Websecurity - Веб безпека

Сьогодні вийшла нова версія програми DAVOSET v.1.0.6. В новій версії:

• Додав нові сервіси в list_full.txt.
• Покращив визначення сторінки при відправленні запитів.
• Виправив баг з ітератором $i при тестуванні списку.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

У версії 1.0.6 я додав list_full.txt, що окрім 20 сервісів з основного списку, має також 10 додаткових сервісів з AoF уразливостями.

Скачати: DAVOSET_v.1.0.6.rar.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://onika-tattoo.in.ua - інфекція була виявлена 12.06.2013. Зараз сайт входить до переліку підозрілих.
• http://ecopulse.org.ua - інфекція була виявлена 28.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://titrov.net - інфекція була виявлена 03.06.2013. Зараз сайт входить до переліку підозрілих.
• http://dosk.kiev.ua - інфекція була виявлена 06.06.2013. Зараз сайт не входить до переліку підозрілих.
• http://kovroline.com.ua - інфекція була виявлена 04.04.2013. Зараз сайт не входить до переліку підозрілих.

В даній добірці уразливості в веб додатках:

• Vulnerability in Cisco Prime LAN Management Solution (LMS) (деталі)
• Trimble Infrastructure GNSS Series Receivers Cross Site Scripting (XSS) vulnerability (деталі)
• DoS vulnerability in Squid (деталі)
• HP XP P9000 Command View Advanced Edition, Remote Denial of Service (DoS) (деталі)
• Fortinet FortiMail 400 IBE - Multiple Web Vulnerabilities (деталі)

Розмістив на сайті DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення атак на інші сайти (зокрема DoS і DDoS атак). Мій інструмент стане в нагоді при тестуванні Abuse of Functionality уразливостей і для доведення Інтернет спільноті небезпеки цих дірок. Що я намагався робити в своїх статтях в 2010 році та в описах уразливостей (починаючи з 2007 року), коли звертав увагу на подібні уразливості.

У липні 2010 року я розробив першу версію DAVOSET, а 18.07.2010 випустив версію 1.0.5, яку сьогодні й розмістив на сайті. Це остання версія мого інструменту DAVOSET. Після того я вже не займався його розробкою. Але зараз я планую продовжити розробку програми і випустити нові версії.

Три роки я тримав цей інструмент приватно, але зараз публікую його у відкритий доступ. Щоб всі бажаючи могли протестувати Abuse of Functionality уразливості на численних сайтах.

Так як в більшості випадків власники сайтів та веб розробники ігнорують і не виправляють їх. Що може бути використано для DoS атак як на інші сайти, так і на самі сайти з AoF уразливостями, про що я писав у статті Використання сайтів для атак на інші сайти.

У версії 1.0.5 присутній список list.txt з 20 уразливими сервісами на різних сайтах (про які я писав в новинах). Також існує більший список уразливих сервісів, до якого увійшли сайти, про які я писав в новинах вже після виходу цієї версії DAVOSET, і який я планую оприлюднити в наступній версії програми.

Скачати: DAVOSET_v.1.0.5.rar.

За повідомленням www.xakep.ru, Microsoft передає 0day-експлоіти владі до виходу патчів.

Інформаційне агентство Bloomberg опублікувало статтю про те, як різні ІТ-компанії - так звані “довірені партнери” - співробітничають зі спецслужбами і добровільно діляться інформацією. Окремо в статті називається компанія Microsoft.

Microsoft Corp., найбільший у світі розробник програмного забезпечення, надає розвідувальним агентствам інформацію про баги у популярному ПЗ до випуску виправлення у відкритий доступ, повідомили чиновники, знайомі з цим процесом. Цю інформацію можуть використовувати для захисту урядових комп’ютерів і доступу на комп’ютери терористів чи військового супротивника.

Про те, що Microsoft співробітничає зі спецслужбами, розмови йшли давно. І ось офіційне підтвердження - компанія надає їм 0day-експлоіти до своїх продуктів до офіційного випуску патчів.

За повідомленням ain.ua, за крадіжку $15 млн. у США затримані хакери, якими керували двоє киян.

Нещодавно федеральна прокуратура Нью-Джерсі висунула карні обвинувачення в спробі крадіжки $15 млн. із рахунків американських і закордонних банків проти вісьмох чоловік. Принаймні двоє з них - українці, й проживають у Києві.

Передбачається, що на чолі кіберзлочинної схеми стоїть 33-літній киянин Олексій Шарапка, якому допомагав Леонід Яновицкий 38-ми років, що також проживає в Києві. За словами прокурора Нью-Джерсі, на даний момент обоє знаходяться на волі. Кібершахрайська схема була спрямована на банки й урядові відомства в США.

За повідомленням www.xakep.ru, хостер Hetzner виявив бекдор.

Увечері 6 червня німецька хостінг-компанія Hetzner розіслала лист своїм клієнтам з повідомленням про інцидент із безпекою. На початку місяця співробітники Hetzner знайшли невідомий бекдор в одній із внутрішніх систем моніторингу. Негайно було організоване розслідування, яке виявило, що скомпрометовано також інтерфейс керування виділеними рут-серверами, а фрагмент клієнтської бази даних скопійований на віддалений ресурс.

Паролі користувачів хостера зберігаються у вигляді хешів SHA256 із сіллю. Крім паролів, у скомпрометованій базі даних була часткова інформація про платіжні карти: три останні цифри номера карти, тип карти і дата закінчення дії. Хоча паролі і захешовані, але користувачам хостінга пропонується терміново змінити паролі.

Про бекдор на серверах хостера Hostgator я вже писав раніше. Нещодавно також був взломаний Linode. Останнім часом взломи хостінг-провайдерів стали дуже поширеними.

В даній добірці експлоіти в веб додатках:

• Buffalo WZR-HP-G300NH2 Cross Site Request Forgery Vulnerability (деталі)
• ZPanel 10.0.0.2 Remote Command Execution Vulnerability (деталі)
• Xpient Cash Drawer Operation Vulnerability (деталі)
• Plesk Apache Zeroday Remote Exploit (деталі)
• Mac OSX Server DirectoryService Buffer Overflow (деталі)

Раніше я писав про DoS уразливість в браузері Firefox 14.0.1 знайдену Jean Pascal Pereira. І от дослідивши 07.04.2013 цю уразливість, я виявив, що багато інших браузерів також уразливі до даної атаки.

Тоді я виявив Denial of Service уразливості в Mozilla Firefox та Microsoft Internet Explorer. Вони відноситься до типу вибиваючих DoS та блокуючих DoS.

Атака відбувається через нескінченну рекурсію. Що призводить до споживання пам’яті комп’ютера.

DoS:

Моя версія експлоіта для різних браузерів.

Mozilla Firefox & IE DoS Exploit.html

Вибивання працює в Firefox 10.0.7 ESR та 15.0.1, але не працює в 3.0.19 та попередіх версіях. В Firefox 3.5.19 і 3.6.28, IE7 та IE8 лише підвисання.

Уразливі Mozilla Firefox 3.5.19, 3.6.28, 10.0.7 ESR, 15.0.1, Internet Explorer 7 (7.00.5730.13) та Internet Explorer 8 (8.00.6001.18702). А також повинні бути уразливими попередні версії даних браузерів і потенційно більш нові версії Firefox та Internet Explorer.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах ProPlayer, Flagallery-Skins та Spider Catalog. Для котрих з’явилися експлоіти. ProPlayer - це медіа плеєр, Flagallery-Skins - це плагін з шаблонами галерей, Spider Catalog - це плагін для створення каталогу.

• WordPress ProPlayer Plugin SQL Injection (деталі)
• Wordpress Flagallery-Skins SQL Injection (деталі)
• Spider Catalog 1.4.6 Cross Site Scripting / Path Disclosure / SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Окрім IP Location Finder та Whois Lookup та інших сервісів, про які я писав раніше, viewdns.info пропонує інші онлайн сервіси. Зокрема це Is My Site Down - сервіс для перевірки доступності сайта, та Google Pagerank Checker - сервіс перевірки PR.

За допомогою онлайнового сервісу Is My Site Down можна перевірити доступність сайта. Під час перевірки робиться резолвінг DNS, пінг, сканування 80 і 433 портів та запит до головної сторінки веб сайта.

Враховуючи Abuse of Functionality та Insufficient Anti-automation уразливості в цьому функціоналі, його можна буде використати для проведення DoS атак на інші сайти.

Про подібні уразливості я писав в статті Використання сайтів для атак на інші сайти. Також я писав про переваги даних атак.

Abuse of Functionality / Insufficient Anti-automation:

http://www.viewdns.info/ismysitedown/?domain=google.com

За допомогою онлайнового сервісу Google Pagerank Checker можна визначити PR сайта. Що знадобиться при SEO веб сайтів.

Так само як і раніше згадані сервіси, дані онлайн інструменти від viewdns.info є безкоштовними.

В даній добірці уразливості в веб додатках:

• Nero MediaHome Multiple Remote DoS Vulnerabilities (деталі)
• Webrevelation SQL Injection Vulnerability (деталі)
• VMware View Connection Server Directory Traversal (деталі)
• Facebook for Android - Information Diclosure Vulnerability (деталі)
• VMware security updates for vCSA and ESXi (деталі)
• Cisco Linksys Remote Preauth 0day Root Exploit (деталі)
• HP Serviceguard on Linux, Remote Denial of Service (DoS) (деталі)
• Axway Secure Messenger Username Disclosure (деталі)
• DELL SonicWALL GMS/Viewpoint/Analyzer Authentication Bypass (/appliance/) (деталі)
• DELL SonicWALL GMS/Viewpoint/Analyzer Authentication Bypass (/sgms/) (деталі)