Websecurity - Веб безпека

За повідомленням www.xakep.ru, взлом TLS і SSL через уразливість у шифрі RC4.

На цьому тижні в Сінгапурі пройшла криптографічна конференція Fast Software Encryption. Головною подією став виступ Дена Бернстейна, професора університету Іллінойсу, що представив нову техніку для розкриття протоколів Transport Layer Security (TLS) і Secure Sockets Layer (SSL), якщо в них використовується шифр RC4.

За повідомленням ain.ua, Україна на 4 місці у світі по кількості вихідних кібератак.

Ведучий німецький оператор зв’язку Deutsche Telekom візуалізував карту країн-джерел кібератак, на якій Україна виявилася на 4 місці після Росії, Тайваню і Німеччини. За останній місяць з українських серверів було зроблено 566531 атака.

На порталі в реальному часі показані атаки і країни, з яких вони виходять, а також статистика найбільш частих видів атак, зрізи по регіонах з найбільшим числом активних серверів, що атакують. У компанії підкреслюють, що число інтернет-загроз постійно зростає - щодня виявляють близько 200 тисяч нових зразків шкідливого коду. Тільки в пастках Deutsche Telekom збираються записи про 450 тисяч атак у день.

За повідомленням www.xakep.ru, опубліковано кредитну історію Білла Гейтса.

На сайті Exposed.su опубліковані персональні дані на декількох знаменитостей. Інформація викрадена з деякого банківського сайта, де зберігається кредитна історія всіх громадян. Кредитна історія містить у собі статистику витрат по кредитних картках, платежі по усіх виданих кредитах, а також базову інформацію про громадянина - дата народження, адреса, усі минулі адреси, ім’я, усі минулі імена, місця роботи та інше. Зокрема оприлюднена кредитна історія Білла Гейтса.

Сам знаходив під час пентестів уразливості на сайтах українських банків, що дозволяли отримати доступ до кредитної історії та персональних даних громадян. Тому такі уразливості трапляються і вони несуть ризики для клієнтів банків.

Виявлена можливість проведення DoS проти Apache mod_dav_svn.

Уразливі продукти: Apache mod_dav_svn 1.6.

Звертання по нульовому вказівнику при обробці MKACTIVITY і PROPFIND.

• Apache Subversion mod_dav_svn DoS via MKACTIVITY/PROPFIND (деталі)

В даній добірці експлоіти в веб додатках:

• OpenPLI Webif Arbitrary Command Execution Vulnerability (деталі)
• Avaya WinPMD UniteHostRouter Buffer Overflow (деталі)
• InduSoft Web Studio Arbitrary Upload Remote Code Execution Vulnerability (деталі)
• WIS Coldfusion Exploit (деталі)
• WAP Proof 2008 Denial of Service (деталі)

У лютому, 20.02.2013, я знайшов Cross-Site Scripting уразливості в плагінах до WordPress, що містять ZeroClipboard.swf. Деякі плагіни також містять ZeroClipboard10.swf.

Раніше я писав про Cross-Site Scripting уразливості в ZeroClipboard та про численні вразливі веб додатки з цією флешкою. Як я зазначав, це дуже поширена флешка, що знаходиться на сотнях тисяч веб сайтів і яка використовується в сотнях веб додатків.

Також вона міститься потенційно в сотнях плагінів для WordPress. Серед них Flash Gallery, Slidedeck2, WPClone, PayPal Digital Goods powered by Cleeng і Cleeng Content Monetization. Та існує багато інших уразливих плагінів до WordPress з ZeroClipboard. Як я зазначав у першому записі, після публікації XSS дірки в плагіні WP-Table Reloaded я звернув увагу на уразливості в цій флешці. Після публікації трьох записів на тему ZeroClipboard в лютому, я зробив паузу (перед наступними публікаціями), а тим часом у березні один дослідник оприлюднив численні уразливі WordPress плагіни з цією флешкою. В цьому списку багато плагінів, але це не вичерпний список, я знаходив багато інших уразливих плагінів з ZeroClipboard (в тому числі навів такі нижче).

Cross-Site Scripting (WASC-08):

XSS через параметр id та XSS через копіювання атакуючого коду в буфер обміну (як я описав в попередньому записі).

1 Flash Gallery:

http://site/wp-content/plugins/1-flash-gallery/swf/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Slidedeck2 (всі Lite, Personal та Pro версії):

Папка плагіна може називитися slidedeck2, slidedeck-2.0, slidedeck2-personal та slidedeck2-pro. Містить файли ZeroClipboard.swf та ZeroClipboard10.swf.

http://site/wp-content/plugins/slidedeck2/js/zeroclipboard/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height
http://site/wp-content/plugins/slidedeck2/js/zeroclipboard/ZeroClipboard10.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

WPClone:

http://site/wp-content/plugins/wpclone/lib/js/ZeroClipboard.swf?i?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

PayPal Digital Goods powered by Cleeng:

http://site/wp-content/plugins/paypal-digital-goods-monetization-powered-by-cleeng/js/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Cleeng Content Monetization:

http://www.drchloecarmichael.com/wp-content/plugins/cleeng/js/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Це дуже поширена флешка. Якщо при стандартному пошуку через Гугл дорки можна знайти десятки тисяч сайтів з ZeroClipboard.swf чи ZeroClipboard10.swf, то при пошуку по плагінам для WordPress можна знайти сотні тисяч сайтів з цими флешками.

Вразливі наступні веб додатки з флешкою (всі версії, перевірялося в зазначених версіях): Flash Gallery 1.7.2, Slidedeck2 (всі Lite, Personal та Pro версії, виправлено в версії 2.1.20130306), WPClone 2.0.6, PayPal Digital Goods powered by Cleeng 2.2.4, Cleeng Content Monetization 2.3.2.

Обидві XSS уразливості в ZeroClipboard вже виправлені в останній версії (від нових розробників) ZeroClipboard 1.1.7.

У лютому, 27.02.2013, вийшов Mozilla Firefox 19.0.1, а вже 07.03.2013 вийшов Mozilla Firefox 19.0.2. Нові версії браузера вийшли лише через, відповідно, вісім та шістнадцять днів після виходу Firefox 19. І в них виправлені деякі баги та уразливості допущені в останньому релізі.

Mozilla представила коригувальний випуск Firefox 19.0.1 у якому усунутий один баг. Це виправлення стосується лише Windows 8 - покращена стабільність на деяких графічних картах AMD Radeon HD (тобто виправлене вибивання браузера). Хоча Мозіла і не відзначила це як виправлення безпеки, що типово для неї, але я відношу це до секюріті виправлення (бо це була DoS в браузері).

Також Mozilla представила коригувальний випуск Firefox 19.0.2 у якому усунута одна дірка. Це Use-after-free уразливість в HTML-редакторі. Дана уразливість стосується Mozilla Firefox, Thunderbird і Seamonkey, які були оновлені.

Виявлений витік пам’яті в Perl.

Уразливі версії: Perl 5.8, 5.10, 5.12, 5.14, 5.16.

Витік пам’яті при роботі з хеш-таблицями.

• perl security update (деталі)

01.09.2012

У серпні, 16.08.2012, я знайшов численні уразливості на сайті http://www.8.uisgcon.org, зокрема Full path disclosure, Directory Traversal та Cross-Site Scripting уразливості. Про що найближчим часом сповіщу адміністрацію сайта.

Це сайт секюріті конференції UISGCON 8. Торік я виступав з доповіддю на шостій конференції UISG. Якщо сайти сьомої та попередніх конференцій були більш безпечними, то для восьмої організатори вибрали дірявий движок (який прикрасили дірявими плагінами), тому й на сайті багато дірок.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

15.03.2013

Full path disclosure:

http://www.8.uisgcon.org/wp-content/plugins/floating-tweets/dcwp_floating_tweets.php
http://www.8.uisgcon.org/wp-content/plugins/floating-tweets/dcwp_floating_tweets_widget.php
http://www.8.uisgcon.org/wp-content/plugins/floating-tweets/skin.php?skin=1

Directory Traversal (Windows):

http://www.8.uisgcon.org/wp-content/plugins/floating-tweets/skin.php?widget_id=2&skin=11

DT дозволяє зчитувати лише css-файли (в папці /skins/ та підпапках). При відключених mq можна використати Null Byte Injection, що дозволить через DT зчитувати довільні файли.

XSS (persistent XSS):

В даному плагіні три persistent XSS дірки. Приклади експлоітів до Floating Tweets для WordPress.

Окрім вищенаведених, на сайті є ще багато інших дірок. Тільки FPD уразливостей було декілька сотень, про що я приватно повідомив власникам сайта разом з цими дірками.

Власники сайта ламерським чином проігнорували ці уразливості, навіть не відповівши мені. Лише через інших осіб передавши мені, що цим ламєрам, що забивають на безпеку свого секюріті сайта - конференції з інформаційної безпеки - не сподобалось, що я повідомив їм (причому неодноразово) про дірки на їхньому ресурсі. Лише через півроку вони повиправляли всі FPD дірки на сайті, включаючи в плагіні Floating Tweets, але інші дірки в цьому плагіні залишилися не виправленими.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://darg.gov.ua (хакером misafir) - 15.01.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://boguslav-rda.gov.ua (хакером Hmei7) - 16.01.2013 - похаканий державний сайт, на сайті все ще розміщений файл хакера
• http://www.upszn.gov.ua (хакером misafir) - 20.01.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.in.cv.ua (хакерами з Kosova Warriors Group) - 23.02.2013, зараз сайт вже виправлений адмінами
• http://casamia.dp.ua (хакером Hmei7) - 12.03.2013, на сайті все ще розміщений файл хакера

Сайт casamia.dp.ua розміщений на сервері HostPro, де раніше вже відбувся масовий взлом сайтів.

Використання пам’яті після звільнення в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 19.0, Firefox ESR 17.0, Thunderbird 17.0, SeaMonkey 2.16.

Use-after-free уразливість в HTML-редакторі. Дана уразливість була виправлена в Firefox 19.0.2, Firefox ESR 17.0.4, Thunderbird 17.0.4 та SeaMonkey 2.16.1.

• Mozilla Foundation Security Advisory 2013-29 (деталі)

В даній добірці експлоіти в веб додатках:

• Ruby Gem Minimagic Command Execution Vulnerability (деталі)
• Ruby Gem Fastreader 1.0.8 Command Execution Vulnerability (деталі)
• Ruby Gem Curl Command Execution Vulnerability (деталі)
• SafeNet Sentinel Keys Server Crash PoC (деталі)
• Novell Groupwise 8.0.2 HP3 and 2012 Integer Overflow Vulnerability (деталі)