Websecurity - Веб безпека

В даній добірці експлоіти в веб додатках:

• AvantBrowser Version 2013 build 23 Remote Code Excution Vulnerability (деталі)
• GreenBrowser all Version Remote Code Excution Vulnerability (деталі)
• Ruby Gem md2pdf Command Injection Vulnerability (деталі)
• Free Float FTP Server USER Command Buffer Overflow Vulnerability (деталі)
• Java Web Start Launcher ActiveX Control - Memory Corruption (деталі)

Раніше я вже писав про численні уразливості в численних темах для WordPress виробництва RocketTheme. Окрім тем цих розробників я виявив подібні уразливості в багатьох темах інших розробників (в тому числі в custom темах).

У грудні, 22.12.2012, я знайшов Cross-Site Scripting, Content Spoofing та Full path disclosure уразливості в темі Colormix для WordPress. Що аналогічні уразливостям в темах для WP від RocketTheme.

XSS (WASC-08):

http://site/wp-content/themes/colormix/js/rokbox/jwplayer/jwplayer.swf?abouttext=Player&aboutlink=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

Content Spoofing (WASC-12):

http://site/wp-content/themes/colormix/js/rokbox/jwplayer/jwplayer.swf?file=1.flv&backcolor=0xFFFFFF&screencolor=0xFFFFFF
http://site/wp-content/themes/colormix/js/rokbox/jwplayer/jwplayer.swf?file=1.flv&image=1.jpg
http://site/wp-content/themes/colormix/js/rokbox/jwplayer/jwplayer.swf?config=1.xml
http://site/wp-content/themes/colormix/js/rokbox/jwplayer/jwplayer.swf?abouttext=Player&aboutlink=http://site

Full path disclosure (WASC-13):

В папці http://site/wp-content/themes/colormix/ в index.php та багатьох інших php-файлах теми є FPD, що спрацьовують при налаштуваннях PHP по замовчуванню.

Уразливі всі версії теми Colormix для WordPress.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.gutszndn.gov.ua (хакером Sejeal) - 04.02.2013 - похаканий державний сайт, дефейс на сайті вже виправлений адмінами, але зараз він взломаний black SEO і на ньому розміщені лінки на порно сайти
• http://romen-region.gov.ua (хакерами з Kosova Hackers Crew) - 07.02.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://paritet-info.com (хакером Sejeal) - 21.01.2013, зараз сайт вже виправлений адмінами
• http://srkom.snu.edu.ua (хакером joker)
• http://vipdirection.com (хакером haxorsistz) - 04.2013, зараз сайт вже виправлений адмінами

Виявлені уразливості безпеки в Apache mod_security.

Уразливі версії: Apache mod_security 2.6.

Доступ до локальних даних, вичерпання ресурсів.

• libapache-mod-security security update (деталі)

12.12.2012

У листопаді, 05.11.2012, я знайшов Insufficient Anti-automation, Brute Force і Abuse of Functionality уразливості на http://www.payu.ua - сайті системи онлайн платежів PayU. Про що найближчим часом сповіщу адміністрацію сайта.

Як і всі ті сайти платіжних систем власники яких заявляли про відповідність PCI DSS і на яких я знаходив дірки, на сайті www.payu.ua заявлена відповідність PCI DSS. Але їм ще потрібно виправляти чимало уразливостей, щоб цього досягти.

Стосовно дірок на сайтах онлайн магазинів та електронних платіжних систем в останнє я писав про уразливості на www.allmoney.com.ua та plimus.com.

Детальна інформація про уразливості з’явиться пізніше.

18.04.2013

Insufficient Anti-automation:

http://www.payu.ua/zayavka-na-podklyuchenie

Не було захисту від автоматизованих атак. Зараз поставили капчу.

Brute Force:

https://secure.payu.ua/cpanel/

Окрім BF тут ще і CSRF. Капча обходиться видаленням кукіса.

Abuse of Functionality / Insufficient Anti-automation:

https://secure.payu.ua/cpanel/recover_password.php

Витік логінів/емайлів. Капча обходиться видаленням кукіса.

Виправили лише одну IAA уразливість. Всі інші уразливості досі не виправлені.

В своїх звітах про Інфіковані хостери в 1 півріччі 2012 року та Інфіковані хостери в 2 півріччі 2012 року я розповів, що в Уанеті було 98 інфікованих сайтів в першому півріччі та 105 інфікованих сайти в другому півріччі минулого року, і навів перелік хостерів, що хостили ці інфіковані сайти. А зараз наведу загальний перелік інфікованих хостерів за весь рік.

Всього в 2012 році було інфіковано 203 сайти (виявлених мною), при цьому один сайт був інфікований в першому і в другому півріччі. Всього було 80 провайдерів, що розміщували дані сайти.

Багато з цих хостінг провайдерів, робили це як в першому, так і другому півріччі минулого року (16 провайдерів), а деякі робили це і 2011 року. Тобто це в них звичайна практика. Цей звіт призначений для того, щоб і хостери і Інтернет користувачі знали найбільших розповсюджувачів шкідливого програмного забезпечення (через інфіковані сайти).

В минулому році наступні хостінг провайдери розміщували на своїх серверах інфіковані сайти: 1GB, Adamant, Amazon Web Services, Autocenter, Besthosting, BitterNet, Black Sea, BSB Service, CaroNet, Cityhost, Citynet, CloudFlare, Colocall, Compubyte Limited, Crimea Internet Services, Datagroup, DCKIEVUA, Delta-X, Dream Line, Freehost, Golden Telecom, Goodnet, Hetzner, HomeUA, Host VDS, Hosting.UA, HostLife, HostPro, Hvosting, iHome, Incapsula, Inetmar, Infocom, Internet-Hosting, Inter-Telecom, iomart Hosting, Keyweb Online, Lancom, Lan-Telecom, LeaseWeb, Limestone Networks, LuckyNet, Lux, Master-Service, MiroHost, NAU, Root, ServerBeach, Service Online, Smarty Media, SpaceWeb, STC Energy, SteepHost, Tangram Ukraine, Taras Shevchenko University of Kyiv Network, Telegroup-Ukraine, Telepark, Terabit, TEST, TOP NET, Triolan, UA Servers, Uadomen, UARNet, Ukrainehosting, Ukrainian Hosting, Ukrhosting, Ukrnames, UN, Unlim, Uplink, Valor, Vizor, Volia, VolumeDrive, Webalta, Wnet, Візор, Пряма Мова, Укртелеком.

Найбільші інфіковані хостери (TOP-10):

1. Freehost - 17 сайтів
2. Delta-X - 15 сайтів
3. Volia - 11 сайтів
4. Besthosting - 8 сайтів
5. Hetzner - 8 сайтів
6. MiroHost - 8 сайтів
7. Adamant - 7 сайтів
8. Compubyte Limited - 7 сайтів
9. UARNet - 6 сайтів
10. Infocom - 5 сайтів

Всього було виявлено хостінги 196 сайтів з 203. У випадку інших 7 сайтів визначити хостінги не вдалося, тому що в даний момент ці сайти вже не працювали (вони явно були закриті через розміщення malware на цих ресурсах).

Виявлені XSS уразливості (міжсайтовий скриптінг) у різних продуктах Microsoft.

Уразливі продукти: Microsoft InfoPath 2010, SharePoint Server 2010, SharePoint Foundation 2010, Office Web Apps 2010, Groove Server 2010.

Некоректна нормалізація символів.

• Microsoft Security Bulletin MS13-035 - Important Vulnerability in HTML Sanitization Component Could Allow Elevation of Privilege (2821818) (деталі)

В даній добірці експлоіти в веб додатках:

• MS13-009 Internet Explorer WScript.Shell Remote Code Execution (деталі)
• DLink DIR-645 / DIR-815 Command Execution Vulnerability (деталі)
• FlashPeak SlimBrowser All Version Remote Code Execution (деталі)
• ZTE ZXDSL 831IIV7 Privilege Escalation (деталі)
• MinaliC Webserver 2.0.0 - Buffer Overflow (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах IndiaNIC FAQS Manager, Level Four Storefront та WP Banners Lite. Для котрих з’явилися експлоіти. IndiaNIC FAQS Manager - це плагін для управління списками часто задаваємих питань, Level Four Storefront - це плагін для створення кошика покупця, WP Banners Lite - це локальна банерна система.

• WordPress IndiaNIC FAQS Manager 1.0 XSS / CSRF (деталі)
• WordPress Level Four Storefront SQL Injection (деталі)
• WP Banners Lite 1.40 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В статті Включення бекдорів у веб додатки я розповів про основні шляхи потрапляння бекдору у веб додатки та навів приклади випадків впровадження бекдору у веб додатки та в відкриті операційні системи. Дана стаття є продовженням попередньої.

До раніше наведених веб додатків, в яких були виявленні бекдори, додам нові веб додатки, а також різні мережеві пристрої та серверні програми. В деяких випадках чорні ходи були додані розробниками, а в інших випадках бекдори були додані зловмисниками в код популярних веб додатків.

Випадки впровадження бекдору у веб додатках, мережевих пристроях та серверних програмах:

• В Telecom Italia Alice Pirelli routers
• В Alice Pirelli routers
• В Asante FM2008 10/100 Ethernet switch
• В Qnap storage devices
• В Hewlett-Packard Operations Manager Server
• В IBM Cognos Server
• В Xerox WorkCentre Printers
• В AlienTechnology ALR-9900
• В HP OpenView Performance Insight Server
• В принтерах Samsung і Dell
• В Social Media Widget для WordPress

В попередній статті я писав про розміщення бекдору в WordPress (що мав місце в 2007 році), а також писав про забекдорені плагіни для Joomla. І з останнього прикладу з плагіном Social Media Widget для WP видно, що зловмисники шукають різні способи поширення шкідливого коду. Якщо забекдорити сам движок не вдається, то бекдорять плагіни для нього. З моєї статті випливало, що в будь-який веб додаток можуть потрапити бекдори, і цей випадок з плагіном наявне цьому підтвердження.

Розглянемо інструменти для пошуку чорних ходів. Окрім пошуку бекдорів вручну (як найбільш надійний метод), також можна використовувати спеціальні програми. Про багато з таких програм я писав раніше.

Наступні веб додатки мають функціонал пошуку бекдорів:

• Антивірус в IPB (версії 2.1.7 і вище)
• Плагіни для WP: WordPress Exploit Scanner, Belavir, AntiVirus for WordPress, WordPress File Monitor, Wordfence
• Антивірус в DLE (версії 8.5 і вище)
• Антивірус в Bitrix Site Manager (версії 9.0 і вище)
• AI-Bolit

Також у грудні я розробив приклад простого веб додатку з вбудованим бекдором - Backdoored Web Application. Він призначений для перевірки систем пошуку бекдорів.