Websecurity - Веб безпека

У лютому, 01.02.2018, вийшли PHP 7.1.14 і PHP 7.2.2. У версії 7.1.14 виправлено багато багів і уразливостей, у версії 7.2.2 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 7.1.x і 7.2.x.

У PHP 7.1.14 і 7.2.2 виправлено:

• Пошкодження пам’яті.
• Численні вибивання в різних функціях (DoS).
• Уразливості в ядрі та модулях.

По матеріалам http://www.php.net.

В даній добірці експлоіти в веб додатках:

• SAP NetWeaver AS JAVA - ‘BC-BMT-BPM-DSK’ XML External Entity Injection (деталі)
• AppFusions Doxygen for Atlassian Confluence 1.3.2 - Cross-Site Scripting (деталі)
• Tenda/Dlink/Tplink TD-W8961ND - ‘DHCP’ Cross-Site Scripting (деталі)
• Disk Sorter Enterprise 9.1.12 - ‘Login’ Remote Buffer Overflow (деталі)
• Disk Savvy Enterprise 9.1.14 - ‘Login’ Remote Buffer Overflow (деталі)

Влітку відбувся новий масовий взлом сайтів на сервері TheHost. Він відбувся з 28.12.2015 по 30.01.2018. Другий масовий взлом сайтів на сервері TheHost відбувся раніше.

Був взломаний сервер української компанії TheHost. Взлом складався з трьох масових дефейсів і багатьох окремих дефейсів.

Всього було взломано 84 сайтів на сервері хостера TheHost (176.114.0.75). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти: kam-pod.km.ua, kam-pod.gov.ua, osvita-kp.gov.ua, 14 піддоменів osvita-kp.gov.ua, testosvita.kam-pod.gov.ua, portal.kam-pod.gov.ua, old.kam-pod.gov.ua, new.kam-pod.gov.ua, dnz.kam-pod.gov.ua, cnap.kam-pod.gov.ua.

З зазначених 84 сайтів 23 сайти були взломані хакером maress, 21 сайт хакером TheWayEnd, 13 сайтів хакером X-0wl та по одному чи декілька іншими хакерами.

Під час взлому хакерами maress, TheWayEnd та X-0wl було дефейснуто багато сайтів, тому немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера (чи облікового запису з великою кількістю сайтів). Стосовно інших, то враховуючи велику кількість окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Music Store, Visual Form Builder, Photocart Link, Advanced Video та темі Scoreme. Для котрих з’явилися експлоіти.

• WordPress Music Store 1.0.41 Cross Site Scripting (деталі)
• WordPress Visual Form Builder 2.8.6 Cross Site Scripting (деталі)
• WordPress Photocart Link 1.6 Local File Inclusion (деталі)
• WordPress Scoreme Theme Cross Site Scripting (деталі)
• WordPress Advanced Video 1.0 Local File Inclusion (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Раніше я писав про січневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію в лютому.

В зв’язку з сепаратистськими і терористичними акціями на сході України, хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

jna.bio.gov.ua (хакером B0c4H_Id30T) - 06.02.2018
doltour.gov.ua (хакерами з Guardiran Security Team) - 14.02.2018
pechenigy-rada.gov.ua (хакером RxR) - 27.02.2018

Проукраїнськими хакерами були атаковані наступні сайти:

Лютневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі місяця.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт belgorod-dnestrovskiy.ru (через скаргу хостеру) - 10.02.2018
Закритий сайт російських хакерів у ПАР (через скаргу хостеру) - 14.02.2018

Виявлені уразливості безпеки в Apple Safari і Webkit.

Уразливі продукти: Apple Safari 11.

Пошкодження пам’яті, виконання коду.

• APPLE-SA-2018-1-23-5 Safari 11.0.3 (деталі)

У грудні, 07.12.2017, через півтора місяці після виходу Google Chrome 62, вийшов Google Chrome 63.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлено 37 уразливостей, одна з них критична. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity і LibFuzzer. Що більше ніж в попередній версії.

• Выпуск web-браузера Chrome 63 (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://osvita-kp.gov.ua (хакером Ayyildiz Tim-maress) - 10.07.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://belozirmvk.gov.ua (хакером Shade) - 19.10.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://evrik.com.ua (хакером ReC0ded) - 23.09.2017, зараз сайт вже виправлений адмінами
• http://www.pferd.com.ua (хакером HerCulano)
• http://militaryaviation.in.ua (хакером Mister Spy) - 27.01.2018, зараз сайт вже виправлений адмінами

У серпні, 28.08.2017, я виявив Cross-Site Scripting та Cross-Site Request Forgery уразливості в D-Link DGS-3000-10TC. Це третя частина дірок в цьому комутаторі.

Раніше я писав про уразливості в пристроях даної компанії, зокрема в D-Link DAP-1360 та D-Link DGS-3000-10TC.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

У лютому місяці Microsoft випустила нові патчі.

У лютневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло багато патчів, але починаючи з квітня 2017 року бюлетені по безпеці не випускаються, тому їх кількість невідома. Компанія вказує лише назви продуктів та номера патчів, а не кількість і деталі бюлетенів (патчів). Вони закривають уразливості в програмних продуктах компанії.

Дані патчі стосуються поточних операційних систем компанії Microsoft - Windows 7, 8.1, RT 8.1, 10 та 2016. А також Microsoft Office, Internet Explorer і Edge, SharePoint Server і Project Server.

Також Microsoft випустила патч для уразливостей в Adobe Flash Player, що постачається з Windows.