Websecurity - Веб безпека

10.07.2013

У травні, 16.05.2013, я виявив Content Spoofing та Cross-Site Scripting уразливості в GDD FLVPlayer. Про що найближчим часом повідомлю розробникам веб додатку.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

23.08.2013

Content Spoofing (Flash Injection) (WASC-12):

http://site/gddflvplayer.swf?mylogo=http://site2/1.swf

http://site/gddflvplayer.swf?splashscreen=http://site2/1.swf

Можна включати флешки, в тому числі флешки з лінками.

XSS (через Flash Injection) (WASC-08):

http://site/gddflvplayer.swf?mylogo=xss.swf

http://site/gddflvplayer.swf?splashscreen=xss.swf

В старих версіях флеша атака спрацює з флешкою xss.swf на будь-яких доменах, а в нових версіях - лише на тому самому домені.

Content Spoofing (Content Injection) (WASC-12):

http://site/gddflvplayer.swf?mylogo=http://site2/1.jpg

http://site/gddflvplayer.swf?splashscreen=http://site2/1.jpg

http://site/gddflvplayer.swf?advert=http://site2/1.flv

http://site/gddflvplayer.swf?vdo=http://site2/1.flv

Включення зображень і програш відео та аудіо (flv, mp4 та mp3 файлів) з зовнішніх сайтів.

Content Spoofing (Link Injection) (WASC-12):

http://site/gddflvplayer.swf?clickTAG=http://websecurity.com.ua

http://site/gddflvplayer.swf?vdo=http://site2/1.flv&endclipaction=http://websecurity.com.ua

Уразливі GDD FLVPlayer v3.635 та попередні версії.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Comment Extra Fields, Booking Calendar та Usernoise. Для котрих з’явилися експлоіти. Comment Extra Fields - це плагін для додавання нових полів в форму коментарів, Booking Calendar - це плагін для створення календаря замовлень, Usernoise - це контактна форма.

• WordPress Comment Extra Fields 1.7 CSRF / XSS (деталі)
• Booking Calendar 4.1.4 Cross Site Request Forgery (деталі)
• WordPress Usernoise 3.7.8 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В березні відбувся новий масовий взлом сайтів на сервері HostPro. Він тривав на протязі 12.03.2013-26.05.2013. Дев’ятий масовий взлом сайтів на сервері HostPro відбувся раніше.

Був взломаний сервер української компанії HostPro. Взлом складався з трьох невеликих дефейсів і одного крупного дефейса сайтів.

Всього було взломано 290 сайтів на сервері хостера HostPro (IP 80.91.189.17). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти rayrada.gov.ua та dity-zhitomir.gov.ua.

З зазначених 290 сайтів 287 сайтів були взломані хакерами з islamic ghosts team, 1 сайт хакерами з BD GREY HAT HACKERS, 1 сайт хакером Hmei7 та 1 сайт хакером s13doeL.

Якщо невеликі дефейси по одному сайту явно були зроблені при взломах окремих сайтів, то стосовно одного великого дефейсу islamic ghosts team можна сказати, що враховуючи дефейс 287 сайтів за один день, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

В даній добірці експлоіти в веб додатках:

• Sitecom N300/N600 Devices - Multiple Vulnerabilities (деталі)
• Adobe ColdFusion 9 Administrative Login Bypass Vulnerability (деталі)
• Squash YAML Code Execution Vulnerability (деталі)
• Ruby on Rails Known Secret Session Cookie Remote Code Execution (деталі)
• Sami FTP 2.0.1 MKD Buffer Overflow Vulnerability (деталі)

Продовжуючи розпочату традицію, після попереднього відео про CRIME проти HTTPS, пропоную нове відео на веб секюріті тематику. Цього разу відео про BREACH проти HTTPS. Рекомендую подивитися всім хто цікавиться цією темою.

A BREACH beyond CRIME - Partial preview

Раніше я наводив відео стосовно BEAST і CRIME атак, а в даному відео ролику розповідається про використання BREACH атаки. Browser Reconnaissance & Exfiltration via Adaptive Compression of Hypertext (BREACH) - це методика та інструментарій для атаки на SSL/TLS протоколи, що дозволяє організувати перехоплення переданого в рамках зашифрованого з’єднання сесійних кукісів та секретних токенів.

У відео показане використання BREACH для отримання секретного токена. Даний інструментарій дешифрує переданий в рамках https-з’єднання CSRF-токен. Рекомендую подивитися дане відео для розуміння векторів атак через уразливість в SSL/TLS протоколах.

У серпні, 15.08.2013, вийшла версія PHP 5.4.18. В якій виправлено біля 30 багів та дві уразливості. А 16.08.2013 вийшла версія PHP 5.5.2. В якій виправлено біля 20 багів та дві уразливості. Дані релізи направлені на покращення безпеки та стабільності гілок 5.4.x і 5.5.x.

Серед секюріті виправлень в PHP 5.4.18 і PHP 5.5.2:

• Виправлена уразливість в XML parser (CVE-2013-4113) в PHP 5.4.18, що раніше була виправлена у версіях 5.3.27 і 5.5.1.
• Виправлена уразливість в OpenSSL модулі (CVE-2013-4248).
• Виправлена проблема з session fixation (CVE-2011-4718) в PHP 5.5.2.

Останнє секюріті покращення додає реалізацію захищених сесій в гілку PHP 5.5.x. Які дозволяють захиститися від атак по перехопленню фіксованих ідентифікаторів сесій і підбору ідентифікаторів через виявлення колізій в алгоритмах генерації ідентифікаторів сесій.

По матеріалам http://www.php.net.

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird та Seamonkey.

Уразливі продукти: Mozilla Firefox 22.0, Firefox ESR 17.0, Thunderbird 17.0, Thunderbird ESR 17.0, Seamonkey 2.19.

Пошкодження пам’яті, переповнення буфера, міжсайтовий доступ до даних, підміна інформації, міжсайтовий скриптінг, підвищення привілеїв, обхід захисту, DoS, виконання коду, витік інформації.

• Mozilla Foundation Security Advisory 2013-63 (деталі)
• Mozilla Foundation Security Advisory 2013-64 (деталі)
• Mozilla Foundation Security Advisory 2013-65 (деталі)
• Mozilla Foundation Security Advisory 2013-66 (деталі)
• Mozilla Foundation Security Advisory 2013-67 (деталі)
• Mozilla Foundation Security Advisory 2013-68 (деталі)
• Mozilla Foundation Security Advisory 2013-69 (деталі)
• Mozilla Foundation Security Advisory 2013-70 (деталі)
• Mozilla Foundation Security Advisory 2013-71 (деталі)
• Mozilla Foundation Security Advisory 2013-72 (деталі)
• Mozilla Foundation Security Advisory 2013-73 (деталі)
• Mozilla Foundation Security Advisory 2013-74 (деталі)
• Mozilla Foundation Security Advisory 2013-75 (деталі)

В даній добірці уразливості в веб додатках:

• FOSCAM IP-Cameras Improper Access Restrictions (деталі)
• Multiple CSRF vulnerabilities on Foscam IP cameras web UI (деталі)
• Multiple Vulnerabilities in Exponent CMS (деталі)
• Vulnerabilities in otrs (деталі)
• Multiple Vulnerabilities in OpenX (деталі)

У грудні, 06.12.2012, я знайшов Remote HTML Include та Remote XSS Include (Cross-Site Scripting) уразливості в Avaya IP Office Customer Call Reporter. Про що вже повідомив розробникам.

Спочатку я ще у грудні й січні повідомив ZDI про інші критичні уразливості в цьому продукті Avaya (про них я напишу пізніше, зараз наведу ці дірки). ZDI повільно відповідали і лише робили вигляд, що вони займаються цим питанням, лише у серпні активно взялися за справу, зв’язалися з Avaya, але ті не відповіли, тому ZDI відмовилися займатися цією справою. А у липні я повідомив розробникам (про ці дірки та інші критичні уразливості), але вони проігнорували моє повідомлення.

RHI (Frame Injection) (WASC-12):

http://site/CCRWebClient/Help/en-US/index.htm?//websecurity.com.ua

RXI (Cross-Site Scripting) (WASC-08):

http://site/CCRWebClient/Help/en-US/index.htm?//websecurity.com.ua/webtools/xss_r2.html

Вразливі Avaya IP Office Customer Call Reporter 8.0.9.13, 9.0.0.0 та попередні версії. Торік я перевірив у версії 8.0.9.13, а сьогодні в останній версії 9.0.0.0.

У червні, 18.06.2013, майже через місяць після виходу Google Chrome 27, вийшов Google Chrome 28.

В браузері зроблено декілька нововведень та виправлені помилки. Та збільшені мінімальні вимоги до Linux-систем.

А також виправлено 19 уразливостей, деякі з яких позначені як небезпечні. Це більше ніж у попередній версії браузера.

З виправлених проблем безпеки відзначаються проблеми звертання до вже звільнених блоків пам’яті (Use-after-free), обхід SOP при обробці фреймів, плутанина типів у движку v8 та інші уразливості.

• Релиз web-браузера Chrome 28 с повышением минимальных требований к Linux-системам (деталі)