Websecurity - Веб безпека

В даній добірці експлоіти в веб додатках:

• Personal File Share HTTP Server Remote Overflow Vulnerability Exploit (деталі)
• Pentagram Cerberus P 6363 DSL Router - Multiple Vulnerabilities (деталі)
• Synology DSM 4.3-3810 - Directory Traversal (деталі)
• Apache Roller OGNL Injection Vulnerability (деталі)
• Microsoft Internet Explorer COALineDashStyleArray Unsafe Memory Access (деталі)

Виявлені численні уразливості безпеки в Microsoft Exchange Server.

Уразливі продукти: Microsoft Exchange 2007, Exchange 2010, Exchange 2013.

Виконання коду в machine authentication check, міжсайтовий скриптінг, уразливості в компонентах Oracle.

• Многочисленные уязвимости безопасности в Microsoft Exchange Server (деталі)

У грудні, 03.12.2013, вийшла нова версія програми DAVOSET v.1.1.4. В новій версії:

• Додав новий сервіс в повний список зомбі.
• Прибрав непрацюючі сервіси зі списків зомбі.
• Виправив баг з портом в двох функціях.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.1.4.rar.

Виявлені численні уразливості безпеки в продуктах Oracle, Sun, MySQL і People Soft.

Уразливі продукти: Oracle 11g, Oracle 12c, MySQL 5.1, 5.5 і 5.6, JDK 7, JRE 7, Solaris 11.1, PeopleSoft HRMS 9.1, JRockit 28.2, Oracle Access Manager 11.1, GlassFish Server 3.1, Oracle HTTP Server 12c, Oracle Portal 11.1, WebLogic 12.1 та інші продукти Oracle.

Більше 130 різних уразливостей у різних додатках виправлено в щоквартальному оновленні.

• Issue 69 details and IBM Java vulnerabilities (деталі)
• PL/SQL Injection in Oracle Portal Demo Organization Chart (деталі)
• Oracle Critical Patch Update Advisory - October 2013 (деталі)

В даній добірці уразливості в веб додатках:

• Personal File Share HTTP Server Remote Overflow Vulnerability (деталі)
• Cross-Site Scripting (XSS) in Feng Office (деталі)
• Apache Shindig information disclosure vulnerability (деталі)
• Cross-Site Scripting (XSS) in GuppY (деталі)
• D-Link IP Cameras Multiple Vulnerabilities (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах MobileChief, Curvo та MoneyTheme. Для котрих з’явилися експлоіти. MobileChief - це плагін для створення мобільного сайта, Curvo - це тема движка, MoneyTheme - це тема движка.

• WordPress MobileChief Cross Site Scripting (деталі)
• WordPress Curvo Cross Site Request Forgery (деталі)
• WordPress MoneyTheme Cross Site Scripting / Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В презентації Pentesting web applications, Satish розповідає про пентест веб додатків. Про методику проведення аудитів безпеки веб сайтів і веб додатків.

В даній добірці експлоіти в веб додатках:

• Beetel TC1-450 Airtel Wireless Router - Multiple CSRF Vulnerabilities (деталі)
• UPC Ireland Cisco EPC 2425 Router / Horizon Box (деталі)
• PineApp MailSecure - Remote Command Execution Vulnerability (деталі)
• DesktopCentral AgentLogUpload Arbitrary File Upload Vulnerability (деталі)
• NETGEAR ReadyNAS Perl Code Evaluation Vulnerability (деталі)

На початку року я вже писав про Denial of Service уразливість в Adobe Flash. Тоді уразливість стосувался останньої на той момент версій Flash плагіна 11.5.502.146 і була приховано виправлена Адобом в своєму патчі APSB13-05. Компанія тоді з’їхала, що під час виправлення іншої дірки вони “випадково” виправили мою дірку (але враховуючи, що за 1,5 місяці тестування вони не змогли відтворити її на своїх комп’ютерах, то вони списали це на баг драйверів AMD/ATI, тому заявили, що ця дірка їх не стосується).

На початку грудня, зокрема 09.12.2013, я виявив новий DoS в Flash, що призводить до зависання ОС. Ця Denial of Service уразливість в Adobe Flash може бути повністю новою діркою, або мати відношення до попередньої DoS (коли Адоб в нових версіях Флеша “відновила” її). Дана DoS спрацьовує при перегляді відео через флеш плагін і призводить до краху операційної системи (BSOD). Про що найближчим часом повідомлю розробникам додатку. На протязі всього місяця у мене зависає ОС при перегляді відео у флеші на ПК з відеокартою AMD/ATI (перевіряв на різних комп’ютерах).

На відміну від попередньої DoS уразливості, нова дірка працює в більшій кількості браузерів і навіть на різних ОС. А також вона працює по суті в усіх флеш відео плеєрах - на будь-яких сайтах, в тому числі на YouTube (не вимагаючи флешки VideoJS, як попередня).

Denial of Service:

Це memory corruption (access violation) уразливість. Яка може використовуватися для краху системи та потенційно для віддаленого виконання коду. Ось відео демонстрація:

DoS in Adobe Flash (BSOD)

У відео-ролику показаний сайт з JW Player (але зависання ОС відбуваються на будь-яких флеш відео плеєрах). На Windows XP частіше відбувається повне зависання ПК, а BSOD виводиться лише у 5% випадків. А на Windows 7 BSOD має місце у 85%.

Атака працює в браузерах Firefox (на XP зависання або BSOD може відбутися з першого, а може і не з першого разу). У Mozilla Firefox 3.0.19, 10.0.7 ESR, 15.0.1 і 26 - зависання браузера і BSOD системи.

Уразливі Adobe Flash 11.9.900.152 та 11.9.900.170 (остання версія) для Windows та Flash 11.2.202.332 для Linux (остання версія для цієї ОС). На Linux (Ubuntu 13.04) 100% завантаження CPU, а на Windows (XP і 7) - зависання ОС.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://ukrkondprom.com.ua (хакером Holy Lycans) - 23.12.2013, зараз сайт вже виправлений адмінами
• http://wdk.dn.ua (хакером Cellatreis) - 23.12.2013, зараз сайт вже виправлений адмінами
• http://maryfoto.kh.ua (хакером Cellatreis)
• http://yuventadance.com.ua (хакером Holy Lycans) - 24.12.2013, зараз сайт вже виправлений адмінами
• http://rpsnab.com.ua (хакером Cellatreis)

Також виявив, що сайти book.rekord.gov.ua, gprda.gov.ua і che.gov.ua, які вже були похакані в цьому році, взломані повторно. У них там явно “день відкритих дверей” .