Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://kharkiv.meteo.gov.ua (хакером KingSkrupellos) - 14.11.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://osvita.sm.gov.ua (хакером Bilgekultigin) - 19.12.2017 - похаканий державний сайт, файл хакера все ще на сайті
• http://visnyk-nanu.org.ua (хакером MuhmadEmad) - 23.04.2018, зараз сайт вже виправлений адмінами
• http://knockdown.org.ua (хакером Mister Spy) - 24.04.2018, зараз сайт вже виправлений адмінами
• http://sinay.kiev.ua (хакером AT_7) - 31.05.2018, зараз сайт вже виправлений адмінами

Виявлені уразливості безпеки в Microsoft Office, а також в серверних продуктах SharePoint Server і Skype for Business. Що були виправлені у вівторку патчів у липні.

Уразливі продукти: Microsoft SharePoint Foundation 2013 SP1, SharePoint Enterprise Server 2013 SP1, SharePoint Enterprise Server 2016, Skype for Business 2016.

Обхід безпеки та виконання коду.

У травні, 24.05.2018, вийшли PHP 7.1.18 і PHP 7.2.6. У версії 7.1.18 виправлено багато багів і уразливостей, у версії 7.2.6 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 7.1.x і 7.2.x.

У PHP 7.1.18 і 7.2.6 виправлено:

• Вибивання.
• Пошкодження пам’яті.
• Уразливості в ядрі та модулях.

По матеріалам http://www.php.net.

Виявлені уразливості в Microsoft .NET Core, ASP.NET Core і ChakraCore. Що були виправлені у вівторку патчів у липні.

Уразливі продукти: Microsoft .NET Core 1.0, 1.1, 2.0, ASP.NET Core 1.0, 1.1, 2.0, ChakraCore, .NET Framework 3.5, 3.5.1, 4.5.2, 4.6.2, 4.7, 4.7.1, 4.7.2.

Обхід безпеки та виконання коду.

Раніше я писав про червневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію в липні.

В зв’язку з сепаратистськими і терористичними акціями на сході України, хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

journal.iitta.gov.ua (хакером Panataran) - 17.07.2018
oblradack.gov.ua (хакерами з Team_CC) - 17.07.2018
inpsy.naps.gov.ua (хакером B4B4NN) - 18.07.2018

В даній добірці експлоіти в веб додатках:

• WordPress 4.7.0/4.7.1 - Content Injection (Python) (деталі)
• D-Link DIR-600M - Cross-Site Request Forgery (деталі)
• SonicDICOM PACS 2.3.2 - Cross-Site Scripting (деталі)
• CUPS < 2.0.3 - Remote Command Execution (деталі)
• Netwave IP Camera - Password Disclosure (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Email Users, Master Slider, Profile Builder, WP Fastest Cache, Easy Forms For MailChimp. Для котрих з’явилися експлоіти.

• WordPress Email Users 4.8.2 Cross Site Scripting (деталі)
• WordPress Master Slider 2.7.1 Cross Site Scripting (деталі)
• WordPress Profile Builder 2.4.0 Cross Site Scripting (деталі)
• WordPress WP Fastest Cache 0.8.5.9 Local File Inclusion (деталі)
• WordPress Easy Forms For MailChimp 6.0.5.5 Local File Inclusion (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Виявлені численні уразливості безпеки в Mozilla Firefox і Thunderbird.

Уразливі продукти: Mozilla Firefox 59, Firefox ESR 52.7, Thunderbird 52.7.

Пошкодження пам’яті, переповнення буферу, виконання коду, обхід обмежень, обхід SOP, витік інформації, заміна кешованих даних в JavaScript Start-up Bytecode Cache, обхід CSP, встановлення легких тем без взаємодії з користувачем, XSS і виконання скриптів в різному функціоналі, підробка імен файлів в панелі Downloads.

• MFSA 2018-11 Security vulnerabilities fixed in Firefox 60 (деталі)

Виявлені уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge. Що були виправлені у вівторку патчів у липні.

Уразливі продукти: Microsoft Internet Explorer 9, 10, 11 та Edge під Windows Server 2008, Windows 7, Windows Server 2012, Windows 8.1, Windows 10, Windows Server 2016.

Численні пошкодження пам’яті та виконання коду.

У липні, 24.07.2018, я дав інтерв’ю для телеканалу Настоящее Время.

Сюжет транслювався в новинах і був розміщений на сайті. В ньому йшлося про атаки російських хакерів на енергосистему США та порівняння з атаками на енергосистему України в 2015 і 2016 роках. Всі бажаючі можуть його подивитися.