Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://cinemanet.org.ua - інфекція була виявлена 09.10.2011. Зараз сайт входить до переліку підозрілих.
• http://jasmin.biz.ua - інфекція була виявлена 26.08.2011. Зараз сайт не входить до переліку підозрілих.
• http://animeshka.org.ua - інфекція була виявлена 09.10.2011. Зараз сайт входить до переліку підозрілих.
• http://fckrono-karpatu.com.ua - інфекція була виявлена 24.07.2011. Зараз сайт не входить до переліку підозрілих.
• http://stabilizator.com.ua - інфекція була виявлена 07.10.2011. Зараз сайт входить до переліку підозрілих.

В даній добірці уразливості в веб додатках:

• 7T Interactive Graphical SCADA System (IGSS) Remote Memory Corruption (деталі)
• Path disclosure in xt:Commerce (деталі)
• Path disclosure in OXID eShop (деталі)
• Cisco RVS4000 and WRVS4400N Web Management Interface Vulnerabilities (деталі)
• File Content Disclosure in LotusCMS (деталі)
• Cisco Content Delivery System Internet Streamer: Web Server Vulnerability (деталі)
• XSS vulnerability in LotusCMS (деталі)
• Remote Password Disclosure Vulnerability in RXS-3211 IP Camera + others (деталі)
• XSS vulnerability in LotusCMS (деталі)
• XSS vulnerability in LotusCMS (деталі)

19.01.2011

У жовтні, 30.10.2010, я знайшов Directory Traversal, Local File Include, Null Byte Injection та Denial of Service уразливості на хакерському проекті http://hackzona.ru (на DT дірку звернув мою увагу Dementor). Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливості на hackzona.ru.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

08.10.2011

Directory Traversal + Null Byte Injection:

http://hackzona.ru/hz.php?name=News&file=../../robots.txt%00

Local File Include + Null Byte Injection:

http://hackzona.ru/hz.php?name=News&file=file.php%00

DoS (Recursive File Include):

http://hackzona.ru/hz.php?name=News&file=../../hz

Дані уразливості вже виправлені.

В підсумках хакерської активності в Уанеті в 1 півріччі 2011 я зазначав, що всього за цей період я виявив 129 інфікованих сайтів в Уанеті. Дані сайти хостилися на серверах різних хостінг провайдерів, як українських, так і закордонних.

Пропоную вам звіт про результати мого дослідження хостінгів, які розміщували інфіковані сайти в першому півріччі 2011 року. Багато з цих хостінг провайдерів робили це і минулого року. Щоб і хостери і Інтернет користувачі знали найбільших розповсюджувачів шкідливого програмного забезпечення (через інфіковані сайти).

В першому півріччі цього року наступні хостінг провайдери розміщували на своїх серверах інфіковані сайти: 1GB LLC, AGORA, ALBAINTERNET, ALGATA, ALKAR, APEXNCC, AZAR, Adamant, BGNET, Besthosting, Colocall, Compubyte Limited, DATASVIT, DORIS, Delta-X, FAUST, Freehost, Hetzner, HostPro, INLINE, ITLAS, InformService, KMU, MACHOSTER Internet Hosting Provider, MHost, MNS, Masterhost, MiroHost, Network Operations Center, PAVLABOR, ProstoHosting, RENOME, SMARTYMEDIA, Taras Shevchenko University of Kyiv, The Planet, UAIPT, UARNet, Ukrainian Internet Names Center, VEGA, VOLZ, Volia, Webalta, Wnet, hostia28, Візор, Мета, Укртелеком, Яндекс.

Найбільші інфіковані хостери (TOP-10):

1. HostPro - 13 сайтів
2. Compubyte Limited - 11 сайтів
3. Colocall - 10 сайтів
4. Freehost - 7 сайтів
5. Volia - 7 сайтів
6. Укртелеком - 5 сайтів
7. Webalta - 5 сайтів
8. UARNet - 5 сайтів
9. Adamant - 5 сайтів
10. MiroHost - 5 сайтів

Всього було виявлено хостінги 121 сайта з 129. У випадку інших 8 сайтів визначити хостінги не вдалося, тому що в даний момент ці сайти вже не працювали (вони явно були закриті через розміщення malware на цих ресурсах).

За повідомленням www.xakep.ru, 700000 сайтів взломані за один раз.

700000 сайтв, підключених до мережі InMotion Hosting, атаковані TiGER-M@TE. Це був не просто взлом сервера, був атакований весь центр збереження й обробки даних. Список усіх 700000 взломаних сайтів доступний в Інтернеті.

TiGER-M@TE - це той самий хакер, що задефейсив сайт Google Bangladesh. Даний взлом може бути самим масовим взломом сайтів. 700 тисяч сайтів взломаних одним хакером - це набагато більше, ніж 11065 сайтів на п’яти серверах Delta-X (причому взломаних різними хакерами на протязі трьох діб).

За повідомленням www.anti-malware.ru, Facebook захистить користувачів від шкідливих лінок за допомогою Websense.

Соціальна мережа Facebook оголосила про партнерство з компанією Websense, щоб захистити своїх користувачів від небезпечних лінок, що ведуть на сайти зі шкідливим ПЗ і фішингові ресурси.

Після того як Mail.ru додав в свою веб пошту захист від шкідливих сайтів за допомогою WOT, Facebook заключив аналогічне партнерство з Websense. Причому, якщо WOT - це публічний сервіс виявлення шкідливих сайтів, про який я писав раніше, то мені не відомо про такий сервіс від Websense, лише відомі їхні звіти (що базуються на їхніх даних), які вони регулярно публікують. Тим не менш, Websense достатньо розпіарився, раз саме їхній сервіс обрав Facebook (а не інших гравців цього ринку).

За повідомленням www.theregister.co.uk, Java, Adobe vulns blamed for Windows malware mayhem.

Не обновлення додатків, в тому числі третіх сторін, стала основною причиному, чому машини на Windows стають інфікованими шкідливим ПЗ. П’ять продуктів винні в 99,8% взломів комп’ютерів Інтернет-користувачів, як заявляє датська секюріті фірма CSIS.

Системи з вразливими версіями Java JRE, Adobe Reader і Acrobat та Adobe Flash найбільше знаходяться під ризиком атаки. До п’ятірки програмних продуктів, уразливості в яких найчастіше використовуються для атаки, увійшлі наступні програми: Java (37%), Adobe Reader/Acrobat (32%), Flash (16%) та Internet Explorer (10%).

В даній добірці уразливості в веб додатках:

• HP 3COM/H3C Intelligent Management Center tftpserver WRQ Remote Code Execution Vulnerability (деталі)
• Multiple XSS vulnerabilities in CosmoShop (деталі)
• HP 3COM/H3C Intelligent Management Center img Remote Code Execution Vulnerability (деталі)
• XSS vulnerability in CosmoShop (деталі)
• HP 3COM/H3C Intelligent Management Center tftpserver DATA/ERROR Remote Code Execution Vulnerability (деталі)
• SAP NetWeaver Integration Directory - multiple XSS (деталі)
• HP Intelligent Management Center (IMC), Remote Execution of Arbitrary Code (деталі)
• SAP NetWeaver Runtime - multiple XSS (деталі)
• HP/Palm webOS, Execution of Arbitrary Code, Denial of Service (DoS), Unauthorized File System Write Access (деталі)
• SugarCRM list privilege restriction bypass (деталі)

13.01.2011

У жовтні, 25.10.2010, я знайшов HTTP Response Splitting, Cross-Site Scripting та Redirector уразливості на проекті http://www.ex.ua (файлообмінник). Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливість на www.ex.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

07.10.2011

HTTP Response Splitting:

http://www.ex.ua/delete_object/1?back=http://1%0AHeader:1

XSS (через HTTP Response Splitting):

• alert(document.cookie)
• цікавий

Redirector (URL Redirector Abuse):

http://www.ex.ua/delete_object/1?back=http://websecurity.com.ua

Дані уразливості досі не виправлені. Що дуже типово для ламерів-адмінів цього сайта.

Через п’ять днів після реліза чотирнадцятої версії Chrome, фахівці компанії Google представили екстрене оновлення для браузера, обновивши додаток до версії 14.0.835.186.

Причиною оперативного випуску патча стала виявлена в коді Flash-плагіна критична zero-day-уразливість. Тобто діра, що допускає можливість захоплення зловмисниками повного контролю над комп’ютером користувача і для якої виробник програмного продукту - Adobe Systems - ще не встиг випустити відповідну заплатку.

• Google устранила критическую уязвимость в Chrome 14 (деталі)

В статті Безопасность расширений Opera - новые векторы атак через аддоны браузеров розповідається про безпеку розширень до браузерів, зокрема до Opera. Про вектори атак через доповнення до браузера.

В даній статті розглянуті наступні аспекти безпеки розширень Opera:

• Розширення зсередини.
• XSS.
• Потенційні цілі.
• Як передавати дані.
• Взаємодія розширень і безпека.
• Користувацькі скрипти в Opera.

Використання стандартних веб технологій (таких як HTML, CSS і JavaScript) для розробки доповнень, призводить до появи уразливостей в аддонах до браузерів, аналогічних тим, які ми зустрічаємо у веб додатах. Тому розробникам доповнень до браузерів (так само як і плагінів, таких як Flash та інші) слід краще слідкувати за безпекою власних програм.

В даній добірці уразливості в веб додатках:

• HP 3COM/H3C Intelligent Management Center tftpserver mode Remote Code Execution Vulnerability (деталі)
• Re: Cross-Site Scripting vulnerability in Nagios (деталі)
• HP 3COM/H3C Intelligent Management Center imcsyslogdm Remote Code Execution Vulnerability (деталі)
• Air Contacts Lite (iPhone / iPod App Denial Of Service) (деталі)
• HP 3COM/H3C Intelligent Management Center tftpserver opcode_table Remote Code Execution Vulnerability (деталі)
• Cross-Site Scripting vulnerability in Nagios (деталі)
• HP 3COM/H3C Intelligent Management Center dbman sprintf Remote Code Execution Vulnerability (деталі)
• SQL injection vulnerability in CosmoShop (деталі)
• VMware vCenter Server and vSphere Client security vulnerabilities (деталі)
• XSS vulnerability in CosmoShop (деталі)