Websecurity - Веб безпека

Продовжуючи розпочату традицію, після попереднього відео про експлуатація IoT хабів, пропоную нове відео на секюріті тематику. Цього разу відео про ботнети з мережевих пристроїв. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 25 - The call is coming from inside the house

Раніше я багато розповідав про уразливості в мережевих пристроях і взлом IoT пристроїв, як то IP камер, розумних будинків і smart пристроїв. Цього разу мова йде про використання IoT пристроїв для створення ботнетів.

В жовтні на конференції DEFCON 25 відбувся виступ Steinthor Bjarnason і Jason Jones. В своєму виступі вони розповіли про уразливі мережеві пристрої, які захоплюють зловмисники - від IP камер до роутерів та інших IoT пристроїв. Щоб створити ботнети для проведення DDoS атак, як ботнет Mirai, що з’явився два роки тому. Це небезпечна тенденція, враховуючи мільйони вразливих мережевих пристроїв в Інтернеті, кількість яких постійно зростає.

Вони розповіли про процес інфікування мережевих пристроїв і створення ботнету, показали масштаби та наслідки їх діяльності, на прикладі відомих атак IoT ботнетів. Будь-які домашні мережеві пристрої можуть бути інфіковані та залучені в ботнет, в тому числі веб камери, DVR, мережеві принтери, мережеві системи зберігання даних (NAS), Wi-Fi роутери, розумні телевізори (Smart TV). Рекомендую подивитися дане відео для розуміння поточного стану безпеки мережевих пристроїв.

Відбувся шостий масовий взлом сайтів на сервері Hvosting. Він тривав на протязі 2010-2019 років: з 05.06.2010 до 01.09.2019. П’ятий масовий взлом сайтів на сервері Hvosting відбувся раніше.

Був взломаний сервер української компанії Hvosting. Взлом складався з трьох масових дефейсів та багатьох окремих дефейсів. Вони відбулися в той час, що й масовим взломом сервера TheHost.

Всього було взломано 72 сайти на сервері хостера Hvosting (IP 91.200.40.38). Перелік сайтів можете подивитися на www.zone-h.org.

З зазначених 72 сайтів 16 сайтів були взломані хакером KkK1337, 13 сайтів хакером redsm0ke, 11 сайтів хакером CYBeRiZM та інші сайти різними хакерами.

Масові дефейси хакерів KkK1337, redsm0ke та CYBeRiZM явно були зроблені через взлом серверу хостінг провайдера. У випадку окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні сервера.

У серпні, 01.08.2019, вийшов Mozilla Firefox 67.0.1, в якому не було виправлень уразливостей, лише деякі покращення. А вже 14.08.2019 вийшов Mozilla Firefox 68.0.2. Нові версії браузера вийшли через місяць після виходу Firefox 68.

Це секюріті випуск, в якому виправлена уразливість CVE-2019-11733: Stored passwords in ‘Saved Logins’ can be copied without master password entry.

• MFSA 2019-24 Security vulnerability fixed in Firefox 68.0.2 and Firefox ESR 68.0.2 (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Corner Ad, Mail Masta, Kama Click Counter, Admin Custom Login та в самому WordPress. Для котрих з’явилися експлоіти.

• WordPress wp-json Content Injection (деталі)
• WordPress Corner Ad 1.0.7 Cross Site Scripting (деталі)
• WordPress Mail Masta 1.0 SQL Injection (деталі)
• WordPress Kama Click Counter 3.4.9 SQL Injection (деталі)
• WordPress Admin Custom Login 2.4.5.2 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Почитайте мої доповіді на круглих столах НАТО:

Мій виступ на круглому столі НАТО

Мій виступ на круглому столі НАТО-ЄС

А також всі останні статті.

В даній добірці експлоіти в веб додатках:

• Nagios XI 5.5.6 - Magpie_debug.php Root Remote Code Execution (Metasploit) (деталі)
• Apache mod_ssl < 2.8.7 OpenSSL - 'OpenFuckV2.c' Remote Buffer Overflow (деталі)
• Xymon 4.3.25 - useradm Command Execution (Metasploit) (деталі)
• Trend Micro Deep Discovery Inspector IDS - Security Bypass (деталі)
• Schneider Electric Pelco Endura NET55XX Encoder - Authentication Bypass (Metasploit) (деталі)

У вересні, 11.09.2019, через півтора місяці після виходу Google Chrome 76, вийшов Google Chrome 77.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлено 52 уразливості. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer і AFL. Це більше ніж в попередній версії. Одна уразливість (CVE-2019-5870) помічена як критична, тобто дозволяє обійти всі рівні захисту браузера і виконати код в системі за межами sandbox-оточення.

• Релиз Chrome 77 (деталі)

Виявлена уразливість безпеки в Apple Safari і Webkit.

Уразливі продукти: Apple Safari 12.

Міжсайтовий скриптінг (універсальний XSS).

• APPLE-SA-2019-9-26-4 Safari 13 (деталі)

У серпні, 29.08.2019, вийшли PHP 7.1.32, PHP 7.2.22 і PHP 7.3.9. У версії 7.1.32 виправлено дві уразливості, у версії 7.2.22 виправлено багато багів і уразливостей, у версії 7.3.9 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 7.1.x, 7.2.x і 7.3.x.

У PHP 7.1.32, 7.2.22 і 7.3.9 виправлено:

• Вибивання.
• Пошкодження пам’яті.
• Переповнення буферу.
• Уразливості в ядрі та модулях.

По матеріалам http://www.php.net.

Після минулорічного звіту про інфікованість Уанета, наведу нову порівняльну статистику інфікованості Уанета за останні роки.

Статистика буде за 2016 - 2018 роки. Статистичні дані базуються на моїх дослідженнях хакерської активності в Уанеті в 2016, 2017 і 2018 роках.

За весь 2016 рік в Уанеті було інфіковано 168 веб сайтів.

За весь 2017 рік в Уанеті було інфіковано 145 веб сайтів.

За весь 2018 рік в Уанеті було інфіковано 130 веб сайтів.

Велика кількість заражених сайтів свідчить про зростання кримінальних взломів сайтів (коли на взломаних сайтах розміщуються віруси).

Динаміка зараження сайтів в Уанеті.

В 2016 році активність зросла на 6% порівняно з 2015 роком (зростання в 1,1 рази). В порівнянні з 2008 роком активність зросла на 4100% (в 42 рази).

В 2017 році активність зменшилась на 13% порівняно з 2016 роком (спад в 1,16 рази). В порівнянні з 2008 роком активність зросла на 3525% (в 36,25 разів).

В 2018 році активність зменшилась на 10% порівняно з 2017 роком (спад в 1,11 рази). В порівнянні з 2008 роком активність зросла на 3150% (в 32,5 разів).

Як видно зі статистики, кількість інфікованих сайтів в Уанеті в останні роки стабільно велика. Хоча через зменшення моїх досліджень мало місце загальне зменшення динаміки в минулий рік.