Websecurity - Веб безпека

В даній добірці експлоіти в веб додатках:

• WordPress 4.7.0/4.7.1 - Content Injection (Ruby) (деталі)
• SonicDICOM PACS 2.3.2 - Cross-Site Request Forgery (Add Admin) (деталі)
• SonicDICOM PACS 2.3.2 - Privilege Escalation (деталі)
• HP Smart Storage Administrator 2.30.6.0 - Remote Command Injection (Metasploit) (деталі)
• F5 BIG-IP SSL Virtual Server - ‘Ticketbleed’ Memory Disclosure (деталі)

У липні місяці Microsoft випустила нові патчі.

У липневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло багато патчів, але починаючи з квітня 2017 року бюлетені по безпеці не випускаються, тому їх кількість невідома. Компанія вказує лише назви продуктів та номера патчів, а не кількість і деталі бюлетенів (патчів). Вони закривають уразливості в програмних продуктах компанії.

Дані патчі стосуються поточних операційних систем компанії Microsoft - Windows 7, 8.1, RT 8.1, 10 та 2016. А також Microsoft Office, Internet Explorer і Edge, .NET Core, ASP.NET Core, ChakraCore і .NET Framework, Visual Studio, SharePoint Server і Skype for Business та Exchange Server.

Також Microsoft випустила патч для уразливостей в Adobe Flash Player, що постачається з Windows.

В своєму звіті про хакерську активність в Уанеті в 2 півріччі 2017, я згадував, що в другому півріччі було інфіковано 70 сайтів.

Сьогодні я провів дослідження сайтів, що були інфіковані в другому півріччі 2016 року, і на 35 сайтах вдалося виявити движки. Частина з 70 сайтів вже не працювала, декілька використовують html (при цьому частина з них ховає php-додатки за розширенням html), а ще частина використовували власні php-скрипти.

На перевірених сайтах використовуються наступні движки:

uCoz - 12
Joomla - 7
WordPress - 7
Drupal - 4
DataLife Engine - 3
Bitrix - 1
OpenCart - 1

Тобто майже всі інфіковані сайти, з числа працюючих, використовували (за станом на сьогодні) опенсорс веб додатки.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://kharkiv.meteo.gov.ua (хакером KingSkrupellos) - 14.11.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://osvita.sm.gov.ua (хакером Bilgekultigin) - 19.12.2017 - похаканий державний сайт, файл хакера все ще на сайті
• http://visnyk-nanu.org.ua (хакером MuhmadEmad) - 23.04.2018, зараз сайт вже виправлений адмінами
• http://knockdown.org.ua (хакером Mister Spy) - 24.04.2018, зараз сайт вже виправлений адмінами
• http://sinay.kiev.ua (хакером AT_7) - 31.05.2018, зараз сайт вже виправлений адмінами

Виявлені уразливості безпеки в Microsoft Office, а також в серверних продуктах SharePoint Server і Skype for Business. Що були виправлені у вівторку патчів у липні.

Уразливі продукти: Microsoft SharePoint Foundation 2013 SP1, SharePoint Enterprise Server 2013 SP1, SharePoint Enterprise Server 2016, Skype for Business 2016.

Обхід безпеки та виконання коду.

У травні, 24.05.2018, вийшли PHP 7.1.18 і PHP 7.2.6. У версії 7.1.18 виправлено багато багів і уразливостей, у версії 7.2.6 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 7.1.x і 7.2.x.

У PHP 7.1.18 і 7.2.6 виправлено:

• Вибивання.
• Пошкодження пам’яті.
• Уразливості в ядрі та модулях.

По матеріалам http://www.php.net.

Виявлені уразливості в Microsoft .NET Core, ASP.NET Core і ChakraCore. Що були виправлені у вівторку патчів у липні.

Уразливі продукти: Microsoft .NET Core 1.0, 1.1, 2.0, ASP.NET Core 1.0, 1.1, 2.0, ChakraCore, .NET Framework 3.5, 3.5.1, 4.5.2, 4.6.2, 4.7, 4.7.1, 4.7.2.

Обхід безпеки та виконання коду.

Раніше я писав про червневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію в липні.

В зв’язку з сепаратистськими і терористичними акціями на сході України, хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

journal.iitta.gov.ua (хакером Panataran) - 17.07.2018
oblradack.gov.ua (хакерами з Team_CC) - 17.07.2018
inpsy.naps.gov.ua (хакером B4B4NN) - 18.07.2018

В даній добірці експлоіти в веб додатках:

• WordPress 4.7.0/4.7.1 - Content Injection (Python) (деталі)
• D-Link DIR-600M - Cross-Site Request Forgery (деталі)
• SonicDICOM PACS 2.3.2 - Cross-Site Scripting (деталі)
• CUPS < 2.0.3 - Remote Command Execution (деталі)
• Netwave IP Camera - Password Disclosure (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Email Users, Master Slider, Profile Builder, WP Fastest Cache, Easy Forms For MailChimp. Для котрих з’явилися експлоіти.

• WordPress Email Users 4.8.2 Cross Site Scripting (деталі)
• WordPress Master Slider 2.7.1 Cross Site Scripting (деталі)
• WordPress Profile Builder 2.4.0 Cross Site Scripting (деталі)
• WordPress WP Fastest Cache 0.8.5.9 Local File Inclusion (деталі)
• WordPress Easy Forms For MailChimp 6.0.5.5 Local File Inclusion (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.