Websecurity - Веб безпека

В даній добірці експлоіти в веб додатках:

• Fortigate Firewalls - CSRF Vulnerability (деталі)
• Barracuda SSL VPN 680Vx 2.3.3.193 - Script Injection Vulnerabilities (деталі)
• Seowonintech Remote Root Exploit (деталі)
• PCMan’s FTP Server 2.0.7 - Buffer Overflow Exploit (деталі)
• Carberp Web Panel C2 Backdoor Remote PHP Code Execution (деталі)

У версії WordPress 3.5.2 розробники виправили багато уразливостей, зокрема FPD при завантаженні файлів та XSS при інсталяції/оновленні плагінів або тем. Хоча дану XSS вони оформили як одну дірку, але це дві XSS уразливості (одна для плагінів, а інша для шаблонів).

Раніше я вже писав про XSS уразливості в WordPress.

Нещодавно, 01.07.2013, я дослідив дані Full path disclosure та Cross-Site Scripting уразливості.

Full path disclosure (WASC-13):

Має місце FPD при завантаженні файлів. Якщо не може закачатися файл в папку для закачки, то в повідомленні про помилку присутній повний шлях.

Cross-Site Scripting (WASC-08):

XSS має місце при інсталяції чи оновленні плагінів або тем. Якщо в імені файла чи папки плагіна або теми присутній XSS код, то він виконається при інсталяції чи оновленні цього плагіна або теми.

Уразливі версії WordPress 3.5.1 та попередні версії.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://cosmetique.com.ua - інфекція була виявлена 11.05.2013. Зараз сайт входить до переліку підозрілих.
• http://globalmarket.com.ua - інфекція була виявлена 30.06.2013. Зараз сайт не входить до переліку підозрілих.
• http://euro-group.com.ua - інфекція була виявлена 25.06.2013. Зараз сайт входить до переліку підозрілих.
• http://avant-ua.com - інфекція була виявлена 08.05.2013. Зараз сайт не входить до переліку підозрілих.
• http://rybalka.lutsk.ua - інфекція була виявлена 20.05.2013. Зараз сайт не входить до переліку підозрілих.

Виявлена можливість підміни сертифіката в Ruby.

Уразливі версії: Ruby 1.9.

Можливо обійти перевірку імені в сертифікаті.

• Vulnerability in Ruby (деталі)

В даній добірці уразливості в веб додатках:

• Multiple Vulnerabilities in D’Link DIR-615 - Hardware revision D3 / DIR-300 - Hardware revision A (деталі)
• Multiple Vulnerabilities in D’Link DIR-600 and DIR-300 (rev B) (деталі)
• HP Network Node Manager i (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Cross Site Scripting (XSS) (деталі)
• Qt vulnerabilities (деталі)
• Multiple Vulnerabilities in Edimax EW-7206-APg and EW-7209APg (деталі)

У версії WordPress 3.5.2 розробники виправили багато уразливостей, зокрема XSS при редагуванні медіа. Вони віднесли це не до дірок, а до “посилення безпеки”, але я вважаю це уразливостями. Хоча з опису це виглядає як одна XSS, але як я сьогодні вияснив, в формі редагування медіа є дві XSS уразливості (причому persistent XSS).

Раніше я вже писав про DoS уразливість в WordPress.

Cross-Site Scripting (WASC-08):

Це persistent XSS уразливості на сторінці http://site/wp-admin/post.php?post=1&action=edit в параметрах excerpt та content. Для атаки потрібно обійти захист від CSRF (отримати токен _wpnonce, що можна зробити з використанням reflected XSS).

WordPress 3.5.1 XSS-1.html

Код виконається одразу після відправлення запиту на сторінці http://site/wp-admin/post.php?post=1&action=edit та при подальшому відвідуванні цієї сторінки.

WordPress 3.5.1 XSS-2.html

Код виконається одразу після відправлення запиту на сторінці http://site/wp-admin/post.php?post=1&action=edit та при подальшому відвідуванні цієї сторінки або сторінки http://site/page_name/attachment/1/.

Уразливі версії WordPress 3.5.1 та попередні версії.

За повідомленням www.xakep.ru, в Opera украли сертифікат.

Opera Software повідомила, що 19 червня 2013 року виявлена цільова атака з проникненням у внутрішню мережу компанії. Зловмисникам удалося одержати “як мінімум один старий і прострочений сертифікат Opera для підпису коду”.

Таким чином, зловмисники змогли поширювати шкідливі програми за підписом Opera Software. Інцидент аналогічний крадіжці сертифіката Adobe у вересні 2012 року. Шкідлива програма була поміщена в автоапдейт браузера. По оцінці експертів, проблема торкнулася всього кілька тисяч користувачів по усьому світі.

За повідомленням ain.ua, МВС України оголосило війну кіберзлочинності.

Рівень кіберзлочинності в Україні неухильно зростає, чого не скажеш про статистику розкриття комп’ютерних злочинів.

Управління МВС по боротьбі з кіберзлочинністю повідомляє, що з 1 по 30 червня в більшості областей України буде проведена планова операція під умовною назвою “Трікстер” (від англійського trickster - ошуканець, ловкач). Ціль операції - активізація заходів щодо розкриття фактів шахрайства в мережі Інтернет.

Особливої користі від цього “кіберпідрозділу” для України не було. Але подивимося на результати їх нової операції .

За повідомленням www.xakep.ru, оновився список топ-10 уразливостей від OWASP.

Учасники проекту Open Web Application Security Project (OWASP) уже десять років складають список Топ-10 самих небезпечних уразливостей у веб додатках, намагаючись привернути увагу усіх веб розробників. На сайті OWASP кожна з уразливостей розбирається докладно.

OWASP Top 10 2013:

A1 Впровадження коду.
A2 Некоректна аутентифікація і керування сесією.
A3 Міжсайтовий скриптінг (XSS).
A4 Небезпечні прямі посилання на об’єкти.
A5 Небезпечна конфігурація.
A6 Витік чуттєвих даних.
A7 Відсутність контролю доступу до функціонального рівня.
A8 Підробка міжсайтових запитів (CSRF).
A9 Використання компонентів з відомими уразливостями.
A10 Невалідовані редіректи.

У червні, 20.06.2013, вийшов PHP 5.5.0. Вихід нової гілки PHP є значним покращенням 5.x серії, який включає багато нових функцій та виправлень багів.

Серед головних нововведень наступні: додані генератори та сопрограми, ключове слово finally, спрощене API для хешування паролів та багато інших нововведень в мові програмування.

В PHP 5.5.0 також додане розширення Zend OPcache, оновлена бібліотека GD до версії 2.1 та зроблено багато інших покращень і виправлень багів. Також починаючи з цієї версії зупинена підтримка Windows XP і 2003.

По матеріалам http://www.php.net.

В даній добірці експлоіти в веб додатках:

• Oracle WebCenter Sites Satellite Server - HTTP Header Injection (деталі)
• Apache Rave 0.11 - 0.20 - User Information Disclosure Vulnerability (деталі)
• Havalite CMS Arbitary File Upload Exploit (деталі)
• HP System Management Homepage JustGetSNMPQueue Command Injection (деталі)
• ZPanel 10.0.0.2 htpasswd Module Username Command Execution (деталі)

Нещодавно, Krzysztof опублікував Denial of Service уразливість в WordPress 3.5.1. Після того як він знайшов уразливість та проінформував розробників WP про неї, які проігнорували її, 07.06.2013 він оприлюднив деталі.

В WordPress була виявлена DoS уразливість. Що дозволяє проводити DoS атаки через кукіси до паролів постів і сторінок (якщо на сайті є хоча б один пост чи сторінка захищена паролем). Вже після оприлюднення деталей уразливості, розробники движка виправили її в версії WP 3.5.2.

Раніше я вже писав про Content Spoofing в TinyMCE та WordPress.

Denial of Service (WASC-10):

Уразливість наявна в class-phpass.php. Для паролів в постах і сторінках в останніх версіях WP розробники вирішили використати криптографію (зовнішній додаток PHPass). І при цьому допустили можливість передачі довільних значень в якості паролю, що може призвести до значного навантаження на сервер. В своєму адвізорі автор пропонує експлоіт та патч проти цієї уразливості.

• WordPress 3.5.1 Denial Of Service (деталі)

Уразливі версії WordPress 3.4 - 3.5.1.

P.S.

Враховуючи проблеми в роботі оригінального PoC, я розробив власний експлоіт для цієї DoS уразливості:

wordpress-dos.py