Websecurity - Веб безпека

Виявлені уразливості безпеки в PHP.

Уразливі версії: PHP 5.3, PHP 5.4.

Обхід захисту safe_dir і виконання коду при роботі з SOAP.

• Vulnerabilities in PHP (деталі)

У листопаді, 10.11.2012, я виявив Content Spoofing та Cross-Site Scripting уразливості в SWFUpload. Про що вже повідомив розробникам.

Торік я писав про XSS уразливість в swfupload в WordPress та в багатьох інших веб додатках. І це нові дірки в SWFUpload. Це дуже популярна флешка, що використовується на десятках мільйонів сайтів та в сотнях веб додатків (таких як WordPress, лише один цей веб додаток використовується більше ніж на 62 мільйонах сайтів за даними wordpress.com).

Є декілька імен файлів SWFUpload: swfupload.swf, swfupload_f9.swf, swfupload_f8.swf, swfupload_f10.swf і swfupload_f11.swf. Всі вони вразливі, за виключенням swfupload.swf, що постачається з WordPress починаючи з версії 3.3.2.

Content Spoofing (WASC-12):

http://site/swfupload.swf?buttonText=test%3Cimg%20src=%27http://demo.swfupload.org/v220/images/logo.gif%27%3E

Можна включати текст, зображення та html (наприклад, для link injection).

Cross-Site Scripting (WASC-08):

http://site/swfupload.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

Код виконається після кліку. Це strictly social XSS.

Вразливі всі версії SWFUpload - SWFUpload v2.2.0.1 та попередні версії. Та вразливі всі веб додатки, що використовують дані версії SWFUpload. Для виправлення уразливості потрібно використати swfupload.swf з WordPress 3.3.2 та наступних версій (в цій флешці були виправлені як попередня XSS, так і ці CS та XSS уразливості).

P.S.

Як я вияснив, дані CS та XSS уразливості були виправлені не в WordPress 3.3.2, а в WordPress 3.5.1. Тому версії 3.3.2 - 3.5 все ще вразливі, а в версії 3.5.1 вони включили оновлену версію SWFUpload, без згадки про це виправлення, лише згадали про це в версії 3.5.2.

За повідомленням www.xakep.ru, Аноніми витягли 16 ГБ файлів із сервера Bank of America.

“Служба розвідки” анонімів Par:AnoIA (Anonymous Intelligence Agency) оголосила про успішний “взлом” Bank of America, Bloomberg, Thomson Reuter і декількох інших компаній, а в підтвердження своїх слів виклала 16 гігабайт документів, вихідних кодів і програмного забезпечення, вилучених із сервера.

Хакери підкреслюють, що взлом як такий не мав місце, а файли отримані у результаті неправильної конфігурації сервера, через що секретні документи виявилися у відкритому доступі. Як повідомляється, некоректно сконфігурованим був один із серверів у Тель-Авіві.

Некоректна конфігурація, зокрема лістінг директорій - це Directory Indexing уразливість, що доволі поширена. Подібні уразливості, що призводять до витоків інформації, я сам постійно знаходжу в Інтернеті. В статті Information Leakage в локальних пошуковцях я писав про ще один варіант витоків інформації.

За повідомленням www.opennet.ru, в Java виявлена 0-day уразливість.

Через трохи більше тижня з моменту виходу коригувальних оновлень Java SE 7 Update 15 і Java SE 6 Update 41 з усуненням уразливостей, у Мережі зафіксована шкідлива активність, що вражає системи користувачів через раніше невідому 0-day уразливість (CVE-2013-1493) в Java-плагині для браузерів. Уразливість використовується для поширення шкідливого ПЗ McRAT, що уражає Windows-системи при відкритті спеціально створених сторінок на підконтрольних зловмисникам сайтах.

В останні два роки в Java весь час знаходить уразливості - щомісяця, а іноді й по декілька разів на місяць, з’являються повідомлення про чергові “зеродеї” в Java. Компанія Oracle вже не може обійтися щоквартальними випусками патчів і їй доводиться випускати патчі частіше. Але вона все ще не встигає виправляти дірявість Java.

За повідомленням www.xakep.ru, “Яндекс” упровадив детектор шкідливих Java-апплетів.

Команда “Безпечного пошуку Яндекса” розробили детектор сайтів, що заражають комп’ютери відвідувачів за допомогою шкідливих Java-апплетів.

Детектор здатний виявляти обфусцований шкідливий код, що використовує самі популярні на сьогоднішній день уразливості JRE. Враховуючи дірявість Java, Яндекс цілком слушно зробив, що додав в свою антивірусну систему детектор таких експлоітів. Іншим розробникам веб антивірусів слід зробити те саме.

В даній добірці експлоіти в веб додатках:

• Java Applet JMX Remote Code Execution (деталі)
• Fileutils Ruby Gem Remote Command Execution Vulnerability (деталі)
• Sami FTP Server 2.0.1 LIST Command Buffer Overflow (деталі)
• Splunk 4.3.x Denial Of Service (деталі)
• Dart Communications Stack Overflow Vulnerability (деталі)

29.11.2012

У жовтні, 21.10.2012, я виявив Abuse of Functionality, Insufficient Anti-automation та Cross-Site Request Forgery уразливості в Question2Answer. Про що найближчим часом повідомлю розробникам системи.

Раніше я вже писав про уразливості в Question2Answer.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

01.03.2013

Abuse of Functionality (WASC-42):

http://site/login
http://site/forgot
http://site/reset

Можливий підбір логіна/емайла (вони обидва можуть використовуватися для аутентифікації). При відсутності такого логіна/емайла, система відповідає “User not found”.

http://site/account

Можливий підбір логіна/емайла (вони обидва можуть використовуватися для аутентифікації). Якщо є такий логін, система відповідає “This username is used”. Якщо є такий емайл, система відповідає “This e-mail is used”.

Insufficient Anti-automation (WASC-21):

http://site/login
http://site/forgot
http://site/reset

На даних сторінках немає захисту від автоматизованих запитів. Що дозволяє автоматизувати Abuse of Functionality атаки.

http://site/account

Це внутрішня сторінка. Тому для автоматизації підбору логінів або емайлів спочатку потрібно зайти в акаунт. В зв’язку з відсутністю капчі в логін формі, про що я писав в попередньому записі, можливий автоматизований логін. Тому перший POST запит відправляється до http://site/login для входу, а наступні POST запити відправляються до http://site/account для підбору логінів/емайлів.

Cross-Site Request Forgery (WASC-09):

Можна захопити акаунт користувача (в тому числі адмінський акаунт) відправивши CSRF запит до http://site/account. Після відправлення запиту даним експлоітом для зміни емайла, нападнику потрібно відновити пароль на свій емайл через функцію відновлення (http://site/reset).

Експлоіт:

Question2Answer CSRF.html

Комплексний експлоіт:

Question2Answer Exploit.txt

Уразливі всі версії Question2Answer (перевірялася версія 1.5.3). Як повідомив мені розробник, в версії Q2A 1.6 він планує додати захист від CSRF (і в січні він додав цей захист в останню dev-версію Q2A). В Question2Answer є ще багато інших уразливостей, на що я звернув увагу розробника.

29.01.2013

Виявлені численні уразливості безпеки в продуктах Oracle, Sun, People Soft і MySQL.

Уразливі продукти: Oracle Sun Solaris 9, 10 і 11, MySQL 5.1, MySQL 5.5, Oracle Application Server Single Sign-On, Oracle E-Business Suite 11.5, PeopleSoft Enterprise HRMS 9.0 і 9.1, PeopleSoft Enterprise PeopleTools 8.51 і 8.52, та інші продукти Oracle.

Більше 85 різних уразливостей виправлено в щоквартальному оновленні.

• Oracle Outside In Technology Paradox Database Handling Denial of Service (деталі)
• Oracle Outside In Technology Paradox Database Handling Buffer Overflow (деталі)

01.03.2013

Додаткова інформація.

• SQL Injection in Oracle Alter FBA Table (деталі)
• Oracle 11g Stealth Password Cracking Vulnerability (деталі)
• Oracle EM Cross Site Scripting in XDBResource cancelURL parameter (деталі)
• Oracle Database GeoRaster API overflow (деталі)
• HTTP Response Splitting in Oracle EM (policyViewSettings) (деталі)
• SQL Injection in Oracle EM (advReplicationAdmin) (деталі)
• SQL Injection in Oracle EM (dBClone) (деталі)
• SQL Injection in Oracle EM (SCPLBL_COLLECTED parameters) (деталі)
• SQL Injection in Oracle EM (streams queue) (деталі)
• Oracle EM Segment Advisor Arbitrary URL redirection/phishing (деталі)
• Cross-site scripting in Oracle EM (advReplicationAdmin) (деталі)
• SQL Injection in Oracle EM (Resource Manager) (деталі)

В даній добірці уразливості в веб додатках:

• Arbitrary File Upload Vulnerability in Sitecom Home Storage Center (деталі)
• jQuery vulnerability (деталі)
• Command Injection Vulnerability in Sitecom Home Storage Center (деталі)
• rails security update (деталі)
• Forescout NAC (Network Access Control) multiple vulnerabilities (деталі)
• I Read It Somewhere (IRIS) citations management tool <= v1.3 (post auth) Remote Command Execution (деталі)
• Forescout NAC multiple vulnerabilities (деталі)
• PHP-Fusion 7.02.05 SQL Injection (деталі)
• Heap-based buffer underflow in libxml2, as used in Google Chrome (деталі)
• SQLi found in Kodak Insite (деталі)

27.11.2012

У жовтні, 21.10.2012, я виявив Brute Force, Insufficient Anti-automation та Cross-Site Request Forgery уразливості в Question2Answer. Про що найближчим часом повідомлю розробникам системи.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

28.02.2013

Brute Force (WASC-11):

В логін формі (http://site/login) немає захисту від BF атак.

Експлоіт:

Question2Answer BF.html

Insufficient Anti-automation (WASC-21):

На сторінці контактів (http://site/feedback) немає захисту від автоматизованих атак.

Експлоіт:

Question2Answer IAA.html

Cross-Site Request Forgery (WASC-09):

Немає захисту від CSRF атак в функціоналі логіна (http://site/login) і логаута (http://site/logout), та на інших сторінках (взагалі в системі відсутній такий захист). В наступному адвізорі я приведу приклад CSRF, що дозволяє захопити адмінський акаунт.

Відсутність капчі в формі логіна призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін в акаунт (щоб проводити атаки на уразливості всередині акаунта), вищенаведений Brute Force та інші автоматизовані атаки.

Уразливі всі версії Question2Answer (перевірялася версія 1.5.3). Як повідомив мені розробник, в версії Q2A 1.6 він планує додати захист від CSRF (і в січні він додав цей захист в останню dev-версію Q2A).

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.ubozcn.gov.ua (хакером misafir) - 11.01.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.vn.ukrstat.gov.ua (хакером Hmei7) - 13.01.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://bcrda.gov.ua (хакером Sejeal) - 14.01.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://inform.kirovograd.ua (хакером TcKS!teAzrail)
• http://kebef.com (хакером CreativeTurk) - причому спочатку сайт 25.02.2013 був взломаний CreativeTurk, а зараз він вже взломаний BozQurd. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті

У лютому місяці Microsoft випустила 12 патчів. Що більше ніж у січні.

У лютневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 12 бюлетенів по безпеці. Що закривають 55 уразливостей в програмних продуктах компанії. П’ять патчів закривають критичні уразливості і сім патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT. А також Microsoft Office, Internet Explorer, Exchange Server, FAST Search Server 2010 for SharePoint та .NET Framework.