Websecurity - Веб безпека

У лютому, 17.02.2013, я провів дослідження Cross-Site Scripting уразливостей в ZeroClipboard. Про що вже повідомив розробникам (старим і новим розробникам цього веб додатку).

Про ZeroClipboard я писав у вересні 2011 в статті Атаки через буфер обміну. Тоді я не проводив перевірки ZeroClipboard, лише звернув увагу на XSS через копіювання у буфер обміну та при вставці в html-форми.

На початку року hip провів перевірку ZeroClipboard. Він звернув увагу лише стосовно флешки в плагіні WP-Table Reloaded, але це не лише частина плагіна, а окремий додаток, що використовується в багатьох веб додатках і на багатьох сайтах.

Я раджу замість атакуючого коду hip використати мій варіант коду - в цьому випадку не буде зациклення алертбоксу. У версії флешки в WP-Table Reloaded XSS працює лише з параметром id (це явно модифікована версія флешки). Зате в офіційній версії ZeroClipboard без &width&height не спрацює і потрібно вказувати всі параметри.

XSS (WASC-08):

В оригінальній версії від Joseph Huckaby є дві флешки (ZeroClipboard.swf та ZeroClipboard10.swf), а нові версії від Jon Rohan і James M. Greene мають лише одну флешку (ZeroClipboard.swf).

http://site/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height
http://site/ZeroClipboard10.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Також є XSS через текст, який копіюється в буфер обміну (clipText). І на тестовій сторінці (test.html), де виводиться інформація про те, який текст був скопійований, відбудеться виконання XSS коду, або при його вставці у html-форми, що вразливі до XSS через вставку (як я описав у вищезгаданій статті).

Це дуже поширена флешка (через Гугл дорки можна знайти десятки тисяч сайтів з ZeroClipboard.swf чи ZeroClipboard10.swf). Цю та інші флекши для копіювання в буфер обміну я бачив на багатьох сайтів в Інтернеті. Ось приклад на www.slideshare.net.

XSS:

• alert(document.cookie)
• цікавий

Уразливі ZeroClipboard 1.0.7 та попередні версії. XSS через параметр id і через буфер обміну були виправлені в нових версіях ZeroClipboard від нових розробників. Остання версія ZeroClipboard 1.1.7 невразлива.

У лютому, 19.02.2013, вийшов Mozilla Firefox 19. Нова версія браузера вийшла через півтора місяця після виходу Firefox 18 і через місяць після виходу Firefox 18.0.1.

Mozilla офіційно випустила реліз веб-браузера Firefox 19, а також мобільну версію Firefox 19 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 20 намічений на 2 квітня, а Firefox 21 на 14 травня. Також був випущений Seamonkey 2.16.

Одночасно з Firefox 19 випущені коригувальні релізи гілок із тривалим терміном підтримки - Firefox 17.0.3 і Thunderbird 17.0.3, у яких відзначається тільки виправлення уразливостей і серйозних помилок. Оновлення для ESR-гілки Firefox 10 припинено, користувачам гілки Firefox 10 буде запропоновано мігрувати на Firefox 17.0.3 (міграція буде проведена автоматично).

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 19.0 усунуто 9 уразливостей, серед яких 5 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 19 (деталі)

Після попереднього виявлення похаканих сайтів в моїх логах, приведу нову інформацію про взломані українських сайти. Що використовуються для атак (зокрема RFI атак) на інші сайти. Враховуючи, що після жовтня в моїх логах не було українських сайтів (тільки закордонні), що використовувалися для RFI атак, то я проаналізував більш старіші логи.

Похакані сайти в Уанеті:

• http://www.stomatformula.com.ua (невідомим хакером) - 03.2010
• http://nova.kahovka.org.ua (невідомим хакером) - 03.2010
• http://www.rentitout.com.ua (невідомим хакером) - 03.2010
• http://chainik-art.com.ua (невідомим хакером) - 03.2010
• http://www.2kiev.com.ua (невідомим хакером) - 04.2010

Файли, що використовувалися для RFI атак (файли вже давно прибрані з сайтів):

http://www.stomatformula.com.ua/help/sh/id1.txt
http://nova.kahovka.org.ua/language/id1.txt
http://www.rentitout.com.ua/backups/ikhy1.txt
http://chainik-art.com.ua/administrator/components/com_explorer/id1.txt
http://www.2kiev.com.ua/images/id.png

В даній добірці експлоіти в веб додатках:

• Ruby on Rails JSON Processor YAML Deserialization Code Execution (деталі)
• D-Link DCS Cameras Authentication Bypass / Command Execution (деталі)
• DataLife Engine preview.php PHP Code Injection (деталі)
• Apple Safari 6.0.2 (OS X) file:// Multiple Vulnerabilities (деталі)
• iRobosoft Internet Browser Memory Corruption (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://sia-house.kiev.ua - інфекція була виявлена 19.02.2013. Зараз сайт входить до переліку підозрілих.
• http://aviso.ua - інфекція була виявлена 17.02.2013. Зараз сайт не входить до переліку підозрілих.
• http://sife.od.ua - інфекція була виявлена 17.02.2013. Зараз сайт входить до переліку підозрілих.
• http://fn.ua - інфекція була виявлена 31.01.2013. Зараз сайт не входить до переліку підозрілих.
• http://luxury.com.ua - інфекція була виявлена 04.02.2013. Зараз сайт не входить до переліку підозрілих.
• http://bulgaria.in.ua - інфекція була виявлена 01.10.2012. Зараз сайт не входить до переліку підозрілих.
• http://dergachirda.com.ua - інфекція була виявлена 14.12.2012. Зараз сайт не входить до переліку підозрілих.
• http://soundmaster.kiev.ua - інфекція була виявлена 07.11.2012. Зараз сайт не входить до переліку підозрілих.
• http://expedition.vn.ua - інфекція була виявлена 12.11.2012. Зараз сайт не входить до переліку підозрілих.
• http://zfort.com.ua - інфекція була виявлена 14.11.2012. Зараз сайт не входить до переліку підозрілих.

Виявлена можливість витоку інформації в PostgreSQL.

Уразливі версії: PostgreSQL 8.3, 8.4, 9.0, 9.1, 9.2.

Переповнення індексу масиву, що може призвести до відмови в обслуговуванні або витоку інформації.

• Vulnerability in PostgreSQL 9.2.x, 9.1.x, 9.0.x, 8.4.x and 8.3.x (деталі)

22.06.2012

У травні, 04.05.2012, я знайшов Brute Force, Cross-Site Scripting та Cross-Site Request Forgery уразливості на http://energobank.com.ua - сайті банка ЕНЕРГОБАНК (на одному піддомені). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно уразливостей на сайтах банків останній раз я писав про kredobank.com.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

19.02.2013

BF + XSS + CSRF:

Всі зазначені уразливості знаходиться в двох клієнт-банкінгах банка КРЕДОБАНК. Всього 109 уразливостей в системи IFOBS (всі ці уразливості наявні в кожній з двох інсталяцій системи).

https://ifobs1.energobank.com.ua/ifobsClient/
https://ifobs1.energobank.com.ua/ifobsClientEnergo/

Дані уразливості досі не виправлені.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах SolveMedia, OpenInviter та Spam Free. Для котрих з’явилися експлоіти. SolveMedia - це плагін, що являє собою онлайн капча-сервіс, OpenInviter - це плагін для запрошення користувачів через контакти в адресній книзі, Spam Free - це анти-спам плагін.

• WordPress SolveMedia 1.1.0 CSRF Vulnerability (деталі)
• WordPress OpenInviter Information Disclosure (деталі)
• WordPress Spam Free 1.9.2 Filter Bypass (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

За повідомленням www.xakep.ru, американський ВПК штовхає вгору ціни на експлоіти.

Інформацію про уразливості тепер можна продати дуже дорого, якщо не розповідати про неї широкій публіці. Сотні тисяч доларів за цю інформацію готові запропонувати військові підрядчики, розробники озброєнь, розвідувальні агентства й уряди. Хоча торгівля експлоітами погано задокументована, але все рівно ця частина військово-промислового комплексу залишається самою відкритою. У цій сфері сформувалася ціла індустрія.

Торік я писав про компанію Vupen, що публічно займається продажем експлоітів державним спецслужбам. І ця індустрія активно розвивається.

За повідомленням news.bigmir.net, у світі відзначили День безпечного Інтернету.

На початку лютого по всьому світу відзначили 10-й щорічний Міжнародний день безпечного Інтернету (Safer Internet Day), заснований Єврокомісією в 2004 році.

День безпечного Інтернету, що традиційно відзначається у перший вівторок лютого, має на меті об’єднання зусиль зацікавлених державних, громадських і приватних організацій для підвищення рівня знань про безпечне застосування інтернет-технологій.

Про рівень безпеки Уанету і про прогрес в цьому напрямку (тобто його відсутність) з 2006 року і по поточний рік ви можете дізнатися з моїх досліджень Уанета. Тому замість “святкувань” всім інтернет-користувачам, зокрема власникам сайтів і веб розробникам, варто зайнятися покращенням безпеки власних ресурсів.

За повідомленням www.xakep.ru, хакери взломали телеканал і попередили жителів про зомбі-апокаліпсис.

Цікавий випадок відбувся 11 лютого 2013 року на американській телестанції KRTV. Під час звичайного денного ефіру йшло чергове молодіжне шоу, що раптом перервалося різкими неприємними звуками системи екстреного оповіщення про стихійні лиха.

У верхній частині екрана з’явився рядок, що біжить, з текстом попередження (Local Area Emergency), який супроводжувався чоловічим голосом. Голос повідомив про те, що зомбі атакують людей. Представники телеканалу підтвердили факт взлому.

Інциденти взломів телеканалів чи систем трансляції реклами періодично трапляються. І це ще один забавний випадок.

Виявлена можливість виконання коду в Adobe Shockwave Player.

Уразливі версії: Adobe Shockwave Player 11.6.

Декілька можливостей виконання коду.

• Security updates available for Adobe Shockwave Player (деталі)