Websecurity - Веб безпека

За повідомленням www.xakep.ru, Scribd взломаний, вкрадені email-и користувачів і хеші паролів.

Веб-сервіс для публікації документів і презентацій Scribd взломаний. Зловмисники одержали доступ до адрес електронної пошти і парольних хешів (із сіллю) користувачів. Незабаром ця інформація може бути опублікована у відкритому доступі.

Регулярно відбуваються подібні взломи популярних сервісів. І як за звичай трапляється у таких випадках, власники взломаного ресурсу (в даному випадку Scribd), зробили хорошу міну про поганій грі - вони заявили, що вкрали лише емайли і хеші (й нічого більше), та із-за використання хешів із сіллю наслідки взлому для користувачів не будуть великими. При тому, що існує імовірність підбору паролів для всіх хешів.

За повідомленням www.opennet.ru, на змаганні Pwn2Own були успішно взломані Chrome, Firefox, IE 10 і Java.

В березні пройшов Pwn2Own 2013. Перший день змагань Pwn2Own, що проводиться щорічно в рамках конференції CanSecWest, виявився як ніколи плідний - були продемонстровані робочі техніки експлуатації раніше невідомих уразливостей в Chrome, Firefox, IE 10, Windows 8 і Java.

В усіх випадках атака була зроблена при обробці в браузері спеціально оформленої веб сторінки, відкриття якої завершилося одержанням повного контролю над системою. При демонстрації атаки використовувалися самі свіжі стабільні випуски браузерів і операційних систем Windows 7, 8 і Mac OS X Mountain Lion із усіма доступними оновленнями в конфігурації за замовчуванням.

За повідомленням www.opennet.ru, виявлено новий ботнет з незахищених маршрутизаторів із прошиванням на базі Linux.

Чеські дослідники в області безпеки комп’ютерних систем повідомили про виявлення нового мережного хробака, що одержав назву “Чак Норріс”, що складається з незахищених належним чином міні-маршрутизаторів, DSL-модемів і супутникових TV-ресиверів, що працюють на базі прошивань, заснованих на Linux. Як правило інфікування маршрутизаторів відбувається через виставляння адміністратором ненадійного пароля, що підбирається шляхом нескладного перебору типових варіантів, чи збереження пароля, заданого за замовчуванням.

Як видно окрім ботнета з маршрутизаторів створеного для проведення секюріті досліджень, також створюють такі ботнети для проведення DDoS та інших атак. Про уразливі маршрутизатори та інші мережеві пристрої і про можливості використання їх для атак (в тому числі створення ботнетів) я писав на протязі багатьох років.

У квітні, 02.04.2013, вийшов Mozilla Firefox 20. Нова версія браузера вийшла через півтора місяця після виходу Firefox 19.

Mozilla офіційно випустила реліз веб-браузера Firefox 20, а також мобільну версію Firefox 20 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 21 намічений на 14 травня, а Firefox 22 на 25 червня. Також був випущений Seamonkey 2.17.

Одночасно з Firefox 20 випущені коригувальні релізи гілок із тривалим терміном підтримки - Firefox 17.0.5 і Thunderbird 17.0.5.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 20.0 усунуто 11 уразливостей, серед яких 3 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 20 (деталі)

В підсумках хакерської активності в Уанеті в 2 півріччі 2012 я зазначав, що всього за цей період я виявив 105 інфікованих сайтів в Уанеті. Дані сайти хостилися на серверах різних хостінг провайдерів, як українських, так і закордонних.

Пропоную вам звіт про результати мого дослідження хостінгів, які розміщували інфіковані сайти в другому півріччі 2012 року. Багато з цих хостінг провайдерів робили це і в першому півріччі. Щоб і хостери і Інтернет користувачі знали найбільших розповсюджувачів шкідливого програмного забезпечення (через інфіковані сайти).

В другому півріччі минулого року наступні хостінг провайдери розміщували на своїх серверах інфіковані сайти: 1GB, Adamant, Amazon Web Services, Besthosting, BitterNet, CloudFlare, Colocall, Compubyte Limited, DCKIEVUA, Delta-X, Freehost, Goodnet, Hetzner, Host VDS, HostLife, HostPro, Hosting.UA, Hvosting, Incapsula, Infocom, Inter-Telecom, Lan-Telecom, LeaseWeb, LuckyNet, Lux, MiroHost, ServerBeach, Smarty Media, SpaceWeb, SteepHost, TEST, TOP NET, Telegroup-Ukraine, Telepark, UA Servers, UARNet, Uadomen, Ukrainian Hosting, Ukrhosting, Unlim, Uplink, Valor, Vizor, Volia, Wnet, iomart Hosting, Візор, Пряма Мова.

Найбільші інфіковані хостери (TOP-10):

1. Freehost - 14 сайтів
2. Delta-X - 8 сайтів
3. Hetzner - 8 сайтів
4. Volia - 8 сайтів
5. Infocom - 5 сайтів
6. Wnet - 5 сайтів
7. Besthosting - 4 сайтів
8. Colocall - 3 сайтів
9. Compubyte Limited - 3 сайтів
10. MiroHost - 3 сайтів

Були виявлені хостінги всіх 105 сайтів. Хоча деякі з цих сайтів в даний момент вже не працювали (вони явно були закриті через розміщення malware на цих ресурсах), але за допомогою власної системи моніторингу я визначив хостерів під час виявлення цих інфікованих сайтів.

Сьогодні вийшла нова версія програми SQL Shell v.1.0.4. В новій версії:

• Додана підтримка User-Agent з опцію для її включення/виключення.
• Додана підтримка Content-Type з опцію для її включення/виключення.
• Виправлена помилка з символами коментарів.

SQL Shell є консольним інтерфейсом для проведення SQL Injection атак.

Скачати: SQL_Shell_v.1.0.4.rar.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://sumygfu.gov.ua (хакером OverDz) - 25.01.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.dubno-adm.gov.ua (хакером misafir) - 29.01.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://ecopsycholog.com (хакерами з aGa Hackers) - причому спочатку сайт 08.02.2013 був взломаний aGa Hackers, а починаючи з 04.03.2013 він вже взломаний A’Rui. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://panaboard.kiev.ua (хакером Pokk3rs) - 28.03.2013, зараз сайт вже виправлений адмінами
• http://outplace.kiev.ua (хакерами з Kosova Warriors Group) - 23.02.2013, зараз сайт вже виправлений адмінами

В даній добірці уразливості в веб додатках:

• Novell GroupWise Agents Arbitrary File Retrieval (деталі)
• DALIM Dialog Server ‘logfile’ Local File Inclusion (деталі)
• libxslt vulnerabilities, as used in Google Chrome (деталі)
• Apache Commons FileUpload - Insecure examples (деталі)
• (0Day) HP SiteScope SOAP Call getSiteScopeConfiguration Remote Code Execution Vulnerability (деталі)
• OS Command Injection in CosCms (деталі)
• (0Day) HP SiteScope UploadFilesHandler Remote Code Execution Vulnerability (деталі)
• Arbitrary Files Reading in mnoGoSearch (деталі)
• (0Day) HP SiteScope SOAP Call create Remote Code Execution Vulnerability (деталі)
• Cross-site Scripting vulnerabilities in i-doit CMDB (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Events Manager, LeagueManager та Simply Poll. Для котрих з’явилися експлоіти. Events Manager - це плагін для управління та відображення подій, LeagueManager - це плагін для управління спортивними лігами, Simply Poll - це плагін для створення голосувань.

• Multiple XSS vulnerabilities in Events Manager WordPress plugin (деталі)
• WordPress LeagueManager 3.8 SQL Injection (деталі)
• WordPress Simply Poll 1.4.1 CSRF / XSS (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Сьогодні відзначається Міжнародний день Інтернету, а також День веб-майстра. День обраний не випадково, тому що сьогоднішня дата “4.04″ нагадує відому помилку сервера 404, що видається веб сервером, коли документ не знайдений. І з “помилкою 404″ доводиться регулярно зустрічатися усім Інтернет-користувачам . Ось таку цікаву дату обрали для цих свят.

Тому поздоровляю вас з цими святами. І себе також, бо веб розробкою я займаюся вже 14 років - відтоді як зробив у квітні 1999 року свій перший сайт. Тому всім бажаю хороших і головне безпечних сайтів.

Останнє особливо важливо, так як дірявих сайтів в Інтернеті багато. І тому сайти регулярно взламують, дефейсять або розміщують шкідливий код, про що я регулярно пишу в новинах (про найбільш гучні випадки) та в своїх звітах про хакерську активність (про ситуацію в Уанеті). А також веб розробникам потрібно створювати безпечні програми, над чим їм ще довго потрібно працювати, як видно з моїх звітів про веб додатки на інфікованих сайтах. А веб майстрам потрібно обирати безпечні веб додатки для своїх сайтів та проводити аудити безпеки.

Виходячи з моїх звітів про веб додатки на інфікованих сайтах в 1 півріччі та веб додатки на інфікованих сайтах в 2 півріччі, я підведу підсумки. Та наведу загальну статистику про веб додатки на інфікованих сайтах в 2012 році.

Як я зазначав в своїх звітах про хакерську активність в Уанеті, в першому півріччі було інфіковано 97 сайтів, а в другому півріччі було інфіковано 105 сайтів. Всього 202 сайти за 2012 рік. І з них на 87 сайтах вдалося виявити движки.

На перевірених в минулому році сайтах використовуються наступні движки:

Joomla - 41
WordPress - 17
DataLife Engine - 9
Drupal - 3
WebAsyst Shop-Script - 3
InstantCMS - 2
osCommerce - 2
Composite C1 CMS - 1
Danneo CMS - 1
eflyCMS - 1
ExpressionEngine - 1
Megapolis.Portal Manager - 1
phpBB - 1
PHP-Nuke - 1
phpWebSite - 1
Serendipity - 1
TYPO3 CMS - 1

Зазначу, що трійка лідерів серед веб додатків у першому й другому півріччі була незмінною. Й відповідно в підсумкових результатах за весь рік.

Тобто майже всі інфіковані сайти, з числа працюючих, використовували опенсорс веб додатки. Більшість з них публічні відкриті CMS, але деякі й комерційні відкриті веб програми.

В даній добірці експлоіти в веб додатках:

• MongoDB nativeHelper.apply Remote Code Execution Vulnerability (деталі)
• Linksys E1500/E2500 apply.cgi Remote Command Injection Vulnerability (деталі)
• Novell ZENworks Configuration Management Remote Execution (деталі)
• Ruby Gem ldoce 0.0.2 Command Execution Vulnerability (деталі)
• Mozilla Firefox 14.01 Memory Exhaustion DoS Exploit (деталі)