.1/9.0/8.1/7.9 - Command Injection (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Google Sitemap, Htaccess, Job Board, Limit Attempts. Для котрих з’явилися експлоіти.

• WordPress Google Sitemap 2.9.1 Cross Site Scripting (деталі)
• WordPress Htaccess 1.4 Cross Site Scripting (деталі)
• WordPress Job Board 1.0.0 Cross Site Scripting (деталі)
• WordPress Limit Attempts 1.0.3 Cross Site Request Forgery (деталі)
• WordPress Limit Attempts 1.0.3 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В період з 21.03.2015 по 24.12.2016 відбувся масовий взлом сайтів на сервері Serverius. Раніше я розповідав про інші масові взломи.

Був взломаний сервер нідерландської компанії Serverius, на якому хостилося багато українських сайтів. Взлом складався з декількох дефейсів сайтів. Який відбувся після шостого масового взлому сайтів на сервері Hetzner.

Всього було взломано 47 сайтів на сервері хостера Serverius (IP 93.158.223.27). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт ecohm.gov.ua.

З зазначених 47 сайтів 18 сайтів були взломані хакером HolaKo, 15 сайтів хакерами з Golden Team Dz, 5 сайтів хакером AnonymousFox, по 2 сайти хакерами d3b~X, TheWayEnd, NorilaClasse та по одному сайту хакерами NG689Skw, MuhmadEmad, Matrix Dz.

Масовий дефейс хакерами HolaKo та Golden Team Dz явно був зроблений через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері. У випадку інших дефейсів сайтів, всі вони явно були зроблені при взломах окремих сайтів.

У липні, 06.07.2017, вийшли PHP 5.6.31, PHP 7.0.21 і PHP 7.1.7. У версії 5.6.31 виправлено багато уразливостей, у версії 7.0.21 виправлено багато багів і уразливостей, у версії 7.1.7 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.6.x, 7.0.x і 7.1.x.

У PHP 5.6.31, 7.0.21 і 7.1.7 виправлено:

• Пошкодження пам’яті.
• Численні вибивання в різних функціях (DoS).
• Уразливості в ядрі та модулях.

По матеріалам http://www.php.net.

В даній добірці уразливості в веб додатках:

• HP Network Node Manager I (NNMi) for Windows and Linux, Remote Execution of Arbitrary Code (деталі)
• Ektron CMS 9.10 SP1 - CSRF Vulnerability (деталі)
• Ektron CMS 9.10 SP1 - XSS Vulnerability (деталі)
• Local PHP File Inclusion in ResourceSpace (деталі)
• procmail vulnerability (деталі)