Численні уразливості в MODx Revolution
20:11 27.12.201226.07.2012
У липні, 04.07.2012, я виявив численні уразливості в системі MODX Revolution, зокрема Brute Force, Cross-Site Request Forgery, Abuse of Functionality та Insufficient Anti-automation. Які виявив на сайті www.gov.ua. Частково уразливості збігаються з MODx 1.0.х. Про що найближчим часом повідомлю розробникам системи.
Раніше я вже писав про уразливості в MODx.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.
27.12.2012
Brute Force (WASC-11):
В формі логіна (http://site/manager/) немає захисту від Brute Force атак.
Cross-Site Request Forgery (WASC-09):
Відсутність захисту від Brute Force (такого як капча) в формі логіна (http://site/manager/) також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін в акаунт (щоб проводити атаки на уразливості всередині акаунта). Це також може бути використано для автоматизованого входу в акаунт, фішинга та інших автоматизованих атак.
Abuse of Functionality (WASC-42):
В формі логіна (http://site/manager/) можна виявляти логіни користувачів (Login Enumeration). Різні повідомлення виводяться для коректних і некоректних логінів.
Insufficient Anti-automation (WASC-21):
Із-за відсутності захисту від автоматизованих атак в формі логіна, окрім Brute Force атак також можливі автоматизовані атаки на функції логіна (для автоматизованого виявлення логінів) та відновлення паролю (для виявлення емайлів користувачів). Обидва функціонали знаходяться на одній сторінці.
Уразливі всі весії MODx Revolution (2.x версії движка). Дані уразливості досі не виправлені розробниками. XSS дірки з www.gov.ua не відносяться до CMS - це власний код цього сайта.
31.12.2012
При включеному блокуванні на сайті з’являються дві нові уразливості (аналогічні діркам в MODx Evolution).
Abuse of Functionality (Login Enumeration) (WASC-42):
В формі логіна (http://site/manager/) можливий підбір логінів. Якщо блокування не спрацьовує після трьох запитів (як може бути встановлене на сайті), значить немає такого логіна в системі, тобто воно спрацьовує лише для робочих логінів. Атака можлива, якщо включене блокування.
Експлоіт:
MODx Revolution Abuse of Functionality-1.html
Abuse of Functionality (WASC-42):
Після знаходження логіна з вищезгаданою уразливістю можливе зловживання блокуванням акаунтів. Після трьох запитів (як може бути встановлене на сайті) акаунт може бути заблокований (навіть акаунт адміна). Постійно посилаючи запити до цього функціоналу (по три некоректні запити), можна постійно тримати акаунт заблокованим (в тому числі адмінський).
Експлоіт:
MODx Revolution Abuse of Functionality-2.html
Субота, 02:07 29.12.2012
А как же блокировка аккаунта при 8 неправильных попытках авторизации?
Тем более это число выставляется в админке, поставьте хоть 2 попытки.
Юзер блокируется на опред. время (настройка в админке) и вы уже не сможете провести брутфорс атаку
Неділя, 03:17 30.12.2012
http://modx.com/extras/package/captcha
“Captcha 3.3.0-pl
Released Jul 13, 2012 by bobray
This utility provides captcha verification in the MODx Revolution Manager login”.
Понеділок, 20:52 31.12.2012
Ivan
В случае MODx Revolution ситуация точно такая же, как описанная мною ранее для MODx Evolution. Среди сайтов на Revolution мне не попадались таковые с включенной блокировкой (а на Evolution попался лишь один), потому-то и пишу о Brute Force. Только ты мне написал, что у тебя имеются такая блокировка (т.е. у себя на сайте ты её включил), а сколько таких среди всех сайтов на Evolution и на Revolution.
Всё сводится к дефолтным настройкам - по умолчанию блокировка д.б. включена, иначе это уязвимость движка (включит ли админ защиту или нет, главное, чтобы в движке она была включена по умолчанию). А в идеале в движке вообще не д.б. небезопасных опций.
Более того, как я описал в записе об Evolution, данная защита неэффективна и есть методы её обхода. А т.к. эта защита перекочевала в Revolution, то это и к ней относится.
Также эта защита имеет DoS уязвимость - данная атака возможна из-за CSRF-уязвимости в форме логина. А также AoF (Login Enumeration) уязвимость (обе дыры появляются при включенной блокировке). Они описаны во второй записи об уязвимостях в MODx Evolution. Если бы разработчики поставили капчу, то это решило бы BF, CSRF и другие уязвимости, и не допустило бы новых уязвимостей.
Понеділок, 21:06 31.12.2012
M
Thanks for mentioning. I suppose such captcha plugin exists not only for MODx Revolution, but also for MODx Evolution versions.
This plugin can solve all mentioned issues in login form. And if this captcha is also placed at password recovery form, then it’ll solve IAA hole at it too.
The problem of MODx that this Captcha protection isn’t built-in, but made as third-party module. So by default CMS is vulnerable and admins of web sites must find solution (or made such one) by themselves.