Websecurity - Веб безпека

07.04.2011

Вчора, 06.04.2011, я знайшов Code Execution та Full path disclosure уразливості в плагіні Simple:Press Forum для WordPress. Яку я виявив на різних сайтах. Про що найближчим часом повідомлю розробникам плагіна.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам.

15.10.2011

Code Execution:

Виконання довільного коду можливе через TinyBrowser. Як я вже розповідав стосовно TinyBrowser для TinyMCE, програма вразлива до трьох методів виконання коду.

http://site/wp-content/plugins/simple-forum/editors/tinymce/plugins/tinybrowser/tinybrowser.php

До CE уразливі Simple:Press Forum 4.1.2 та попередні версії. В версії SPF 4.1.3, що вийшла 31.12.2009, TinyBrowser був повністю видалений. Вже після видалення TinyBrowser з SPF були виявленні нові методи виконання коду в даному додатку, тому користувачі старих версій SPF стали ще більш вразливими (як на веб серверах Apache, так і на IIS).

Full path disclosure:

Чотири останні FPD уразливості мають місце в TinyMCE, що постачається з SPF.

http://site/wp-content/plugins/simple-forum/styles/icons/default/ICON_DEFAULTS.php
http://site/wp-content/plugins/simple-forum/editors/tinymce/plugins/spellchecker/classes/EnchantSpell.php
http://site/wp-content/plugins/simple-forum/editors/tinymce/plugins/spellchecker/classes/GoogleSpell.php
http://site/wp-content/plugins/simple-forum/editors/tinymce/plugins/spellchecker/classes/PSpell.php
http://site/wp-content/plugins/simple-forum/editors/tinymce/plugins/spellchecker/classes/PSpellShell.php

До FPD уразливі Simple:Press 4.4.5 та попередні версії.

В старих версіях SPF було багато FPD, частина з них вже виправлена в останній версії 4.4.5. Зокрема в старих версіях (як то 4.1.1) є FPD в папці admin:

http://site/wp-content/plugins/simple-forum/admin/sfa-framework.php
http://site/wp-content/plugins/simple-forum/admin/sfa-menu.php

Та в деяких інших файлах в підкаталогах папок admin, editors та інших. В останній версії залишилося лише п’ять вищезгаданих FPD.

За повідомленням www.xakep.ru, Microsoft: злочинці надають перевагу старим експлоітам - загроза 0day уразливостей сильно перебільшена.

Злочинці позіхають дивлячись на те, як збуджуються засоби масової інформації по усьому світі після оголошення про кожну нову уразливість нульового дня.

Представляючи одинадцятий випуск свого звіту Security Intelligence Report на конференції RSA в Європі 11 жовтня, Microsoft вказала на те, що лише один відсоток атак, ідентифікованих у її звіті, використовував уразливості нульового дня.

За повідомленням www.anti-malware.ru, наскільки ефективний захист сучасних браузерів.

Питання безпеки в Мережі і схоронності конфіденційних даних у сучасному світі стають усе більш актуальними. І це не дивно. Число шкідливих атак, а також їхнього різновиду неухильно зростають. За даними щорічного звіту корпорації Symantec, у 2010 році було зареєстровано більш 3 млрд. шкідливих атак, що на 93% перевищує показники 2009 року. Більш того, збільшилася не тільки активність кіберзлочинців, але і помітно розширилася розмаїтість їхніх методів.

У тому ж звіті Symantec констатує появу 286 нових модифікацій хакерских атак. При цьому найбільш розповсюдженими стають так звані методи соціальної інженерії, що використовують слабості людського фактора.

За повідомленням www.xakep.ru, RSA обвинуватила державу в атаці на свої сервери.

RSA виявила, що дві групи, що працюють від імені деякої держави, взломали сервер і вкрали інформацію, що відноситься до продукту для двухфакторної аутентифікації, SecurID, випуском якої займається компанія. На конференції RSA Security Conference, що пройшла в Лондоні, голова компанії Арт Ковієлло описав атаку, що прогриміла по усьому світі.

Дана атака на RSA відбулася в березні, після чого вже постраждали деякі клієнти компанії, а вони лише зараз, у жовтні, на своїй секюріті конференції виступили з офіційними поясненнями цього інциденту . І при цьому з’їхали на хакерів спонсорованих іноземною державою і на APT. В останні роки для секюріті та інших компаній стало модним виправдовуватися подібним чином і списувати все на APT.

Продовжуючи розпочату традицію, після попереднього відео про підбір паролей до MySQL, пропоную нове відео на веб секюріті тематику. Цього разу відео про взлом комп’ютера через розшарений принтер. Рекомендую подивитися всім хто цікавиться цією темою.

Metasploit Hacking a computer through a shared printer

В даному відео ролику демонструється використання Metasploit Framework для проведення атаки на розшарений принтер в локальній мережі. Використовуючи уразливість в Microsoft Print Spooler - сервісі друку в ОС Windows.

Після визначення сканером nmap IP адрес в локальній мережі, визначається комп’ютер в якого є розшарений прінтер і непропатчений Windows (з уразливістю в Print Spooler). І даний ПК атакується в Metasploit через розшарений принтер для отримання віддаленого адмінського доступу до системи. Рекомендую подивитися дане відео для розуміння векторів атак в LAN.

В даній добірці уразливості в веб додатках:

• Novell File Reporter Engine RECORD Tag Parsing Remote Code Execution Vulnerability (деталі)
• XSRF (CSRF) in Ripe website manager (деталі)
• Working Remote Root Exploit for OpenSSH 3.4p1 (FreeBSD) (деталі)
• SQL injection vulnerability in Ripe website manager (деталі)
• HP Intelligent Management Center User Access Manager (UAM) and Endpoint Admission Defense (EAD), Remote Execution of Arbitrary Code (деталі)
• SQL injection vulnerability in Ripe website manager (деталі)
• Upload directory traversal in Novell ZenWorks Handheld Management 7.0.2 (деталі)
• XSS vulnerability in Ripe website manager (деталі)
• Security Advisory for Apache Santuario (деталі)
• Path disclosure in SyndeoCMS (деталі)

Раніше я вже розповідав про різні класи Сross-Site Scripting уразливостей, в тому числі про багато класів XSS створених мною. В останнє я розповідав про Міжмовний XSS (Cross-Language Scripting) та Міжконтекстний XSS (Cross Context Scripting). А зараз розповім вам про ще один тип XSS уразливостей.

Це Міжпрограмний XSS - Cross-Application Scripting (CAS, XAS). Про який я згадув раніше в добірці статей і зараз розповім докладніше. Цей різновид XSS уразливостей трапляється в локальних додатках. Причому в зазначеній статті на Вікіпедії згадується не тільки про Cross-Application Scripting, але й про Cross-Application Request Forgery (CARF).

Різновиди Cross-Application Scripting.

Бувають наступні види Міжпрограмного XSS:

• Постійний XAS - persistent XAS.
• Відбитий XAS - reflected XAS.

Даний різновид XSS може використовуватися для атак на локальні додатки. Як шляхом передачі атакуючого коду локально (через файл) чи віддалено для уразливого додатку, так і шляхом атаки через буфер обміну.

Особливості Міжпрограмного XSS.

Дані уразливості трапляються в локальних додатках, що використовують браузерні движки. Такі як движок браузера Internet Explorer (Trident) чи інших браузерів. Тому виконання JavaScript/VBScript коду в таких додатках призводить до виконання коду в браузері в локальному контексті. З відповідними наслідками (зокрема можливий доступ до файлової системи, що може призвести до витоку інформації з локальних файлів).

Як і у випадку Local XSS, дані уразливості мають місце в локальних додатках - в цьому схожість цих класів XSS. Але XAS уразливості направлені на локальний комп’ютер, а не на веб сайти - в цьому цей клас схожий з Cross Context Scripting. Але якщо у випадку Cross Context Scripting атака відбувається в рамках одного додатку (чи в самому браузері, чи через плагін/доповнення/тулбар до браузеру), то у випадку XAS атака відбувається між різними додатками. Так само як це має місце в Міжпрограмних DoS (Cross-Application DoS), про які я писав в 2008 році.

Окрім виконання JS/VBS коду в локальному контексті подібно до Cross Context Scripting (Cross-zone scripting), XAS може використовуватися для виконання коду в локальному додатку (вразливому до переповнення буферу).

Детально про Cross-Applications Scripting ще в 2005 році розповів QQLan в статті XSS – WEB = Cross-Applications Scripting. В якій автор навів цікаві приклади XAS дірок в сканері безпеки WebInspect та в утілітах Windows.

Приклади Cross-Application Scripting уразливостей.

Прикладами Міжпрограмного XSS є наступні уразливості в декстопних програмах, зокрема таких як антивіруси, IM-клієнти, словники, сканери безпеки та утіліти Windows:

Cross-Application Scripting в Sophos Anti-Virus

Cross-Application Scripting та Cross-Application DoS в ICQ 6

Cross-Application Scripting в Babylon

XAS уразливості в SPIDynamics WebInspect, що описані в вищезгаданій статті.

XAS в Gpedit та RSoP в Microsoft Windows, що описані в вищезгаданій статті.

Використання движків браузерів, зокрема IE, в інших додатках, розробники яких не слідкують достатньо за безпекою, створює умови для появи Cross-Application Scripting уразливостей.

04.12.2010

Нещодавно, 03.12.2010, я знайшов Abuse of Functionality та Insufficient Anti-automation уразливості на сайтах компанії Google http://www.google.com та http://gmodules.com. Про що найближчим часом сповіщу Гугла.

Раніше я вже писав про уразливість на www.google.com.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

14.10.2011

Abuse of Functionality:

http://www.google.com/ig/adde?moduleurl=google.com
http://gmodules.com/ig/creator?url=http://google.com

Даний функціонал може використовуватися для атаки на інші сайти. А також для проведення DoS атаки на сервери Гугла.

Insufficient Anti-automation:

В обох цих функціоналах немає захисту від автоматизованих запитів (капчі).

Про аналогічні дірки на www.google.com я вже писав раніше в статті Використання сайтів для атак на інші сайти.

Дані уразливості досі не виправлені.

В даній добірці уразливості в веб додатках:

• Citrix EdgeSight Launcher Service Remote Code Execution Vulnerability (деталі)
• PHP-Nuke 8.x <= Cross Site Scripting Vulnerability (деталі)
• curl vulnerabilities (деталі)
• PHP-Nuke 8.x <= Cross Site Scripting Vulnerability (деталі)
• HP Data Protector EXEC_CMD Buffer Overflow Vulnerability (деталі)
• CMS Balitbang 3.3 Arbitary File Upload Vulnerability (деталі)
• Multiple vulnerabilities in HP Data Protector (деталі)
• XSS in Oracle default fcgi-bin/echo (деталі)
• HP OpenView Storage Data Protector, Remote Execution of Arbitrary Code (деталі)
• Joomla! 1.6.0 | Information Disclosure/Full Path Disclosure Vulnerability (деталі)

Нещодавно я оприлюднив уразливості на hackzona.ru, знайдені мною ще 30.10.2010. Які адміни цього секюрі провекту довго виправляли (і перед цим ще багато років тримали на сайті). Враховуючи, що на сайті використовується PHP-Nuke, то дірки стосуються саме цього движка.

При попередньому перегляді було схоже, що на сайті використовується PHP-Nuke 8.0. Але як показали мої дослідження, що Directory Traversal уразливість була виявлена в PHPNuke 7.8 і 7.9 і експлоіт для неї був розроблений sp3x і оприлюднений ще в 2005 році. Тому, або цей сайт мав 7.9 версію PHP-Nuke, або 8.0 з деякими уразливими модулями (зокрема News) з попередньої версії. Й відповідно цілих п’ять років з часу оприлюднення експлоіту до того як я виявив ці дірки в жовтні 2010 року, адміни їх не виправляли та забивали на безпеку власного сайта.

Якщо sp3x у власному експлоіті наводить лише Directory Traversal (з Null Byte Injection) уразливість, то я доповнив її іншими дірками. І якщо DT потребує виключених mq для використання NBI для проведення атаки, то LFI та DoS уразливості не потребують NBI і тому працюють як з виключеними, так і включеними mq.

Directory Traversal + Null Byte Injection:

http://site/modules.php?name=News&file=../../robots.txt%00

Local File Include + Null Byte Injection:

http://site/modules.php?name=News&file=file.php%00

LFI також можна використати без NBI (для файлів з розширенням php).

DoS (Recursive File Include):

http://site/modules.php?name=News&file=../../modules

Уразливі PHP-Nuke 7.9 і попередні версії.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://ugi.edu.ua (хакерами з Tetova Hackers Team) - 07.10.2011, зараз на сайті немає контенту
• http://chajka.kiev.ua (хакером Serberus)
• http://www.klyaksa-fan.com (хакерами з kosova security group) - 25.07.2011, зараз сайт вже виправлений адмінами
• http://megasiti.com.ua (хакером ho1onk) - 22.09.2011, зараз сайт вже виправлений адмінами.
• http://office-kharkov.com.ua (хакерами з OPOJA-TECHNOLOGY-HACKERS)

Виявлені уразливості безпеки в Google Chrome.

Уразливі версії: Google Chrome 14.0.

Пошкодження пам’яті при роботі з функціями WebKit.

• Google Chrome WebKit Engine Ruby Tag Stale Pointer Vulnerability (деталі)
• Google Chrome WebKit Engine Child Tag Deletion Stale Pointer Vulnerability (деталі)