Websecurity - Веб безпека

У вересні, 12.09.2012, я знайшов Denial of Service уразливість на сайті http://tryruby.org. Ця уразливість працює й досі. Про що найближчим часом сповіщу адміністрацію сайта.

TryRuby - це онлайновий інтерпретатор Ruby. Подібний до мого інтерпретатору MustLive Perl Pascal Programs Interpreter, що я розробив в 2006 році.

DoS:

http://tryruby.org/levels/1/challenges/0

“aaaaaaaaaaaaaaaaaaaaaaaaaaaaaa” * 1000000

При відправленні даного коду в інтерпретатор (повторення рядка на 1 мільйон або більше разів), відбувається сильне навантаження сервера. Для атаки потрібно постійно слати подібний код через спеціальний PUT запит, щоб тримати сайт недоступним.

DoS відбувається через забивання доступної пам’яті сервера. Спочатку інтерпретатор відповідає “Something’s gone wrong”, а потім починає відповідати “java.lang.OutOfMemoryError: Java heap space” (з чого видно, що він зроблений на Java). Серверні обмеження JVM захищають від забивання усієї пам’яті сервера одним запитом, але пославши серію запитів можна повністю завантажити сервер.

Сьогодні, майже через півтора місяці після виходу Google Chrome 26, вийшов Google Chrome 27.

В браузері зроблено декілька нововведень та виправлені помилки. Зокрема реалізована нова секюріті функція - додана підтримка серверного заголовка X-Content-Type-Options: nosniff, розробленого в 2009 році Microsoft для свого браузера Internet Explorer 8. Що є додатковим захистом від XSS атак.

А також виправлено 13 уразливостей, з яких 10 позначені як небезпечні. Це більше ніж у попередній версії браузера.

З виправлених проблем безпеки відзначаються проблеми звертання до вже звільнених блоків пам’яті (Use-after-free) у коді SVG, media loader, в обробниках Pepper, widget, speech і style. Проблеми з виходом за границі буфера усунуті в Web Audio і движку v8. До складу також включена нова версія Flash Player, у якій усунуто 13 уразливостей, що можуть привести до виконання коду при обробці певним чином оформлених swf-файлів.

• Вышел web-браузер Chrome 27 (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://vip-povar.kiev.ua - інфекція була виявлена 21.05.2013. Зараз сайт входить до переліку підозрілих.
• http://vetdrug.com.ua - інфекція була виявлена 10.05.2013. Зараз сайт не входить до переліку підозрілих.
• http://crown.dn.ua - інфекція була виявлена 16.03.2013. Зараз сайт не входить до переліку підозрілих.
• http://faraon-hotel.com.ua - інфекція була виявлена 07.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://sinevir.ks.ua - інфекція була виявлена 08.04.2013. Зараз сайт не входить до переліку підозрілих.

В даній добірці експлоіти в веб додатках:

• Invision Power Board 1.x / 2.x / 3.x Admin Account Takeover (деталі)
• Dsl Router D-link BZ_1.06 Multiple Vulnerabilities (деталі)
• SAP SOAP RFC SXPG_CALL_SYSTEM Remote Command Execution (деталі)
• Mutiny 5 Arbitrary File Upload Vulnerability (деталі)
• Serva 32 TFTP 2.1.0 - Buffer Overflow Denial of service (деталі)

03.04.2013

У лютому, 20.02.2013, я знайшов Arbitrary File Uploading уразливості в Moxiecode Image Manager (MCImageManager) для TinyMCE. Про що вже повідомив розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

18.05.2013

Arbitrary File Uploading (WASC-31):

http://site/path/tiny_mce/plugins/imagemanager/pages/im/index.html

Плагін MCImageManager для TinyMCE вразливий до обхідних атак при завантаженні файлів. Що призводять до виконання коду на веб серверах IIS і Apache.

Код виконається через завантаженні файла. Програма вразлива до двох методів виконання коду: через використання символа “;” (1.asp;.jpg) в імені файла (IIS), через подвійне розширення (1.php.jpg) (Apache).

Вразливі Moxiecode Image Manager 3.1.5 та попередні версії. В квітні розробник пообіцяв виправити дані уразливості в новій версії веб додатку.

За повідомленням www.xakep.ru, новий вірус атакує клієнтів “iBank 2″.

На початку 2013 року в компанії Group-IB розслідували розкрадання великої суми в юридичної особи через систему дистанційного банківського обслуговування. У процесі розслідування інциденту фахівцями Group-IB була виявлена і розібрана нова шкідлива програма, націлена тільки на банк-клієнт “iBank 2″. Як на момент розкрадання грошей з рахунка юридичної особи, так і на момент проведення розслідування жоден з антивірусних продуктів не виявляв дану програму.

В статті Атаки на банківські системи я вже писав про банківські трояни. Зокрема про шкідливу програму Ibank, що призначена для атак на першу версію системи ДБО iBank, а це виявили троян для другої версії даної системи.

За повідомленням www.opennet.ru, виявлено атаку по впровадженню бекдора на веб сервери з lighttpd і nginx.

Фахівці антивірусної компанії ESET виявили близько 400 серверів, уражених бекдором Cdorked, з яких 50 серверів обслуговують сайти, що входять у список 100000 найбільш популярних ресурсів по рейтингу Alexa. Примітно, що крім випадків, які зустрічалися раніше, упровадження даного бекдора у виконавчий файл http-сервера Apache, нова інформація свідчить про використання варіанта Cdorked, що вражає сервери на базі lighttpd і nginx. Для перевірки впровадження бекдора радиться оцінити цілісність виконавчих файлів httpd, nginx і lighttpd по контрольній сумі.

Подібні бекдори розповсюджують шкідливий код на всіх сайтах на вражених серверах. Раніше я писав про бекдор в Apache, а також про руткіт для nginx та інші випадки впровадження бекдорів у веб сервери. Даний метод розповсюдження інфекції стає все більш поширеним.

За повідомленням www.xakep.ru, взломано базу даних гребель США.

Невідомі зловмисники зуміли одержати доступ до Національного реєстру гребель - бази даних, що веде Інженерний корпус армії США. Це дуже цінна база даних про 79000 гребель на території Америки, із указівкою їхніх слабких місць, оцінкою кількості загиблих у випадку прориву та іншою важливою інформацією.

Несанкціоноване проникнення на сервери із секретною інформацією відбулося в січні і було виявлено тільки в квітні. Таким чином, шпигуни мали доступ до інформації протягом трьох місяців.

В документі A Secure Cookie Protocol розповідається про протокол безпечних кукісів. Про його необхідність та про можливість створення такого протоколу.

Автори навели аргументи на користь передачі безпечних кукісів за для захисту від різних атак на них. Також вони проаналізували існуючи концепції таких протоколів та запропонували власний протокол, що не має проблем інших концепцій та надійно захищає від атак на кукіси.

В статті розглянуті наступні проблеми створення протоколу безпечних cookie:

1. Secure Cookie Protocol.
2. Протокол Fu та його проблеми.
3. Протокол авторів, що вирішує усі проблеми з безпекою протокола Fu.
4. Реалізація та швидкодія.
5. Інші проколи безпечних кукісів.

Враховуючи переваги протоколу розробленого авторами, вони рекомендують його для використання у веб додатках. Зокрема розробники WordPress використовують цей алгоритм для створення кукісів починаючи з версії WP 2.5.

02.04.2013

У лютому, 20.02.2013, я знайшов Arbitrary File Uploading уразливості в Moxiecode File Manager (MCFileManager) для TinyMCE. Про що вже повідомив розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

17.05.2013

Arbitrary File Uploading (WASC-31):

http://site/path/tiny_mce/plugins/filemanager/pages/fm/index.html

Плагін MCFileManager для TinyMCE вразливий до обхідних атак при завантаженні файлів. Що призводять до виконання коду на веб серверах IIS і Apache.

Код виконається через завантаженні файла. Програма вразлива до трьох методів виконання коду: через використання символа “;” (1.asp;.txt) в імені файла (IIS), через “1.asp” в імені папки (IIS), через подвійне розширення (1.php.txt) (Apache).

Вразливі Moxiecode File Manager 3.1.5 та попередні версії. В квітні розробник пообіцяв виправити дані уразливості в новій версії веб додатку.

Виявлена можливість витоку інформації в cURL і libcurl.

Уразливі продукти: cURL 7.27, libcurl 7.27.

Міждоменний доступ до cookie.

• curl vulnerability (деталі)

Продовжуючи розпочату традицію, після попереднього відео про 0day eксплоіт для Internet Explorer, пропоную нове відео на веб секюріті тематику. Цього разу відео про виконання коду в Mozilla Firefox. Рекомендую подивитися всім хто цікавиться цією темою.

CVE-2011-3658 Firefox 7/8 nsSVGValue Vulnerability Metasploit Demo

В даному відео ролику демонструється використання Metasploit Framework для проведення атаки на уразливість в Mozilla Firefox 7 і 8. В Metasploit створюється і запускається експлоіт, який призводить до віддаленого виконання коду в Firefox при відкритті сторінки з кодом експлоіту. Що дозволяє нападнику отримати контроль над атакованим комп’ютером.

Атака відбувається при відвідуванні в Firefox спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.