Websecurity - Веб безпека

У квітні, 03.04.2020, вийшов Mozilla Firefox 74.0.1. Нова версія браузера вийшла через місяць після виходу Firefox 74.

Це секюріті випуск, в якому виправлені уразливості CVE-2020-6819: Use-after-free while running the nsDocShell destructor та CVE-2020-6820: Use-after-free when handling a ReadableStream.

• MFSA 2020-11 Security Vulnerabilities fixed in Firefox 74.0.1 and Firefox ESR 68.6.1 (деталі)

Виходячи з моїх звітів про веб додатки на інфікованих сайтах в 1 півріччі та веб додатки на інфікованих сайтах в 2 півріччі, я підведу підсумки. Та наведу загальну статистику про веб додатки на інфікованих сайтах в 2019 році.

Як я зазначав в своїх звітах про хакерську активність в Уанеті, в першому півріччі було інфіковано 80 сайтів, а в другому півріччі було інфіковано 70 сайтів. Всього 150 сайтів за 2019 рік. І з них на 80 сайтах вдалося виявити движки.

На перевірених в минулому році сайтах використовуються наступні движки:

Joomla - 22
uCoz - 18
WordPress - 18
Drupal - 7
DataLife Engine - 6
Magento - 3
OpenCart - 2
Bitrix - 1
VaM Shop - 1

Зазначу, що три лідери серед веб додатків у першому й другому півріччі були незмінними. Й відповідно в підсумкових результатах за весь рік.

Тобто майже всі інфіковані сайти, з числа працюючих, використовували опенсорс веб додатки. Більшість з них публічні відкриті CMS, але деякі й комерційні відкриті веб програми.

В даній добірці експлоіти в веб додатках:

• CTROMS Terminal OS Port Portal - ‘Password Reset’ Authentication Bypass (Metasploit) (деталі)
• Rconfig 3.x - Chained Remote Code Execution (Metasploit) (деталі)
• ManageEngine Desktop Central - Java Deserialization (Metasploit) (деталі)
• Broadcom Wi-Fi Devices - ‘KR00K Information Disclosure (деталі)
• CyberArk PSMP 10.9.1 - Policy Restriction Bypass (деталі)

У липні, 09.07.2020, вийшли PHP 7.3.20 і PHP 7.4.8. Також в цей день вийшла PHP 7.2.32 з оновленням libcurl. У версії 7.3.20 виправлено багато багів і уразливостей, у версії 7.4.8 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 7.3.x і 7.4.x.

У PHP 7.3.20 і 7.4.8 виправлено:

• Пошкодження пам’яті.
• Вибивання.
• Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.

В своєму звіті про хакерську активність в Уанеті в 2 півріччі 2019, я згадував, що в першому півріччі було інфіковано 70 сайтів.

Сьогодні я провів дослідження сайтів, що були інфіковані в другому півріччі 2019 року, і на 40 сайтах вдалося виявити движки. Частина з 70 сайтів вже не працювала, частина використовує html (при цьому деякі з них ховають php-додатки за розширенням html), а ще частина використовували власні php-скрипти.

На перевірених сайтах використовуються наступні движки:

Joomla - 15
WordPress - 10
uCoz - 6
DataLife Engine - 3
Magento - 3
Drupal - 2
OpenCart - 1

Тобто майже всі інфіковані сайти, з числа працюючих, використовували (за станом на сьогодні) опенсорс веб додатки.

Виявлені численні уразливості безпеки в Mozilla Firefox і Thunderbird.

Уразливі продукти: Mozilla Firefox 74, Firefox ESR 68.6, Thunderbird ESR 68.6.

Пошкодження пам’яті, переповнення буферу, виконання коду, витік інформації, в нових сесіях Private Browsing генератор паролів створює однакові паролі.

• MFSA 2020-12 Security Vulnerabilities fixed in Firefox 75 (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Wow Viral Signups, Car Rental System, KittyCatfish, FancyProductDesigner і в самому WordPress. Для котрих з’явилися експлоіти.

• WordPress Wow Viral Signups 2.1 SQL Injection (деталі)
• WordPress Car Rental System 2.5 SQL Injection (деталі)
• WordPress KittyCatfish 2.2 SQL Injection (деталі)
• WordPress FancyProductDesigner 3.4.2 Stored XSS (деталі)
• WordPress Core 4.6 Unauthenticated Remote Code Execution (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://oskilskasilrada.gov.ua (хакером Panataran) - 01.12.2019 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://balrada.gov.ua (хакером 0×1998) - 05.12.2019 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://poltina.com.ua (хакером TheWayEnd) - 29.01.2020 - зараз сайт вже виправлений адмінами
• http://vy.com.ua (хакером Hasmetli) - 13.02.2020 - зараз сайт вже виправлений адмінами
• http://dentist-lviv.space (хакером Xolots404) - 11.05.2020 - зараз сайт вже виправлений адмінами

В даній добірці експлоіти в веб додатках:

• PHP-FPM - Underflow Remote Code Execution (Metasploit) (деталі)
• Google Chrome 67, 68 and 69 - Object.create Type Confusion (деталі)
• Google Chrome 80 - JSCreate Side-effect Type Confusion (Metasploit) (деталі)
• Nagios XI - Authenticated Remote Command Execution (Metasploit) (деталі)
• Drobo 5N2 4.1.1 - Remote Command Injection (деталі)

У липні, 15.07.2020, через півтора місяці після виходу Google Chrome 83, вийшов Google Chrome 84.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлено 15 уразливостей. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer і AFL. Це менше ніж в попередній версії, проте одна з них критична.