Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://pk-alligator.com.ua - інфекція була виявлена 05.04.2013. Зараз сайт входить до переліку підозрілих.
• http://top.zp.ua - інфекція була виявлена 21.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://volfy.at.ua - інфекція була виявлена 18.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://best.ua - інфекція була виявлена 23.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://gorlovkadosk.net.ua - інфекція була виявлена 12.04.2013. Зараз сайт не входить до переліку підозрілих.

Виявлені численні уразливості безпеки в Adobe Flash Player.

Уразливі продукти: Adobe Flash Player 11.6, AIR 3.6.

Численні пошкодження пам’яті.

• Adobe Flash Player RTMP Data Processing Object Confusion (CVE-2013-2555) (деталі)
• Security updates available for Adobe Flash Player (деталі)
• Security updates available for Adobe Flash Player (деталі)

В даній добірці експлоіти в веб додатках:

• StarVedia IPCamera Remote Username / Password Disclosure (деталі)
• SAP ConfigServlet OS Command Execution (деталі)
• Netgear DGN2200B pppoe.cgi Remote Command Execution Vulnerability (деталі)
• Java Applet Reflection Type Confusion Remote Code Execution (деталі)
• MinaliC Webserver 2.0.0 Buffer Overflow Vulnerability (деталі)

14.03.2013

У січні, 31.01.2013, я виявив Cross-Site Scripting та Content Spoofing уразливості в jPlayer. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

20.04.2013

Cross-Site Scripting (WASC-08):

В різних версія jPlayer різні XSS уразливості.

0.2.1 - 1.2.0:

http:/site/Jplayer.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//

2.0.0:

http:/site/Jplayer.swf?id=%27))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//

2.1.0:

http:/site/Jplayer.swf?jQuery=)}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http:/site/Jplayer.swf?id=%27))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//

В версії 2.2.0 ці XSS уразливості вже виправлені. Але Malte Batram (в версії 2.2.19) і я (в версії 2.2.20) виявили нові.

2.2.0 - 2.2.19 (і попередні версії):

Атака працює в Firefox (всі версії та браузери на движку Gecko), IE6 і Opera 10.62.

http:/site/Jplayer.swf?jQuery=document.write&id=%3Cimg%20src=1%20onerror=alert\u0028document.cookie\u0029%3E

2.2.20 - 2.2.22 (і попередні версії):

http:/site/Jplayer.swf?jQuery=alert&id=XSS

Content Spoofing (WASC-12):

Можна проводити CS (включення аудіо/відео файлів з зовнішніх ресурсів) через JS і XSS через JS калбеки. Для цього необхідна HTML Injection уразливість на цільовому сайті. Атака аналогічна XSS через калбеки в JW Player.

Уразливі версії до jPlayer 2.2.23. Версія 2.2.23 і остання версія 2.3.0 не є вразливими до наведених XSS, окрім CS через JS і XSS атак через JS калбеки. Також в версії 2.3.0 працюють інші обхідні методи атаки, які вони не виправили окрім атаки через alert. Про що я вже писав розробникам у березні та нагадав ще раз.

За повідомленням www.3dnews.ru, Google визнаний найбільш безпечним пошуковцем.

Цього року Microsoft запустила рекламну кампанію “Scroogled”, у якій описані всі “недоліки” використання пристроїв з Android та пошуковця Google. Як альтернативний варіант Microsoft пропонує користувачам перейти на свій власний пошуковець Bing. Німецькі експерти по безпеці з AV-Test не вважають це оптимальним варіантом.

Фахівці з AV-Test протестували більше 10 мільйонів сайтів в пошукових системах Yandex, Bing, Google і Blekko. Пошуковець Гугла показав найкраще співвідношення інфікованих сайтів до загальної кількості перевірених сайтів.

За повідомленням www.xakep.ru, сисадмін хостинг-провайдера Hostgator поставив бекдори на 2700 серверів.

Колишній співробітник хостинг-провайдера Hostgator викритий у шпигунстві. Він поставив бекдори на 2700 серверів у даті-центрі Hostgator - і одержав необмежений доступ до інформації клієнтів компанії.

В цілому бекдор був установлений на 2723 сервера в мережі компанії Hostgator, на кожному із серверів можуть розміщатися сотні сайтів. Розміщення працівниками хостера бекдорів на серверах - це ще один зі шляхів розповсюдження бекдорів, окрім взломів сайтів та включення бекдорів у репозиторії веб додатків.

За повідомленням www.opennet.ru, дослідження показало жалюгідний стан захищеності SOHO-маршрутизаторів.

Компанія Independent Security Evaluators опублікувала результати дослідження безпеки найбільш популярних моделей бездротових маршрутизаторів для домашніх користувачів і невеликих офісів. У результаті, у всіх розглянутих 13 моделях пристроїв виявлені уразливості, що дозволяють нападнику одержати повний контроль над конфігурацією маршрутизатора чи обійти засоби аутентифікації.

Серед розглянутих у дослідженні пристроїв відзначаються різні моделі бездротових маршрутизаторів Asus, D-Link, TP-Link, Netgear, Linksys, Belkin, Verizon Actiontec і 5 неназваних пристроїв для яких ще не випущені оновлення прошивки з усуненням уразливостей.

В статті За двойной броней розповідається про двохфакторну аутентифікацію. Про переваги таких систем, про сервіс Duo Security, що надає послуги двохфакторної аутентифікації, та про захист різних сервісів за допомогою такої системи (веб сайти, RDP, SSH та будь-які веб сервіси).

В даній статті розглянуті наступні аспекти систем двохфакторної аутентифікації:

• Що пропонує Duo Security
• Що може бути другим фактором
• Проста реєстрація
• Захищаємо RDP
• Захищаємо SSH
• Додаткові налаштування
• Сервіси-аналоги

В наш час деякі компанії та популярні веб сайти додали підтримку двохфакторної аутентифікації на свої ресурси, зокрема відправлення OTP на мобільний телефон. Про що я писав у новинах.

Не кажучи вже, що такі е-комерс сайти як Приват24, LiqPAY та інші системи електронних платежів давно мають підтримку OTP (а деякі системи працюють виключно з використанням OTP). З використанням послуг Duo Security та подібних сервісів, усі бажаючи зможуть додати на свій веб сайт чи в інший сервіс підтримку двохфакторної аутентифікації.

Виявлені слабкі дозволи в Firefox для Android.

Уразливі версії: Mozilla Firefox 19.0.

Слабкі дозволи на каталог app_tmp дозволяють перезапис доповнень для браузера.

• World read and write access to app_tmp directory on Android (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Mathjax Latex, podPress та FuneralPress. Для котрих з’явилися експлоіти. Mathjax Latex - це плагін для додання підтримки latex і mathml формул, podPress - це плагін для подкастінга, FuneralPress - це похоронний менеджер та гостьова книга.

• WordPress Mathjax Latex 1.1 Cross Site Request Forgery (деталі)
• WordPress podPress 8.8.10.13 Cross Site Scripting (деталі)
• WordPress FuneralPress 1.1.6 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після минулорічного звіту про інфікованість Уанета, наведу нову порівняльну статистику інфікованості Уанета за останні роки.

Статистика буде за 2010 - 2012 роки. Статистичні дані базуються на моїх дослідженнях хакерської активності в Уанеті в 2010, 2011 і 2012 роках.

За весь 2010 рік в Уанеті було інфіковано 264 веб сайтів.

За весь 2011 рік в Уанеті було інфіковано 233 веб сайтів.

За весь 2012 рік в Уанеті було інфіковано 202 веб сайтів.

Велика кількість заражених сайтів свідчить про зростання кримінальних взломів сайтів (коли на взломаних сайтах розміщуються віруси). Деяке зменшення кількості інфікованих сайтів в 2012 році явно пов’язане з тим, що торік я менше займався дослідженням інфікованих сайтів із-за своєї зайнятості.

Динаміка зараження сайтів в Уанеті.

В 2010 році активність зросла на 294% порівняно з 2009 роком (зростання в 3,94 рази). В порівнянні з 2008 роком активність зросла на 6500% (в 66 разів).

В 2011 році активність зменшилась на 11% порівняно з 2010 роком (спад в 1,1 рази). В порівнянні з 2008 роком активність зросла на 5725% (в 58,25 разів).

В 2012 році активність зменшилась на 13% порівняно з 2011 роком (спад в 1,15 рази). В порівнянні з 2008 роком активність зросла на 4950% (в 50,5 разів).

Як видно зі статистики, кількість інфікованих сайтів в Уанеті в останні роки стабільно велика. І хоча через зменшення моїх досліджень наявне загальне зменшення динаміки в останні два роки, кількість інфікованих державних сайтів зросла.

В презентації Encryption in the Public Cloud: 16 Bits of Advice for Security Techniques, Dave Asprey розповідає про шифрування в публічних хмарах. Про безпеку інформації при використанні публічних хмарних сервісів, зокрема про шифрування даних. Щоб у випадку взлому такого сервісу (а я неодноразово писав про такі інциденти), ваші дані були в безпеці.