Websecurity - Веб безпека

22.05.2013

У квітні, 14.04.2013, я знайшов Arbitrary File Uploading та Cross-Site Scripting уразливості в TinyMCE Image Manager плагіні для TinyMCE. Про що найближчим часом повідомлю розробникам веб додатку.

Раніше я вже писав про уразливості в TinyMCE Image Manager.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

18.07.2013

Arbitrary File Uploading (WASC-31):

Можлива атака через “1.asp” в імені папки. Це обхідний метод для виконання довільного коду на веб сервері IIS.

TinyMCE Image Manager AFU.html

Cross-Site Scripting (WASC-08):

Це persistent XSS на Linux/Unix та reflected XSS на Windows. Код спрацює одразу після відправки запиту на створення папки і в подальшому при запитах до коннектора (при будь-яких операціях, за виключенням створення папки з існуючим іменем).

TinyMCE Image Manager XSS.html

Уразливі TinyMCE Image Manager 1.1 та попередні версії.

З 04.11.2012 по 18.05.2013 відбувся сьомий масовий взлом сайтів на сервері Delta-X, після шостого взлому сайтів на сервері Delta-X. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сьомий сервер компанії Delta-X. Взлом складався з багатьох окремих дефейсів. 3 сайти були дефейснуті в 2012 році та 35 сайтів в 2013 році.

Всього було взломано 38 сайтів на сервері української компанії Delta-X (IP 91.206.200.120). Це наступні сайти: dianetica.org.ua, dimitrov-rada.gov.ua, www.budivel-energy.com.ua, www.kremdruk.com.ua, alve.com.ua, newmebel.kiev.ua, xn--b1adem3b.zp.ua (двери.zp.ua), hlebopech.com, advokato.in.ua, www.vidradne.com.ua, www.rakushka.org.ua, www.lamontfaibvre.com, www.vyshka.com.ua, www.ecowood.rv.ua, energyclub.com.ua, lads.com.ua, gcard.com.ua, perha-ledi.com.ua, www.ecotour.com.ua, www.interpreter.kh.ua, stm-instrument.com.ua, autosvet.kiev.ua, princess.od.ua, southts.od.ua, vgcity.com.ua, sosna.kiev.ua, tresdias.net.ua, www.imperiasada.com.ua, www.uachina.org, nechaeva.dp.ua, gruzi.dp.ua, www.poskachey.com, www.handmaderabbit.org.ua, taxi-kiev.co.ua, www.akerman.com.ua, webservis.in.ua, korinv.org.ua, suzir.com.ua. Серед них український державний сайт dimitrov-rada.gov.ua.

Дефейси по одному сайту булу проведені хакерами dr.m1st3r, tn_hacker, Bangladesh Cyber Army, s13doeL, Joulex, Yildiray, Game Over, S4V4S, luckybag, 1923Turk, Dr.SHA6H, 7 сайтів хакером Hmei7, 6 сайтів хакером misafir та 14 сайтів хакером Sejeal.

Враховуючи велику кількість окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів.

Виявлені численні уразливості безпеки в Adobe ColdFusion.

Уразливі версії: Adobe ColdFusion 9.0, ColdFusion 10.

Виконання коду, DoS.

• Security update: Hotfix available for ColdFusion (деталі)
• Security update: Hotfixes available for ColdFusion (деталі)

В даній добірці уразливості в веб додатках:

• SAP Enterprise Portal Cross-Site-Scripting (деталі)
• SAP J2EE Core Service Arbitrary File Access (деталі)
• Multiple Vulnerabilities in Saurus CMS 4.7.1 (деталі)
• Multiple Vulnerabilities in Telaen <= 1.3.0 (деталі)
• Local File Inclusion in Weathermap <= 0.97C (деталі)

Продовжуючи розпочату традицію, після попереднього відео про витік httpOnly кукі в Apache, пропоную нове відео на веб секюріті тематику. Цього разу відео про експлоіт для Internet Explorer. Рекомендую подивитися всім хто цікавиться цією темою.

CVE-2013-2551 MS13-037 Internet Explorer Vulnerability Metasploit Demo

В даному відео ролику демонструється використання Metasploit Framework для проведення атаки на уразливість в Internet Explorer 6, 7, 8, 9 і 10. В Metasploit створюється і запускається експлоіт для IE, який призводить до віддаленого виконання коду в Internet Explorer при відкритті сторінки з кодом експлоіту. Що дозволяє нападнику отримати контроль над атакованим комп’ютером.

Атака відбувається при відвідуванні в IE спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

Виявлені численні уразливості безпеки в Adobe Shockwave Player.

Уразливі продукти: Adobe Shockwave Player 12.0.

Пошкодження пам’яті, виконання коду.

• Security update available for Adobe Shockwave Player (деталі)

В даній добірці експлоіти в веб додатках:

• McAfee ePO 4.6.6 - Multiple Vulnerabilities (деталі)
• Remote Desk Top denial of service vulnerability (perl & python) (деталі)
• OpenSSH 6.0p1 Backdoor Patch 1.2 Vulnerability 0day (деталі)
• HP Intelligent Management Center UAM Buffer Overflow Vulnerability (деталі)
• Squid 3.3.5 Denial Of Service Vulnerability (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://vodgosp.if.ua - інфікований державний сайт - інфекція була виявлена 19.05.2013. Зараз сайт не входить до переліку підозрілих.
• http://upszn-sumy.gov.ua - інфікований державний сайт - інфекція була виявлена 01.06.2013. Зараз сайт не входить до переліку підозрілих.
• http://alupro.ua - інфекція була виявлена 15.07.2013. Зараз сайт входить до переліку підозрілих.
• http://volynnews.com - інфекція була виявлена 21.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://regional.com.ua - інфекція була виявлена 05.07.2013. Зараз сайт не входить до переліку підозрілих.

Виявлені численні уразливості безпеки в Adobe Flash Player.

Уразливі продукти: Adobe Flash Player 11.7, AIR 3.7.

Численні пошкодження пам’яті, виконання коду.

• Security updates available for Adobe Flash Player (деталі)
• Security updates available for Adobe Flash Player (деталі)
• Security updates available for Adobe Flash Player (деталі)

У липні, 15.07.2013, я знайшов Denial of Service, XML Injection, Cross-Site Scripting та Full path disclosure уразливості в Googlemaps плагіні для Joomla. Про що найближчим часом повідомлю розробникам веб додатку.

Denial of Service (WASC-10):

http://site/plugins/content/plugin_googlemap2_proxy.php?url=site2/large_file

Окрім проведення DoS атак вручну, також можна проводити автоматизовані DoS і DDoS атаки з використанням DAVOSET.

XML Injection (WASC-23):

http://site/plugins/content/plugin_googlemap2_proxy.php?url=site2/xml.xml

Можна включати зовнішні xml-файли. Що також може бути використано для XSS атаки:

XSS via XML Injection (WASC-23):

http://site/plugins/content/plugin_googlemap2_proxy.php?url=site2/xss.xml

Cross-Site Scripting (WASC-08):

http://site/plugins/content/plugin_googlemap2_proxy.php?url=%3Cbody%20onload=alert(document.cookie)%3E

Full path disclosure (WASC-13):

http://site/plugins/content/plugin_googlemap2_proxy.php

Окрім plugin_googlemap2_proxy.php, також трапляється plugin_googlemap3_proxy.php (але він має інший шлях на сайтах).

Уразливі Googlemaps plugin for Joomla версії 2.x, 3.x та потенційно попередні версії. В новій версії DAVOSET я додам чимало сайтів з цим Googlemaps плагіном.