Websecurity - Веб безпека

У квітні, 19.06.2009 (а також додатково сьогодні), я знайшов Insufficient Anti-automation та Full path disclosure уразливості на сайті http://shalb.com (це українська секюріті компанія). Про що найближчим часом сповіщу адміністрацію сайта.

Insufficient Anti-automation:

http://shalb.com/en/company/orderform/
http://shalb.com/support/open.php (ця сторінка була в 2009 році, зараз вона відсутня)
http://shalb.com/ru/company/orderform/
http://shalb.com/ru/company/contacts/
http://shalb.com/en/company/contacts/

В даних контактних формах немає захисту від автоматизованих запитів (капчі).

Full path disclosure:

На сторінках сайта http://shalb.com виводився повний шлях на сервері.

Якщо Full path disclosure дірки вже виправлені, то Insufficient Anti-automation уразливості все ще є на сайті. Як я вже казав, дані уразливості є типовим явищем для секюріті сайтів.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://cs-servera.net (хакером SAms0n) - 28.08.2010, зараз сайт вже виправлений адмінами
• http://valfork.com (хакером CmTr) - 24.08.2010, зараз сайт не працює (закритий адмінами)
• http://firstline.com.ua (хакером TekZ)
• http://shela.org.ua (хакером Delp0rt3) - 20.08.2010, зараз сайт не працює
• http://muza.lg.ua (хакерами AHG)

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням hackzona.com.ua, Panda Security допомогла заарештувати хакера Iserdo.

Компанії Panda Security і Defence Intelligence допомогли зловити кіберзлочинця. Ці компанії надали ФБР та іншим міжнародним органам важливу інформацію, завдяки якій вдалося зловити 23-річного хакера Iserdo. Доведено, що саме він є творцем набору “Метелик” (Butterfly), на якому засновано багато бот-мереж.

За повідомленням ua-hack.com, невідомі знищили офіційну українську базу даних сертифікатів якості на всі види продукції. Ця подія трапилася 11 серпня.

Електронна база даних сертифікації УкрСЕПРО знищена, повідомив перший заступник генерального директора державного підприємства Українського науково-дослідного і навчального центра проблем стандартизації, сертифікації та якості Сергій Доротич. Знищення інформації на сервері відбувалося в офлайні, шляхом її фізичного знищення.

За повідомленням hackzona.com.ua, HackZonA.ru був взломаний.

IRC-сервер сайта hackzona.ru був взломаний першого липня 2010 року. Після чого був отриманий контроль над основним сервером даного хакерського портала. Окрім опису процеса взлома сайта також наводяться скріншоти, що демонструють факт взлому.

20.04.2010

У жовтні, 10.10.2009, я знайшов SQL Injection та Redirector (URL Redirector Abuse) уразливості в CMS WebManager-Pro. Дані уразливості я виявив на webmanager-pro.com - сайті розробників даної CMS. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливість в CMS WebManager-Pro.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

02.09.2010

SQL Injection:

http://site/c.php?id=1%20and%20version()=5

Redirector:

http://site/c.php?id=1&url=http://websecurity.com.ua

Уразливі дві системи CMS WebManager-Pro від двох розробників. Уразливі версії CMS WebManager-Pro до 8.1 (версія від WebManager).

Також SQL Injection (але не Redirector) має місце в версії системи від FGS_Studio. Уразливі CMS WebManager-Pro v.7.4.3 (версія від FGS_Studio) та попередні версії.

Розробники з WebManager виправили SQL Injection уразливість (але не виправили Redirector) в версії CMS WebManager-Pro 8.1. Розробники з FGS_Studio не виправили SQL Injection уразливість (дані розробники взагалі проігнорували всі уразливості в їхній CMS, про які я їм повідомив).

В червні була виявлена Cross-Site Scripting уразливість в IPB. Це persistent XSS в календарі, що є стандартним модулем (який постачається разом з движком).

Якщо календар включений на форумі, то може бути проведена XSS атака. А враховуючи те, що календар може виводитися на кожній сторінці форуму, то відповідно код спрацює на кожній сторінці (де виводиться календар).

Уразливі Invision Power Board 3.0.5 та попередні версії.

• Invision Power Board - stored Cross site Scripting (деталі)

Як я протестував, в версії IPB 2.2.2 немає даної уразливості.

Виявлені численні уразливості безпеки в Adobe Shockwave Player.

Уразливі версії: Adobe Shockwave Player 11.5.

Численні пошкодження пам’яті.

• Adobe Shockwave Player Memory Corruption Vulnerability - CVE-2010-2882 (деталі)
• Adobe Shockwave Player Memory Corruption Vulnerability - CVE-2010-2880 (деталі)
• Adobe Shockwave Player Memory Corruption Vulnerability - CVE-2010-2864 (деталі)
• Adobe Shockwave Player Memory Corruption Vulnerability - CVE-2010-2869 (деталі)
• Adobe Shockwave Player Memory Corruption Vulnerability - CVE-2010-2881 (деталі)
• Adobe Shockwave Player Memory Corruption Vulnerability - CVE-2010-2868 (деталі)
• Adobe Shockwave Player Memory Corruption Vulnerability (деталі)
• Adobe Shockwave Player Director File FFFFFF88 Record Processing Remote Code Execution Vulnerability (деталі)
• Adobe Shockwave Director tSAC Chunk Parsing Remote Code Execution Vulnerability (деталі)
• Adobe Shockwave Director rcsL Chunk Remote Code Execution Vulnerability (деталі)
• Adobe Shockwave Director PAMI Chunk Remote Code Execution Vulnerability (деталі)
• Adobe Shockwave Player Director File FFFFFF45 Record Processing Remote Code Execution Vulnerability (деталі)
• Adobe Shockwave Director mmap Trusted Chunk Size Remote Code Execution Vulnerability (деталі)
• Adobe Shockwave Director tSAC Chunk Remote Code Execution Vulnerability (деталі)
• Adobe Shockwave TextXtra Allocator Integer Overflow Remote Code Execution Vulnerability (деталі)
• Adobe Shockwave Director rcsL Chunk Pointer Offset Remote Code Execution Vulnerability (деталі)
• Adobe Shockwave CSWV Chunk Memory Corruption Remote Code Execution Vulnerability (деталі)
• Adobe Shockwave tSAC Chunk Invalid Seek Memory Corruption Remote Code Execution Vulnerability (деталі)
• Security update available for Shockwave Player (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://pk-ukraina.gov.ua - інфікований державний сайт - інфекція була виявлена 24.06.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://pku.gov.ua - інфікований державний сайт - інфекція була виявлена 26.08.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://mp3-online.com.ua - інфекція була виявлена 11.08.2010. Зараз сайт не входить до переліку підозрілих.
• http://referat-center.com - інфекція була виявлена 29.08.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://mp3forum.com.ua - інфекція була виявлена 31.08.2010. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфікований сайт mp3-online.com.ua також хостить в себе Укртелеком.

В даній добірці уразливості в веб додатках:

• VMware Studio 2.0 addresses a security issue in the public beta version of Studio 2.0 (деталі)
• XSS vulnerability in boastMachine (деталі)
• New dnsmasq packages fix remote code execution (деталі)
• Infinity 0-day Denial of Service (деталі)
• ClipBucket AdminPanel edit site Vulnerability (деталі)
• Paessler - PRTG Traffic Grapher XSS (деталі)
• Dnsmasq Heap Overflow and Null-pointer Dereference on TFTP Server (деталі)
• IgnitionSuite CMS WebDMailer unsubscribe issue (деталі)
• SQL Injection in CubeCart PHP Free & Commercial Shopping Cart Application (деталі)
• Plume CMS - change Admin Password via Cross-site Request Forgery (деталі)

У квітні, 03.04.2010, я знайшов Insufficient Anti-automation та Denial of Service уразливості в CMS SiteLogic. Це українська комерційна CMS. Уразливості виявив на одному сайті, що використовує даний движок (про інші дірки на якому я вже згадував). Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в CMS SiteLogic.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

В своїй статті Неякісне використання MD5 у веб додатках я розповів про некоректне використання захисних механізмів, що призводить во уразливостей у веб додатках. У даній статті (що я планував написати з початку 2009) я роповім про інший приклад неякісного використання захисних механізмів, що дозволяє атакувати користувачів та адмінів сайтів.

Зловживання захисними механізмами.

Існує такий метод захисту як блокування (воно може бути зроблене по IP або іншим параметрам). І всі захисні механізми, що використовують автоматичне блокування, можуть бути використані проти користувачів та адмінів сайтів (і навіть ботів пошукових машин). Тобто можлива атака на захисні механізми сайта (на вбудований захист чи на WAF) з метою блокування доступу до сайта.

Заступ може бути заблокований як до акаунта користувача, так і до всього сайта. Тому можливо змусити сайт заблокувати користувачів, що призведе до DoS для кожного атакованого користувача і з великою кількістю заблокованих користувачів це призведе до DoS самого сайта (навіть без проведення DDoS атаки), тому що більшість користувачів не зможуть відвідати сайт.

Це інша версія зворотньої DDoS атаки (reverse DDoS attack) про яку я писав в 2008. Якщо в тому випадку атака вібдувалася на браузери користувачів сайта, то в даному випадку атака відбувається на захисні механізми сайта (від імені відвідувачів сайта).

Можливі наступні атаки:

• Атаки для блокування аккаунтів при некоректних логінах.
• Атаки на вбудовані захисні механізми (вбудовані IPS) з блокуванням.
• Атаки на WAF з включеним блокуванням.
• Атаки для блокування ботів пошукових систем.

Атаки на вбудовані IPS та WAF є більш небезпечними ніж атаки на логін форми, тому що вони призводять до блокування доступу до всього сайта і можуть бути використані не тільки для блокування користувачів та адмінів сайтів, але також і ботів пошукових систем.

Атаки для блокування аккаунтів при некоректних логінах.

Існують такі веб додатки (наприклад, форуми та інші движки), що використовують автоматичне блокування як захист від Brute Force атак на логін форми. Якщо логіни відомі (а я багато разів присав про численні Information Leakages у веб додатках, що призводять до витоку логінів), то можна заблокувати всі дані акаунти.

Це робиться шляхом введення коректного логіна і некоректного пароля (стільки разів, скільки треба для перевищення порогу блокувальної системи). Я бачив такі веб додатки (зокрема форумні движки) і такі атаки на них в своїй практиці. Це відома проблема для секюріті співтовариства, але все ще незрозуміла для веб розробників.

Атаки на вбудовані захисні механізми (вбудовані IPS) з блокуванням.

Існують сайти з вбудованими захисними механізмами з блокуванням і вони можуть бути атакованими з використанням даного методу. В 2009 я знайшов такий сайт як www.4post.com.ua, де серед інших уразливостей була Abuse of Functionality дірка (в захисному функціоналі, що блокував доступ при одному спеціальному запиті до сайта), що дозволяла проводити блокування користувачів та адмінів сайта.

Також я описав метод обходу блокування на даному сайті. Будь-який адмін чи користувача даного сайта, чи бот, що відвідав його, який не знає даного методу обходу, не будет мати доступу до всього сайта після проведення даної атакиk.

Так що з простою CSRF атакою (такою як GET запит через тег img) на користувачів сайта, можливо заблокувати повний доступ до сайта для користувачів і навіть адмінів сайта. Нижчезгадане блокування ботів пошукових систем також можливе на цьому сайті.

Атаки на WAF з включеним блокуванням.

Існують сайти з WAF з включеним блокуванням і вони також можуть бути атакованими з використанням даного методу. Я бачив такі сайти в своїй практиці, що використовують WAF (зокрема ModSecurity) та повністю блокують відвідувача (по IP) після декількох підозрілих запитів. Так що ламерські WAFи з такими налаштуваннями можуть бути використані проти користувачів та адмінів сайтів з ними.

З декількома простими CSRF атаками (повинно бути стільки атак, скільки треба для перевищення порогу WAF) на користувачів сайта, можливо заблокувати повний доступ до сайта для користувачів та адмінів сайта. Нижчезгадане блокування ботів пошукових систем також можливе на таких сайтах.

Атаки для блокування ботів пошукових систем.

Також можна заблокувати ботів (павуків) пошукових систем за допомогою даної атаки. Якщо зробити спеціальну лінку на іншому сайті що веде на цільовий сайт (і лінка містить необхідні параметри для включення блокування), тоді боти пошуковий систем перейдуть по даній лінці. І після відвідання цільового сайта бот буде заблокований (по IP, якщо блокування відбувається по IP, чи по сесії, якщо блокування відбуваєтьмся по сесії і бот підтримує обробку сесій). Що призведе до того, що сайт не буде проіндексований пошуковими системами і він випаде з індексів пошукових систем.