Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• HP webOS Calendar Application, Remote Execution of Arbitrary Code (деталі)
• LFI Vulnerability in 1024cms Admin Control Panel v1.1.0 Beta (Complete-Modules Package) (деталі)
• HP webOS Contacts Application, Remote Execution of Arbitrary Code (деталі)
• Multiple XSS in Viscacha (деталі)
• Symantec Veritas Storage Foundation vxsvc.exe Value Unpacking Integer Overflow Remote Code Execution Vulnerability (деталі)
• Path disclosure in Viscacha (деталі)
• Symantec Veritas Storage Foundation vxsvc.exe ASCII String Unpacking Remote Code Execution Vulnerability (деталі)
• Path disclosure in phpCollab (деталі)
• Symantec Veritas Storage Foundation vxsvc.exe Unicode String Parsing Remote Code Execution Vulnerability (деталі)
• XSS vulnerabilities in phpCollab (деталі)

Ще 15.10.2008 я знайшов Cross-Site Scripting уразливість в WordPress. І після публікації статті про Виключно соціальний XSS, до якої має відношення ця дірка, я публікую дану інформацію.

В WordPress має місце Cross-Site Scripting уразливість, в даному випадку Strictly social XSS. Причому одразу двох типів цього класу XSS: Strictly social XSS persistent (лінка з JavaScript/VBScript) та Strictly social XSS persistent self-contained (лінка з data з JavaScript). Тобто при бажанні цю дірку можна розбити на дві дірки. Це хороший приклад цих двох різновидів Strictly social XSS уразливостей.

XSS:

В полі коментарю (параметр comment):

<a href="javascript:alert(document.cookie)">test</a>
<a href="vbscript:MsgBox(document.cookie)">test</a>
<a href="data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ+">test</a>

Атака спрацює лише, якщо коментар опублікував адмін, а не незалогінений відвідувач. Для чого можна використати CSRF уразливість в WordPress <= 2.1.2. В описі даної уразливості ciri розповів про persistent XSS (що працювала разом з CSRF), а я веду мову про Strictly social XSS. В нових версіях WP, де присутній захист від CSRF, можна використати reflected XSS дірку (або ж використати інші техніки розроблені мною) для обходу цього захисту та публікації коментаря з атакуючим кодом.

В WordPress 2.0.10 та 2.1.3 розробники вже виправили CSRF, але можливість проведення Strictly social XSS (через anchor тег) все ще залишилася навіть в останній версії WP. Розробники не стали прибирати цей функціонал адміна, для повного виправлення XSS, обмежившись виправленням CSRF. Тому як вищезгадана persistent XSS, так і знайдена мною Strictly social XSS, все ще працюють.

Відмінність WP 3.x від попередніх версій в тому, що в адмінці (на сторінці edit-comments.php) код з коментарю прибирається (чого не робилося в старих версіях) і атака лише можлива на самій сторінці з коментарем. Для автоматизації запуску коду (після того як він буде розміщений) через Strictly social XSS уразливість можна скористатися технікою ClickJacking, причому атакувати можна не тільки адміна, але й будь-яких користувачів та відвідувачів сайта.

Уразливі всі версії WordPress - WP 3.2.1 та попередні версії. Тестував в різних 2.0.x версіях, включно з 2.0.11, та в 3.1.1.

Існує така давно відома в галузі безпеки річ, як сканування портів. Для чого використовуються спеціальні додатки - сканери портів - на цю тему я вже писав раніше і радив почитати відповідну статтю. А зараз пропоную вам онлайн сервіс для перевірки відкритих портів на серверах в Інтернеті.

Web-based port scanner

Даний сервіс дозволяє перевірити лише обмежену кількість портів (13 найбільш поширених портів) і для повноцінної перевірки сервера потрібно буде мати власний сканер портів і скористатися ним. Але для швидкої перевірки хоста цього вистачить. До того ж дане обмеження зроблене для захисту від автоматизованого використання сервісу для сканування портів.

Єдине, чого не має даний сервіс - це повноцінного захисту від автоматизованих запитів (капчі). Й вищезгадане обмеження повністю не врятує його від автоматизованого використання для сканування портів довільних серверів. Що також може використовуватися для відправки запитів до довільних хостів для їх перенавантаження. Тобто на сайті viewdns.info мають місце Insufficient Anti-automation та Abuse of Functionality уразливості.

В даній добірці уразливості в веб додатках:

• Cross-Site Scripting (XSS) in Microsoft ReportViewer Controls (деталі)
• Sonexis ConferenceManager Multiple Cross-site Scripting (XSS) Vulnerabilities (деталі)
• Microsoft Security Bulletin MS11-067 - Important Vulnerability in Microsoft Report Viewer Could Allow Information Disclosure (2578230) (деталі)
• phplist: cross site request forgery (CSRF) (деталі)
• HP ProLiant SL Advanced Power Manager (SL-APM), Remote User Validation Failure (деталі)
• XSS Vulnerabilities in 1024cms Admin Control Panel v1.1.0 Beta (деталі)
• Nortel Media Application Server cstore.exe cs_anams Remote Code Execution Vulnerability (деталі)
• Path disclosure in Joomla (деталі)
• RSA, The Security Division of EMC, releases Security Patch for Adaptive Authentication (On-Premise) (деталі)
• SQL Injection in Viscacha (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах GRAND Flash Album Gallery, Pretty Link та BackWPUp. Для котрих з’явилися експлоіти. GRAND Flash Album Gallery - це плагін для створення фото галерей, Pretty Link - це плагін для створення редиректорів на власному сайті (подібно до сервісів редирекції), BackWPup - це плагін для створення бекапів бази даних та файлів WP.

• File Content Disclosure in GRAND Flash Album Gallery wordpress plugin (деталі)
• Multiple vulnerabilities in Pretty Link WordPress Plugin (деталі)
• WordPress Plugin BackWPUp 2.1.4 - Security Advisory (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

This is English version of my Strictly social XSS article.

Earlier I’ve told about different classes of Cross-Site Scripting vulnerabilities, including about many classes created by me. Last time I’ve told about Cross-Application Scripting, and concerning classes created by me - about Cross-Language Scripting. And now I’ll tell you about another one type of XSS vulnerabilities. I’ve created this class already in September 2007 (though I’ve found such holes earlier) and at last came to writing of detailed article about it.

This is Strictly social XSS. Which I’ve announced already in 2007 and now would tell about it in detail. At 23.09.2007 I’ve found Cross-Site Scripting vulnerability in Mozilla and Firefox, which I’ve disclosed at beginning of October. Which I’ve referred to Strictly social XSS type. And since then I’ve many times used the term Strictly social XSS for such vulnerabilities, actively popularizing it.

If in September 2007 I’ve found possibility of this attack via gopher protocol, then at 9th of February 2008 I’ve found possibility of using of http, https and ftp protocols. Which I’ve wrote about in post Cross-Site Scripting with UTF-7 in Mozilla and Firefox. In all these cases the attack was conducted at visiting of special page with UTF-7 text (it could be as reflected, as persistent attack), where it was needed to force victim to set UTF-7 encoding in a browser (by choosing appropriate item in menu). Which could be done by using method of social engineering, as I showed on examples of XSS attacks for different protocols.

gopher:///1+ADw-SCRIPT+AD4-alert('XSS')+ADw-/SCRIPT+AD4-
gopher:///1Turn%20on%20UTF-7%20to%20view%20this%20message%20+ADw-SCRIPT+AD4-alert('XSS')+ADw-/SCRIPT+AD4-

Taking into account, that the attack could be conducted on any gopher, http, https and ftp resource (which showed UTF-7 text, set in URL, in the answer on the request), so it was universal Strictly social XSS vulnerability. Also I’ll note, that if in 2007 Mozilla ignored this vulnerability, then in autumn 2008 Mozilla silently fixed this vulnerability in Firefox 3.0.2.

Nuances of Strictly social XSS.

Main feature of Strictly social XSS vulnerabilities is that a user needs to make some actions (specific to individual browser or individual site). For example, click, mouse over, selecting of element on a page (input field, combobox or other element), or selecting of some item in menu of the browser (e.g. changing of codepage). I.e. this type of XSS vulnerabilities, comparing with others, more requires usage of the methods of social engineering.

Among browsers which had such holes there are Mozilla and Firefox, which I mentioned about earlier, and Internet Explorer via attack via protocol guessing in IE6. Among such holes at web sites there are specific for separate sites and such ones, which are widespread at many sites, and also such ones, which require usage of browser functionality (but at that the hole is specific for the site, not for the browser). E.g. vulnerability on craigslist.org, which I’ve found at 01.11.2007.

The hole on craigslist.org required for attack to force a user to select required item in menu in the browser (if Site Navigation Bar turned on, as it often happens). And if it was turned on at a user (Show Always or Show Only As Needed), then it was only needed to force a user to make a click in menu Site Navigation Bar in the browser. For executing of JavaScript code it was needed to select site’s RSS feed in Site Navigation Bar in menu More. Attack could work in the browsers, which supported Site Navigation Bar, such as Mozilla, Firefox and Opera.

Besides above-mentioned cases, also such vulnerabilities happen in plugins for the browsers, such as Flash (particularly in content for this plugin - flash-files). Which allows to conduct these attacks in all browsers, i.e. these vulnerabilities are cross-browser and can take place at any sites with vulnerable flash-files. About examples of such mass XSS I wrote in articles XSS vulnerabilities in 8 millions flash files and XSS vulnerabilities in 34 millions flash files. In all these cases there was needed to click on flash-content to execute JavaScript-code.

Events handlers.

There are such XSS vulnerabilities, which work via events handlers, particularly those ones, which work not automatically, but at some user actions. Such as on click, on hovering cursor or at other events (as events, which exist in HTML standard, as own events of browsers developers, which are supported only by browsers of these companies). Such vulnerabilities are known for a long time, long before creation by me of the class Strictly social XSS, and usually they were referred to reflected XSS vulnerabilities (and some developers even didn’t count them as XSS and didn’t fix them).

At creation of this class of XSS vulnerabilities I’ve added all such XSS via vents handlers to it. Because these vulnerabilities require additional actions of a user, which conform to the definition of Strictly social XSS. I.e. not only new holes, which I’ve found and mentioned in this article, I referred to this class, but also old XSS holes, which work at onClick, onMouseOver and other events. So such holes via events handlers should be referred to this class.

At that cases happen, when there is filtration at web site (built in the site or WAF) and it’s possible to use common reflected XSS, but it’s possible to use events handlers. It’s that case, when reflected XSS is changing to Strictly social XSS for filtration bypass. During many years I’ve many times used Strictly social XSS for bypassing WAF, including ModSecurity.

Types of Strictly social XSS.

There are the next types of Strictly social XSS:

• Strictly social XSS reflected.
• Strictly social XSS persistent.
• Strictly social XSS DOM based.
• Strictly social XSS local.
• Strictly social XSS reflected self-contained.
• Strictly social XSS persistent self-contained.

Strictly social XSS reflected.

Strictly social XSS reflected represent by itself a link with JavaScript/VBScript code.

Examples of such XSS are vulnerability on tinyurl.com, vulnerabilities in 8 millions flash banners and vulnerabilities in WP-Cumulus for WordPress and tens of ports of WP-Cumulus for different engines, which together are using at around 34000000 web sites.

Strictly social XSS persistent.

Strictly social XSS persistent represent by itself a link with JavaScript/VBScript code.

Example of such XSS is vulnerability on tinyurl.com and vulnerability in WordPress.

Strictly social XSS DOM based.

Strictly social XSS DOM based represent by itself an inclusion of JavaScript/VBScript code in event handler, such as click (onClick) or other event.

Examples of such XSS are vulnerabilities in Joomla and Joostina, on yandex.ru, images.yandex.ru and market.yandex.ru, afisha.yandex.ru and video.i.ua.

Strictly social XSS local.

Strictly social XSS local represent by itself such XSS in local application, particularly in browser. About such type I’ve wrote already in details in article Local XSS.

Examples of such XSS are vulnerabilities in Mozilla and Firefox, in Mozilla and Firefox via redirectors, in Internet Explorer 6, on search.yahoo.com and craigslist.org.

Strictly social XSS reflected self-contained.

Strictly social XSS reflected self-contained represent by itself a link with data with JavaScript code.

Example of such XSS is vulnerability on www.s-cars.org.

Strictly social XSS persistent self-contained.

Strictly social XSS persistent self-contained represent by itself a link with data with JavaScript code.

Examples of such XSS are vulnerabilities on tinyurl.com and vulnerability in WordPress.

Using of Strictly social XSS together with additional attack techniques.

Taking into account, that for execution of JS/VBS code at Strictly social XSS vulnerabilities the additional actions of a user are needed, it’s complicating the attack. For simplification of the attack, up to full automation (similar to reflected XSS), it’s possible to use additional attack techniques. Particularly such techniques as ClickJacking, MouseOverJacking and attack via clipboard.

If for the attack a victim needs to do a click, then it’s possible to use ClickJacking (made by Jeremiah and Robert).

If for the attack a victim needs to do mouse over, then it’s possible to use MouseOverJacking (made by me).

If for the attack a victim needs to paste a text from clipboard, then for this it’s needed at first to put attacking code into her clipboard, for that it’s possible to conduct attack via clipboard (made by me), for remote putting of a code into clipboard.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://royalhouse.com.ua - інфекція була виявлена 12.08.2011. Зараз сайт не входить до переліку підозрілих.
• http://tekh.com.ua - інфекція була виявлена 12.08.2011. Зараз сайт не входить до переліку підозрілих.
• http://tehno-market.cn.ua - інфекція була виявлена 17.10.2011. Зараз сайт входить до переліку підозрілих.
• http://hot-girls.kiev.ua - інфекція була виявлена 28.10.2011. Зараз сайт не входить до переліку підозрілих. Як зазначає Гугл, при тому, що на сайті все ще є інфіковані сторінки.
• http://touch-if.pp.ua - інфекція була виявлена 08.08.2011. Зараз сайт не входить до переліку підозрілих.

В даній добірці уразливості в веб додатках:

• Cisco TelePresence Recording Server Default Credentials for Root Account Vulnerability (деталі)
• Multiple SQL Injections in Eleanor CMS (деталі)
• (0day) FlexNet License Server Manager lmadmin Remote Code Execution Vulnerability (деталі)
• XSS in Eleanor CMS (деталі)
• Android Browser Cross-Application Scripting (деталі)
• XSS Vulnerability in Redmine 1.0.1 to 1.1.1 (деталі)
• Microsoft Security Bulletin MS11-061 - Important Vulnerability in Remote Desktop Web Access Could Allow Elevation of Privilege (деталі)
• StartSite.ir Cross-site Scripting Vulnerability (деталі)
• HP OpenView Performance Insight, Remote HTML Injection, Unauthorized Access (деталі)
• Sonexis ConferenceManager SQL Injection (деталі)

Продовжуючи традицію, пропоную вашій увазі добірку цікавих записів на тему веб безпеки.

В своєму записі Large List of RFIs (1000+), RSnake розповідає про свою колекцію RFI уразливостей, що він створив аналізуючи логи власних сайтів.

В своєму записі Using Cookies For Selective DoS, RSnake розповідає про використання кукісів для вибіркового DoS.

В своєму записі Using Cookies For Selective DoS and State Detection, RSnake розповідає про використання кукісів для вибіркового DoS та визначення стану.

За повідомленням www.xakep.ru, Google буде попереджати користувачів про зараження шкідливим ПЗ.

В липні Google виявила шкідливу програму, що перенаправляє незвичайний пошуковий трафік на сервери компанії, що спонукало компанію попередити постраждалих користувачів.

Вірус торкнувся невизначеної кількості користувачів, але очевидно для компанії цього було достатньо, щоб оголосити, що вони будуть показувати “видні повідомлення” вгорі результатів пошуку Google кожному, хто на їхню думку є інфікованим.

До повідомлень про інфіковані сайти, про що Гугл попереджає ще з початку 2007 року (він був першою пошуковою системою, яка почала це робити), з липня Гугл почав попереджати про віруси, що встановлені на комп’ютерах користувачів. Зазначу, що раніше вже Гугл блокував користувачів (тимчасово, або виводив капчу), при частих запитах, коли на його думку запити могли бути зроблені шкідливим ПЗ, а зараз вони пішли далі й почали виводити попередження при всіх підозрілих запитах.

За повідомленням www.xakep.ru, Пентагон може витратити 13 мільярдів доларів на кібербезпеку в 2016 році.

TechAmerica Foundation, некомерційна дослідницька філія TechAmerica, пророкує значне зростання витрат Міністерства оборони США на кібербезпеку: з 8 мільярдів доларів у 2012 фінансовому році до 13 мільярдів доларів у 2016, якщо країна постраждає від великої кібератаки.

Якщо великої кібератаки не відбудеться, але менші за розміром атаки продовжаться, за прогнозами TechAmerica Foundation, витрати МО на кібербезпеку у 2016 фінансовому році підвищаться до більш скромної цифри в 10,5 мільярдів доларів, відповідно до звіту NextGov.

За повідомленням www.xakep.ru, OKTA представила single sign-on аутентифікації для хмарних технологій.

Компанія Okta, що базується в Сан-Франциско, представила послугу єдиного входу, заявивши, що це перша інтегрована багатофакторна аутентифікація в цій області. Вона призначена як для хмарних систем, так і для роботи з додатками безпосередньо на підприємствах.