Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.vynogradiv-rda.gov.ua (хакером Sejeal) - 23.01.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.dak.gov.ua (хакером Sejeal) - 23.01.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://ddacore.com (хакером misafir) - 15.01.2013, зараз сайт вже виправлений адмінами
• http://vsesvitn.com.ua (хакером Hmei7) - 12.03.2013, зараз сайт вже виправлений адмінами
• http://volleyball.in.ua (хакером Sejeal) - 15.01.2013, зараз сайт вже виправлений адмінами
• http://pms-carmedia.com (хакером Sejeal) - 23.01.2013, зараз сайт вже виправлений адмінами
• http://volleyballinua.s24.yourdomain.com.ua (хакером ghost-dz) - 17.02.2013, зараз сайт вже виправлений адмінами
• http://24kadra.pp.ua (хакером Aghilas)
• http://www.noomd-pi.org (хакером Ardd’zz)
• http://www.slava-hotel.com.ua (хакерами з Kosova Warriors Group) - 04.03.2013, зараз сайт вже виправлений адмінами

12.02.2013

Виявлені численні уразливості безпеки в Oracle Java.

Уразливі версії: Oracle JRE 6, JDK 6, JDK 7, JRE 7.

Виправлено близько 50 різних уразливостей.

• Details of issues fixed by Feb 2013 Java SE CPU (деталі)

27.03.2013

Додаткова інформація.

• The “allowed behavior” in Java SE 7 (Issue 54) (деталі)
• Oracle Java Contains Multiple Vulnerabilities (деталі)
• Java for OS X 2013-002 and Mac OS X v10.6 Update 14 (деталі)
• One more attack affecting Oracle’s Java SE 7u15 (деталі)
• New security issues affecting Oracle’s Java SE 7u15 (деталі)
• Oracle Java Multiple Vulnerabilities (деталі)
• Updated Release of the February 2013 Oracle Java SE Critical Patch Update (деталі)
• Oracle Java SE Critical Patch Update Advisory - February 2013 (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://dynamomania.com - інфекція була виявлена 28.12.2012. Зараз сайт не входить до переліку підозрілих.
• http://gothic.com.ua - інфекція була виявлена 16.03.2013. Зараз сайт не входить до переліку підозрілих.
• http://gloriamed.com.ua - інфекція була виявлена 09.11.2012. Зараз сайт не входить до переліку підозрілих.
• http://mdpu.org.ua - інфекція була виявлена 06.03.2013. Зараз сайт не входить до переліку підозрілих.
• http://profcom.kiev.ua - інфекція була виявлена 07.03.2013. Зараз сайт входить до переліку підозрілих.
• http://melitopolonline.net - інфекція була виявлена 05.03.2013. Зараз сайт не входить до переліку підозрілих.
• http://avk7.com.ua - інфекція була виявлена 05.03.2013. Зараз сайт не входить до переліку підозрілих.
• http://allindustry.com.ua - інфекція була виявлена 25.03.2013. Зараз сайт не входить до переліку підозрілих.
• http://misto.zp.ua - інфекція була виявлена 20.03.2013. Зараз сайт не входить до переліку підозрілих.
• http://rusfight.pp.ua - інфекція була виявлена 18.02.2013. Зараз сайт не входить до переліку підозрілих.

У лютому, 22.02.2013, майже через півтора місяці після виходу Google Chrome 24, вийшов Google Chrome 25.

В браузері зроблено декілька нововведень та виправлені помилки. А також виправлено 22 уразливості, з яких 8 позначені як небезпечні. Це майже стільки ж як у попередній версії браузера.

Уразливості, що мають статус небезпечних, відзначені в звуковій підсистемі, IPC, SVG, коді для роботи з БД, декодувальнику vorbіs, обробнику URL і системі плагінів. Окремо відзначається відключення за замовчуванням підтримки MathML через виявлення проблем безпеки і необхідності переробки представленої в минулому випуску реалізації.

Чимало з виправлених уразливостей виявлені за допомогою інструментарію address-sanitizer, призначеного для автоматизованого визначення фактів звертання до звільнених областей пам’яті, виходу за межі границь виділеного буфера і деяких інших типів помилок при роботі з пам’яттю.

• Релиз web-браузера Chrome 25 (деталі)

В даній добірці експлоіти в веб додатках:

• Sami FTP Server LIST Command Buffer Overflow Vulnerability (деталі)
• Apache Struts ParametersInterceptor Remote Code Execution (деталі)
• Mutiny Remote Command Execution Vulnerability (деталі)
• TP-Link TL-WR740N Wireless Router Remote Denial Of Service (деталі)
• GnuTLS libgnutls Double-free Certificate List Parsing Remote DoS (деталі)

У травні, 03.05.2012, під час пентесту, я виявив багато уразливостей в IBM Lotus Domino, зокрема численні Cross-Site Scripting. Про попередні уразливості в Lotus Domino я вже раніше повідомив IBM, а про нові дірки я повідомив розробникам у грудні.

Раніше я вже писав про уразливості в IBM Lotus Domino, що стосувалися Domino WebMail. До попередніх двох дірок, додам нові уразливості в WebMail.

Cross-Site Scripting (WASC-08):

Атака можлива через data: і vbscript: URI.

http://site/mail/x.nsf/CalendarFS?OpenFrameSet&Frame=NotesView&Src=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B
http://site/mail/x.nsf/WebInteriorCalendarFS?OpenFrameSet&Frame=NotesView&Src=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B
http://site/mail/x.nsf/ToDoFS?OpenFrameSet?OpenFrameSet&Frame=NotesView&Src=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B
http://site/mail/x.nsf/WebInteriorToDoFS?OpenFrameSet&Frame=NotesView&Src=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

Уразливі Lotus Domino 8.5.4 та попередні версії. Як мені повідомили з IBM, дані уразливості будуть виправлені в Domino 9. І враховуючи, що він вже вийшов у березні, я оприлюднив дану інформацію. Також існує обхідний метод захисту від даних XSS через спеціальні налаштування веб сервера (що IBM навела в своєму advisory для вищезгаданих XSS уразливостей), що можуть використати користувачі попередніх версій Domino.

Продовжуючи розпочату традицію, після попереднього відео про взлом мережі за 60 секунд, пропоную нове відео на веб секюріті тематику. Цього разу відео про сліпі XSS. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 20: Blind XSS

Торік на конференції DEFCON 20 відбувся виступ Adam Baldwin. В своєму виступі він розповів про Cross-Site Scripting, про його підкласи і, зокрема, про такий різновид persistent XSS як сліпі XSS. Сам я не вживаю такого терміну і всі persistent XSS називаю persistent (хоча раніше і ввів термін per-user persistent XSS, для відокремлення від звичайних постійних XSS таких, що спрацьовують не для всіх користувачів, а лише для поточної сесії користувача, тобто близькі за природою до reflected XSS). Адам вирішив вжити термін “blind XSS” для виділення окремої категорії постійних XSS. І детально розповів про них у своїй доповіді.

Сліпі XSS - це ті уразливості, де одразу немає виконання коду (це в першу чергу стосується тих XSS, що знаходяться в адмінках або акаунтах, куди нападник немає доступу). Це дуже поширена частина постійних XSS. В своїй практиці серед persistent XSS я більше стикався саме зі сліпими, ніж звичайними (й першою Cross-Site Scripting, яку я дослідив, була саме сліпа постійна XSS).

Адам продемонстрував свою платформу xss.io призначену для експлуатації XSS уразливостей. Рекомендую подивитися дане відео для розуміння векторів атак через уразливості у веб додатках.

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server.

Численні уразливості використання пам’яті після звільнення.

• Microsoft Internet Explorer 10-9-8-7-6 “OnMove” Use-after-free (MS13-021 / CVE-2013-0087) (деталі)
• Microsoft Internet Explorer 10-9-8-7-6 “OnResize” Use-after-free (MS13-021 / CVE-2013-0087) (деталі)
• Microsoft Security Bulletin MS13-021 - Critical Cumulative Security Update for Internet Explorer (2809289) (деталі)

В даній добірці уразливості в веб додатках:

• RubyGems vulnerabilities (деталі)
• Vulnerability in Apache Maven 3.0.4 (деталі)
• DataWatch Monarch Business Intelligence (BI) v5.1 client section stored cross-site scripting (деталі)
• python-django security update (деталі)
• DataWatch Monarch Business Intelligence (BI) v5.1 Blind SQL injection (деталі)
• fusionforge security update (деталі)
• DataWatch Monarch Business Intelligence (BI) v5.1 Admin Section Blind XPath Injection (деталі)
• Joomla! <= 3.0.2 (highlight.php) PHP Object Injection Vulnerability (деталі)
• Icedtea-Web vulnerability (деталі)
• Multiple Vulnerabilities in PHP-Fusion 7.02.05 (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Audio Player, WP-Table Reloaded та Marekkis Watermark. Для котрих з’явилися експлоіти. Audio Player - це флеш аудіо плеєр, WP-Table Reloaded - це плагін для розміщення таблиць, Marekkis Watermark - це плагін для розміщення водяних знаків на зображення.

• Wordpress Audio Player Plugin XSS in SWF (деталі)
• WordPress WP-Table-Reloaded Cross Site Scripting (деталі)
• WordPress Marekkis Watermark Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.