Websecurity - Веб безпека

Вже двадцять один рік повідомляв банки, веб брокерів та платіжні системи про уразливості та майже завжди всі забивали. Як російські, так і українські компанії. Безпека e-commerce сайтів в Уанеті - прочитайте всі 33 мої статті про діряві банки і магазини. Десятки років вони не слідкують за безпекою.

У травні розробники своєї нової ШІ моделі почали консультувати банки. Anthropic will brief the Bank of England on financial cyber risks found by its AI model, Mythos. Нагадаю, що я виявив тисячі дірок у більшості банків України, лише в одному ПриватБанку декілька тисяч, але майже всі забивали. Ну, а ПБ кинув мене по виплатам за більшість дірок і він був єдиним банком, хто з 2012 року мав bug bounty програму. Про все це писав неодноразово.

Стало відомо, що Mozilla знайшла 271 уразливості в Firefox за допомогою Mythos AI, багато інших компаній теж отримали доступ до ШІ чи компанія Anthropic сама знайшла дірки в різних додатках. Але їх число величезне для короткого часу. Нещодавно вони заявили, що їхній ШІ знайшов понад 23000 уразливості в тисячі опенсорс проектів.

Нехай вони спробують знайти дірки на сайтах і додатках без доступу до коду. Тобто blackbox методом. Бо я з початку 2005 саме так усі уразливості знаходжу.

Чимало людей в травні написали про те, як Mythos швидко знаходить дірки в різному ПЗ і акцентують, що виробники не встигають виправляти дірки у власних програмах. Але проблема не лише в часі для фіксингу дір, як показує мій досвід з 2005 року. Бо понад 21 рік я знаходив дірки в численних веб додатках і на мільйонах сайтів, та майже завжди ніхто не хотів їх виправляти в Україні (в інших країнах краще). Потім за рік чи кілька років приховано виправляли, зазвичай після зламів.

В даній добірці експлоіти в веб додатках:

• Grandstream GSD3710 1.0.11.13 - Stack Overflow (деталі)
• Microsoft Windows Server 2025 JScript Engine - Remote Code Execution (RCE) (деталі)
• ABB Cylon Aspect 3.08.04 DeploySource - Remote Code Execution (RCE) (деталі)
• Apache Tomcat 10.1.39 - Denial of Service (DoS) (деталі)
• Xlight FTP 1.1 - Denial Of Service (DOS) (деталі)

У вересні, 25.09.2025, вийшли PHP 8.3.26 і PHP 8.4.13. У версіях PHP 8.3.26 і 8.4.13 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 8.3.x і 8.4.x.

У PHP 8.3.26 і 8.4.13 виправлено:

• Багаточисленні витоки пам’яті.
• Численні вибивання.
• Пошкодження пам’яті.
• Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.

Відбувся новий масовий взлом сайтів на сервері TheHost. Він мав місце з 27.02.2022 по 11.05.2026. П’ятий масовий взлом сайтів на сервері TheHost відбувся в 2020.

Був взломаний сервер української компанії TheHost. Взлом складався з одного масового дефейсу та багатьох окремих. Що відбувся частково до і після масового взлому сайтів на сервері UA-Hosting.

Всього взломали 59 сайтів на сервері TheHost (IP 176.114.0.120). Перелік сайтів можете подивитися на www.zone-h.org.

Багато сайтів були одночасно взломані хакерами з theMx0nday 27.02.2022, але більшість з них додали в базу лише в 2025 році, та потім у 2025 і 2026 роках два сайти хакерами з Chinafans. Також два десятки сайтів хакнули окремо з 20.04.2015 по 13.10.2023.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостинг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері. У випадку окремих дефейсів по одному чи декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Litespeed Cache, Social Warfare, WP Publications, Simple File List, Pie Register. Для котрих з’явилися експлоіти.

• Litespeed Cache WordPress Plugin 6.3.0.1 - Privilege Escalation (деталі)
• Social Warfare WordPress Plugin 3.5.2 - Remote Code Execution (RCE) (деталі)
• WP Publications WordPress Plugin 1.2 - Stored XSS (деталі)
• Simple File List WordPress Plugin 4.2.2 - File Upload to RCE (деталі)
• Pie Register WordPress Plugin 3.7.1.4 - Authentication Bypass to RCE (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Нещодавно закрили ботнет із 17 мільйонів IoT пристроїв.

Це зробила поліція в Нідерландах і таких ботнетів за декаду було багато та регулярно їх знешкоджують. Цього року вже кілька випадків було. Лише у травні закрили цей ботнет і ще затримали в Канаді адміна іншого великого ботнету. Першим був Mirai з таких.

І мова про ботнет з IoT, що застосовувався для DDoS атак чи як проксі. Бо це не інфіковані ПК чи гаджети користувачів, а саме хакнуті мережеві пристрої. Знаходив уразливості мережеві пристрої з 2000-х років та повідомляв, але майже завжди всі виробники пристроїв це ігнорували.

Вже писав про власну роботу з 2014 року в сфері зламу пристроїв у нас та у ворожих країнах. Українські Кібер Війська захопили 260000 мережевих пристроїв. Роками нагадую, проте всім байдуже на діряві пристрої.

Дванадцять років щодня кажу всім українцям і владам про небезпеку веб камер, через які росіяни слідкують за нами, але всі завжди це ігнорують. Тому сам у 2022 році заблокував YT трансляції з наших міст.

У серпні, 28.08.2025, вийшли PHP 8.3.25 і PHP 8.4.12. У версіях PHP 8.3.25 і 8.4.12 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 8.3.x і 8.4.x.

У PHP 8.3.25 і 8.4.12 виправлено:

• Численні витоки пам’яті.
• Численні вибивання.
• Пошкодження пам’яті.
• Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.

У статті злами розробників як новий вектор кібератак я зазначив, що з початку року набув поширення новий вектор кібератак і розповсюдження шкідливого ПЗ - це злами розробників.

Тривалий час активно зламують сайти, GitHub і npm акаунти розробників, щоб поширювати шкідливе ПЗ в інсталяторах і пакетах. А про цей вектор поширення троянів я вперше написав, коли на початку 2007 хакнули сайт розробників WordPress та змінили вихідний код WP.

Ось кілька нових зламів розробників.

Сотні npm пакетів були хакнуті та поширювали malware у травні, а також у Python Package Index (PyPI) та Docker Hub. Це зветься supply chain attacks.

Хакнули черговий Docker репозитарій - Checkmarx KICS. У ньому розмістили версії з трояном, що може шифрувати та красти дані. VS Code розширення їхнє теж запускає неверіфікований віддалений код. Постійно зламують репозитарії в GitHub.

Три нові версії node-ipc npm виявилися заражені троянами. Як це вже було з багатьма npm пакетами і про нові повідомляють щодня.

Нагадаю, що масштабна кібератака на українську банківську систему в червні 2017 року також була зроблена через злам розробника банківського ПЗ.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• https://kompanievska-selrada.gov.ua (хакером Simsimi) - 15.09.2025 - похаканий державний сайт
• https://stomatology.lviv.ua (хакером Hunter Bajwa) - 20.08.2024
• https://avt-mir.com.ua та інші (всього 25 сайтів хакером Rayzky) - 04.09.2024
• https://zmj.zsmu.edu.ua (хакером L4663R666H05T) - 07.09.2024
• https://promlabchem.com.ua (хакером Panataran) - 08.09.2024

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 2022 рік, дані за 02.01.2023-08.01.2023, дані за 09.01.2023-15.01.2023, дані за 16.01.2023-22.01.2023, дані за 23.01.2023-29.01.2023, дані за 30.01.2023-05.02.2023, дані за 06.02.2023-12.02.2023, дані за 13.02.2023-19.02.2023, дані за 20.02.2023-26.02.2023, дані за 27.02.2023-05.03.2023, дані за 06.03.2023-12.03.2023, дані за 13.03.2023-19.03.2023, дані за 20.03.2023-26.03.2023, дані за 27.03.2023-02.04.2023, дані за 03.04.2023-09.04.2023, дані за 10.04.2023-23.04.2023, дані за 24.04.2023-30.04.2023, дані за 01.05.2023-07.05.2023, дані за 08.05.2023-14.05.2023, дані за 15.05.2023-21.05.2023, дані за 22.05.2023-28.05.2023, дані за 29.05.2023-04.06.2023, дані за 05.06.2023-11.06.2023, дані за 12.06.2023-18.06.2023, дані за 19.06.2023-25.06.2023, дані за 26.06.2023-02.07.2023, дані за 03.07.2023-09.07.2023, дані за 10.07.2023-16.07.2023, дані за 17.07.2023-23.07.2023, дані за 24.07.2023-30.07.2023, дані за 31.07.2023-06.08.2023, дані за 07.08.2023-13.08.2023, дані за 14.08.2023-20.08.2023, дані за 21.08.2023-27.08.2023, дані за 28.08.2023-03.09.2023, дані за 04.09.2023-10.09.2023, дані за 11.09.2023-17.09.2023, дані за 18.09.2023-24.09.2023, дані за 30.10.2023-05.11.2023, дані за 06.11.2023-12.11.2023, дані за 13.11.2023-19.11.2023. Це нові дані.

У листопаді:

Четвертий тиждень.

Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/3uzBcGY.
Українські Кібер Війська щодня виявляють російську військову техніку в Донецьку та С-300 в Криму https://bit.ly/3GgEKRf.
Українські Кібер Війська заблокували сайти терористів dnrsovet.su, mvddnr.ru та minsvyazdnr.ru https://bit.ly/3RdzOTp.
Це документ російських терористів терористів https://bit.ly/47LUibk.
Українські Кібер Війська заблокували 350 сайтів терористів https://bit.ly/40T8e0Q.
Українські Кібер Війська усі роки виявляли як росіяни вивозили наше вугілля, а також наше зерно https://bit.ly/3MZ8wxq.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і msdnr.ru https://bit.ly/3GhhfHF.