Websecurity - Веб безпека

В даній добірці експлоіти в веб додатках:

• Snort Multiple HTTP Bypass <= 2.9.3.1 Exploit (деталі)
• Project Pier Arbitrary File Upload (деталі)
• MS12-063 Microsoft Internet Explorer execCommand Use-After-Free Vulnerability (деталі)
• Perl 5 Memory Corruption Vulnerability (деталі)
• Linksys WRT54GX (ADSL Router) CSRF & ‘CSRF DOS’ (деталі)

В презентації The Economics of Cybercrime and the Law of Malware Probability, Sam Curry і Amrit Williams розповідають про економіку кіберзлочинності. Вони дослідили економічні аспекти кіберзлочинності в Інтернеті (такі як поширення шкідливого коду) та розробили математичний закон вірогідності malware.

Виявлені численні уразливості безпеки в Apache Tomcat.

Уразливі версії: Tomcat 5.5, Tomcat 6.0, Tomcat 7.0.

Обхід авторизації і replay-атаки при використанні авторизації Digest, DoS.

• Tomcat vulnerabilities (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Calendar-Script, Eco-Annu та Related Posts Exit Popup. Для котрих з’явилися експлоіти. Calendar-Script - це органайзер і календар, Eco-Annu - це плагін для створення карти на базі Google Maps, Related Posts Exit Popup - це плагін для виведення попапу з пов’язаними постами при закритті сторінки сайта.

• WordPress Calendar-Script Blind SQL Injection (деталі)
• WordPress Eco-Annu SQL Injection (деталі)
• WordPress Related Posts Exit Popup SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

11.07.2012

У липні, 04.07.2012, я знайшов Cross-Site Scripting уразливості на http://www.kmu.gov.ua - сайті Кабінету Міністрів України. Одну уразливість виявив AmplenuS, про що повідомив мені, а коли я її перевірив, то я знайшов іще одну. Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже неодноразово писав про дірки на сайті Кабміну. В останнє - коли писав про уразливості на kvs.gov.ua, dcz.gov.ua та kmu.gov.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

26.11.2012

XSS:

• alert(document.cookie)
• alert(document.cookie)

Дані уразливості вже виправлені. Але як і в попередні роки (починаючи з 2006 року), коли я повідомляв Кабміну про уразливості на їхньому сайті, подякувати вони не спромоглися.

При цьому на сайті все ще є інші уразливості. Тобто що в 2006, що в 2012 році, Кабмін та інші міністерства ведуть себе невдячно і продовжують не слідкувати за безпекою власних сайтів.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://grani-t.info - інфекція була виявлена 18.11.2012. Зараз сайт входить до переліку підозрілих.
• http://hat.com.ua - інфекція була виявлена 14.11.2012. Зараз сайт не входить до переліку підозрілих.
• http://games.com.ua - інфекція була виявлена 13.11.2012. Зараз сайт входить до переліку підозрілих.
• http://music4us.com.ua - інфекція була виявлена 17.10.2012. Зараз сайт не входить до переліку підозрілих.
• http://ffu.biz.ua - інфекція була виявлена 17.10.2012. Зараз сайт не входить до переліку підозрілих.

У листопаді, 20.11.2012, вийшов Mozilla Firefox 17. Нова версія браузера вийшла через півтора місяця після виходу Firefox 16 (і майже через місяць після Firefox 16.0.2).

Mozilla офіційно представила реліз веб-браузера Firefox 17, який віднесений до категорії гілок із тривалим терміном підтримки (ESR), оновлення для яких випускаються протягом року. Крім того, випущений коригувальний реліз гілки з тривалим терміном підтримки - Firefox 10.0.11, в якій відзначається тільки виправлення уразливостей і серйозних помилок. Реліз Firefox 18 намічений на перший тиждень січня, а Firefox 19 на 19 лютого.

Також були випущені Thunderbird 17, Seamonkey 2.14 і Firefox 17 для платформи Android.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 17.0 усунуто 16 уразливостей, серед яких 6 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі.

Зазначу, що в останніх версіях Firefox (з 14 по 17) в браузері виправляється велика кількість уразливостей. Для версії Firefox 17 випущено 16 патчів - це на один патч більше ніж у версії 16. І це при тому, що в деяких патчах виправляється більше однієї дірки.

• Релиз Firefox 17 (деталі)

В даній добірці експлоіти в веб додатках:

• Internet Explorer 9 Memory Corruption 0day Exploit PoC (деталі)
• ManageEngine Security Manager Plus <= 5.5 build 5505 Remote SYSTEM/root SQLi (деталі)
• ManageEngine Security Manager Plus <= 5.5 build 5505 Remote SYSTEM SQLi (MSF) (деталі)
• Mozilla Firefox 8.0 local crash p0c (деталі)
• Cisco WAG120N Command Execution Vulnerability (деталі)

28.06.2012

У травні, 18.05.2012, під час пентесту, я виявив багато уразливостей в системі MODx, зокрема Cross-Site Request Forgery, Abuse of Functionality, Denial of Service та Insufficient Anti-automation. Це друга порція уразливостей в MODx. Про що найближчим часом повідомлю розробникам системи.

Раніше я вже писав про уразливості в MODx.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

24.11.2012

Cross-Site Request Forgery (WASC-09):

Відсутність захисту від Brute Force (такого як капча) в формі логіна (http://site/manager/) також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін в акаунт (щоб проводити атаки на уразливості всередині акаунта). Це також може бути використано для автоматизованого входу в акаунт, фішинга та інших автоматизованих атак. Нижченаведена DoS атака проводиться через дану CSRF уразливість.

Abuse of Functionality (Login Enumeration) (WASC-42):

В формі логіна (http://site/manager/) можливий підбір логінів. Якщо блокування не спрацьовує після трьох запитів (як може бути встановлене на сайті), значить немає такого логіна в системі, тобто воно спрацьовує лише для робочих логінів. Атака можлива, якщо включене блокування.

Експлоіт:

MODx Abuse of Functionality-1.html

Abuse of Functionality (WASC-42):

Після знаходження логіна з вищезгаданою уразливістю можливе зловживання блокуванням акаунтів. Після трьох запитів (як може бути встановлене на сайті) акаунт може бути заблокований (навіть акаунт адміна). Постійно посилаючи запити до цього функціоналу (по три некоректні запити), можна постійно тримати акаунт заблокованим (в тому числі адмінський).

Експлоіт:

MODx Abuse of Functionality-2.html

Denial of Service (WASC-10):

Посилаючи POST запит скрипту http://site/manager/processors/login.processor.php, він повертається на попередню сторінку, яка знову відсилає запит до цього скрипта. Таким чином створюється Looped DoS, що може створити навантаження на сервер.

Експлоіт:

MODx Looped DoS.html

Insufficient Anti-automation (WASC-21):

В формі логіна (http://site/manager/) немає захисту від автоматизований запитів, що дозволяє автоматизовано підбирати логіни (через Abuse of Functionality уразливість). Так само як автоматизовано підбирати паролі (через Brute Force уразливість) до підібраних логінів. А також проводити автоматизоване блокування виявлених акаунтів.

В формі відновлення паролю (http://site/manager/index.php ?action=show_form) немає захисту від автоматизований запитів, що дозволяє автоматизовано підбирати емайли користувачів.

Уразливі MODx 1.0.6 та попередні версії.

У листопаді місяці Microsoft випустила 6 патчів. Що трохи менше ніж у жовтні.

У листопадовому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 6 бюлетенів по безпеці. Що закривають 19 уразливостей в програмних продуктах компанії. Чотири патчі закривають критичні уразливості і два патчі закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7, 2008 R2, 8 та RT. А також Microsoft Office, Internet Explorer, Internet Information Services та .NET Framework.