Websecurity - Веб безпека

Цього року відбувся масовий взлом сайтів на сервері URAN. Він відбувся з 10.01.2018 по 06.02.2018 і ще три сайти в 2017 році. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії URAN (Ukrainian Research & Academic Network). Взлом, що складався з одного масового дефейсу та трьох окремих дефейсів, відбувся після згаданого масового взлому сайтів на сервері Укртелекому.

Всього було взломано 141 сайтів на сервері URAN (IP 212.111.212.230). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти: jna.bio.gov.ua, journal.sops.gov.ua.

З них 138 сайтів були взломані хакером B0c4H_Id30T, 2 сайти хакером Miracle і один сайт хакером Mr E[R].

Масовий дефейс хакером B0c4H_Id30T явно був зроблений через взлом серверу хостінг провайдера. У випадку інших дефейсів сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера.

Виявлені уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge. Що були виправлені у вівторку патчів у грудні.

Уразливі продукти: Microsoft Internet Explorer 9, 10, 11 та Edge під Windows Server 2008, Windows 7, Windows Server 2012, Windows 8.1, Windows 10, Windows Server 2016.

Численні пошкодження пам’яті, виконання коду та обхід безпеки.

В даній добірці експлоіти в веб додатках:

• Broadcom Wi-Fi SoC - ‘dhd_handle_swc_evt’ Heap Overflow (деталі)
• SpiceWorks 7.5 TFTP - Remote File Overwrite / Upload (деталі)
• Moxa MXview 2.8 - Private Key Disclosure (деталі)
• Moxa MX AOPC-Server 1.5 - XML External Entity Injection (деталі)
• Quest Privilege Manager 6.0.0 - Arbitrary File Write (деталі)

У липні, 14.07.2018, я знайшов Brute Force та Cross-Site Request Forgery уразливості в Huawei EchoLife HG520s. Це ADSL2/2+ шлюз і Wireless Router.

Раніше я писав про уразливості в мережевих пристроях багатьох інших компаній. Зокрема про уразливості в D-Link DIR-100, TP-Link TL-WR941N та ASUS RT-N10.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

У грудні, 17.12.2018, вийшла нова версія програми DAVOSET v.1.3.7. В новій версії:

• Додав verbose режим - для детального виведення процесу роботи.
• Додав SSRF уразливість в Microsoft Forefront Unified Access Gateway 2010.
• Додав нові сервіси в повний список зомбі.
• Змінив налаштування по замовчуванню.
• Прибрав неробочі сервіси з повного списку зомбі.

Всього в списку міститься 205 зомбі-сервісів.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality та XML External Entities уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.3.7.rar.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://legosha.com.ua - інфекція була виявлена 07.06.2018. Зараз сайт не входить до переліку підозрілих
• http://vedapeople.com.ua - інфекція була виявлена 07.06.2018. Зараз сайт не входить до переліку підозрілих
• http://thetime.net.ua - інфекція була виявлена 11.06.2018. Зараз сайт не входить до переліку підозрілих
• http://eurofood.net.ua - інфекція була виявлена 11.06.2018. Зараз сайт не входить до переліку підозрілих
• http://sashapikula.com - інфекція була виявлена 17.06.2018. Зараз сайт не входить до переліку підозрілих
• http://svitmebliv.cn.ua - інфекція була виявлена 17.06.2018. Зараз сайт не входить до переліку підозрілих
• http://mebel-m.com.ua - інфекція була виявлена 20.08.2018. Зараз сайт не входить до переліку підозрілих
• http://cleanfield.com.ua - інфекція була виявлена 01.09.2018. Зараз сайт не входить до переліку підозрілих
• http://my-webpage.at.ua - інфекція була виявлена 06.09.2018. Зараз сайт не входить до переліку підозрілих
• http://mcpf.com.ua - інфекція була виявлена 24.09.2018. Зараз сайт не входить до переліку підозрілих

Виявлені уразливості безпеки в Apple Safari і Webkit.

Уразливі продукти: Apple Safari 12.

Витік інформації, не видалення історії браузера, підробка адресного рядка.

• APPLE-SA-2018-9-17-4 Safari 12 (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Theme Directory, Link Library, Magic Fields 1 і Magic Fields 2, а також в самому WP. Для котрих з’явилися експлоіти.

• WordPress Theme Directory 2.0.16 Shell Upload (деталі)
• WordPress Link Library 5.9.12.29 Cross Site Scripting (деталі)
• WordPress Magic Fields 2 Cross Site Scripting (деталі)
• WordPress Magic Fields 1 Cross Site Scripting (деталі)
• WordPress 4.5.3 Core Ajax Handlers Path Traversal (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У жовтні, 11.10.2018, вийшли PHP 7.1.23 і PHP 7.2.11. У версії 7.1.23 виправлено багато багів і уразливостей, у версії 7.2.11 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 7.1.x і 7.2.x.

У PHP 7.1.23 і 7.2.11 виправлено:

• Вибивання.
• Пошкодження пам’яті.
• Уразливості в ядрі та модулях.

По матеріалам http://www.php.net.

В даній добірці експлоіти в веб додатках:

• Sync Breeze Enterprise 9.5.16 - ‘GET’ Remote Buffer Overflow (SEH) (деталі)
• Moxa AWK-3131A 1.4 < 1.7 - 'Username' OS Command Injection (деталі)
• Apache Tomcat 6/7/8/9 - Information Disclosure (деталі)
• Bluecoat ASG 6.6/CAS 1.3 - OS Command Injection (Metasploit) (деталі)
• Broadcom Wi-Fi SoC - TDLS Teardown Request Remote Heap Overflow (деталі)