Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://ifds.org.ua - інфекція була виявлена 23.10.2013. Зараз сайт не входить до переліку підозрілих.
• http://djuice.ua - інфекція була виявлена 07.12.2013. Зараз сайт не входить до переліку підозрілих.
• http://didjeridu.org.ua - інфекція була виявлена 05.12.2013. Зараз сайт не входить до переліку підозрілих.
• http://kyivstar.ua - інфекція була виявлена 24.10.2013. Зараз сайт не входить до переліку підозрілих.
• http://kyivstar.net - інфекція була виявлена 24.10.2013. Зараз сайт не входить до переліку підозрілих.

В даній добірці уразливості в веб додатках:

• HP Managed Printing Administration (MPA), Remote Cross Site Scripting (XSS) (деталі)
• Symantec Workspace Streaming 7.5.0.493 SWS Streamlet Engine Invoker Servlets Remote Code Execution (деталі)
• ZAPms v1.42 CMS - Client Side Cross Site Scripting Web Vulnerability (деталі)
• DornCMS Application v1.4 - Multiple Web Vulnerabilities (деталі)
• HP LaserJet MFP Printers, HP Color LaserJet MFP Printers, Certain HP LaserJet Printers, Remote Unauthorized Access to Files (деталі)

Завтра чергове віче на Євромайдані в Києві. Перше після прийняття парламентом в четвер скандальних законів та підписання їх в п’ятницю президентом. Дане зібрання може бути визнане екстремістським і незаконним відповідно до нових законів, що значно звужують свободу слова і права людей в Україні.

Мої відео з Євромайдану можете подивися в моєму акаунті на YouTube. Останні повідомлення читайте в моєму Твіттері.

До речі, виявив на president.gov.ua Cross-Site Scripting та Content Spoofing уразливості. Стосовно державних сайтів в останнє я писав про уразливості на www.bank.gov.ua.

XSS:

• alert(document.cookie)
• alert(document.cookie)

Content Spoofing:

http://president.gov.ua/js/jw/player.swf?file=http://site/1.flv
http://president.gov.ua/js/jw/player.swf?config=http://site/1.xml
http://president.gov.ua/js/jw/player.swf?abouttext=Player&aboutlink=http://websecurity.com.ua

P.S.

Прибрав з сайту інформацію про Януковича в зв’язку зі вступом в дію нових законів.

І розмістив лінку на відео з Януковичем у Twitter. А пізніше, коли виявив, що на сайті президента додали блокуючі фільтри, то розмістив нову лінку в Facebook.

Наближається 2014 рік і я поздоровляю вас з Новим Роком!

Бажаю всього найкращого вам, бажаю безпеки вам, вашим сайтам і веб додаткам .

Слідкуйте за безпекою власних сайтів і тоді з ними нічого поганого не трапиться. І вони будуть надійно працювати та приносити радість вам і вашим відвідувачам.

І для гарного святкового настрою можете послухати мою нову композицію Look into the future:

У грудні, 31.12.2013, вийшла нова версія програми DAVOSET v.1.1.5. Це новорічний випуск . В новій версії:

• Додав обробник помилок в GetCookie().
• Додав нові сервіси в списки зомбі.
• Прибрав непрацюючі сервіси зі списків зомбі.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.1.5.rar.

За повідомленням www.xakep.ru, викрадені з сайта Target кредитні карти продаються на чорному ринку.

Найбільша американська мережа магазинів Target підтвердила факт взлому і крадіжки банківських карток покупців. У відкритий доступ пішла інформація приблизно про 40 млн. банківських карток. Взлом стався між 27 листопада і 15 грудня, повідомили офіційні особи. Виходить, що хакери почали знімати інформацію про банківські картки приблизно після “чорної п’ятниці”, коли американці в масовому порядку йдуть у магазини за покупками і подарунками до різдвяних свят.

Говорять, що знімання інформації здійснювалося через 40000 пристроїв для зчитування карт. Зловмисники умудрилися модифікувати код програмного забезпечення, що керує платіжними терміналами.

За повідомленням www.opennet.ru, представлено техніку атаки на мікроконтролери, вбудовані в MicroSD-карти.

На тридцятій конференції Chaos Communication Congress (30C3), що пройшла нещодавно, представлений звіт про експеримент по модифікації прошивки мікроконтролерів, вбудованих у карти пам’яті MicroSD. Заміна прошивки на карті пам’яті цікава потенційною можливістю вбудовування бекдора, що може контролювати потоки даних і при необхідності впливати на них.

За повідомленням www.xakep.ru, боти генерують 61,5% трафіку на веб сайтах.

Дослідження аналітичної компанії Incapsula свідчить про значне збільшення трафіку ботів у 2013 році. Вони обігнали людей по частоті заходів на сайти ще торік (51%), але зараз їхня перевага виросла до 61,5%.

При цьому з трафіку аж 20,5% приходиться на інструменти для DDoS-атак, що віднесені в категорію “Impersonators”. Зазначу, що мій інструмент DAVOSET не атакує веб сайти напряму, а робить це через сайти-зомбі (тому Incapsula в своїх дослідженнях не зможе його виявити).

Продовжуючи розпочату традицію, після попереднього відео про виконання коду в Google Chrome, пропоную нове відео на веб секюріті тематику. Цього разу відео про виконання коду в Internet Explorer. Рекомендую подивитися всім хто цікавиться цією темою.

MS13-069 Microsoft Internet Explorer CCaret Use After Free

В даному відео ролику демонструється віддалене виконання коду в Internet Explorer версій 6, 7, 8, 9 і 10. Використовується експлоіт для проведення атаки на уразливість в Internet Explorer (показано на прикладі IE8) при відкритті сторінки з кодом експлоіту. Що дозволяє нападнику отримати контроль над атакованим комп’ютером.

Атака відбувається при відвідуванні в IE спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

У травні, 03.05.2012, під час пентесту, я виявив багато уразливостей в Lotus Notes Traveler, зокрема Cross-Site Request Forgery, Cross-Site Scripting та Redirector. Раніше я писав про BF, XSS, CSRF та Redirector уразливості в IBM Lotus Notes Traveler.

Про ці уразливості я повідомив розробникам системи в грудні 2012. Вони аналогічні CSRF, XSS та Redirector уразливостям в IBM Lotus Domino, тому що логін-форма базується на функціоналі Domino.

Cross-Site Request Forgery (WASC-09):

Відсутність капчі в формі логіна (http://site/servlet/traveler) призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін в акаунт (щоб проводити атаки на уразливості всередині акаунта), нижченаведені XSS і Redirector атаки, Brute Force (що я описав в окремому записі) та інші автоматизовані атаки.

Cross-Site Scripting (WASC-08):

Для атаки необхідно використати робочий логін і пароль на сайті (тобто необхідно використати існуючий акаунт на сайті - це може бути власний акаунт нападника, або акаунт користувача, до якого він отримав доступ через Brute Force уразливість).

Експлоіт:

IBM Lotus Notes Traveler XSS.html

Redirector (URL Redirector Abuse) (WASC-38):

Для атаки необхідно використати робочий логін і пароль на сайті (тобто необхідно використати існуючий акаунт на сайті - це може бути власний акаунт нападника, або акаунт користувача, до якого він отримав доступ через Brute Force уразливість).

Експлоіт:

IBM Lotus Notes Traveler Redirector.html

Уразливі IBM Lotus Notes Traveler 8.5.3 та попередні версії. Як повідомили мені з IBM в грудні, вони виправили уразливості (зокрема XSS і Redirector) в патчі для Domino 9.0, що вийшла 14.03.2013.

До оновлення на нову версію всі користувачі вразливих версій Lotus Notes Traveler вразливі до даних атак. Але я пропоную обхідне рішення, яке можна використати для попередніх версій програми. Воно полягає у відключенні html-форми логіна і використанні замість неї Basic Authentication.

В період з 09.11.2013 по 10.11.2013 відбувся новий масовий взлом сайтів на сервері Freehost. Четвертий масовий взлом сайтів на сервері Freehost відбувся раніше.

Був взломаний сервер української компанії Freehost. Взлом складався з двох дефейсів. Дефейси відбулися після згаданого масового взлому сайтів на сервері Besthosting.

Всього було взломано 14 сайтів (причому всі державні) на сервері хостера Freehost (IP 178.20.152.159). Це наступні українські державні сайти: razd.dza.gov.ua, sim.dza.gov.ua, kir.dza.gov.ua, kerch.dza.gov.ua, bahch.dza.gov.ua, chern.dza.gov.ua, feo.dza.gov.ua, bel.dza.gov.ua, arm.dza.gov.ua, alushta.dza.gov.ua, yalta.dza.gov.ua, sak.dza.gov.ua, nizhn.dza.gov.ua, dzhan.dza.gov.ua.

З зазначених 14 сайтів 5 сайтів були взломані хакером SultanHaikal та 9 сайтів хакером Jje Incovers. Можливо хакери працювали у парі.

Цілком імовірно, що дані сайти могли бути атаковані хакерами через взлом серверу хостінг провайдера. Також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів.

P.S.

Вже 25.01.2014 на цьому сервері хакери з Bengkulu Hacker Team взломали державний сайт dza.gov.ua.

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird і Seamonkey.

Уразливі продукти: Mozilla Firefox 25.0, Firefox ESR 24.1, Thunderbird 24.1, Seamonkey 2.22.

Численні пошкодження пам’яті, XSS, витік інформації, проблеми з перевіркою сертифікатів.

• Mozilla Foundation Security Advisory 2013-104 (деталі)
• Mozilla Foundation Security Advisory 2013-105 (деталі)
• Mozilla Foundation Security Advisory 2013-106 (деталі)
• Mozilla Foundation Security Advisory 2013-107 (деталі)
• Mozilla Foundation Security Advisory 2013-108 (деталі)
• Mozilla Foundation Security Advisory 2013-109 (деталі)
• Mozilla Foundation Security Advisory 2013-110 (деталі)
• Mozilla Foundation Security Advisory 2013-111 (деталі)
• Mozilla Foundation Security Advisory 2013-112 (деталі)
• Mozilla Foundation Security Advisory 2013-113 (деталі)
• Mozilla Foundation Security Advisory 2013-114 (деталі)
• Mozilla Foundation Security Advisory 2013-115 (деталі)
• Mozilla Foundation Security Advisory 2013-116 (деталі)
• Mozilla Foundation Security Advisory 2013-117 (деталі)