Websecurity - Веб безпека

У вересні, 11.09.2013, вийшла нова версія WordPress 3.6.1.

WordPress 3.6.1 це секюріті та багфікс випуск нової 3.6 серії. В якому розробники виправили декілька уразливостей і 13 багів. Причому окрім трьох дірок, вони зробили одне покращення безпеки (security hardening) в аплоадері, не зараховуючи його до виправлень уразливостей (як це вони полюбляють робити), хоча це також уразливість. До того ж виправлення в аплоадері лише часткові: вони передовсім стосуються обмежених акаунтів, а через акаунт адміна все ще можна проводити атаки.

Стосовно покращення безпеки, то були виправлені наступні уразливості: Remote Code Execution через небезпечну десеріалізацію PHP, Link Injection (Open Redirect) та Privilege Escalation. А також оновлені секюріті обмеження в аплоадері для протидії Cross-Site Scripting атакам.

В даній добірці експлоіти в веб додатках:

• Synology DiskStation Manager (DSM) 4.3-3776 - Multiple Vulnerabilities (деталі)
• Router ONO Hitron CDE-30364 - CSRF Vulnerability (деталі)
• Belkin G Wireless Router Firmware 5.00.12 - RCE PoC (деталі)
• SPIP connect Parameter PHP Injection Vulnerability (деталі)
• Firefox XMLSerializer Use After Free Vulnerability (деталі)

17.07.2013

У липні, 14.07.2013, я знайшов Cross-Site Scripting та Redirector уразливості в InstantCMS. Про що найближчим часом повідомлю розробникам системи.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

17.09.2013

Cross-Site Scripting (WASC-08):

GET запит до http://site/modules/mod_template/set.php з вказанням заголовку Referer.

Referer: data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

Redirector (URL Redirector Abuse) (WASC-38):

GET запит до http://site/modules/mod_template/set.php з вказанням заголовку Referer.

Referer: http://websecurity.com.ua

Вразливі InstantCMS 1.10.2 та попередні версії.

Дані уразливості досі не виправлені.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://donpfu.gov.ua - інфікований державний сайт - інфекція була виявлена 02.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://poiskuha.com.ua - інфекція була виявлена 02.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://real1.com.ua - інфекція була виявлена 02.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://papovs.com.ua - інфекція була виявлена 03.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://informax.kiev.ua - інфекція була виявлена 02.07.2013. Зараз сайт не входить до переліку підозрілих.

В даній добірці уразливості в веб додатках:

• Multiple vulnerabilities in BMC SERVICE DESK EXPRESS (SDE) Version 10.2.1.95 (деталі)
• XSS Vulnerabilities in OpenCms (деталі)
• Little CMS vulnerability (деталі)
• Verax NMS Password Replay Attack (деталі)
• Verax NMS Authenication Bypass (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах VideoWhisper, Post-Gallery та Simple Login Registration. Для котрих з’явилися експлоіти. VideoWhisper - це плагін для трансляції відео, Post-Gallery - це плагін для створення галерей, Simple Login Registration - це форма реєстрації та логіна.

• WordPress Video Whisper Cross Site Scripting (деталі)
• WordPress Post-Gallery Cross Site Scripting (деталі)
• WordPress Simple Login Registration 1.0.1 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

За повідомленням www.xakep.ru, Google знає майже всі WiFi-паролі у світі.

Якщо ваш Android-пристрій (смарфтон чи планшет) коли-небудь авторизувався в якому-небудь WiFi-хотспоті, то з великою імовірністю пароль від хотспота став відомий також і компанії Google. З огляду на те, як багато “андроїдів” ходить по світу, можна припустити, що в Google є доступ практично до всіх запаролених точок доступу у світі.

Починаючи з версії Android 2.2 операційна система сконфігурована за замовчуванням на автоматичний бекап налаштувань системи. Серед налаштувань на сервери Google передаються також паролі від точок доступу в незашифрованому вигляді.

За повідомленням www.opennet.ru, більше 10% з мільйона найбільших веб сайтів небезпечні.

Компанія, що спеціалізується в області комп’ютерної безпеки, Sucuri опублікувала результати дослідження безпеки мільйона найбільших сайтів Мережі, представлених у рейтингу Alexa. Проаналізувавши дані сайти дослідники виявили, що 108781 з них (10,9%) мають явні проблеми з безпекою чи вже уражені шкідливим ПЗ.

Зокрема, 2% сайтів (18557) виявилися внесені у відомі чорні списки антивірусних компаній і пошукових систем. Цікаво, що Yandex заблокував помітно більше сайтів (2154 сайта), чим Google (357 сайтів). З антивірусних компаній з великим відривом лідирує McAfee, що заблокував 11 тисяч сайтів.

За повідомленням www.xakep.ru, ментальне стомлення: користувачі ігнорують до 70% попереджень у браузері.

Учені з університету Берклі разом з розробниками з Google опублікували результати дослідження зі статистикою по 25,4 мільйонів попереджень про загрози безпеки, показаних у браузерах Google Chrome і Mozilla Firefox у травні-червні 2013 року.

Як з’ясувалося, 15,1% користувачів не реагують на повідомлення про присутність шкідливого коду на сайті (7,1% аудиторії Firefox і 23,5% аудиторії Chrome).

Для попереджень про фішинг CTR складає 20,4%, тут найменш обережні користувачі під Linux (32,9%).

Найчастіше користувачі ігнорують попередження про невідповідність SSL-сертифіката: залишено без уваги 70,2% попереджень у Chrome і 33,0% попереджень у Firefox.

Продовжуючи розпочату традицію, після попереднього відео про BREACH проти HTTPS, пропоную нове відео на веб секюріті тематику. Цього разу відео про виконання коду в Internet Explorer. Рекомендую подивитися всім хто цікавиться цією темою.

MS13-009 Microsoft Internet Explorer SLayoutRun UAF Metasploit Demo

В даному відео ролику демонструється використання Metasploit Framework для проведення атаки на уразливість в Internet Explorer 8 (CVE-2013-0025). В Metasploit створюється і запускається експлоіт для IE, який призводить до віддаленого виконання коду в Internet Explorer 8 при відкритті сторінки з кодом експлоіту. Що дозволяє нападнику отримати контроль над атакованим комп’ютером.

Атака відбувається при відвідуванні в IE спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

В даній добірці експлоіти в веб додатках:

• D-Link Dir-505 devices Multiple Vulnerabilities (деталі)
• D-Link DSL-2740B Multiple CSRF Vulnerabilities (деталі)
• freeFTPd 1.0.10 (PASS Command) - SEH Buffer Overflow Vulnerability (деталі)
• dreamMail e-mail client v4.6.9.2 Stored XSS Vulnerability (деталі)
• Oracle Endeca Server Remote Command Execution Vulnerability (деталі)

У серпні, 22.08.2013, вийшли версії PHP 5.4.19 і PHP 5.5.3. В яких виправлені один баг (збій при компіляцїї з включеним ZTS) та одна уразливість. Дані релізи направлені на покращення безпеки та стабільності гілок 5.4.x і 5.5.x.

Серед секюріті виправлень в PHP 5.4.19 і PHP 5.5.3:

• Виправлений UMR в патчі для уразливості в OpenSSL модулі (CVE-2013-4248), що був зроблений в версіях PHP 5.4.18 і 5.5.2.

По матеріалам http://www.php.net.