Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://oskilskasilrada.gov.ua (хакером Panataran) - 01.12.2019 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://balrada.gov.ua (хакером 0×1998) - 05.12.2019 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://poltina.com.ua (хакером TheWayEnd) - 29.01.2020 - зараз сайт вже виправлений адмінами
• http://vy.com.ua (хакером Hasmetli) - 13.02.2020 - зараз сайт вже виправлений адмінами
• http://dentist-lviv.space (хакером Xolots404) - 11.05.2020 - зараз сайт вже виправлений адмінами

В даній добірці експлоіти в веб додатках:

• PHP-FPM - Underflow Remote Code Execution (Metasploit) (деталі)
• Google Chrome 67, 68 and 69 - Object.create Type Confusion (деталі)
• Google Chrome 80 - JSCreate Side-effect Type Confusion (Metasploit) (деталі)
• Nagios XI - Authenticated Remote Command Execution (Metasploit) (деталі)
• Drobo 5N2 4.1.1 - Remote Command Injection (деталі)

У липні, 15.07.2020, через півтора місяці після виходу Google Chrome 83, вийшов Google Chrome 84.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлено 15 уразливостей. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer і AFL. Це менше ніж в попередній версії, проте одна з них критична.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://concerthall.podolyany.com.ua - інфекція була виявлена 24.01.2020. Зараз сайт не входить до переліку підозрілих
• http://vasylivka.lebrada.gov.ua - інфекція була виявлена 03.05.2020 - інфікований державний сайт. Зараз сайт не входить до переліку підозрілих
• http://archivelviv.gov.ua - інфекція була виявлена 06.05.2020 - інфікований державний сайт. Зараз сайт не входить до переліку підозрілих
• http://utor.pp.ua - інфекція була виявлена 19.05.2020. Зараз сайт входить до переліку підозрілих
• http://coffeesolutions.com.ua - інфекція була виявлена 29.05.2020. Зараз сайт не входить до переліку підозрілих

Виявлені уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge. Що були виправлені у вівторку патчів.

Уразливі продукти: Microsoft Internet Explorer 9, 10, 11 та Edge під Windows Server 2008, Windows 7, Windows Server 2012, Windows 8.1, Windows 10, Windows Server 2016.

Пошкодження пам’яті та виконання коду.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах BestWebSoft, Ultimate Form Builder, Connection Information, AccessPress Social Icons, Wow Forms. Для котрих з’явилися експлоіти.

• WordPress BestWebSoft XSS / CSRF (деталі)
• WordPress Ultimate Form Builder Cross Site Scripting (деталі)
• WordPress Connection Information Cross Site Request Forgery (деталі)
• WordPress AccessPress Social Icons 1.6.6 SQL Injection (деталі)
• WordPress Wow Forms 2.1 SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці експлоіти в веб додатках:

• OpenSMTPD < 6.6.3p1 - Local Privilege Escalation + Remote Code Execution (деталі)
• Exchange Control Panel - Viewstate Deserialization (Metasploit) (деталі)
• EyesOfNetwork - AutoDiscovery Target Command Execution (Metasploit) (деталі)
• Apache ActiveMQ 5.x-5.11.1 - Directory Traversal Shell Upload (деталі)
• Google Chrome 72 and 73 - Array.map Out-of-Bounds Write (Metasploit) (деталі)

Пропоную ознайомитися зі звітом про хакерську активність в Уанеті в другому півріччі 2019 року.

За другу половину минулого року хакери в Уанеті вели себе дуже активно, як і в аналогічному періоді 2018 року. 405 атак на веб сайти проти 308 - це більша активність (зростання на 31,5%). Але атакованих сайтів явно значно більше і хакерська активність постійно зростає. Що видно з великої кількості інфікованих сайтів (які я не відношу до взломаних, бо напевно невідомо, що їх взломали, але це дуже вірогідно). Дані про злами сайтів наведу після завершення аналізу масових дефейсів.

Також були інфіковані 70 сайтів, які вірогідно були похакані в минулому році. Що стільки ж як кількість інфікованих сайтів в другій половині 2018.

Інфіковані сайти у другій половині 2019 року: cleanfield.com.ua, my-webpage.at.ua, mcpf.com.ua, ramprulad.com.ua, windows-soft.at.ua, kupi-vip.com.ua, flatout.at.ua, 221b.com.ua, autopartsnetwork.com.ua, voprosnik.top, gooood.zzz.com.ua, nord.adr.com.ua, orion-sparta.com, medsvit.com.ua, wow-ok.at.ua, chiptuner.ucoz.ua, thelegendarypike.zzz.com.ua, trulolo.zzz.com.ua, thekorol.zzz.com.ua, net.dn.ua, filin.at.ua, zero.kl.com.ua, road2pro.at.ua, activation.zzz.com.ua, transform.zzz.com.ua, plaza777.co.ua, s21.cshost.com.ua, fps.zzz.com.ua, china-tefon.at.ua, sirogasoft.zzz.com.ua, letsz0ck3r.zzz.com.ua, hooligan8.at.ua, guanpro.com, 000.at.ua, prof-xaker.at.ua, solocrd.zzz.com.ua, shtorm.inf.ua, professionalshippngng.com, ritual-k.in.ua, vbi.od.ua, guanpro.com, phoenix-mg.ucoz.com, jokoli.ucoz.net, msvcnet.ucoz.net, netnetget.ucoz.net, booksonline.com.ua, diagnoz.net.ua, referatu.net.ua, info-library.com.ua, radnuk.info, domahi.net, unbib.mk.ua, eenu.edu.ua, palata.fm, www.samcore.pro, paintball-bears.com.ua, cybersports.pro, soos.kvant.if.ua, knopka-b.kvant.if.ua, ns.digicom.net.ua, admiral.myftp.biz, obnovlenie-nod32.work, 60seconds.in.ua, rusanovka.triolan.com.ua, blockbuster.ua, vipclub-casino.com, 9journal.com.ua, maids.ua, ndiop.kiev.ua, s1.pcw.pp.ua.

Серед них є сайти з криптомайнерами. Найближчим часом підведу підсумки активності хакерів в Уанеті за 2019 рік.

У червні, 11.06.2020, вийшли PHP 7.3.19 і PHP 7.4.7. А вже 9 липня вийшла PHP 7.2.32 з оновленням libcurl. У версії 7.3.19 виправлено багато багів і уразливостей, у версії 7.4.7 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 7.2.x, 7.3.x і 7.4.x.

У PHP 7.2.32, 7.3.19 і 7.4.7 виправлено:

• Уразливість в libcurl.
• Вибивання.
• Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.

Виявлені уразливості безпеки в Apple Safari і Webkit.

Уразливі продукти: Apple Safari 13.

Виконання коду, пошкодження пам’яті.

• APPLE-SA-2019-12-10-6 Safari 13.0.4 (деталі)