Websecurity - Веб безпека

У своїй статті Кібербезпека та енергозбереження IoT в Україні писав, що в країні майже всі роутери діряві та сам десятки років знаходжу в них дірки. Як в Wi-Fi роутерах і точках доступу, так і всіх IoT. А також писав про величезну кількість цих пристроїв, які споживають електрику.

Поради по захисту Wi-Fi роутерів. Навів корисні поради на FB, зокрема стосовно паролів і старих пристроїв.

Як старих Wi-Fi роутерів багато та інших мережевих пристроїв, так і всі пристрої діряві - старі й нові. Про тисячі уразливостей в різних IoT, що сам знайшов, я писав та про хакнуті мною 260000 мережевих пристроїв в Україні та РФ. За безпекою їх мало хто слідкує. Тому оновлювати ПЗ роутера потрібно, але старих уразливостей мільйони в Україні та й не всі старі та нові дірки виправляють самі виробники.

Важлива порада: використовуйте лише складні паролі та відмовтеся від простих і стандартних на кшталт “12345678″. Цікаво, що в офісі компанії Lanet пароль на Wi-Fi мережу саме такий. Звісно то для клієнтів, але все ж варто було врахувати ці поради і взяти інший. Також вони мають дірки на сайті - повідомив їм в офісі та по е-пошті ще в жовтні 2019 року, але вони проігнорували.

Також у списку порад відсутня наступна: вимкніть адмінку для доступу через Інтернет, як веб інтерфейс, так і telnet. Усі хакнуті мною роутери в Україні та по світу мали онлайн доступ.

І почитайте мою статтю CSRF Attacks on Network Devices, що вийшла у журналі PenTest Extra 02/2012. Вона стосується Wi-Fi роутерів та всіх мережевих пристроїв. Пояснив, що незалежно від ваших дій, через дірки можуть хакнути будь-які ваші мережеві пристрої.

У грудні, 21.12.2023, вийшли PHP 8.1.27, PHP 8.2.14 і PHP 8.3.1. У версії PHP 8.1.27 виправлено багато багів і уразливостей, у версії PHP 8.2.14 виправлено багато багів і уразливостей, у версії PHP 8.3.1 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 8.1.x, 8.2.x і 8.3.x.

У PHP 8.1.27, 8.2.14 і 8.3.1 виправлено:

• Численні вибивання.
• Різні витоки пам’яті в різних версіях.
• Використання чужої FTP і SSL сесії в PHP 8.2.х і 8.3.х.
• Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.

В даній добірці експлоіти в веб додатках:

• Flexense HTTP Server 10.6.24 - Buffer Overflow (DoS) (Metasploit) (деталі)
• Anevia Flamingo XS 3.6.5 - Authenticated Root Remote Code Execution (деталі)
• Anevia Flamingo XL 3.6.20 - Authenticated Root Remote Code Execution (деталі)
• Anevia Flamingo XL 3.2.9 - Remote Root Jailbreak (деталі)
• Nokia ASIKA 7.13.52 - Hard-coded private key disclosure (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WP Contactpage Designer, Zerotolaunch, Cart66, Events Made Easy, Caldera Forms. Для котрих з’явилися експлоіти.

• WordPress wp-contactpage-designer 1.0 Database Disclosure (деталі)
• WordPress zerotolaunch 1.0 Database Disclosure (деталі)
• WordPress cart66 cart66-lite 1.0 Database Disclosure (деталі)
• WordPress Events Made Easy 2.0.68 Database Disclosure (деталі)
• WordPress Caldera Forms 1.7.4 Database Disclosure (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 2022 рік, дані за 02.01.2023-08.01.2023, дані за 09.01.2023-15.01.2023, дані за 16.01.2023-22.01.2023, дані за 23.01.2023-29.01.2023, дані за 30.01.2023-05.02.2023, дані за 06.02.2023-12.02.2023, дані за 13.02.2023-19.02.2023, дані за 20.02.2023-26.02.2023, дані за 27.02.2023-05.03.2023, дані за 06.03.2023-12.03.2023, дані за 13.03.2023-19.03.2023 та за 20.03.2023-26.03.2023. Це нові дані.

В березні:

П’ятий тиждень.

Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/3KhTOAF.
Ви вже прочитали всі дані ДНР і ЛНР, що я оприлюднив https://bit.ly/3TPAfTG.
Українські Кібер Війська щодня виявляють російську військову техніку в Донецьку https://bit.ly/3ZpbaQx.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і msdnr.ru https://bit.ly/3TU7hlE.
Українські Кібер Війська дев’ять років виявляли докази, що УПЦ МП підтримує терористів на Донбасі https://bit.ly/3MmyYBZ.
Відео-розвідка: УКВ виявили колону російської військової техніки в Криму https://bit.ly/3Me9Tsu.
Українські Кібер Війська заблокували 330 сайтів терористів https://bit.ly/3M3Hm9f.
Українські Кібер Війська виявили, як російські окупанти висилають додому награбоване поштою в Бєлгороді https://bit.ly/3UgcC77.
Українські Кібер Війська торік оприлюднили переліки російських військових, що були в Бучі, Ірпені, Гостомелі, Бородянці та інших містах Київщини https://bit.ly/43c1hZR.
Українські Кібер Війська щодня блокують сайти терористів dnrsovet.su, mvddnr.ru та minsvyazdnr.ru https://bit.ly/3zq2MWr.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• https://kapitol.oskil-okms.gov.ua (хакером aDriv4) - 31.10.2023 - похаканий державний сайт
• https://malokomush.oskil-okms.gov.ua (хакером aDriv4) - 31.10.2023 - похаканий державний сайт
• https://study.intership.com.ua (хакером KatiB) - 08.11.2023
• https://rupor.pp.ua (хакером Rayzky) - 26.04.2024
• https://mir-nevest.com (хакером Panataran) - 11.09.2024

У листопаді, 23.11.2023, вийшли PHP 8.1.26, PHP 8.2.13 і PHP 8.3. У версії PHP 8.1.26 виправлено багато багів і уразливостей, у версії PHP 8.2.13 виправлено багато багів і уразливостей. А версія 8.3.0 - це нова гілка з численними виправленнями.

Дані релізи направлені на покращення безпеки і стабільності гілок 8.1.x, 8.2.x і 8.3.x.

У PHP 8.1.26, 8.2.13 і 8.3 виправлено:

• Численні вибивання.
• Деякі витоки пам’яті.
• Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.

В даній добірці експлоіти в веб додатках:

• Azure Apache Ambari 2302250400 - Spoofing (деталі)
• Hikvision Hybrid SAN Ds-a71024 Firmware - Multiple Remote Code Execution (деталі)
• ReyeeOS 1.204.1614 - MITM Remote Code Execution (RCE) (деталі)
• Shelly PRO 4PM v0.11.0 - Authentication Bypass (деталі)
• EuroTel ETL3100 - Transmitter Default Credentials (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• https://spivakivka.oskil-okms.gov.ua (хакером aDriv4) - 31.10.2023 - похаканий державний сайт
• https://oskilschool.oskil-okms.gov.ua (хакером aDriv4) - 31.10.2023 - похаканий державний сайт
• https://ovruch-ptu-35.com.ua (хакером KatiB) - 08.11.2023
• https://explus.com.ua (хакером Rayzky) - 26.04.2024
• DDoS атака на uakey.com.ua (росіянами) - 26.08.2024

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах II_OData_Importer, Paid Memberships Pro, BackWpUP, rss-feed-post-generator-echo, Total-Child-Theme-Master. Для котрих з’явилися експлоіти.

• WordPress II_OData_Importer 1.0 Database Disclosure (деталі)
• WordPress paid-memberships-pro 1.5.2 Database Disclosure (деталі)
• WordPress BackWpUP 3.6.6 Database Disclosure (деталі)
• WordPress rss-feed-post-generator-echo 1.0.0 Database Disclosure (деталі)
• WordPress Total-Child-Theme-Master 1.0 Arbitrary File Disclosure (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.