Websecurity - Веб безпека

В даній добірці експлоіти в веб додатках:

• SOS JobScheduler 1.13.3 - Stored Password Decryption (деталі)
• mySCADA myPRO 7 - Hardcoded Credentials (деталі)
• Microsoft Windows mshta.exe 2019 - XML External Entity Injection (деталі)
• Qmail SMTP 1.03 - Bash Environment Variable Injection (деталі)
• CompleteFTP Professional 12.1.3 - Remote Code Execution (деталі)

Після минулорічного звіту про інфікованість Уанета, наведу нову порівняльну статистику інфікованості Уанета за останні роки.

Статистика буде за 2017 - 2019 роки. Статистичні дані базуються на моїх дослідженнях хакерської активності в Уанеті в 2017, 2018 і 2019 роках.

За весь 2017 рік в Уанеті було інфіковано 145 веб сайтів.

За весь 2018 рік в Уанеті було інфіковано 130 веб сайтів.

За весь 2019 рік в Уанеті було інфіковано 140 веб сайтів.

Велика кількість заражених сайтів свідчить про зростання кримінальних взломів сайтів (коли на взломаних сайтах розміщуються віруси).

Динаміка зараження сайтів в Уанеті.

В 2017 році активність зменшилась на 13% порівняно з 2016 роком (спад в 1,16 рази). В порівнянні з 2008 роком активність зросла на 3525% (в 36,25 разів).

В 2018 році активність зменшилась на 10% порівняно з 2017 роком (спад в 1,11 рази). В порівнянні з 2008 роком активність зросла на 3150% (в 32,5 разів).

В 2019 році активність зросла на 8% порівняно з 2018 роком (зростання в 1,08 рази). В порівнянні з 2008 роком активність зросла на 3400% (в 35 рази).

Як видно зі статистики, кількість інфікованих сайтів в Уанеті в останні роки стабільно велика. Хоча через зменшення моїх досліджень мало місце загальне зменшення динаміки в минулий рік.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Photo Gallery, Download Manager, FormCraft Basic, Ultimate Product Catalogue, Task Manager Pro. Для котрих з’явилися експлоіти.

• WordPress Photo Gallery 1.3.34 / 1.3.42 Path Traversal (деталі)
• WordPress Download Manager 2.9.46 / 2.9.51 Cross Site Scripting (деталі)
• WordPress FormCraft Basic 1.0.5 SQL Injection (деталі)
• WordPress Ultimate Product Catalogue 4.2.2 SQL Injection (деталі)
• WordPress Task Manager Pro 1.31 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://voiptrade.com.ua - інфекція була виявлена 08.07.2019. Зараз сайт не входить до переліку підозрілих
• http://vanna.top - інфекція була виявлена 22.08.2019. Зараз сайт не входить до переліку підозрілих
• http://student-taxi.ua - інфекція була виявлена 24.08.2019. Зараз сайт не входить до переліку підозрілих
• http://12steps.od.ua - інфекція була виявлена 21.12.2019. Зараз сайт не входить до переліку підозрілих
• http://ak.svl.in.ua - інфекція була виявлена 23.12.2019. Зараз сайт не входить до переліку підозрілих
• http://coffeesolutions.com.ua - інфекція була виявлена 29.05.2020. Зараз сайт не входить до переліку підозрілих
• http://freakychicky.com.ua - інфекція була виявлена 12.06.2020. Зараз сайт не входить до переліку підозрілих
• http://mebelok.pp.ua - інфекція була виявлена 16.06.2020. Зараз сайт не входить до переліку підозрілих
• http://footmir.com - інфекція була виявлена 06.07.2020. Зараз сайт входить до переліку підозрілих
• http://cs-hack.fun - інфекція була виявлена 18.07.2020. Зараз сайт входить до переліку підозрілих

У червні, 02.06.2020, вийшов Mozilla Firefox 77. Нова версія браузера вийшла через місяць після виходу Firefox 76.

Mozilla офіційно випустила реліз веб-браузера Firefox 77, а також мобільну версію Firefox 77 для платформи Android. Відповідно до шеститижневого циклу розробки, Firefox 78 вийде 30 червня.

Також була оновлена гілка із тривалим терміном підтримки Firefox ESR 68.9.

В браузері було зроблено багато нововведень. Та зроблені покращення безпеки.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 77.0 усунуто численні уразливості в 8 патчах, що менше ніж в попередній версії. Серед яких немає критичних, але п’ять уразливостей позначені як високого ризику, що потенційно можуть призвести до віддаленого виконання коду зловмисника. Mozilla типово виправляє по декілька дір за один патч.

В даній добірці експлоіти в веб додатках:

• Plesk/myLittleAdmin - ViewState .NET Deserialization (Metasploit) (деталі)
• Synology DiskStation Manager - smart.cgi Remote Command Execution (Metasploit) (деталі)
• Microsoft Windows - ‘SMBGhost’ Remote Code Execution (деталі)
• vCloud Director 9.7.0.15498291 - Remote Code Execution (деталі)
• HFS Http File Server 2.3m Build 300 - Buffer Overflow (PoC) (деталі)

В своєму звіті про атаки та інфікування державних сайтів України за 17 років я навів статистику атак на державні сайти України за останні 17 років. До звіту атаки на державні сайти України за 18 років додам статистику по інфікованим сайтам за останні 18 років.

За 2001 - 2018 роки всього було атаковано 1119 українських державних сайтів (включаючи взломи сайтів та DDoS атаки). А враховуючи інфіковані gov.ua сайти, виявлених за час моїх досліджень інфікованих сайтів в Уанеті, ця кількість ще більше.

Було інфіковано наступну кількість gov.ua сайтів, що без сумніву були взломані для розміщення шкідливого коду:

2009 рік - 5 сайтів
2010 рік - 13 сайтів
2011 рік - 9 сайтів
2012 рік - 16 сайтів
2013 рік - 11 сайтів
2014 рік - 10 сайтів
2015 рік - 3 сайти
2016 рік - 1 сайт
2017 рік - 3 сайти
2018 рік - 1 сайт

Всього 72 інфікованих gov.ua сайти за 10 років. Разом з атаками за 18 років всього 1191 державних сайтів.

Статистика від 2 атакованих та інфікованих веб сайтів в 2001 році, 2 сайтів в 2002 році, 1 сайту в 2003 році до 55 сайтів в 2018 році.

У жовтні, 01.10.2020, вийшли PHP 7.2.34, PHP 7.3.23 і PHP 7.4.11. У версії 7.2.34 виправлено дві уразливості, у версії 7.3.23 виправлено багато багів і уразливостей, у версії 7.4.11 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 7.2.x, 7.3.x і 7.4.x.

У PHP 7.2.34, 7.3.23 і 7.4.11 виправлено:

• Витік інформації.
• Пошкодження пам’яті.
• Некоректне шифрування в OpenSSL.
• Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://uzvif.gov.ua (хакером Simsimi) - 18.02.2020 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://agro.gov.ua (хакером dadas) - 23.02.2020 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://brainside.org (хакером Black Kingdom) - 21.01.2020 - зараз сайт вже виправлений адмінами
• http://uristcom.com.ua (хакером Black Kingdom) - 21.01.2020 - зараз сайт вже виправлений адмінами
• http://ukrtransmedia.com (хакером Black Kingdom) - 21.01.2020 - зараз сайт вже виправлений адмінами

Виявлені численні уразливості безпеки в Mozilla Firefox і Thunderbird.

Уразливі продукти: Mozilla Firefox 75, Firefox ESR 68.7, Thunderbird ESR 68.7.

Пошкодження пам’яті, переповнення буферу, виконання коду, обхід обмежень, витік інформації, підробка адресного рядка.

• MFSA 2020-16 Security Vulnerabilities fixed in Firefox 76 (деталі)