Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах W3 Total Cache, All In One WP Security And Firewall, Sirv, Answer My Question, Check Email. Для котрих з’явилися експлоіти.

• WordPress W3 Total Cache Amazon SNS Push Messages Weak Validation (деталі)
• WordPress All In One WP Security And Firewall 4.1.9 Cross Site Scripting (деталі)
• WordPress Sirv 1.3.1 SQL Injection (деталі)
• WordPress Answer My Question 1.3 SQL Injection (деталі)
• WordPress Check Email 0.3 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Торік року відбувся масовий взлом сайтів на сервері Forward Hosting. Він відбувся 18.03.2018 і ще по одному сайту в 2016 і 2017 роках.

Був взломаний сервер української компанії Forward Hosting. Взлом, що складався з масового дефейсу та двох окремих дефейсів, відбувся після масового взлому сайтів на сервері Ukraine.

Всього було взломано 183 сайти на сервері хостера Forward Hosting (IP 193.151.241.226). Перелік сайтів можете подивитися на www.zone-h.org.

З них 181 сайтів були взломані хакерами з TeaM_CC, один сайт хакером Hanedan ANT і один сайт хакером NG689Skw.

Масовий дефейс хакерами з TeaM_CC явно були зроблений через взлом серверу хостінг провайдера. Всі окремі дефейси по одному сайту явно були зроблені при взломах окремих сайтів.

У січні, 30.01.2019, через півтора місяці після виходу Google Chrome 71, вийшов Google Chrome 72.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлено 58 уразливостей. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer і AFL. Одна з уразливостей (CVE-2019-5754) помічена як критична, що дозволяє обійти всі рівні захисту браузера і виконати код в системі за межами sandbox-оточення. Це значно більше ніж в попередній версії.

• Релиз web-браузера Chrome 72 (деталі)

В даній добірці експлоіти в веб додатках:

• Fiberhome AN5506-04-F RP2669 - Persistent Cross-Site Scripting (деталі)
• PLC Wireless Router GPN2.4P21-C-CN - Incorrect Access Control (деталі)
• PLC Wireless Router GPN2.4P21-C-CN - Cross-Site Request Forgery (деталі)
• ManageEngine ServiceDesk Plus 9.3 - User Enumeration (деталі)
• Dell KACE Systems Management Appliance (K1000) 6.4.120756 - Unauthenticated Remote Code Execution (деталі)

У липні, 29.07.2018, я знайшов нові уразливості в Philips Envision Gateway, зокрема Cross-Site Scripting та Cross-Site Request Forgery. Це система керування розумним будинком.

Раніше я писав про уразливості в сотнях тисяч різних мережевих пристроїв, в тому числі Smart Home системах.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

У лютому, 12.02.2019, вийшов Mozilla Firefox 65.0.1. Нова версія браузера вийшла через пів місяці після виходу Firefox 65.

Це секюріті випуск, в якому виправлені уразливості CVE-2018-18356: Use-after-free in Skia, CVE-2019-5785: Integer overflow in Skia та CVE-2018-18511: Cross-origin theft of images with ImageBitmapRenderingContext.

• MFSA 2019-04 Security vulnerabilities fixed in Firefox 65.0.1 (деталі)

Виявлені уразливості безпеки в Apple Safari і Webkit.

Уразливі продукти: Apple Safari 12.

Пошкодження пам’яті, виконання коду, підробка адресного рядка, проблема з видаленням історії браузера.

• APPLE-SA-2018-12-05-4 Safari 12.0.2 (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://tet.gov.ua (хакером Kripton) - 04.11.2018 - похаканий державний сайт зараз сайт вже виправлений адмінами
• http://kyiv-oblosvita.gov.ua (хакером Imam) - 14.12.2018 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://lubnyzem.gov.ua (хакером Mo3Gza HaCkEr) - 12.01.2019 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://rada.konotop.org (хакером Imam) - 16.01.2019 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://konotop-rada.gov.ua (хакером Inconnu Dz) - 26.01.2019 - похаканий державний сайт, зараз сайт вже виправлений адмінами

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Calendar, 404 To 301, Google Maps, W3 Total Cache. Для котрих з’явилися експлоіти.

• WordPress Calendar 1.3.7 Cross Site Scripting (деталі)
• WordPress 404 To 301 2.2.8 Cross Site Scripting (деталі)
• WordPress Google Maps 6.3.14 Cross Site Request Forgery (деталі)
• WordPress W3 Total Cache 0.9.4.1 Race Condition (деталі)
• WordPress W3 Total Cache 0.9.4.1 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці експлоіти в веб додатках:

• Crypttech CryptoLog - Remote Code Execution (Metasploit) (деталі)
• BEWARD N100 H.264 VGA IP Camera M2.1.6 - Arbitrary File Disclosure (деталі)
• devolo dLAN 550 duo+ Starter Kit - Cross-Site Request Forgery (деталі)
• devolo dLAN 550 duo+ Starter Kit - Remote Code Execution (деталі)
• Raisecom XPON ISCOMHT803G-U_2.0.0_140521_R4.1.47.002 - Remote Code Execution (деталі)