Websecurity - Веб безпека

У листопаді, 18.11.2021, вийшли PHP 7.3.33, PHP 7.4.26 і PHP 8.0.13. У версії 7.3.33 виправлена одна уразливість, у версії 7.4.26 виправлено багато багів і уразливостей, у версії 8.0.13 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 7.3.x, 7.4.x і 8.0.x.

У PHP 7.3.33, 7.4.26 і 8.0.13 виправлено:

• Спеціальний символ обриває шлях в XML функції.
• Пошкодження пам’яті.
• Вибивання.
• Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.

Виявлені нові уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge. Що були виправлені у вівторку патчів.

Уразливі продукти: Microsoft Internet Explorer 9, 10, 11 та Edge під Windows Server 2012, Windows 8.1, Windows 10, Windows Server 2016, Windows 11.

Пошкодження пам’яті та виконання коду.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Clean Up Optimizer, Booking Calendar, Concours, CSV Import-Export, Feed-Statistics. Для котрих з’явилися експлоіти.

• WordPress Clean Up Optimizer 4.0.0 SQL Injection (деталі)
• WordPress Booking Calendar 7.0 / 7.1 SQL Injection / Local File Inclusion (деталі)
• WordPress Concours 1.1 Cross Site Scripting (деталі)
• WordPress CSV Import-Export 1.1 Cross Site Scripting (деталі)
• WordPress Feed-Statistics 4.1 Open Redirect (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• https://data.imr.gov.ua (хакером KENZOXPLOIT) - 25.11.2020 - похаканий державний сайт
• http://nv-osvita.gov.ua (хакером ShiroGans) - 31.10.2021 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://v-master.com.ua (хакером Simsimi) - 12.02.2020 - сайт досі не виправлений
• http://techned.org.ua (хакером Al Catraz) - 21.01.2021 - сайт досі не виправлений адмінами
• http://gamesforbaby.org (хакером MiSh) - 26.07.2021 - сайт досі не виправлений

В даній добірці експлоіти в веб додатках:

• Compro Technology IP Camera - RTSP stream disclosure (деталі)
• Compro Technology IP Camera - ‘Multiple’ Credential Disclosure (деталі)
• WPanel 4.3.1 - Remote Code Execution (RCE) (Authenticated) (деталі)
• Antminer Monitor 0.5.0 - Authentication Bypass (деталі)
• ECOA Building Automation System - Weak Default Credentials (деталі)

У лютому, 05.02.2021, вийшов Mozilla Firefox 85.0.1. Нова версія браузера вийшла через десять днів після виходу Firefox 85.

Це секюріті випуск, де виправлена уразливість CVE-2020-16048: Buffer overflow in depth pitch calculations for compressed textures.

• MFSA 2021-06 Security Vulnerabilities fixed in Firefox 85.0.1 and Firefox ESR 78.7.1 (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://avtoshoolvsa.zt.ua - інфекція була виявлена 17.08.2020. Зараз сайт не входить до переліку підозрілих
• http://delfa-test.mk.ua - інфекція була виявлена 21.10.2020. Зараз сайт не входить до переліку підозрілих
• http://sodeistvie-pmr.com - інфекція була виявлена 22.10.2020. Зараз сайт не входить до переліку підозрілих
• http://smart-fun.com.ua - інфекція була виявлена 28.10.2020. Зараз сайт не входить до переліку підозрілих
• http://ecobond.ua - інфекція була виявлена 28.10.2020. Зараз сайт не входить до переліку підозрілих

Виявлені численні уразливості безпеки в Mozilla Firefox і Thunderbird.

Уразливі продукти: Mozilla Firefox 82, Firefox ESR 78.4, Thunderbird ESR 78.4.

Пошкодження пам’яті, виконання коду, обхід обмежень, витік інформації, XSS.

• MFSA 2020-50 Security Vulnerabilities fixed in Firefox 83 (деталі)

Після минулорічного звіту про інфікованість Уанета, наведу нову порівняльну статистику інфікованості Уанета за останні роки.

Статистика буде за 2018 - 2020 роки. Статистичні дані базуються на моїх дослідженнях хакерської активності в Уанеті в 2018, 2019 і 2020 роках.

За весь 2018 рік в Уанеті було інфіковано 130 веб сайтів.

За весь 2019 рік в Уанеті було інфіковано 140 веб сайтів.

За весь 2020 рік в Уанеті було інфіковано 150 веб сайтів.

Велика кількість заражених сайтів свідчить про зростання кримінальних взломів сайтів (коли на взломаних сайтах розміщуються віруси).

Динаміка зараження сайтів в Уанеті.

В 2018 році активність зменшилась на 10% порівняно з 2017 роком (спад в 1,11 рази). В порівнянні з 2008 роком активність зросла на 3150% (в 32,5 разів).

В 2019 році активність зросла на 8% порівняно з 2018 роком (зростання в 1,08 рази). В порівнянні з 2008 роком активність зросла на 3400% (в 35 рази).

В 2020 році активність зросла на 7% порівняно з 2019 роком (зростання в 1,07 рази). В порівнянні з 2008 роком активність зросла на 3650% (в 37,5 рази).

Як видно зі статистики, кількість інфікованих сайтів в Уанеті в останні роки стабільно велика. Хоча через зменшення моїх досліджень мало місце загальне зменшення динаміки в минулий рік.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Share This Image, Yakadanda Google+ Hangout Events, Clockwork SMS, Top-10, Itinerary. Для котрих з’явилися експлоіти.

• WordPress Share This Image 1.03 Cross Site Scripting (деталі)
• WordPress Yakadanda Google+ Hangout Events 0.3.7 XSS (деталі)
• Clockwork SMS Cross Site Scripting (деталі)
• WordPress Top-10 2.4.2 SQL Injection (деталі)
• WordPress Itinerary 1.0.0 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.