Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://gtea.snigurivka-rda.gov.ua (хакером HambaAllah) - 27.12.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://policier.snigurivka-rda.gov.ua (хакером HambaAllah) - 27.12.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.media-plus.com.ua (хакером SuL6an Hacker)
• http://ptv.com.ua (хакером HasTurk) - 07.01.2014, зараз сайт вже виправлений адмінами
• http://excom.crimea.ua (хакером HasTurk) - 09.01.2014, зараз сайт вже виправлений адмінами

В даній добірці експлоіти в веб додатках:

• Stem Innovation IZON Hardcoded Password Vulnerability (деталі)
• ASUS RT-N56U - Remote Root Shell Buffer Overflow (ROP) (деталі)
• Microsoft Tagged Image File Format (TIFF) Integer Overflow (деталі)
• FireFox Use after Free Exploit (деталі)
• D-Link RTSP Authentication Bypass (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Curvo, WP-Checkout та Think Responsive. Для котрих з’явилися експлоіти. Curvo - це тема движка, WP-Checkout - це плагін для створення онлайн-магазину, Think Responsive - це тема движка.

• WordPress Curvo Shell Upload (деталі)
• WordPress WP-Checkout Cross Site Scripting / Shell Upload (деталі)
• WordPress Think Responsive 1.0 Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Раніше я писав про грудневі DoS і DDoS атаки в Україні, а зараз розповім про ситуацію в січні.

З початку січня відбулося чимало атак в зв’язку з політичними подіями в нашій державі.

Хакери Anonymous в якості акції протесту провели DDoS атаки на наступні державні та провладні сайти в Уанеті:

DDoS на www.president.gov.ua - 20-24.01.2014
DDoS на www.oblrada.lg.ua - 21.01.2014
DDoS на inter.ua - 22.01.2014
DDoS на mvs.gov.ua - 25.01.2014

Атака на сайт president.gov.ua продовжилася по 28 січня включно.

Також невідомими хакерами (явно провладними) були атаковані наступні сайти:

DDoS на eurokharkiv.org - 09.01.2014
DDoS на maidanua.org - 09.01.2014
DDoS на skoty.info - 11.01.2014
DDoS на 5.ua - 29.01.2014

Сьогодні вийшла нова версія програми DAVOSET v.1.1.6. Це революційний випуск - Revolution Edition. В новій версії:

• Додав нові сервіси в повний список зомбі.
• Додав підтримку завершального слеша в адресі для translate.yandex.net.
• Покращив алгоритм роботи з відкритими файлами.

Всього в списку міститься 141 зомбі-сервіс, які готові нанести удар по сайтам злочинного режиму.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.1.6.rar.

Минулого року, 07.06.2013 і 07.07.2013, я виявив Brute Force, Insufficient Process Validation та Insufficient Session Expiration уразливості в LiqPAY для Android та iOS. Перевіряв в клієнті для Android, але в клієнті для iOS повинно бути те саме (аналогічно, як це є в мобільному Приват24 для різних ОС).

Brute Force (WASC-11):

OTP код всього 4 символи, що всього 10000 комбінацій. Це легко підбирається. Для атаки достатньо знати тільки логін жертви (мобільний телефон, що можна взяти просто навмання, наприклад, будь-який номер мобільного телефону в Україні), то можна легко отримати доступ до LiqPAY акаунту, без наявності мобільного телефону жертви (бо 4 символьний OTP код підбирається легше, ніж 8 символьний у веб версії LiqPAY).

На це ПриватБанк зауважив мені, що в мобільних додатках (Приват24, LiqPAY та інших) де використовуються 4-символьні OTP - у всіх них наявні такі Brute Force уразливості - цей код працює лише для трьох спроб. Тобто після трьох спроб код скидається і треба робити запит на новий код. Але тим не менш, можна довго довбати запитами, поки не вгадаєш 4 цифри з 3 спроб. Вірогідність цього достатньо велика для проведення успішних атак.

Insufficient Process Validation (WASC-40) / Insufficient Session Expiration (WASC-47):

Можна входити в LiqPAY акаунт без OTP. Тому що має місце прив’язка до пристрою, подібно до мобільного Приват24. Тобто дані про авторизацію зберігаються локально після першого входу в акаунт з введенням OTP и далі вхід в акаунт відбувається автоматично (при натисканні іконки LiqPAY клієнта).

При цьому сесія діє необмежений час (хоч рік) - на відміну від мобільного Приват24, де сесія діє обмежений час. Я навіть через пів року все ще міг входити в акаунт, бачити всю інформацію (про карту, частину її номера, суму на рахунку, історію операцій) без введення OTP.

Перевірено в LiqPay 2.0 для Android.

Дані уразливості досі не виправлені, бо ПБ не бачить в них ризику.

Після відправлення листа 07.07.2013 і отримання відмови від ПриватБанку, я зробив 19.07.2013 відео демонстрацію Insufficient Process Validation уразливості. Яке надав ПБ, вони заявили, що після перегляду відео будуть думати, але в результаті довго думали і жодних відповідей не надавали, лише “розробники працюють”. І після багатьох моїх нагадувань, в січні нарешті отримав від них офіційну відмову у виправленні цих уразливостей.

Тому 16.01.2014 я розмістив демонстраційне відео Vulnerability in LiqPAY.

Нещодавно, 10 січня, вийшли PHP 5.4.24 і PHP 5.5.8. У версії 5.5.8 виправлено біля 20 багів, а у версії 5.4.24 виправлено біля 14 багів. Дані релізи направлені на покращення стабільності гілок 5.4.x і 5.5.x.

Жодних уразливостей в цих версіях PHP виправлено не було.

По матеріалам http://www.php.net.

27.12.2013

Виявлена memory corruption уразливість в PHP.

Уразливі версії: PHP 5.3, PHP 5.4, PHP 5.5.

Пошкодження пам’яті в asn1_time_to_time_t().

• Vulnerability in PHP (деталі)

23.01.2014

Додаткова інформація.

• PHP openssl_x509_parse() Memory Corruption Vulnerability (деталі)

Офіційна заява з приводу вчорашнього блокування мого веб проекту. Робота двох моїх сайтів була відновлена майже опівночі.

Минулого тижня Верховна Рада прийняла нові закони, які люди назвали “диктаторськими”, а на наступний день президент підписав їх. Учора, 22.01.2014, дані закони вступили в силу.

І вчора після 16:00 два моїх сайти websecurity.com.ua і mlfun.org.ua були заблоковані. Тому що були відключені два домени провайдером в зв’язку з рішенням СБУ. Представники спецслужб заставили провайдера відключити мої домени через порушення нового законодавства. А саме через розміщення відео файлу про Віктора Януковича (на mlfun.org.ua) та розміщення лінки на нього (на websecurity.com.ua) - лінки на сайт президента, на якому я розмістив дане відео через Content Spoofing уразливість.

Це “диктаторські закони” в дії. Зокрема закон стосовно наклепу (в СБУ вважали “невідповідним закону” дане відео), що дозволяє без рішення суду закривати будь-які сайти на українських хостингах чи з українськими доменами. Через те, що будь-які матеріали на сайтах правоохоронці можуть вважати наклепом.

Після відновлення роботи своїх ресурсів, я прибрав відео файл і лінку на нього. Щоб не порушувати нові закони і щоб не було претензій до мене від правоохоронців. Поки діють дані скандальні закони. За останніми подіями в Україні, в тому числі подіями пов’язаними з моїми сайтами, ви можете слідкувати в мене в твіттері.

Виявлені численні уразливості безпеки в Apple Safari.

Уразливі версії: Apple Safari 6.1, Safari 7.0.

Витік інформації, численні пошкодження пам’яті.

• APPLE-SA-2013-12-16-1 Safari 6.1.1 and Safari 7.0.1 (деталі)
• APPLE-SA-2013-12-16-2 OS X Mavericks v10.9.1 (деталі)