Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• EMC Captiva eInput multiple vulnerabilities (деталі)
• AR Web Content Manager (AWCM) Cross-Site scripting Vulnerability (деталі)
• HP Data Protector Media Management Daemon (mmd), Remote Denial of Service (DoS) (деталі)
• Stored and Reflective XSS in Yaws-Wiki 1.88-1 (Erlang) (деталі)
• libsoup2.4 vulnerability (деталі)
• Xymon monitor cross-site scripting vulnerabilities (деталі)
• Sybase Adaptive Server Backup and Monitor Server NULL Write Remote Code Execution Vulnerability (деталі)
• Local File Inclusion in UseBB (деталі)
• Sybase Adaptive Server Backup and Monitor Server Translation Array Remote Code Execution Vulnerability (деталі)
• Multiple CSRF (Cross-Site Request Forgery) in UseBB (деталі)

09.04.2011

У лютому, 05.02.2011, я знайшов Cross-Site Scripting уразливості на http://www.barracudacentral.org - сайті секюріті компанії Barracuda Networks. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

28.10.2011

XSS:

• alert(document.cookie) (вже виправлена)
• alert(document.cookie)
• цікавий
• html включення

Одна уразливсть вже виправлена (ще два місяці тому вона працювала, тому виправили її лише нещодавно), а інша досі не виправлена (як і багато інших дірок на їхньому сайті). Що дуже несерйозно для секюріті компанії.

Раніше я вже розповідав про різні класи Сross-Site Scripting уразливостей, в тому числі про багато класів XSS створених мною. В останнє я розповідав про Міжпрограмний XSS (Cross-Application Scripting), а стосовно класів XSS створених мною - про Міжмовний XSS (Cross-Language Scripting). А зараз розповім вам про ще один тип XSS уразливостей. Даний клас я створив ще у вересні 2007 року (хоча знаходив такі дірки й раніше) і ось нарешті дістався до написання детальної статті про нього.

Це Виключно соціальний XSS - Strictly social XSS. Який я анонсував ще в 2007 році і зараз розповів про нього детально. 23.09.2007 я знайшов Cross-Site Scripting уразливість в Mozilla та Firefox, яку я оприлюднив на початку жовтня. Яку я відніс до типу Strictly social XSS. І відтоді я неодноразово використовував термін Strictly social XSS для подібних уразливостей, активно його пропагуючи.

Якщо у вересні 2007 я знайшов можливість даної атаки через протокол gopher, то вже 09.02.2008 я виявив можливість використання протоколів http, https і ftp. Про що я писав в записі Cross-Site Scripting з UTF-7 в Mozilla та Firefox. В усіх цих випадках, атака відбувался при відвіданні спеціальної сторінки з UTF-7 текстом (це могла бути як reflected, так і persistent атака), де потрібно було змусити жертву встановити UTF-7 кодування в браузері (вибравши відповідний пункт меню). Що можна було зробити використовуючи методи соціальної інженерії, як я показав на прикладах XSS атак для різних протоколів.

gopher:///1+ADw-SCRIPT+AD4-alert('XSS')+ADw-/SCRIPT+AD4-
gopher:///1Turn%20on%20UTF-7%20to%20view%20this%20message%20+ADw-SCRIPT+AD4-alert('XSS')+ADw-/SCRIPT+AD4-

Враховуючи, що атаку можна було провести на будь-який gopher, http, https і ftp ресурс (що виводив UTF-7 текст, вказаний в URL, у відповіді на запит), то це була універсальна Strictly social XSS уразливість. Також зазначу, що якщо в 2007 році Мозіла проігнорувала цю уразливість, то вже восени 2008 року, Мозіла втихаря виправила цю уразливість в Firefox 3.0.2.

Особливості Strictly social XSS.

Визначальною рисою Strictly social XSS уразливостей є те, що користувачу потрібно зробити якісь дії (специфічні для окремого браузера чи окремого сайта). Наприклад, клік, наведення мишкою, вибір елемента на сторінці (поля, комбобокса чи іншого елемента), або вибір якогось пункту меню браузера (наприклад, зміна кодування). Тобто даний різновид XSS уразливостей, порівнянно з іншими, найбільше вимагає використання методів соціальної інженерії.

Серед браузерів, що мали подібні дірки, є Mozilla та Firefox, про які я згадував вище, та Internet Explorer через атаку через вгадування протоколу в IE6. Серед подібних дірок на сайтах зустрічаються специфічні для окремих сайтів та такі, що поширені на багатьох сайтах, а також такі, що вимагають використання функціоналу браузера (але при цьому дірка специфічна для сайта, а не для браузера). Наприклад, уразливість на craigslist.org, що я знайшов 01.11.2007.

Дірка на craigslist.org вимагала для атаки змусити користувача вибрати необхідний пункт меню в браузері (якщо Site Navigation Bar виключений, як це часто буває). А якщо він був включений у користувача (Show Always, або Show Only As Needed), то лише залишалось змусити користувача зробити клік в меню Site Navigation Bar в браузері. Для запуску JavaSript коду потрібно було в Site Navigation Bar в меню More вибрати RSS фід сайта. Атака могла спрацювати в браузерах, що підтримують Site Navigation Bar, таких як Mozilla, Firefox та Opera.

Окрім вищезгаданих випадків, також подібні уразливості трапляються в плагінах для браузерів, такому як Flash (зокрема в контенті для цього плагіна - флешках). Що дозволяє проводити дані атаки в усіх браузерах, тобто ці уразливості є кросбраузерними і можуть мати місце на будь-яких сайтах з уразливими флешками. Про приклади таких масових XSS я писав у статтях XSS уразливості в 8 мільйонах флеш файлах та XSS уразливості в 34 мільйонах флеш файлах. В усіх цих випадках необхідно було клікнути на флешку для запуску JavaScript коду.

Обробники подій.

Існують такі XSS уразливості, які спрацьовують через обробники подій, зокрема тих, що працють не автоматично, а при деяких діях користувача. Як то при кліку, при наведенню курсору чи при інших подіях (як event-ів, що існують в стандарті HTML, так і власних подій розробників браузерів, що підтримуються лише браузерами даних компаній). Такі уразливості відомі вже давно, задовго до створення мною класу Виключно соціальних XSS, і за звичай їх відносили до reflected XSS уразливостей (а деякі розробники навіть не вважали їх за XSS і не виправляли).

При створенні даного класу XSS уразливостей я додав всі такі XSS через обробники подій до нього. Тому що дані уразливості вимагають додаткових дій користувача, що відповідає визначенню Strictly social XSS. Тобто не тільки нові дірки, знайдені мною і наведені в цій статті, я відніс до цього класу, але й старі XSS дірки, що працють при onClick, onMouseOver та інших подіях. Таким чином подібні дірки через обробники подій подібно відносити до цього класу.

При цьому трапляються випадки, коли на сайті є фільтрація (вбудована в сайт чи WAF) і не можна використати звичайну відбиту XSS, а зате можна використати обробники подій. Це той випадок, коли reflected XSS замінюється на Strictly social XSS для обходу фільтрації. На протязі багатьох років я неодноразово використовув Виключно соціальний XSS для обходу WAF, в тому числі ModSecurity.

Різновиди Strictly social XSS.

Бувають наступні види Виключно соціального XSS:

• Strictly social XSS reflected.
• Strictly social XSS persistent.
• Strictly social XSS DOM based.
• Strictly social XSS local.
• Strictly social XSS reflected self-contained.
• Strictly social XSS persistent self-contained.

Strictly social XSS reflected.

Strictly social XSS reflected представляє собою лінку з JavaScript/VBScript кодом.

Прикладами такої XSS є уразливість на tinyurl.com, уразливості в 8 мільйонах флеш банерах та уразливості в WP-Cumulus для WordPress і десятках портів WP-Cumulus для різних движків, які разом використовуються на приблизно 34000000 веб сайтах.

Strictly social XSS persistent.

Strictly social XSS persistent представляє собою лінку з JavaScript/VBScript кодом.

Прикладом такої XSS є уразливість на tinyurl.com та уразливість в WordPress.

Strictly social XSS DOM based.

Strictly social XSS DOM based представляє собою включення JavaScript/VBScript коду в обробник події, такої як натискання кнопки (onClick) чи іншої події.

Прикладами такої XSS є уразливості в Joomla та Joostina, на yandex.ru, images.yandex.ru та market.yandex.ru, afisha.yandex.ru та video.i.ua.

Strictly social XSS local.

Strictly social XSS local представляє собою подібну XSS в локальному додатку, зокрема в браузері. Про даний різновид я вже детально писав в статті Local XSS - Локальний XSS.

Прикладами такої XSS є уразливості в Mozilla та Firefox, в Mozilla та Firefox через редиректори, в Internet Explorer 6, на search.yahoo.com та craigslist.org.

Strictly social XSS reflected self-contained.

Strictly social XSS reflected self-contained представляє собою лінку з data з JavaScript кодом.

Прикладом такої XSS є уразливість на www.s-cars.org.

Strictly social XSS persistent self-contained.

Strictly social XSS persistent self-contained представляє собою лінку з data з JavaScript кодом.

Прикладами такої XSS є уразливості на tinyurl.com та уразливість в WordPress.

Використання Strictly social XSS разом з додатковими техніками атаки.

Враховуючи, що для виконання JS/VBS коду при Strictly social XSS уразливості потрібні додаткові дії користувача, це ускладнює атаку. Для спрощення атаки, аж до повної її автоматизації (подібно до reflected XSS), для цього можна використати додаткові техніки атаки. Зокрема такі техніки як ClickJacking, MouseOverJacking та атаку через буфер обміну.

Якщо для атаки жертві потрібно зробити клік, то можна використати ClickJacking (розроблений Джеремією та Робертом).

Якщо для атаки жертві потрібно зробити наведення мишею, то можна використати MouseOverJacking (розроблений мною).

Якщо для атаки жертві необхідно вставити текст з буфера, то для цього потрібно спочатку занести в її буфер атакуючий код, для чого можна провести атаку через буфер обміну (розроблену мною), для віддаленого занесення коду в буфер.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://soundbass.if.ua (хакерами з TeaM MosTa Dz HacKeR) - 10.2011, зараз сайт вже виправлений адмінами
• http://lyubystok.org (хакером EjRaM_KSA) - 10.2011, зараз сайт не працює (видає 403-ю помилку)
• http://humanities.lviv.ua (хакером AL3X 0WN5)
• http://stroitel.nikopol.net (хакерами з OPOJA-TECHNOLOGY-HACKERS) - причому спочатку сайт 15.10.2011 був взломаний OPOJA-TECHNOLOGY-HACKERS, а зараз він взломаний PRIZREN X-PERSON HACKERS. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://www.pro-donetsk.dn.ua (хакером TekZ)

06.08.2011

У липні, 30.07.2011, я знайшов Cross-Site Scripting, Brute Force та Insufficient Anti-automation уразливості в poMMo. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатку.

28.10.2011

XSS:

http://site/pommo/user/pending.php?input=a:2:{s:7:%22adminID%22;b:1;s:5:%22Email%22;s:39:%22%3Cscript%3Ealert(document.cookie)%3C/script%3E%22;}

Спрацює лише після ініціації зміни пароля адміну. Що можна зробити (вручну чи автоматизовано) відправивши перед атакою необхідний CSRF запит до http://site/pommo/user/pending.php, чи використавши IAA уразливість на http://site/pommo/index.php (після чого XSS працює тривалий час).

Brute Force:

http://site/pommo/user/login.php

Можна виявляти емайли підписчиків (що є логінами в акаунт, причому без паролів) і отримувати доступ до їх акаунтів. А також використовувати емайли для спам-цілей.

Insufficient Anti-automation:

http://site/pommo/user/subscribe.php?Email=1@1.com

В даному функціоналі немає захисту від автоматизованих запитів (капчі). Що дозволяє автоматизовано ініціювати процес підписки на емайл (що заспамить дані емайли).

Уразливі всі версії poMMo (poMMo Aardvark PR16.1 та попередні версії).

Виявлені численні уразливості безпеки в багатьох додатках Oracle і Sun.

Уразливі продукти: Oracle E-Business Suite 11.5, Oracle 10g, Oracle 11g, WebLogic Portal 9.2, WebLogic Server 9.2, Oracle Application Server 10g, PeopleSoft Enterprise HRMS 8.9 та інші продукти Oracle.

Чергове щоквартальне оновлення закриває більше 50 уразливостей у всіх основних продуктах.

• Oracle DataDirect Multiple Native Wire Protocol ODBC Drivers HOST Attribute Stack Based Buffer Overflow Vulnerability (деталі)
• Buffer Overflow in Oracle Database (CTXSYS.DRVDISP.TABLEFUNC_ASOWN function) (деталі)
• Database Vault Account Management Vulnerabilites (деталі)
• SQL Injection Vulnerability in Oracle DROP INDEX for spatial datatypes (деталі)
• Oracle Critical Patch Update Advisory - October 2011 (деталі)

Продовжуючи тему антивірусів для сайтів, розповім вам про ще один подібний сервіс. Це WebMoney Advisor. В деякій мірі це ще один конкурент моїй Web VDS.

Сервіс WebMoney Advisor був створений багато років тому і мені давно про нього відомо. Але подібним сервісам я особливо не довіряю, які лише надають тулбари та не мають власного сканування, а лише з різних джерел визначають (і роблять це повільно) шкідливість того, чи іншого сайта. Тим не менше, розповім про нього.

Як зазначає WebMoney, їхній сервіс Advisor - це інструмент для оцінки ділової активності сайтів та захисту від шахрайських і шкідливих ресурсів. При цьому подібно до таких сервісів як McAfee SiteAdvisor, Norton Safe Web від Symantec та Web of Trust є можливість користувачам системи писати відгуки про сайти (тобто присутня соціальна складова).

Щоб скористатися даним сервісом, потрібно зайти на сайт, ввести адресу сайту в пошуковий рядок (або переглянути перелік сайтів за популярністю) та почитати детальну інформацію про сайт на сторінці з його описом. Де може бути вказана інформація про шкідливість конкретного сайта. Або можна скористатися плагіном WebMoney Advisor, що розроблений для багатьох браузерів (Internet Explorer, Mozilla Firefox, Opera та Google Chrome, а також існує букмарклет для інших браузерів).

Можете подитивитися на статистичну інформацію, що надає сервіс стосовно мого сайта:

http://advisor.wmtransfer.com/…?url=websecurity.com.ua

В даній добірці уразливості в веб додатках:

• Multiple vulnerabilities in Dlink DPH 150SE/E/F1 (деталі)
• Path disclosure in Tine 2.0 (деталі)
• Security Advisory FreeRADIUS 2.1.11 (деталі)
• XSRF (CSRF) in Feng Office (деталі)
• Security Notice for CA ARCserve D2D (деталі)
• XSRF (CSRF) in Collabtive (деталі)
• Re: CA ARCserve D2D r15 GWT RPC Request Auth Bypass / Credentials (деталі)
• XSS vulnerabilities in Collabtive (деталі)
• CA ARCserve D2D r15 GWT RPC Request Auth Bypass / Credentials Disclosure and Commands Execution (деталі)
• Directory Traversal in Collabtive (деталі)

Продовжую розповідати вам про редиректори на популярних сайтах. Редиректори - це окремий різновид уразливостей в веб додатках, котрий відноситься до класу Abuse of Functionality. Дані уразливості можуть використовуватися зловмисниками для переадресації на небезпечні та фішинг сайти.

До наведених в попередньому записі, приведу ще декілька прикладів редиректорів на популярних веб сайтах.

Редиректори на популярних сайтах:

Subscribe.ru:

http://redirect.subscribe.ru/1/-/websecurity.com.ua

Yandex.ua (до раніше згаданих численних редиректорів на yandex.ru):

http://mail.yandex.ua/r?url=http://websecurity.com.ua

Prom.ua:

http://prom.ua/redirect?url=websecurity.com.ua

Що цікаво, то після мого оприлюднення в лютому 2009 редиректора на mail.yandex.ru до Яндекса нарешті дійшло, що дані уразливості становлять загрозу і компанія прикрила автоматичні редиректори (як на mail.yandex.ru та mail.yandex.ua). І тепер вони працюють лише в неавтоматичному режимі - користувачу необхідно самому натиснути на лінку.

Звичайно за допомогою соціальної інженерії або Clickjacking цю атаку можна зробити, але вже важче. Тобто по суті дані уразливості на сайтах Яндекса вже не редиректори, а Link Injection.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://nanoavto.com.ua - інфекція була виявлена 15.10.2011. Зараз сайт входить до переліку підозрілих.
• http://dremel.com.ua - інфекція була виявлена 01.08.2011. Зараз сайт не входить до переліку підозрілих.
• http://gourelax.at.ua - інфекція була виявлена 08.10.2011. Зараз сайт входить до переліку підозрілих.
• http://kpi.ua - інфекція була виявлена 25.10.2011. Зараз сайт не входить до переліку підозрілих.
• http://sporttime.com.ua - інфекція була виявлена 10.10.2011. Зараз сайт не входить до переліку підозрілих.

Про уразливості на kpi.ua з Друпалом-дирупалом я вже писав раніше. Тому не дивує наявність шкідливого ПЗ на їх сайті.