Websecurity - Веб безпека

За повідомленням www.opennet.ru, образи Fedora Linux для хмарних систем створювалися c порожнім паролем для активного акаунта root.

Розробники проекту Fedora повідомили про виявлення уразливості в інструментарії livecd-tools, що приводила до створення образів хмарних оточень з порожнім паролем користувача root, без встановлення ознаки блокування даного акаунта.

Локальний користувач оточення, у тому числі створюваний за замовчуванням, міг дістати права користувача root, виконавши su без уведення пароля. Проблема посилюється тим, що вона торкнулася офіційних AMI-образів Fedora 15, 16, 17 і 18, підготовлених для хмарного сервісу Amazon.

За повідомленням www.xakep.ru, криптовалюти змінили обстановку в сфері ІТ-безпеки.

Директор по розробках компанії F-Secure, відомий фахівець з безпеки Мікко Хіппонен пояснив, чому зростаюча популярність криптовалют безпосередньо впливає на захист комп’ютерних систем.

Раніше ботнети розсилали спам чи брали участь у DDoS-атаках. А через поширення кібервалют таких як Bitcoin та Litecoin з’явився тип зловмисників із принципово новими задачами: встановити на комп’ютері користувача програму, що ніяк не буде себе виявляти, ніяк не буде взаємодіяти з користувачем, не буде красти конфіденційну інформацію і т.д., тільки тихо майніти біткоіни у фоновому режимі.

Я вже писав про випадки нелегального майнінга біткоінів. Останнім часом це стало актуальним.

За повідомленням ain.ua, в чернівецькій області шахраї “відмили” майже $4 млн. через електронні гаманці.

Співробітники Міндоходів Чернівецької області виявили і ліквідували схему ухилення від податків за допомогою використання новітніх інтернет-технологій. З використанням електронних гаманців група осіб за 2011-2013 роки здійснила оборот коштів на загальну суму більш $3,5 млн., 1,5 млн. руб і 2,5 млн. грн. Під час обшуку співробітники правоохоронних органів також вилучили “конвертовану” готівку на суму понад $10000.

А перед цим випадком податківці припинили діяльність іншого підприємства. У київській області підприємство незаконно конвертувало 70 млн. грн. із використанням системи електронних грошей. Цього року податкова активізувала свою діяльність в сфері електронних грошей.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Securimage, Newsletter та wp-FileManager. Для котрих з’явилися експлоіти. Securimage - це капча-плагін, Newsletter - це плагін для створення емайл розсилань, wp-FileManager - це плагін для управління файлами.

• WordPress Securimage 3.2.4 Cross Site Scripting (деталі)
• Wordpress Newsletter 3.2.6 Cross Site Scripting (деталі)
• WordPress wp-FileManager File Download (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Минулого тижня відбувся взлом drupal.org та groups.drupal.org. Як мінімум наприкінці травня адміни цих сайтів виявили сліди компрометації ресурсів.

Про це я дізнався 30.05.2013 від представників Drupal. Так що я отримав цю інформацію не з онлайн ЗМІ, а саме від власників сайта drupal.org. Бо ще на початку минулого року я зареєструвався на цьому сайті, коли повідомляв стосовно дірки в одному з модулів. От ця реєстрація і стала в нагоді, щоб отримати термінове повідомлення від адміністрації сайтів.

Цей підхід може служити таким собі методом відстеження взломів сайтів . Я користуюся ним багато років. Коли сайт, на якому ти зареєструвався, буде взломаний, то ти отримаєш повідомлення про це від адмінів (якщо вони чесні), або прийде повідомлення, що вони “з будь-яких міркувань” вирішили змінити паролі всім користувачам (якщо вони бояться признатися про взлом свого ресурсу). Або тобі на емайл почне активно приходити спам (при тому, що є впевненість, що самі власники ресурсу не продали базу емайлів спамерам). З першими ситуаціями стикався рідко, а от з другими ситуаціями стикався неодноразово.

Чи були в мене сумніви, що сайт Друпала взломають? Не було жодних. Тому жодної приватної чи важливої інформації я не залишив на сайті (як це я завжди і роблю). Не залишайте приватної інформації на різних сайтах і при їх взломі й витоку БД, ви не постраждаєте - це моя порада. А Друпальщики радять всім користувачам цих ресурсів зайти на сайти і оновити паролі через відповідний функціонал та рекомендують використовувати надійні паролі (та інші базові поради). Тобто роблять хорошу міну, при поганій грі.

В даній добірці уразливості в веб додатках:

• Snare for Linux Password Disclosure (деталі)
• SQL Injection in b2evolution (деталі)
• Snare for Linux Cross-Site Request Forgery (деталі)
• Multiple Cross-Site Scripting (XSS) vulnerabilities in GetSimple CMS (деталі)
• Snare for Linux Cross-Site Scripting via Log Injection (деталі)
• Vulnerabilities in phpmyadmin (деталі)
• unity-firefox-extension vulnerability (деталі)
• hornbill supportworks SQL injection (деталі)
• Security Notice for CA IdentityMinder (деталі)
• Enterpriser16 LoadBalancer v7.1 - Multiple Web Vulnerabilities (деталі)

В даній добірці експлоіти в веб додатках:

• TP-Link IP Camera Hardcoded Credentials / Command Injection (деталі)
• MayGion IP Camera Path Traversal / Buffer Overflow (деталі)
• Zavio IP Camera Command Injection / Bypass Vulnerabilities (деталі)
• Lianja SQL 1.0.0RC5.1 db_netserver Stack Buffer Overflow Vulnerability (деталі)
• Apache Struts includeParams Remote Code Execution (деталі)

Продовжуючи розпочату традицію, після попереднього відео про фазінг онлайнових ігор, пропоную нове відео на веб секюріті тематику. Цього разу відео про хакінг MMORPG для забави та прибутку. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 19: Hacking MMORPGs for Fun and Mostly Profit

Два роки тому на конференції DEFCON 19 відбувся виступ Josh Phillips та Mike Donnelly. В своєму виступі вони розповіли про взлом Massively multiplayer online role-playing game (MMORPG). Коли знаходяться уразливості на серверній чи клієнтській частини MMORPG, які використовуються для різних атак, зокрема фінансового характеру (як то для збільшення внутрішньо ігрової валюти, яку нерідко можна конвертувати в реальні гроші). Дане відео продовжує тему взлому онлайнових ігор.

Вони розповіли про реверсивну інженерію клієнтів та протоколів MMORPG на прикладі популярних ігор. Рекомендую подивитися дане відео для розуміння сучасних атак на Інтернет ігри.

Виявлена можливість проведення DoS атаки проти ModSecurity.

Уразливі версії: ModSecurity 2.7.

Звертання по нульовому вказівнику за певних умов.

• [ModSecurity] Remote Null Pointer Dereference (деталі)

У травні, 25.05.2013, під час тестування сканерів бекдорів серед плагінів для WordPress, я виявив Full path disclosure та Security bypass уразливості в плагіні AntiVirus для WordPress. Про що вже сповістив розробника плагіна.

Це секюріті плагін для виявлення експлоітів та бекдорів в WordPress. Який не зміг виявити мій Backdoored Web Application (BWA) - еталонний тест для сканерів бекдорів.

Full path disclosure (WASC-13):

http://site/wp-content/plugins/antivirus/uninstall.php

Security bypass (WASC-31):

Даний обхід безпеки дозволяє включити php бекдор у веб сайт, що не буде знайдений цим плагіном. Всі деталі виявлення BWA даним плагіном та методи обходу описані в моїй статті про тестування сканерів бекдорів.

Вразливі AntiVirus for WordPress 1.0 та попередні версії. Версії від 1.1 до 1.3.4 все ще вразливі до Security bypass, але FPD була виправлена шляхом видалення uninstall.php в AntiVirus 1.1.

Торік відбувся масовий взлом сайтів на сервері Besthosting. Пізніше, в період 19.12.2012-07.02.2013, відбувся повторний масовий взлом цього ж сервера. Я періодично виявляю повторні взломи серверів і це черговий випадок.

Був взломаний сервер української компанії Besthosting. Взлом, що складався з декількох взломів, відбувся перед згаданим масовим взломом сайтів на сервері Hvosting.

Якщо першого разу було взломано 42 сайти, то цього разу було взломано 11 сайтів (з них 7 в 2012 році та 4 в 2013 році) на сервері української компанії Besthosting (IP 194.28.172.69). Це наступні сайти: romen-region.gov.ua, www.rdc.org.ua, www.auba.com.ua, www.lpbp.lviv.ua, hutir.net, vaspe.org, www.promix.lviv.ua, ugcc.zp.ua, www.zpk.zp.ua, www.znamenka.dn.ua, it-symphony.com. Серед них український державний сайт romen-region.gov.ua.

З зазначених 11 сайтів 1 сайт був взломаний хакерами з Kosova Hackers Crew, 1 сайт хакером Sejeal, 2 сайти хакером Hmei7 та 7 сайтів хакером EviLHaCk.

Якщо дефейси EviLHaCk могли бути проведені при взломі серверу хостінг провайдера (також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів). То інші дефейси явно були зроблені при взломах окремих сайтів.

06.04.2013

У лютому, 20.02.2013, я знайшов Insufficient Authorization та Arbitrary File Uploading уразливості в aCMS. Про що вже повідомив розробникам системи.

Раніше я вже писав про уразливості в aCMS.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

04.06.2013

Insufficient Authorization (WASC-02):

Немає обмежень на доступ до менеджера файлів і менеджера зображень.

http://site/assets/js/tiny_mce/plugins/filemanager/pages/fm/index.html
http://site/assets/js/tiny_mce/plugins/imagemanager/pages/im/index.html

Arbitrary File Uploading (WASC-31):

Плагіни MCFileManager і MCImageManager для TinyMCE, що використовуються в системі, вразливі до обхідних атак при завантаженні файлів. Що призводять до виконання коду на веб серверах IIS і Apache.

http://site/assets/js/tiny_mce/plugins/filemanager/pages/fm/index.html
http://site/assets/js/tiny_mce/plugins/imagemanager/pages/im/index.html

Код виконається через завантаженні файла. Перша програма вразлива до трьох методів виконання коду: через використання символа “;” (1.asp;.txt) в імені файла (IIS), через “1.asp” в імені папки (IIS), через подвійне розширення (1.php.txt) (Apache). Друга програма вразлива до двох методів виконання коду: через використання символа “;” (1.asp;.jpg) в імені файла (IIS), через подвійне розширення (1.php.jpg) (Apache).

Вразливі aCMS 1.0 та попередні версії.