Websecurity - Веб безпека

У вересні, 01.09.2021, через півтора місяці після виходу Google Chrome 92, вийшов Google Chrome 93. А вже 14.09.2021 вийшло оновлення цієї версії з виправленням 11 серйозних уразливостей.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлено 27 уразливостей, а потім ще 11 уразливостей (всього 38). З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer і AFL. Це більше ніж в попередній версії.

Раніше, 11.05.2013, я знайшов Brute Force та Insufficient Anti-automation уразливості на сайті promos.privatbank.ua. В той час вислав ці уразливості банку. Пізніше я знайшов на сайті ще Fingerprinting, Cross-Site Scripting та інші уразливості, які вони виправили і заплатили мені, але не ці.

Brute Force (WASC-11):

http://promos.privatbank.ua/admin/

Відсутність захисту від підбору пароля адміна.

Insufficient Anti-automation (WASC-21):

В формах на різних сторінках не було захисту від автоматизованих атак. Що дозволяло спамити смс-ками на мобільні телефони. Подібні уразливості я знаходив на багатьох сайтах банка.

ПриватБанк тоді проігнорував ці уразливості, але через кілька років приховано виправив шляхом закриття сайта. Таким чином банк кинув мене, як це було з дірками на bonus.privatbank.ua та інших сайтах ПБ.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Grifus, Smart Google Code Inserter, WpJobBoard, Social Media Widget, CMS Tree Page View. Для котрих з’явилися експлоіти.

• WordPress Grifus 4.0.1 Cross Site Scripting (деталі)
• WordPress Smart Google Code Inserter SQL Injection (деталі)
• WordPress WpJobBoard 4.4.4 SQL Injection (деталі)
• WordPress Social Media Widget By Acurax 3.2.5 Cross Site Request Forgery (деталі)
• WordPress CMS Tree Page View 1.4 CSRF / Privilege Escalation (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У лютому, 23.02.2021, вийшов Mozilla Firefox 86. Нова версія браузера вийшла через місяць після виходу Firefox 85.

Mozilla офіційно випустила реліз веб-браузера Firefox 86, а також мобільну версію Firefox 86 для платформи Android. Відповідно до циклу розробки, Firefox 87 вийде 23 березня.

В браузері було зроблено багато нововведень. Та зроблені покращення безпеки.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 86.0 усунуто численні уразливості в 12 патчах, що на один менше ніж в попередній версії. Серед яких є високого ризику, що можуть призвести до віддаленого виконання коду зловмисника. Mozilla типово виправляє по декілька дір за один патч.

В даній добірці експлоіти в веб додатках:

• Compro Technology IP Camera - ‘ index_MJpeg.cgi’ Stream Disclosure (деталі)
• Compro Technology IP Camera - ‘ mjpegStreamer.cgi’ Screenshot Disclosure (деталі)
• ECOA Building Automation System - Path Traversal Arbitrary File Upload (деталі)
• ECOA Building Automation System - Directory Traversal Content Disclosure (деталі)
• Cisco small business RV130W 1.0.3.44 - Inject Counterfeit Routers (деталі)

Продовжуючи розпочату традицію, після попереднього відео про взлом різноманітних мережевих пристроїв, пропоную нове відео на секюріті тематику. Цього разу відео про взлом банкоматів. Рекомендую подивитися всім хто цікавиться цією темою.

DEF CON 29 - No Key No PIN No Combo No Problem Pwning ATMs For Fun and Profit

Торік в серпні на конференції DEFCON відбувся виступ Roy Davis, хоч і віддалено. В своєму виступі він розповів про взлом банкоматів для розваги та прибутку. Які бувають уразливості в ATM, як їх знаходити та в підсумку отримати гроші з сейфів банкоматів.

Він розповів про проблеми з безпекою в банкоматах різних виробників, більшість з них насправді малозахищені, бо покладаються на закритість інформації про будову і код ATM, тобто security through obscurity. Навів різні атаки, зокрема на мережу банкоматів, на USB порт, на цифрові замки та інші. Щоб без пін коду отримати гроші. Рекомендую подивитися дане відео для розуміння поточного стану безпеки банкоматів.

У листопаді, 18.11.2021, вийшли PHP 7.3.33, PHP 7.4.26 і PHP 8.0.13. У версії 7.3.33 виправлена одна уразливість, у версії 7.4.26 виправлено багато багів і уразливостей, у версії 8.0.13 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 7.3.x, 7.4.x і 8.0.x.

У PHP 7.3.33, 7.4.26 і 8.0.13 виправлено:

• Спеціальний символ обриває шлях в XML функції.
• Пошкодження пам’яті.
• Вибивання.
• Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.

Виявлені нові уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge. Що були виправлені у вівторку патчів.

Уразливі продукти: Microsoft Internet Explorer 9, 10, 11 та Edge під Windows Server 2012, Windows 8.1, Windows 10, Windows Server 2016, Windows 11.

Пошкодження пам’яті та виконання коду.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Clean Up Optimizer, Booking Calendar, Concours, CSV Import-Export, Feed-Statistics. Для котрих з’явилися експлоіти.

• WordPress Clean Up Optimizer 4.0.0 SQL Injection (деталі)
• WordPress Booking Calendar 7.0 / 7.1 SQL Injection / Local File Inclusion (деталі)
• WordPress Concours 1.1 Cross Site Scripting (деталі)
• WordPress CSV Import-Export 1.1 Cross Site Scripting (деталі)
• WordPress Feed-Statistics 4.1 Open Redirect (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• https://data.imr.gov.ua (хакером KENZOXPLOIT) - 25.11.2020 - похаканий державний сайт
• http://nv-osvita.gov.ua (хакером ShiroGans) - 31.10.2021 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://v-master.com.ua (хакером Simsimi) - 12.02.2020 - сайт досі не виправлений
• http://techned.org.ua (хакером Al Catraz) - 21.01.2021 - сайт досі не виправлений адмінами
• http://gamesforbaby.org (хакером MiSh) - 26.07.2021 - сайт досі не виправлений