Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Wow Viral Signups, Car Rental System, KittyCatfish, FancyProductDesigner і в самому WordPress. Для котрих з’явилися експлоіти.

• WordPress Wow Viral Signups 2.1 SQL Injection (деталі)
• WordPress Car Rental System 2.5 SQL Injection (деталі)
• WordPress KittyCatfish 2.2 SQL Injection (деталі)
• WordPress FancyProductDesigner 3.4.2 Stored XSS (деталі)
• WordPress Core 4.6 Unauthenticated Remote Code Execution (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://oskilskasilrada.gov.ua (хакером Panataran) - 01.12.2019 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://balrada.gov.ua (хакером 0×1998) - 05.12.2019 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://poltina.com.ua (хакером TheWayEnd) - 29.01.2020 - зараз сайт вже виправлений адмінами
• http://vy.com.ua (хакером Hasmetli) - 13.02.2020 - зараз сайт вже виправлений адмінами
• http://dentist-lviv.space (хакером Xolots404) - 11.05.2020 - зараз сайт вже виправлений адмінами

В даній добірці експлоіти в веб додатках:

• PHP-FPM - Underflow Remote Code Execution (Metasploit) (деталі)
• Google Chrome 67, 68 and 69 - Object.create Type Confusion (деталі)
• Google Chrome 80 - JSCreate Side-effect Type Confusion (Metasploit) (деталі)
• Nagios XI - Authenticated Remote Command Execution (Metasploit) (деталі)
• Drobo 5N2 4.1.1 - Remote Command Injection (деталі)

У липні, 15.07.2020, через півтора місяці після виходу Google Chrome 83, вийшов Google Chrome 84.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлено 15 уразливостей. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer і AFL. Це менше ніж в попередній версії, проте одна з них критична.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://archivelviv.gov.ua - інфекція була виявлена 06.05.2020 - інфікований державний сайт. Зараз сайт не входить до переліку підозрілих
• http://concerthall.podolyany.com.ua - інфекція була виявлена 24.01.2020. Зараз сайт не входить до переліку підозрілих
• http://svetline.com.ua - інфекція була виявлена 24.01.2020. Зараз сайт входить до переліку підозрілих
• http://fantastic.com.ua - інфекція була виявлена 24.01.2020. Зараз сайт входить до переліку підозрілих
• http://101085.in.ua - інфекція була виявлена 22.02.2020. Зараз сайт входить до переліку підозрілих

Виявлені уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge. Що були виправлені у вівторку патчів.

Уразливі продукти: Microsoft Internet Explorer 9, 10, 11 та Edge під Windows Server 2008, Windows 7, Windows Server 2012, Windows 8.1, Windows 10, Windows Server 2016.

Пошкодження пам’яті та виконання коду.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах BestWebSoft, Ultimate Form Builder, Connection Information, AccessPress Social Icons, Wow Forms. Для котрих з’явилися експлоіти.

• WordPress BestWebSoft XSS / CSRF (деталі)
• WordPress Ultimate Form Builder Cross Site Scripting (деталі)
• WordPress Connection Information Cross Site Request Forgery (деталі)
• WordPress AccessPress Social Icons 1.6.6 SQL Injection (деталі)
• WordPress Wow Forms 2.1 SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці експлоіти в веб додатках:

• OpenSMTPD < 6.6.3p1 - Local Privilege Escalation + Remote Code Execution (деталі)
• Exchange Control Panel - Viewstate Deserialization (Metasploit) (деталі)
• EyesOfNetwork - AutoDiscovery Target Command Execution (Metasploit) (деталі)
• Apache ActiveMQ 5.x-5.11.1 - Directory Traversal Shell Upload (деталі)
• Google Chrome 72 and 73 - Array.map Out-of-Bounds Write (Metasploit) (деталі)

Пропоную ознайомитися зі звітом про хакерську активність в Уанеті в другому півріччі 2019 року.

За другу половину минулого року хакери в Уанеті вели себе дуже активно, як і в аналогічному періоді 2018 року. 400 атак на веб сайти проти 308 - це більша активність (зростання на 29,9%). Але атакованих сайтів явно значно більше і хакерська активність постійно зростає. Що видно з великої кількості інфікованих сайтів (які я не відношу до взломаних, бо напевно невідомо, що їх взломали, але це дуже вірогідно). Ще проводжу аналіз масових дефейсів.

У даному звіті подана інформація про діяльність хакерів в Уанеті за наступні шість місяців 2019 року - за період з 01.07.2019 по 31.12.2019.

• content-master.org (хакером Imam) - 03.07.2019
• sobornachurch.org (хакером ShiroGans) - 01.08.2019
• duit.edu.ua (хакером Moroccan Revolution) - 02.08.2019
• itdn.duit.edu.ua (хакером Html404) - 02.08.2019
• horstele.com.ua (хакером Xbrang Wolf) - 05.08.2019
• svitanok.makariv.net (хакером Mister Spy) - 24.08.2019
• altatrans.info (хакером mr.anderson) - 25.08.2019
• makariv.com.ua (хакером mr.anderson) - 25.08.2019
• ueac.com.ua (хакером mr.anderson) - 25.08.2019
• ambient-data.net (хакером mr.anderson) - 25.08.2019
• narod-manual.org.ua (хакером Imam) - 01.09.2019
• sms.gov.ua (хакерами з ErrOr SquaD) - 06.09.2019 - похаканий державний сайт
• donmolod.gov.ua (хакером aDriv4) - 07.09.2019 - похаканий державний сайт
• book-toys.od.ua (хакером Hector) - 19.09.2019
• pereyaslav-rda.gov.ua (хакером SeRaVo) - 21.09.2019 - похаканий державний сайт
• eduvzn.gov.ua (хакером SeRaVo) - 22.09.2019 - похаканий державний сайт
• slipko.net (хакером mr.anderson) - 25.08.2019
• pechenigy-rada.gov.ua (хакером Mister Spy) - 26.09.2019 - похаканий державний сайт
• edingagauz.com (хакером Er403) - 01.10.2019
• kagarlyk-rda.gov.ua (хакером Er403) - 02.10.2019 - похаканий державний сайт
• sumyrsgu.gov.ua (хакером aDriv4) - 05.10.2019 - похаканий державний сайт
• kultura-poltava.gov.ua (хакером 4Ri3 60ndr0n9) - 18.10.2019 - похаканий державний сайт
• kr-pl.gov.ua (хакером 4Ri3 60ndr0n9) - 19.10.2019 - похаканий державний сайт
• journal.iitta.gov.ua (хакером Ali Duzlawi097) - 24.10.2019 - похаканий державний сайт
• uaj.uac.gov.ua (хакером Ali Duzlawi097) - 24.10.2019 - похаканий державний сайт
• marcon.com.ua (хакером Mr onion) - 26.10.2019
• rnl.com.ua (хакером Mr onion) - 26.10.2019
• airfreight.com.ua (хакером Mr onion) - 26.10.2019
• pravosek.kiev.ua (хакером Mr onion) - 26.10.2019
• vkoropets-rada.gov.ua (хакером Rootelf) - 27.10.2019 - похаканий державний сайт
• oskilskasilrada.gov.ua (хакером Panataran) - 01.12.2019 - похаканий державний сайт
• balrada.gov.ua (хакером 0×1998) - 05.12.2019 - похаканий державний сайт
• a-prom.com.ua (хакером Xpordi) - 13.12.2019
• raduzhnyj.od.ua (хакером Simsimi) - 24.12.2019

З них взломано 14 державних сайтів. Що менше ніж в аналогічному періоді минулого року.

Також були інфіковані 70 сайтів, які вірогідно були похакані в минулому році. Що стільки ж як кількість інфікованих сайтів в другій половині 2018.

Інфіковані сайти у другій половині 2019 року: cleanfield.com.ua, my-webpage.at.ua, mcpf.com.ua, ramprulad.com.ua, windows-soft.at.ua, kupi-vip.com.ua, flatout.at.ua, 221b.com.ua, autopartsnetwork.com.ua, voprosnik.top, gooood.zzz.com.ua, nord.adr.com.ua, orion-sparta.com, medsvit.com.ua, wow-ok.at.ua, chiptuner.ucoz.ua, thelegendarypike.zzz.com.ua, trulolo.zzz.com.ua, thekorol.zzz.com.ua, net.dn.ua, filin.at.ua, zero.kl.com.ua, road2pro.at.ua, activation.zzz.com.ua, transform.zzz.com.ua, plaza777.co.ua, s21.cshost.com.ua, fps.zzz.com.ua, china-tefon.at.ua, sirogasoft.zzz.com.ua, letsz0ck3r.zzz.com.ua, hooligan8.at.ua, guanpro.com, 000.at.ua, prof-xaker.at.ua, solocrd.zzz.com.ua, shtorm.inf.ua, professionalshippngng.com, ritual-k.in.ua, vbi.od.ua, guanpro.com, phoenix-mg.ucoz.com, jokoli.ucoz.net, msvcnet.ucoz.net, netnetget.ucoz.net, booksonline.com.ua, diagnoz.net.ua, referatu.net.ua, info-library.com.ua, radnuk.info, domahi.net, unbib.mk.ua, eenu.edu.ua, palata.fm, www.samcore.pro, paintball-bears.com.ua, cybersports.pro, soos.kvant.if.ua, knopka-b.kvant.if.ua, ns.digicom.net.ua, admiral.myftp.biz, obnovlenie-nod32.work, 60seconds.in.ua, rusanovka.triolan.com.ua, blockbuster.ua, vipclub-casino.com, 9journal.com.ua, maids.ua, ndiop.kiev.ua, s1.pcw.pp.ua.

Серед них є сайти з криптомайнерами. Найближчим часом підведу підсумки активності хакерів в Уанеті за 2019 рік.

У червні, 11.06.2020, вийшли PHP 7.3.19 і PHP 7.4.7. А вже 9 липня вийшла PHP 7.2.32 з оновленням libcurl. У версії 7.3.19 виправлено багато багів і уразливостей, у версії 7.4.7 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 7.2.x, 7.3.x і 7.4.x.

У PHP 7.2.32, 7.3.19 і 7.4.7 виправлено:

• Уразливість в libcurl.
• Вибивання.
• Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.