Websecurity - Веб безпека

Виявлені численні уразливості безпеки в Mozilla Firefox та Thunderbird.

Уразливі продукти: Mozilla Firefox 20.0, Firefox ESR 17.0, Thunderbird 17.0.

Пошкодження пам’яті, використання після звільнення, підвищення привілеїв, витік інформації.

• Mozilla Foundation Security Advisory 2013-41 (деталі)
• Mozilla Foundation Security Advisory 2013-42 (деталі)
• Mozilla Foundation Security Advisory 2013-43 (деталі)
• Mozilla Foundation Security Advisory 2013-44 (деталі)
• Mozilla Foundation Security Advisory 2013-45 (деталі)
• Mozilla Foundation Security Advisory 2013-46 (деталі)
• Mozilla Foundation Security Advisory 2013-47 (деталі)
• Mozilla Foundation Security Advisory 2013-48 (деталі)

В даній добірці експлоіти в веб додатках:

• HP LaserJet Pro P1606dn - Webadmin Password Reset (деталі)
• YeaLink IP Phone Firmware <=9.70.0.100 Unauthenticated Phone Call Vulnerability (деталі)
• TP-LINK WR842ND Remote Multiple SSID Directory Travesal Exploit (деталі)
• Intrasrv Simple Web Server 1.0 SEH based Remote Code Execution BOF (деталі)
• Monkey HTTPD 1.1.1 - Crash PoC (деталі)

У травні, 25.05.2013, під час тестування сканерів бекдорів серед плагінів для WordPress, я виявив Full path disclosure та Security bypass уразливості в плагіні Exploit Scanner для WordPress. Про що вже сповістив розробника плагіна.

Це секюріті плагін для виявлення експлоітів та бекдорів в WordPress. Який не зміг виявити мій Backdoored Web Application (BWA) - еталонний тест для сканерів бекдорів.

Full path disclosure (WASC-13):

http://site/wp-content/plugins/exploit-scanner/exploit-scanner.php

Security bypass (WASC-31):

Даний обхід безпеки дозволяє включити php бекдор у веб сайт, що не буде знайдений цим плагіном. Всі деталі виявлення BWA різними версіями даного плагіна та методи їх обходу описані в моїй статті про тестування сканерів бекдорів.

Вразливі Exploit Scanner для WordPress 1.3.3 та попередні версії.

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server.

Витік інформації, численні використання пам’яті після звільнення.

• Microsoft Internet Explorer 10-9-8-7-6 VML Remote Integer Overflow (MS13-037 / Pwn2Own) (деталі)
• Microsoft Internet Explorer 10-9 Object Confusion Sandbox Bypass (MS13-037 / Pwn2Own) (деталі)
• Microsoft Security Bulletin MS13-037 - Critical Cumulative Security Update for Internet Explorer (2829530) (деталі)
• Microsoft Security Bulletin MS13-038 - Critical Security Update for Internet Explorer (2847204) (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://nbuv.gov.ua - інфікований державний сайт - інфекція була виявлена 25.05.2013. Зараз сайт не входить до переліку підозрілих.
• http://sunnyukraine.com - інфекція була виявлена 07.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://terrace.org.ua - інфекція була виявлена 07.05.2013. Зараз сайт входить до переліку підозрілих.
• http://kaylas.com.ua - інфекція була виявлена 22.05.2013. Зараз сайт не входить до переліку підозрілих.
• http://vofarmacia.kiev.ua - інфекція була виявлена 22.05.2013. Зараз сайт входить до переліку підозрілих.
• http://uahotels.info - інфекція була виявлена 20.05.2013. Зараз сайт не входить до переліку підозрілих.
• http://watchfilmonline.ucoz.ua - інфекція була виявлена 22.05.2013. Зараз сайт входить до переліку підозрілих.
• http://yuka.kiev.ua - інфекція була виявлена 14.05.2013. Зараз сайт не входить до переліку підозрілих.
• http://hinfo.com.ua - інфекція була виявлена 15.03.2013. Зараз сайт не входить до переліку підозрілих.
• http://mramor-kamin.com - інфекція була виявлена 07.03.2013. Зараз сайт не входить до переліку підозрілих.

В даній добірці уразливості в веб додатках:

• Unauthenticated remote access to D-Link DCS cameras (деталі)
• [SQLi] vBilling for FreeSWITCH (деталі)
• Password Disclosure in D-Link IP Cameras (CVE-2012-4046) (деталі)
• Local file inclusion in RoundCube Webmail (деталі)
• Vulnerability in Python Keyring (деталі)
• Multiple Vulnerabilities in phpMyAdmin (деталі)
• SonicWall Email Security 7.4.1.x - Persistent Web Vulnerability (деталі)
• Joomla! <= 3.0.3 (remember.php) PHP Object Injection Vulnerability (деталі)
• Polycom HDX Video End Points Web Management Cross Site Scripting (XSS) vulnerability (деталі)
• Syslog Watcher Pro ‘Date’ Parameter Cross Site Scripting Vulnerability (деталі)

Пропоную ознайомитися з мою статтею про тестування різних сканерів бекдорів на веб сайтах, що я провів на цьому тижні.

В даному дослідженні перевірялися плагіни для WordPress, що вміють виявляти бекдори (а деякі плагіни й інший шкідливий код). Кожен з цих плагінів може застосовуватися (з різною ефективністю) для виявлення бекдорів та інших слідів взлому сайта. Тема бекдорів веб сайтів, в тому числі на таких движках як WordPress, зараз є дуже актуальною і всім користувачам Інтернет буде корисно дізнатися про існуючі системи.

Тестування сканерів бекдорів серед плагінів для WordPress

Мною були дослідженні наступні сканери:

1. WordPress Exploit Scanner (дві версії).
2. Belavir.
3. AntiVirus for WordPress.
4. WordPress File Monitor.

З результатами тестування можете ознайомитися в даній статті.

05.04.2013

У лютому, 20.02.2013, я знайшов Cross-Site Scripting, Content Spoofing та Information Leakage уразливості в aCMS. Про що вже повідомив розробникам системи.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

25.05.2013

Cross-Site Scripting (WASC-08):

Для ZeroClipboard10.swf можливі XSS через параметр id та XSS через копіювання атакуючого коду в буфер обміну.

http://site/assets/swf/ZeroClipboard10.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height
http://site/assets/swf/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href=%27javascript:alert(document.cookie)%27+style=%27font-size:+40pt%27%3EClick%20me%3C/a%3E%3C/tags%3E

Content Spoofing (WASC-12):

Можна вказувати абсолютні URL для включення зовнішніх файлів в флешку на цільовому сайті.

http://site/assets/js/tiny_mce/plugins/media/img/flv_player.swf?flvToPlay=http://site2/1.flv
http://site/assets/js/tiny_mce/plugins/media/img/flv_player.swf?autoStart=false&startImage=http://site2/1.jpg
http://site/assets/js/tiny_mce/plugins/media/img/flv_player.swf?flvToPlay=http://site2/1.flv&autoStart=false&startImage=http://site2/1.jpg
http://site/assets/js/tiny_mce/plugins/media/img/flv_player.swf?flvToPlay=http://site2/1.xml

Через xml-файл, розміщений на поточному чи зовнішньому ресурсі, можна вказувати абсолютні URL для включення зовнішніх файлів в флешку на цільовому сайті (параметри thumbnail та url в xml-файлі приймають довільні адреси).

Файл 1.xml:

<?xml version="1.0" encoding="UTF-8"?>
<playlist>
	<item name="Content Spoofing" thumbnail="1.jpg" url="1.flv"/>
	<item name="Content Spoofing" thumbnail="2.jpg" url="2.flv"/>
</playlist>

Cross-Site Scripting (WASC-08):

<html>
<body>
<script>
function flvStart() {
	alert('XSS');
}
function flvEnd() {
	alert('XSS');
}
</script>
<object width="50%" height="50%">
<param name=movie value="flv_player.swf?flvToPlay=1.flv&jsCallback=true">
<param name=quality value=high>
<embed src="flv_player.swf?flvToPlay=1.flv&jsCallback=true" width="50%" height="50%" quality=high pluginspage="http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash" type="application/x-shockwave-flash"></embed>
</object>
</body>
</html>

Якщо на сайті на сторінці з flv_player.swf (з параметром jsCallback=true, або якщо є можливість вказати цей параметр для flv_player.swf) є можливість включити JS код з функцією flvStart() і/або flvEnd() (через HTML Injection), то можна провести XSS атаку. Тобто JS-калбеки можна використати для XSS атаки.

Information Leakage (WASC-13):

http://site/assets/1

На сторінці з 404 помилкою мають місце Source Code Disclosure, Full Path Disclosure і виведення списку файлів та іншої інформації.

Вразливі aCMS 1.0 та попередні версії.

За повідомленням www.xakep.ru, статистика по ботнету Carna.

Аналітик в області інформаційної безпеки Парт Шукла для конференції AusCERT підготував цікаву презентацію, присвячену ботнету Carna. Нагадаю, що саме за допомогою цього глобального ботнета був здійснений найбільший скан Інтернету в наукових цілях - Internet Census 2012.

Про сканування портів всіх IPv4 адрес я вже писав. За десять місяців 2012 року були проскановані всі IP-адреса в адресному просторі IPv4 за допомогою більше 420 тисяч незахищених пристроїв. Для вищезгаданої презентації по ботнету Crana автор добув прямо в анонімного хакера базу з 1,2 млн. уразливих пристроїв в Інтернеті, 30% яких у свій час увійшли в ботнет Carna і використовувалися для здійснення глобального скана.

За повідомленням www.opennet.ru, незвичайна уразливість в Apache mod_rewrite.

У модулі mod_rewrite популярного веб сервера Apache серії 2.2.x виявлена цікава уразливість, що дозволяє віддаленому зловмиснику виконати довільну команду в момент перегляду лог-файла адміністратором сервера.

Уразливість обумовлена тим фактом, що mod_rewrite при записі в лог-файл не екранує спеціальні символи, що дозволяє віддаленому зловмиснику, за допомогою спеціально оформлених запитів до веб сервера, записати туди, наприклад, керуючі послідовності для термінала.

До речі, в nginx подібна уразливість була знайдена в 2009 році. А тепер і в Apache mod_rewrite. Виконання системних команд через логи це дуже популярна функція у розробників веб серверів .

За повідомленням www.xakep.ru, Нью-Йоркський поліцейський взламував емайли колег.

Эдвін Варгас, детектив міської поліції Нью-Йорка в Бронксі, був арештований за обвинуваченням у комп’ютерних злочинах. Відповідно до обвинувачення, протягом двох років Варгас займався нелегальним взломом чужих електронних поштових скриньок.

Що характерно, для виконання брудної роботи Варгас найняв приватну фірму, у якої в зазначений період часу замовив доступ до 43 поштових аккаунтів, що належать 30 користувачам. Серед яких, зокрема, були 19 чоловік з поліцейського департаменту, в тому числі інші детективи.

В даній добірці експлоіти в веб додатках:

• D-Link DSL-2740B Authentication Bypass Vulnerability (деталі)
• D-Link DIR-645 Authentication Bypass Vulnerability (деталі)
• Nginx HTTP Server 1.3.9-1.4.0 Chunked Encoding Stack Buffer Overflow (деталі)
• httpdx 1.5.5 Denial of Service (деталі)
• PHP 6.0 openssl_verify() Local Buffer Overflow PoC (деталі)