Websecurity - Веб безпека

У травні місяці Microsoft випустила 10 патчів. Що більше ніж у квітні.

У травневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 10 бюлетенів по безпеці. Що закривають 33 уразливості в програмних продуктах компанії. Два патчі закривають критичні уразливості (всі вони стосуються Internet Explorer) та вісім патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT. А також Microsoft Office, Internet Explorer, .NET Framework, Communicator, Lync, Lync Server та Windows Essentials.

У травні, 09.05.2013, вийшли PHP 5.3.25 та PHP 5.4.15. В яких виправлено біля 10 багів. Дані релізи направлені на покращення стабільності гілок 5.3.x і 5.4.x.

Жодних уразливостей в цих версіях PHP виправлено не було. Лише згадується оновлення бібліотеки libmagic.

По матеріалам http://www.php.net.

В даній добірці уразливості в веб додатках:

• RSA NetWitness Informer Cross-Site Request Forgery and Click-jacking Vulnerabilities (деталі)
• Reflected XSS in phpMyAdmin 3.5.7 (деталі)
• security advisory: AirDroid 1.0.4 beta (деталі)
• Multiple vulnerabilities in Open-Xchange (деталі)
• FortiGate FortiDB 2kB 1kC & 400B - Cross Site Vulnerability (деталі)
• Multiple Vulnerabilities in KrisonAV CMS (деталі)
• FortiWeb 4kC,3kC,1kC & VA - Cross Site Vulnerabilities (деталі)
• Multiple vulnerabilities in Sosci Survey (деталі)
• HP OpenVMS LOGIN or ACMELOGIN, Remote or Local Denial of Service (DoS) (деталі)
• Matrix42 Service Desk XSS (деталі)

У травні, 16.05.2013, я виявив Cross-Site Scripting та Full path disclosure уразливості в темі I Love It New для WordPress. Про що найближчим часом повідомлю розробникам.

Дана тема містить вразливі версії VideoJS та Audio Player. Раніше я писав про уразливості в VideoJS.

Cross-Site Scripting (WASC-08):

http://site/wp-content/themes/iloveitnew/videojs/videojs/video-js.swf?readyFunction=alert(document.cookie)
http://site/wp-content/themes/iloveitnew/lib/php/assets/player.swf?playerID=%22))}catch(e){alert(document.cookie)}//

Full path disclosure (WASC-13):

FPD уразливості є в index.php та майже в усіх інших php-файлах (в папці та підпапках).

http://site/wp-content/themes/iloveitnew/

http://site/wp-content/themes/iloveitnew/videojs/video-js.php

http://site/wp-content/themes/iloveitnew/videojs/admin.php

Вразливі всі версії теми I Love It New для WordPress.

Продовжуючи розпочату традицію, після попереднього відео про виконання коду в Mozilla Firefox, пропоную нове відео на веб секюріті тематику. Цього разу відео про фазінг онлайнових ігор. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 20: Fuzzing Online Games

Торік на конференції DEFCON 20 відбувся виступ Elie Bursztein та Patrick Samy. В своєму виступі вони розповіли про фазінг онлайнових ігор, коли проводиться аналіз ігор, про внутрішню структуру яких нічого невідомо, шляхом відправлення спеціальних даних з метою виявлення уразливостей. Немає сумнів, що онлайнові ігри мають уразливості, які можуть бути використані для різних атак, зокрема фінансового характеру (як то для збільшення внутрішньо ігрової валюти, яку нерідко можна конвертувати в реальні гроші).

Вони розповіли про власні розробки для фазінга онлайнових ігор. Рекомендую подивитися дане відео для розуміння сучасних атак на Інтернет ігри.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://kakhovka-rada.gov.ua (хакером Hmei7) - 11.03.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://pereyaslav-rda.gov.ua (хакером Hmei7) - 12.03.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://fish-spa.rv.ua (хакерами з 3xp1r3 Cyber Army)
• http://bigdruk.com (хакером ABO-SHOSHAH) - 13.04.2013, зараз сайт вже виправлений адмінами
• http://artdecojugendstil.com (хакером ABO-SHOSHAH) - 13.04.2013, зараз сайт вже виправлений адмінами

В даній добірці експлоіти в веб додатках:

• nginx 0.6.x Arbitrary Code Execution NullByte Injection Vulnerability (деталі)
• D-Link DIR615h OS Command Injection Vulnerability (деталі)
• Linksys WRT160nv2 apply.cgi Remote Command Injection (деталі)
• MS Internet Explorer & MSN Explorer Arbitrary File Overwrite (деталі)
• nginx 1.3.9-1.4.0 DoS PoC (деталі)

В 2010 році я писав про Міжмовний XSS (Cross-Language Scripting) - XSS уразливості в онлайн інтерпретаторах, а зараз розповім про DoS уразливості в онлайн інтерпретаторах.

Denial of Service уразливості я знаходив у двох інтерпретаторах: в 2009 році в MustLive Perl Pascal Programs Interpreter та в 2012 році в TryRuby. В обох виявлених випадках, це були DoS атаки через споживання ресурсів (в даному випадку пам’яті сервера). Відповідно до класифікації DoS уразливостей у веб додатках - це DoS перенавантаження.

MustLive Perl Pascal Programs Interpreter

Коли я створив свій інтерпретатор в 2006 році, зокрема у версії Perl Pas Interpreter 1.2, коли я додав веб інтерфейс, я зробив надійних захист від DoS атак. Але у 2009 році я виявив можливості для обходу захисних механізмів та проведення DoS атак.

Тоді один відвідувач мого сайту виявив можливість DoS атаки на поглинання пам’яті сервера через функцію concat. Після перевірки, я підтвердив уразливість в цій функції, а також виявив ще інші функції через які можна провести подібну атаку. Що я виправив у своєму інтерпретаторі у березні 2009 року.

Код для проведення DoS атаки:

s := ‘Hello world!’;
for i:=0 to 25 do s := concat(s, s);

25.03.2009 у версії 1.4.8 я покращив захист від DoS, шляхом обмеження розміру строкових даних до 255 символів (бо з перших версій інтерпретатора я не робив обмежень на розмір строкових даних, хоча у класичному Паскалі вони обмежені 255 символами, і в цій версії я зробив їх розмір як у класичному Паскалі). Це обмеження розміру строкових даних я додав в оператор присвоєння та у функції concat та insert, а пізніше у версії 1.4.10 я додав це обмеження у функції pos, delete та copy (через pos атаку не проведеш, але для уніфікації функцій). Таким чином всі функції для роботи зі строковими даними захищені від DoS атак.

TryRuby

Даний інтерпретатор розміщений на сайті tryruby.org і доступний на різних уроках (http://tryruby.org/levels/1/challenges/0). Як я вияснив, він використовує JRuby Sandbox, тому DoS також стосуються цієї програми. При відправленні спеціального коду в інтерпретатор (наприклад, повторенні рядка на 1 мільйон або більше разів), відбувається сильне навантаження сервера.

"aaaaaaaaaaaaaaaaaaaaaaaaaaaaaa" * 1000000

DoS уразливість наявна в строкових функціях: в операторі повтору (*), в операторах конкатенації (+, << і методі concat) та в insert.

str = "DoS"
for i in 1..50 do str.concat(str) end

Для атаки потрібно постійно слати подібний код (з оператором повтору, конкатенації чи включення) через спеціальний PUT запит веб додатку http://tryruby.org/levels/1/challenges/0/play, щоб тримати сервер недоступним.

Висновки.

Наведені приклади продемонстрували DoS уразливості через споживання ресурсів, зокрема пам’яті сервера. Такі уразливості мали місце при роботі з строковими даними.

Вони можуть бути використані для атак на сервери з онлайн інтерпретаторами. Так що такі уразливості трапляються в онлайн інтерпретаторах і розробникам подібних програм потрібно звертати на це увагу, щоб надійно захищати їх від DoS атак.

Два роки тому відбувся масовий взлом сайтів на сервері Hvosting. І в цьому році, в період 18.02.2013-01.05.2013, а також 22.08.2011, відбувся повторний масовий взлом цього ж сервера. Я періодично виявляю повторні взломи серверів і це черговий випадок.

Був взломаний сервер української компанії Hvosting. Взлом, що складався з декількох взломів, відбувся після згаданого масового взлому сайтів на сервері Delta-X.

Якщо першого разу було взломано 17 сайтів, то цього разу було взломано 17 сайтів (з них 1 в 2011 році та 16 в 2013 році) на сервері української компанії Hvosting (IP 91.200.40.39). Це наступні сайти: www.museum.ceramology.gov.ua, elit-dah.if.ua, krgrand.com, www.altrad-mostostal.com.ua, keramdach.com.ua, 7art.if.ua, rimo.if.ua, pozitiv.if.ua, metr.if.ua, metr-tyr.if.ua, ceramology.gov.ua, ceramology-inst.gov.ua, opishne-museum.gov.ua, poshyvailo-potters.gov.ua, selyuchenko-potters.gov.ua, poladm.gov.ua. Серед них українські державні сайти www.museum.ceramology.gov.ua, ceramology.gov.ua, ceramology-inst.gov.ua, opishne-museum.gov.ua, poshyvailo-potters.gov.ua, selyuchenko-potters.gov.ua та poladm.gov.ua (в 2011 та в 2013).

З зазначених 17 сайтів 1 сайт був взломаний хакером iskorpitx, 5 сайтів хакером Hmei7, 6 сайтів хакерами з 1923Turk, 2 сайти хакером Ziko’w та по 1 сайту хакерами Sejeal, HighTech та ghost-dz.

Враховуючи велику кількість окремих дефейсів по одному або кілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів.

В даній добірці уразливості в веб додатках:

• Cisco AnyConnect VPN Client Verification Bypass Remote Code Execution Vulnerability (деталі)
• SQL Injection Vulnerability in Symphony (деталі)
• Cisco AnyConnect VPN Client Arbitrary Program Instantiation Remote Code Execution Vulnerability (деталі)
• PHP Code Injection in FUDforum (деталі)
• Multiple Vulnerabilities in Cisco AnyConnect Secure Mobility Client (деталі)
• Reflected Cross-Site-Scripting (XSS) vulnerability in e107 CMS v1.0.2 (деталі)
• TVMOBiLi Media Server Multiple Remote DoS Vulnerabilities (деталі)
• Vanilla Forums 2.0.18 / SQL-Injection / Insert arbitrary user & dump usertable (деталі)
• SonicWALL CDP 5040 v6.x - Multiple Web Vulnerabilities (деталі)
• Multiple Full Path Disclosure Vulnerabilities in TinyWebGallery <= v1.8.9 (деталі)