Websecurity - Веб безпека

У грудні місяці Microsoft випустила 11 патчів. Що більше ніж і у лиспопаді.

У грудневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 11 бюлетенів по безпеці. Що закривають 24 уразливості в програмних продуктах компанії. П’ять патчів закривають критичні уразливості та шість патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1 та RT 8.1. А також Microsoft Office, Internet Explorer, Exchange, Visual Studio, SharePoint та ASP.NET SignalR.

В даній добірці уразливості в веб додатках:

• WowzaMediaServer SecureToken bypass (and worse) (деталі)
• WowzaMediaServer StorageDir escape (regression) (деталі)
• drupal6 security update (деталі)
• Multiple Reflected XSS vulnerabilities in BoltWire <= v3.5 (деталі)
• Multiple Vulnerabilities in Uebimiau <= 2.7.11 (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах e-Commerce Payment Gateways Caller, DailyDeal та GeoPlaces. Для котрих з’явилися експлоіти. e-Commerce Payment Gateways Caller - це плагін для роботи з платіжними шлюзами, DailyDeal - це тема движка, GeoPlaces - це тема движка.

• WordPress e-Commerce Payment Gateways Caller Local File Inclusion (деталі)
• WordPress DailyDeal Theme Shell Upload (деталі)
• WordPress GeoPlaces 4.x Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після початку революційних подій в Україні наприкінці листопада, в Уанеті відбулося багато DoS і DDoS атак, про які я писав. Також в грудні відбулося чимало взломів сайтів та акаунтів в соціальних мережах, що безпосередньо пов’язані з політичними подіями в Україні.

Серед грудневих взломів:

Хакери Anonymous взломали сайти: economy.cg.gov.ua, cg.gov.ua, bahadm.cg.gov.ua, borzadm.cg.gov.ua, bobradm.cg.gov.ua, varadm.cg.gov.ua, koradm.cg.gov.ua, pladm.cg.gov.ua, goradm.cg.gov.ua, ichadm.cg.gov.ua, kozadm.cg.gov.ua, kpadm.cg.gov.ua, kuladm.cg.gov.ua, meadm.cg.gov.ua, neadm.cg.gov.ua, novgadm.cg.gov.ua, nosadm.cg.gov.ua, rpadm.cg.gov.ua, semadm.cg.gov.ua, sosadm.cg.gov.ua, sribadm.cg.gov.ua, taladm.cg.gov.ua, schorsadm.cg.gov.ua, chadm.cg.gov.ua.

Anonymous compromised several Ukrainian government servers in retaliation to the government brutality toward its people.

Взлом хакерами Anonymous поштового сервера mail.voladm.gov.ua і великої кількості поштових скриньок працівників державних органів. Після того, як вони отримали доступ до Єдиного Державного Реєстру Виборців України (наприкінці 2012 року).

Ukraine government emails leaked! @gov.ua accounts and gov databases.

Ці хакери зробили багато різних взломів (поштових скриньок і серверів та мобільних пристроїв таких високопосадовців як Рибак і Захарченко) на замовлення Ігоря Калетника - першого заступника Голови Верховної Ради України. Але той їх кинув і не оплатив роботу, тому вини вирішили оприлюднити цю інформацію.

Також були взломані Twitter акаунт Юрія Луценка (@Lutsenko_Yuri) та пошта, твіттер і ФБ-акаунт його прес-секретаря Лариси Сарган.

Виявлена Cross-Site Scripting уразливість у бібліотеці Microsoft SignalR.

Уразливі продукти: Microsoft ASP.NET SignalR 2.0, Visual Studio Team Foundation Server 2013.

Міжсайтовий скриптінг в транспорті Forever Frame.

• Microsoft Security Bulletin MS13-103 - Important Vulnerability in ASP.NET SignalR Could Allow Elevation of Privilege (2905244) (деталі)

В даній добірці експлоіти в веб додатках:

• D-Link DSR Router Series - Remote Root Shell Exploit (деталі)
• Cisco EPC3925 - Cross Site Request Forgery (деталі)
• vBulletin v4.x.x and 5.х.x Shell Upload / Remote Code Execute (0day) (деталі)
• Supermicro Onboard IPMI close_window.cgi Buffer Overflow Vulnerability (деталі)
• DeepOfix 3.3 SMTP Authentication Bypass Vulnerability (деталі)

У лютому, 02.02.2013, я виявив Content Spoofing та Cross-Site Scripting уразливості в плагінах для WordPress, Joomla і Plone, що містять Dewplayer. Раніше я писав про уразливості в Dewplayer.

Це дуже поширена флешка, що знаходиться на сотнях тисяч веб сайтів і яка використовується в багатьох веб додатках. При стандартному пошуку Dewplayer через Гугл дорки виводиться 422000 сайтів (і це лише для флешки dewplayer.swf, а ще інші імена файлів цього плеєра).

Цей флеш медіа плеєр в наступних плагінах: Dewplayer WordPress plugin, JosDewplayer і mosdewplayer для Joomla та collective.dewplayer для Plone. Також можуть бути інші плагіни з Dewplayer.

Наявність конкретної CS та XSS уразливості залежить від версії плеєра, що постачається з конкретним плагіном. При цьому адмін сайта може встановити більш нову версію флешки ніж та, що постачається з плагіном.

Dewplayer для WordPress:

З плагіном постачаються наступні флешки: dewplayer.swf, dewplayer-mini.swf, dewplayer-multi.swf. Вони всі мають CS дірки.

Content Spoofing (Content Injection) (WASC-12):

http://site/wp-content/plugins/dewplayer-flash-mp3-player/dewplayer.swf?mp3=1.mp3
http://site/wp-content/plugins/dewplayer-flash-mp3-player/dewplayer.swf?file=1.mp3
http://site/wp-content/plugins/dewplayer-flash-mp3-player/dewplayer.swf?sound=1.mp3
http://site/wp-content/plugins/dewplayer-flash-mp3-player/dewplayer.swf?son=1.mp3

Full path disclosure (WASC-13):

http://site/wp-content/plugins/dewplayer-flash-mp3-player/dewplayer.php

JosDewplayer і mosdewplayer:

Плагін JosDewplayer базується на mosdewplayer, тому дірки в них мають збігатися.

З плагіном постачаються наступні флешки: dewplayer.swf, dewplayer-multi.swf, dewplayer-playlist.swf, dewplayer-rect.swf. Вони всі мають CS дірки.

http://site/plugins/content/josdewplayer/dewplayer.swf

collective.dewplayer:

З плагіном постачаються наступні флешки: dewplayer-mini.swf, dewplayer.swf, dewplayer-multi.swf, dewplayer-rect.swf, dewplayer-playlist.swf, dewplayer-bubble.swf, dewplayer-vinyl.swf. Всі ці флешки мають CS, а dewplayer-vinyl.swf ще і XSS дірки.

Шлях на сайті може бути різним:

http://site/files/++resource++collective.dewplayer/dewplayer.swf

Content Spoofing (Content Injection) (WASC-12):

http://site/path/dewplayer.swf?mp3=1.mp3

XSS (WASC-08):

http://site/path/dewplayer-vinyl.swf?xml=xss.xml

Вразливі наступні веб додатки: Dewplayer WordPress plugin 1.2 і попередні версії, JosDewplayer 2.0 і попередні версії, всі версії mosdewplayer, collective.dewplayer 1.2 і попередні версії.

Вразливі веб додатки, що використовують Dewplayer 2.2.2 і попередні версії.

Виявлені численні уразливості безпеки в Google Chrome та Chromium.

Уразливі продукти: Google Chrome 31.0, Chromium 31.0.

Підміна адреси, пошкодження пам’яті, переповнення буфера.

• chromium-browser security update (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://tvds.org.ua - інфекція була виявлена 24.10.2013. Зараз сайт не входить до переліку підозрілих.
• http://terrawoman.com - інфекція була виявлена 21.10.2013. Зараз сайт не входить до переліку підозрілих.
• http://terrawoman.ua - інфекція була виявлена 21.10.2013. Зараз сайт не входить до переліку підозрілих.
• http://terrawoman.com.ua - інфекція була виявлена 21.10.2013. Зараз сайт не входить до переліку підозрілих.
• http://vsekommentarii.com - інфекція була виявлена 24.12.2013. Зараз сайт не входить до переліку підозрілих.

Виявлена можливість виконання коду в Microsoft SharePoint.

Уразливі продукти: Microsoft SharePoint 2010, SharePoint 2013, Office Web Apps 2013.

Можливе виконання коду при можливості впровадження даних у сторінку SharePoint.

• Microsoft Security Bulletin MS13-100 - Important Vulnerabilities in Microsoft SharePoint Server Could Allow Remote Code Execution (2904244) (деталі)