Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://joomla-ua.com - інфекція була виявлена 28.11.2011. Зараз сайт не входить до переліку підозрілих.
• http://fondigs.lg.ua - інфекція була виявлена 20.10.2011. Зараз сайт не входить до переліку підозрілих.
• http://searivera.com.ua - інфекція була виявлена 18.10.2011. Зараз сайт не входить до переліку підозрілих.
• http://users.i.com.ua/~gladkey - інфекція була виявлена 29.10.2011. Зараз сайт не входить до переліку підозрілих.
• http://vixen.com.ua - інфекція була виявлена 03.11.2011. Зараз сайт не входить до переліку підозрілих.

17.11.2011

Виявлені численні уразливості безпеки в Adobe Flash Player.

Уразливі продукти: Adobe Flash Player 11.0, AIR 3.0.

Численні пошкодження пам’яті, переповнення буфера, міжсайтовий доступ до даних.

• Security update available for Adobe Flash Player (деталі)

28.12.2011

Додаткова інформація.

• Adobe Flash Player “SAlign” Memory Corruption Vulnerability (CVE-2011-2459) (деталі)

В даній добірці уразливості в веб додатках:

• Hewlett-Packard Data Protector DtbClsLogin Utf8cpy Remote Code Execution Vulnerability (деталі)
• phpMyAdmin 3.x Conditional Session Manipulation (деталі)
• phpBB AJAX Chat/Shoutbox MOD CSRF Vulnerability (деталі)
• HP Data Protector Express and HP Data Protector Express Single Server Edition (SSE), Local Denial of Service (DoS), Execution of Arbitrary Code (деталі)
• Joomla! 1.7.0-RC and lower | Multiple Cross Site Scripting (XSS) Vulnerabilities (деталі)
• Multiple XSS in HESK (деталі)
• HP Data Protector Express and HP Data Protector Express Single Server Edition (SSE), Local Denial of Service (DoS), Execution of Arbitrary Code (деталі)
• Eve-NukePortal file include (phpbb_root_path) (деталі)
• MangoBery CMS 0.5.5 (quotes.php) Remote File Inclusion Vulnerability (деталі)
• codebb 1.1b3 (phpbb_root_path) Remote File Include Vulnerability (деталі)

Раніше я вже писав про уразливість в плагінах для Serendipity, Social Web CMS, PHP-Fusion, Magento та Sweetcron та багатьох інших портах WP-Cumulus для різних движків. Така ж уразливість є і в версіях даного плагіна для MODx CMS, XOOPS, uCoz, Magento та DSP CMS, що використовують tagcloud.swf розроблений автором WP-Cumulus.

Про мільйони флешек tagcloud.swf вразливих до XSS атак я згадував у своїй статті XSS уразливості в 34 мільйонах флеш файлах. Автори цих плагінів, як і тих плагінів, про які я писав раніше, так і не спромоглися виправити дану XSS уразливість з листопада 2009 року, коли я оприлюднив уразливості в WP-Cumulus для WordPress, повідомив про них авторові й він маже повністю їх виправив. Тому доводиться нагадувати кожному з цих розробників окремо.

Восени, 02.09.2011, 09.11.2011 та 18.11.2011, я знайшов Cross-Site Scripting уразливості в Tagcloud для MODx CMS, Сumulus для XOOPS, uCoz-Cumulus для uCoz, Cumulus Tagcloud для Magento та Cumulus для DSP CMS. Деякі з цих плагінів уразливі до однієї, а деяки до двох XSS - як до першої дірки в WP-Cumulus, що я оприлюднив в 2009 році, так і до другої дірки, що я оприлюднив в 2011 році.

XSS:

Tagcloud для MODx CMS:

http://site/assets/files/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

Сumulus для XOOPS:

http://site/modules/cumulus/include/cumulus.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

uCoz-Cumulus для uCoz:

http://site/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

Про дірку в якому, на прикладі сайта www.umvspz.gov.ua, я вже згадував торік в себе в новинах та оприлюднив на vs-db.info.

Cumulus Tagcloud для Magento:

http://site/frontend/tag/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href=%27javascript:alert(document.cookie)%27+style=%27font-size:+40pt%27%3EClick%20me%3C/a%3E%3C/tags%3E
http://site/frontend/tag/tagcloud.swf?xmlpath=xss.xml
http://site/frontend/tag/tagcloud.swf?xmlpath=http://site/xss.xml

Через параметри mode та xmlpath.

Сumulus для DSP CMS:

http://site/engine/tags/cumulus.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href=%27javascript:alert(document.cookie)%27+style=%27font-size:+40pt%27%3EClick%20me%3C/a%3E%3C/tags%3E

Код виконається при кліку. Це Strictly social XSS. Також можна провести HTML Injection атаку, подібно до WP-Cumulus.

Уразливі всі версії Tagcloud для MODx CMS, Сumulus для XOOPS 1.0, який також входить в ExtendedPackRU для XOOPS. Уразливі всі версії uCoz-Cumulus для uCoz, всі версії Cumulus Tagcloud для Magento та всі версії Сumulus для DSP CMS.

Як я вже неодноразово розповідав, окрім виконання коду на сервері при завантаженні скриптів з відповідними розширеннями (як то php-скрипта у вигляді файла з розширенням php), існують альтеранативні методи. Відомі три методи виконання коду, коли розширення файла відмінне від того, яке повинно виконуватися на сервері відповідно до його налаштувань. Які дозволяють обходити захисні механізми веб додатків і проводити Code Execution атаки.

Обхідні методи виконання коду:

1. Через “1.asp;.txt” в імені файла. Працює в IIS.

Дана атака була названа semicolon attack. Ця уразливість була знайдена в 2009 році.

2. Через “1.asp” в імені папці. Працює в IIS.

Дана можливість виконання коду в Microsoft IIS була знайдена в 2011 році.

3. Через подвійне розширення (1.php.txt). Працює в Apache (з спеціальною конфігурацією). Цей метод відомий вже багато років, але все ще є дуже багато веб додатків вразливих до нього.

Про два перших методи (для IIS) я вже розповідав у вищезгаданих записах, а зараз я розповім детально про третій метод (для Apache). Ще в травні 2010 я запланував написати цю статтю і ось нарешті знайшов час.

Code Execution в Apache:

Атака відбувається при завантаженні через аплоадер файла, наприклад, з PHP кодом (або іншого скрипта), з подвійним розширенням. Це може знадобитися, коли завантаження php-файлів заборонене.

http://site/1.php.txt

Цей метод я виявив ще 04.11.2007 в себе на http://websecurity.com.ua коли зробив екслоіт для reCaptcha. Спочатку я зробив файл reCaptcha.pl.txt, але файл виконувався на сервері (як Perl скрипт, хоча і мав останнє розширення txt), тому я його перейменував на reCaptcha.txt і з тих пір в себе на сайті розміщую експлоіти як txt-файли (без подвійних розширень).

Спочатку я вирішив, що це некоректе налаштування на моєму сервері. Але потім я почав знаходити випадки такої misconfiguration на інших сайтах. З тих пір я ще неодноразово зустрічав подібні випадки на багатьох сайтах, тобто це поширене явище. Яке використовується для атаки на веб сайти.

Дана атака можлива через специфічні налаштування Apache. Вона пов’язана з модулем mod_mime. Тому атака можлива тільки на серверах Apache з модулем mod_mime.

За повідомленням www.xakep.ru, Google Wallet зберігає деяку інформацію про платіжні карти у відкритому вигляді.

Значна кількість незашифрованих даних ставить телефони з Android у ризиковане становище, говорять дослідники. Самий довгоочікуваний мобільний платіжний додаток від Google для розрахунків у місцевих магазинах зберігає деяку секретну інформацію про користувачів у нешифрованому вигляді, наприклад, імена користувачів, дати транзакцій, адреси електронної пошти, а також залишок на рахунку покупців, говориться в дослідженні viaForensics.

За повідомленням www.xakep.ru, Gartner: основні тенденції інформаційної безпеки і безпечного здійснення покупок на 2012 рік.

Стандарт безпеки даних індустрії платіжних карт (PCI DSS) - животрепетна тема, але недавнє дослідження, проведене компанією Gartner показало, що 18% респондентів зізналися в тому, що вони не PCI DSS-сумісні, хоча в дослідженні малося на увазі, що вони повинні були відповідати цим стандартам.

Gartner провів ряд досліджень у період з червня по вересень цього року на щорічному IT-самміті Gartner по інформаційній безпеці, заходах Catalyst у Північній Америці і на їхньому власному самміті по безпеці і ризикам у EMEA. Опитування 383 IT-менеджерів виявило тренди в поводженні при здійсненні покупок і дозволило спрогнозувати майбутні витрати на забезпечення безпеки.

Це ще малий відсоток несумісних з PCI DSS компаній у Gartner, тому що досліджували вони лише західні компанії. Моє дослідження компаній (як українських, так і деяких інших), що мають сайти які повинні відповідати PCI DSS, показало, що мало хто з них відповідає цьому стандарту (і про такі діряві сайти я вже писав неодноразово). А також доводилося знаходити уразливості на сайтах, які пройшли PCI DSS аудит і мають відповідний сертифікат.

За повідомленням www.xakep.ru, вимоги безпеки націлені на зміцнення розбитої системи SSL: занадто мало, занадто пізно.

Консорціум компаній опублікував набір практик здійснення безпеки, який, вони сподіваються, будуть застосовувати всі центри аутентифікації, щоб браузери й інше ПЗ довіряло їх сертифікатам SSL. Базові вимоги, опубліковані Certification Authority/Browser Forum, розроблені для того, щоб запобігти порушенню безпеки в заплутаній мережі довіри, що формує підтримку системи SSL сертифікатів.

Випуск цих правил відбувся після багатьох років поганого керування з боку індивідуальних центрів сертифікації, яким дозволено випускати сертифікати, яким довіряють браузери. Це вимушений крок, після багатьох випадків компрометації видавців сертифікатів - лише в цьому році, як я писав, були взломані чотири видавця SSL сертифікатів: Comodo, DigiNotar, Digicert Sdn. Bhd та Gemnet.

В даній добірці уразливості в веб додатках:

• HP Data Protector Notebook Extension, Remote Execution of Arbitrary Code (деталі)
• Precision (products.php?cat_id) Remote SQL injection Vulnerability (деталі)
• Lava (news_item.php?id) (album.php?id) (basket.php?baction) Remote SQL injection Vulnerability (деталі)
• HP Directories Support for ProLiant Management Processors for Integrated Lights-Out iLO2 and iLO3, Unauthorized Access (деталі)
• SQL injection vulnerabilities in Support Incident Tracker (деталі)
• Cross-Site Scripting in Koha Library Software (деталі)
• Vulnerabilities in 3S CoDeSys 3.4 SP4 Patch 2 (деталі)
• Kaqoo Auction (install_root) Multiple Remote File Include Vulnerabilities (деталі)
• JC URLshrink 1.3.1 Remote Code Execution Vulnerability (деталі)
• phpBB Module Forum picture and META tags 1.7 File Include Vulnerability (деталі)

У грудні, 10.12.2011, я знайшов Cross-Site Scripting та Brute Force уразливості на http://it-consulting.incom.ua - сайті секюріті компанії Інком. Тоді я звернув увагу, що у Інкома окрім головного сайта на Джумлі-дирумлі є ще багато інших сайтів (на піддоменах) на різних версіях Джумли (1.0.x та 1.5.x), які мають ті самі дірки. Тому виправляти дані уразливості їм потрібно на всіх своїх сайтах.

Після мого повідомлення адміністраціі сайта стосовно дірок на основному сайті, вони також повинні були зрозуміти, що вони відносяться до всіх їхніх сайтів на Joomla (XSS до версій 1.0.х, а BF до всіх версій).

XSS (для Mozilla та Firefox):

• alert(document.cookie)
• цікавий

Brute Force:

http://it-consulting.incom.ua/administrator/

Дані уразливості досі не виправлені.

В грудні, 20.12.2011, вийшов Mozilla Firefox 9. Нова версія браузера вийшла через півтора місяця після виходу Firefox 8 (та через місяць після 8.0.1).

Mozilla офіційно представила реліз веб-браузера Firefox 9.0. Реліз Firefox 10 очікується через 6 тижнів, на початку лютого, а Firefox 11 вийде в середині березня. Крім того, також були випущені Firefox 3.6.25, Firefox 9 for Android, Seamonkey 2.6 і Thunderbird 9.0.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 9.0 усунуто 6 уразливостей. 4 з яких мають критичний характер і можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок.

• Релиз Firefox 9 и сопутствующих проектов Mozilla (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://balakliya-rda.gov.ua (хакером nO lOv3) - 09.10.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://sovet.izmail-rada.gov.ua (хакером Dr-AnGeL) - взломаний державний сайт
• http://voyage.co.ua (хакером nO lOv3) - 09.10.2011, зараз сайт вже виправлений адмінами
• http://www.spigc.com (хакерами з 1923Turk) - 09.10.2011, зараз сайт вже виправлений адмінами
• http://balakleya.org.ua (хакером nO lOv3) - 09.10.2011, зараз сайт вже виправлений адмінами