Websecurity - Веб безпека

Виявлені уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge. Що були виправлені у вівторку патчів.

Уразливі продукти: Microsoft Internet Explorer 9, 10, 11 та Edge під Windows Server 2008, Windows 7, Windows Server 2012, Windows 8.1, Windows 10, Windows Server 2016.

Численні пошкодження пам’яті, виконання коду та обхід безпеки.

Розповім вам про Cryptojacking атаки та їх загрозу для веб сайтів.

Cryptojacking - це розміщення майнерів криптовалюти на хакнутих сайтах. Також власники сайтів самі можуть розміщувати їх.

Працює атака наступним чином. Зловмисник компрометує сайт і розміщує на ньому власний код криптомайнера. Потім відвідувачі сайту заходять на нього та генерують криптовалюту для зловмисника. Цей процес буде відбуватися доки код розміщений на сайті на якому є відвідувачі. Можете подивитися на зображення схеми як працює Cryptojacking. Серед виявлених мною українських сайтів з майнерами, були також і державні ресурси.

Іншим різновидом даної атаки є підміна ідентифікатора криптомайнера. Коли зловмисник захоплює сайт, де адмін розмістив свій код майнера та підмінює в ньому id, залишаючи інший код незмінним. Це вже hijacking of cryptominer. Таким чином адмін може тривалий час не підозрювати, що код майнера на його сайті генерує криптовалюту не для нього, а для іншої особи.

Для власники сайтів ризик цих атак у тому, що деякі пошукові системи та інші онлайн сервіси (кількість яких зростає) можуть помічати сайти як шкідливі, через наявність такого коду. А для користувачів сайтів ризик у тому, що процесор їхніх ПК і гаджетів буде перегріватися через роботу майнерів.

Моя система SecurityAlert ще з лютого 2018 року виявляє криптомайнери на веб сайтах. Розробив систему в 2012 році. Від початку вона виявляє взломи сайтів, інфікування, фішинг та інші атаки, потім додав підтримку криптомайнерів. З моєю системою ви завжди в курсі про стан безпеки сайтів.

Як власники сайтів можуть моніторити власні ресурси, так і дослідники безпеки можуть перевіряти довільні сайти. Чи не розмістив хакер чи адмін на них код для видобування криптовалюти. Потрібно слідкувати за відсутністю будь-яких шкідливих кодів на сайтах.

У березні, 13.03.2019, через півтора місяці після виходу Google Chrome 72, вийшов Google Chrome 73.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлено 60 уразливостей. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer і AFL. Це більше ніж в попередній версії.

• Релиз web-браузера Chrome 73 (деталі)

Українські Кібер Війська працюють з червня 2014 року. Нещодавно, 09.06.2019, їм виповнилося 5 років.

Прочитайте про підсумки діяльності Українських Кібер Військ за п’ять років.

А також на англійській мові: About work of Ukrainian Cyber Forces for 60 months. The five years aniversary.

Про всі досягнення і здобутки УКВ йдеться в мене на Facebook.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://221b.com.ua - інфекція була виявлена 28.11.2018. Зараз сайт не входить до переліку підозрілих
• http://autopartsnetwork.com.ua - інфекція була виявлена 28.11.2018. Зараз сайт не входить до переліку підозрілих
• http://voprosnik.top - інфекція була виявлена 29.11.2018. Зараз сайт не входить до переліку підозрілих
• http://aist-it.com - інфекція була виявлена 06.12.2018. Зараз сайт не входить до переліку підозрілих
• http://cesan-yuni.com - інфекція була виявлена 17.12.2018. Зараз сайт не входить до переліку підозрілих

В даній добірці експлоіти в веб додатках:

• Technicolor DPC3928SL - SNMP Authentication Bypass (деталі)
• JioFi 4G M2S 1.0.2 - Cross-Site Request Forgery (деталі)
• SaLICru -SLC-20-cube3(5) - HTML Injection (деталі)
• Zyxel ZyWall 310 / ZyWall 110 / USG1900 / ATP500 / USG40 - Login Page Cross-Site Scripting (деталі)
• Oracle Business Intelligence 11.1.1.9.0 / 12.2.1.3.0 / 12.2.1.4.0 - Directory Traversal (деталі)

Сьогодні я знайшов Brute Force та Cross-Site Request Forgery на online.oschadbank.ua - це система інтернет-банкінгу Ощадбанку. Про що найближчим часом повідомлю розробникам системи.

Стосовно уразливостей на сайтах банків останній раз я писав про уразливості на ukrgasbank.com та st.privatbank.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

Продовжуючи розпочату традицію, після попереднього відео про ботнети з мережевих пристроїв, пропоную нове відео на секюріті тематику. Цього разу відео про захоплення IoT пристроїв, зокрема про атаки на IoT спікери. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 26 - The Sound of a Targeted Attack Attacking IoT Speakers

Раніше я багато розповідав про взлом звичайних мережевих пристроїв, зокрема IoT, як то IP камер, розумних будинків і smart пристроїв, то цього разу мова йде про мережеві спікери. Уразливостей в них теж вистачає.

Торік в серпні на конференції DEFCON 26 відбувся виступ Stephen Hilt. В своєму виступі він розповів про атаки на IoT пристрої, зокрема на мережеву акустику. На прикладі спікерів від Sonos і Bose. Про захоплення цих пристроїв та інші віддалені атаки на них.

Він розповів про проблеми з безпекою в мережевих пристроях, зокрема IoT спікерах. Рекомендую подивитися дане відео для розуміння поточного стану безпеки IoT пристроїв.

У лютому, 07.02.2019, вийшли PHP 7.2.15 і PHP 7.3.2. У версії 7.2.15 виправлено багато багів і уразливостей, у версії 7.3.2 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 7.2.x і 7.3.x.

У PHP 7.2.15 і 7.3.2 виправлено:

• Вибивання.
• Пошкодження пам’яті.
• Переповнення буферу.
• Уразливості в ядрі та модулях.

По матеріалам http://www.php.net.

26.10.2017

У березні, 23.03.2015, я знайшов Brute Force та Cross-Site Request Forgery уразливості в TP-Link TL-WR740N і TL-WR741ND. Це Wireless Router і AP. Обидві модифікації даної моделі (в N антени незнімні, а в ND антени знімні) мають однакову прошивку.

Раніше я писав про уразливості в мережевих пристроях даної компанії, зокрема в TP-Link TL-WR841N і TL-WR841ND.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

31.05.2019

Brute Force (WASC-11):

http://192.168.0.1

За замовчуванням доступ через Інтернет закритий, тому підбирати пароль можна лише по LAN. Але через CSRF атаку можна відкрити віддалений доступ.

Cross-Site Request Forgery (WASC-09):

В розділі “Remote Control”.

Заборонити доступ через Інтернет: http://192.168.0.1/YVNLOORCJBATZQDB/userRpm/ManageControlRpm.htm?port=80&ip=0.0.0.0&Save=1

Дозволити доступ через Інтернет: http://192.168.0.1/YVNLOORCJBATZQDB/userRpm/ManageControlRpm.htm?port=80&ip=255.255.255.255&Save=1

Для обходу захисту потрібно вказати заголовок Referer та шлях (YVNLOORCJBATZQDB), що змінюється кожного разу при вході в адмінку. Цей шлях можна дізнатися через витік інформації, соціальну інженерію чи XSS уразливості в адмінці. В старих версіях не було цього захисту.

Cross-Site Request Forgery (WASC-09):

Вибивання з адмінки через запит до сторінки http://192.168.0.1.

<img src=”http://192.168.0.1″>

Уразлива версія TP-Link TL-WR740N і TL-WR741ND, Firmware Version 3.16.9 Build 151216. Дана модель з іншими прошивками також повинна бути вразливою.