Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://labsoft.at.ua - інфекція була виявлена 24.04.2013. Зараз сайт входить до переліку підозрілих.
• http://reafarm.com.ua - інфекція була виявлена 11.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://add.in.ua - інфекція була виявлена 13.05.2013. Зараз сайт не входить до переліку підозрілих.
• http://clubfoto.at.ua - інфекція була виявлена 03.05.2013. Зараз сайт не входить до переліку підозрілих.
• http://ykrbiz.com - інфекція була виявлена 12.06.2013. Зараз сайт не входить до переліку підозрілих.

В даній добірці уразливості в веб додатках:

• HP LaserJet Pro 400 Multi Function Printers, Remote Unauthorized Access (деталі)
• Multiple vulnerabilities in Open-Xchange (деталі)
• HP LaserJet and Color LaserJet, Cross-Site Scripting (XSS) (деталі)
• zoneminder security update (деталі)
• HP Intelligent Management Center User Access Manager (UAM), Remote Execution of Arbitrary Code (деталі)
• typo3-src security update (деталі)
• Buffer overflow in Cisco Unified MeetingPlace Web Conferencing (деталі)
• smokeping security update (деталі)
• SQL injection vulnerability in Cisco Unified MeetingPlace (деталі)
• SynConnect PMS SQL Injection Vulnerability (деталі)

26.03.2013

У березні, 15.03.2013, я виявив Cross-Site Scripting та Full path disclosure уразливості в плагіні Search and Share для WordPress. Про що найближчим часом повідомлю розробникам веб додатку.

Стосовно плагінів для WordPress раніше я писав про уразливості в BuddyPress для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

11.05.2013

Cross-Site Scripting (WASC-08):

XSS через параметр id та XSS через копіювання атакуючого коду в буфер обміну.

http://site/wp-content/plugins/search-and-share/js/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Full path disclosure (WASC-13):

http://site/wp-content/plugins/search-and-share/SearchAndShare.php

http://site/wp-content/plugins/search-and-share/error_log (на сайтах, де відключене виведення помилок в php-файлах і вони записуються в error_log)

Уразливі Search and Share 0.9.3 та попередні версії. Додаток може працювати як плагін для WP, так і як стаціонарна програма.

За повідомленням www.xakep.ru, взломаний офісний будинок Google.

Хоча австралійський підрозділ Google чітко дотримувався правил інформаційної безпеки у відношенні комп’ютерних мереж, а взломали їх через промислову систему менеджменту будинку, в якому розміщений офіс.

Мова йде про офіс Google Wharf 7. Хакерська компанія Cylance здійснила атаку, скориставшись уразливістю в системі менеджменту будинку Tridium Niagara.

Як видно з цього прикладу, не тільки китайські хакери атакують Гугла, і не тільки на сайтах і в додатках Гугла знаходять дірки, а ще й взламують через систему менеджменту будинку .

За повідомленням podrobnosti.ua, боротьба з піратами: в Україні закрили великий онлайн-кінотеатр.

Правоохоронні органи України 18 квітня закрили черговий великий піратський інтернет-ресурс - my-hit.ru. Як повідомляється, позов був поданий юридичною компанією, що співробітничає з такими телегрупами, як “1+1″, “StarLightMedia”, “Медіа Група Україна”.

Експерти відзначають, що, у зв’язку з загрозою застосування до України санкцій з боку США за поширення піратського контента, боротьба з такими ресурсами зараз активізувалася.

Про це я також чув в новинах від міністра МЗС. Це черговий випадок закриття сайта через неліцензійний контент. Зазначу, що скаргу на my-hit.ru подала юридична компанія Віндекс, з ініціативи якої на початку 2012 року МВС провело обшук в офісі ex.ua.

За повідомленням www.xakep.ru, адмін нелегально добував біткоіни на комп’ютерах 14 тисяч геймерів.

Якби ви грали в Counter-Strike через ігрову мережу E-Sports Entertainment, то останнім часом помітили б явний стрибок енергоспоживання на своєму ПК. Що було пов’язано з включенням прихованого коду для нелегального майнінга біткоінів в античітерський клієнт ESEA. Два роки тому я вже писав про такого трояна для генерації Bitcoin.

Один з адмінів ESEA написав на форумі, що вони з колегою проводять експеримент по майнінгу біткоінів на комп’ютерах користувачів. Вони запитували поради в співтовариства, чи потрібно продовжувати цей експеримент, якщо за 48 годин удалося намайніти 1,91 BTC. Загальна вартість добутих монет склала $3713,55.

У квітні, 11.04.2013, вийшов Mozilla Firefox 20.0.1. Нова версія браузера вийшла лише через дев’ять днів після виходу Firefox 20. І в ній виправлений баг допущений в останньому релізі.

Mozilla представила коригувальний випуск Firefox 20.0.1 у якому усунутий один баг. Це виправлення стосується лише версії браузера для Windows - покращена робота зі шляхами UNC.

В даній добірці експлоіти в веб додатках:

• D-Link DIR-635 Cross Site Request Forgery / Cross Site Scripting (деталі)
• D-Link IP Cameras Injection / Bypass Vulnerabilities (деталі)
• Microsoft Internet Explorer CGenericElement Object Use-After-Free (деталі)
• Dovecot with Exim sender_address Parameter - Remote Command Execution (деталі)
• Memcached Remote Denial Of Service (деталі)

Продовжуючи розпочату традицію, після попереднього відео про атаки через JavaScript ботнети, пропоную нове відео на веб секюріті тематику. Цього разу відео про 0day eксплоіт для Internet Explorer. Рекомендую подивитися всім хто цікавиться цією темою.

Ethical Hacking: IE Zero Day Exploit

В даному відео ролику демонструється використання Metasploit Framework для проведення атаки на уразливість в Internet Explorer 7, 8 і 9. В Metasploit створюється і запускається експлоіт для IE, який призводить до віддаленого виконання коду в Internet Explorer при відкритті сторінки з кодом експлоіту. Що дозволяє нападнику отримати контроль над атакованим комп’ютером.

Атака відбувається при відвідуванні в IE спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

25.01.2013

У грудні, 07.12.2012, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на популярному проекті https://www.sugarsync.com. Про що найближчим часом сповіщу адміністрацію сайта.

Хмарні сервіси такі ж діряві, як й звичайні онлайн сервіси. Що добре видно по уразливостям на них та взломам таких сервісів, як це мало місце з Dropbox.

Детальна інформація про уразливості з’явиться пізніше.

10.05.2013

XSS:

https://username.sugarsync.com/account/upgrade?returnUrl=%27;alert(document.cookie)//

В адресі вказується логін (username) користувача сервісу. Код спрацює при кліку на кнопки “OK” і “Cancel”. Це strictly social XSS.

Insufficient Anti-automation:

https://www.sugarsync.com/signup?startsub=5

З даних уразливостей XSS вже виправлена, але IAA все ще не виправлена. При цьому на сайті є ще багато інших дірок, на що я вже звертав увагу адміністраторів під час спілкування з приводу цих уразливостей.

Виявлені численні уразливості безпеки в Oracle Java і OpenJDK.

Уразливі продукти: Oracle JDK 7, JRE 7.

42 різні уразливості.

• Java ActiveX Control Memory Corruption (деталі)
• APPLE-SA-2013-04-16-2 Java for OS X 2013-003 and Mac OS X v10.6 Update 15 (деталі)
• Details of issues fixed by Java SE 7 Update 21 (деталі)
• Re: Details of issues fixed by Java SE 7 Update 21 (деталі)
• HTTP header injection/Cache poisoning in Oracle WebCenter Sites Satellite Server (деталі)
• Oracle Java JavaFX Video Frame Decoding Remote Heap Overflow (Pwn2Own 2013) (деталі)
• Oracle Java SE Critical Patch Update Advisory - April 2013 (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Advanced XML Reader, Cardoza Ajax Search та W3 Total Cache. Для котрих з’явилися експлоіти. Advanced XML Reader - це плагін для читання XML, Cardoza Ajax Search - це локальна пошукова система по сайту, W3 Total Cache - це плагін для кешування веб сторінок.

• WordPress Plugin: Advanced XML Reader v0.3.4 XXE Vulnerability (деталі)
• WordPress Cardoza Ajax Search 1.1 SQL Injection (деталі)
• Wordpress W3 Total Cache PHP Code Execution (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.