Websecurity - Веб безпека

У жовтні, 14.10.2014, вийшов Mozilla Firefox 33. Нова версія браузера вийшла через півтора місяці після виходу Firefox 32.

Mozilla офіційно випустила реліз веб-браузера Firefox 33, а також мобільну версію Firefox 33 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 34 намічений на 25 листопада, а Firefox 35 на 13 січня.

Також були випущені Seamonkey 2.30, а перед цим Firefox 32.0.3, та оновлені гілки із тривалим терміном підтримки Firefox 31.2 і Thunderbird 31.2.

Серед покращень безпеки додано новий бекенд CSP (Content Security Policy). Для захисту від XSS атак і включення в сторінки “iframe/javascript src” блоків.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 33.0 усунуто 9 уразливостей, серед яких 3 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 33 (деталі)

Виявлена можливість проведення DoS атаки проти Perl модуля Email-Address.

Уразливі версії: Perl Email::Address до 1.905.

Вичерпання ресурсів при розборі адреси.

• Vulnerabilities in perl-Email-Address (деталі)

В даній добірці уразливості в веб додатках:

• HP StoreOnce D2D Backup System, Remote Denial of Service (DoS) (деталі)
• Remote Command Execution in Fitnesse Wiki (деталі)
• Remote Privilege Escalation in SpagoBI v4.0 (деталі)
• Persistent Cross-Site Scripting (XSS) in SpagoBI v4.0 (деталі)
• HP Service Manager, Remote Unauthenticated Access and Elevation of Privilege (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.goradm.gov.ua (хакером KkK1337) - 09.09.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.turadm.gov.ua (хакером KkK1337) - 09.09.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://esthetology.ua (хакером ZeynnymouZ)
• http://vassr.org (хакером xWARRIORtn) - 25.06.2014, зараз сайт вже виправлений адмінами
• http://ukraina.center (проросійськими хакерами) - 09.10.2014, зараз сайт закритий

В 2010 році я писав про розповсюдження шкідливого ПЗ через TinyURL. А зараз розповім про розповсюдження шкідливого ПЗ через п’ять сервісів редирекції. Що є найбільш популярними сервісами скорочення URL.

Це наступні сервіси: tinyurl.com, bit.ly, fb.me, t.co і goo.gl. TinyURL і Bitly - це відомі редиректори, fb.me - редиректор від Facebook, t.co - редиректор від Twitter, goo.gl - редиректор від Google (що використовується в Google+ та інших їхніх сервісах).

Про можливість розповсюдження шкідливого ПЗ через редиректори я писав в 2009 році в свої статтях Редиректори: прихована загроза та Атаки через закриті редиректори. Власник сервісів редирекції я попереджав про уразливості та про можливість зловживання їхніми сервісами. Атаки на користувачів можуть відбуватися як через редирекцію на зловмисні сайти, так і через поширення шкідливого коду безпосередньо через уразливості на сервісах редирекції. Але на всі мої попередження власники даних сервісів не звертали уваги.

Ще на початку 2010 року я виявив, що tinyurl.com почав активно використовуватися для поширення malware. А пізніше виявив подібну ситуацію і з іншими сервісами редирекції. За цей час я слідкував за їх інфікованістю, бо ці сервіси постійно використовували для розповсюдження malware. Про що вирішив написати окрему статтю.

Гугл виявив наступне шкідливе ПЗ:

1. На tinyurl.com перевірено 62578 редиректорів, з яких на 368 було виявлене шкідливе ПЗ. Серед якого: 370 троянів, 235 експлоітів і 171 скриптових експлоітів.

Частина сайта була внесена до переліку сайтів із підозрілою активністю 93 рази протягом останніх 90 днів і за цей час tinyurl.com був посередником зараження 40 сайтів.

2. На bit.ly перевірено 91921 редиректорів, з яких на 677 було виявлене шкідливе ПЗ. Серед якого: 206 троянів, 185 експлоітів і 154 скриптових експлоітів.

Частина сайта була внесена до переліку сайтів із підозрілою активністю 31 раз протягом останніх 90 днів і за цей час bit.ly був посередником зараження 36 сайтів.

3. На fb.me перевірено 62456 редиректорів, з яких на 536 було виявлене шкідливе ПЗ. Серед якого: 204 троянів, 172 експлоітів і 210 скриптових експлоітів.

За останні 90 днів fb.me був посередником зараження 5 сайтів.

4. На t.co перевірено 273031 редиректорів, з яких на 135 було виявлене шкідливе ПЗ. Серед якого: 141 троянів, 50 експлоітів і 3086 скриптових експлоітів.

Частина сайта була внесена до переліку сайтів із підозрілою активністю 8 разів протягом останніх 90 днів і за цей час t.co був посередником зараження 8 сайтів.

5. На goo.gl перевірено 5295228 редиректорів, з яких на 550 було виявлене шкідливе ПЗ. Серед якого: 6226 троянів, 737 експлоітів і 109 скриптових експлоітів.

За останні 90 днів goo.gl був посередником зараження 959 сайтів.

Виявлений витік інформації в Mozilla Firefox і Microsoft Internet Explorer.

Уразливі продукти: Mozilla Firefox до 33.0, Microsoft Internet Explorer 11 та попередні версії.

Можливий витік умісту пам’яті при розборі зображень.

• two browser mem disclosure bugs (CVE-2014-1580) (деталі)

У вересні я знайшов Cross-Site Scripting уразливості в Megapolis.Portal Manager на сайті Державної служби зайнятості. Це комерційна CMS від компанії Cофтлайн. Дані уразливості я виявив ще в 2012 році на державному сайті zpd.gov.ua, а в 2014 виявив аналогічні уразливості на dcz.gov.ua.

Є багато українських державних сайтів на цій системі. Раніше я вже писав про численні уразливості в Megapolis.Portal Manager.

XSS (WASC-08):

http://site/control/uk/publish/category?dateFrom=%22%3E%3Cscript%3Ealert%28document.cookie%29%3C/script%3E
http://site/control/uk/publish/category?dateTo=%22%3E%3Cscript%3Ealert%28document.cookie%29%3C/script%3E

Про ці уразливості я повідомив розробника ще в 2012 році. Дані уразливості досі не виправлені, тому що розробник Megapolis.Portal Manager відмовився їх виправляти. Хоча інші дірки в CMS від Cофтлайн, що були на сайтах www.kmu.gov.ua та portal.rada.gov.ua, вже виправлені.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах mp3-jplayer, PrintFriendly та The Cotton. Для котрих з’явилися експлоіти. mp3-jplayer - це аудіо-плеєр, PrintFriendly - це плагін для створення сторінок для друку на принтері, The Cotton - це тема движка.

• WordPress mp3-jplayer 1.8.7 Cross Site Scripting (деталі)
• WordPress PrintFriendly 3.3.7 Cross Site Scripting (деталі)
• WordPress TheCotton Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, зокрема про DoS і DDoS атаки (статті з Вікіпедії):

• DoSnet
• Email bomb
• Fork bomb
• Hit-and-run DDoS
• Low Orbit Ion Cannon (LOIC)

Виявлені численні уразливості безпеки в Google Chrome і Chromium.

Обхід обмежень, пошкодження пам’яті, витік інформації, підміна URL.

Уразливі продукти: Google Chrome 36.0, Chromium 36.0.

• chromium-browser security update (деталі)