Websecurity - Веб безпека

В підсумках хакерської активності в Уанеті в 2010 я зазначав, що всьго за 2010 рік я виявив 264 інфікованих сайтів в Уанеті. Дані сайти хостилися на серверах різних хостінг провайдерів, як українських, так і закордонних.

Пропоную вам звіт про результати мого дослідження хостінгів, які розміщували інфіковані сайти в 2010 році. Щоб і хостери і Інтернет користувачі знали найбільших розповсюджувачів шкідливого програмного забезпечення (через інфіковані сайти).

Торік наступні хостінг провайдери розміщували на своїх серверах інфіковані сайти: 1GB LLC, Adamant, Allied Standart, Avguro Technologies, Besthosting, CaroNet, CityDomain, Colobridge, Colocall, Compubyte Limited, Datagroup, Delta-X, Dream Line, Freehost, Golden Telecom, Hetzner, Host Europe, HostPro, Hosting.ua, Hostpark, Hvosting, IP-Com, ISPsystem, Infocom, Institute of Solid State Chemistry, Internet Communications, Keyweb Online, LeaseWeb, Lucky Net, MHost, MI-6, MNS, Master-Service, MegaStyle, MiroHost, Network Operations Center, New Generation Networks, OC3 Networks & Web Solutions, OVH, Operator of Virtual Data Computing, Oversee, Poundhost, Private-Online, Prohosting, Realon Service, SVAI.NET, Scana, Server.UA, Simply Transit, StarNet, Strato Rechenzentrum, T-Com, TC TEL, TOP NET, TV-Service, Tangram Ukraine, Teleport SV, The Planet, UARNet, UKRHOSTING, Uknoc, Ukrainehosting, Volia, Webalta, Webazilla, Wnet, Візор, Крелком, Мета, Укртелеком, Яндекс.

Найбільші інфіковані хостери (TOP-10):

1. MiroHost - 25 сайтів
2. Укртелеком - 21 сайтів
3. Besthosting - 12 сайтів
4. Colocall - 12 сайтів
5. Compubyte Limited - 9 сайтів
6. MHost - 8 сайтів
7. Volia - 8 сайтів
8. Hetzner - 7 сайтів
9. HostPro - 7 сайтів
10. Datagroup - 7 сайтів

Всього було виявлено хостінги 237 сайтів з 264. У випадку інших 27 сайтів визначити хостінги не вдалося, тому що в цьому році ці сайти вже не працювали (вони явно були закриті через розміщення malware на цих ресурсах).

15.11.2010

У липні, 25.07.2010, я знайшов Full path disclosure та SQL Injection уразливості на сайті http://www.eliteafh.com.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

03.09.2011

Full path disclosure:

http://www.eliteafh.com.ua/article.php?root=a

SQL Injection (blind SQLi):

http://www.eliteafh.com.ua/article.php?root=-1%20and%20version()=4.1

Дані уразливості вже не працюють, бо сайт більше не працює. Таким чином власник сайта вирішив проблему з цими (та всіма іншими) дірками на своєму ресурсі. Про інші подібні випадки я вже писав раніше.

Продовжуючи розпочату традицію, після попереднього відео про експлоіт для Firefox, пропоную нове відео на веб секюріті тематику. Цього разу відео про eксплоіт для Apache mod_isapi. Рекомендую подивитися всім хто цікавиться цією темою.

Apache 2.2.14 mod_isapi Dangling Pointer

В даному відео ролику демонструється процес використання експлоіта для веб сервера Apache, зокрема для уразливості Apache 2.2.14 mod_isapi Dangling Pointer. Дана уразливість в Апачі дозволяє виконати довільний код на сервері з правами системи (SYSTEM на ОС Windows).

Атака відбувається при локальному запуску експлоіта, який створює шел на 4444 порту сервера. Рекомендую подивитися дане відео для розуміння векторів атак на веб сервери.

За повідомленням hackzona.com.ua, хакери вкрали дані клієнтів японського Citigroup.

Особисті дані більше 90 тисяч клієнтів японського відділення Citigroup були вкрадені хакерами і, можливо, продані третім особам. Інформація, яка потрапила в руки кіберзлочинців, включає в себе номери рахунків, імена, адреси та дати народження клієнтів Citigroup.

Раніше я вже писав про взлом Citibank - дочернього підприємства Citigroup. Так що після взлому американського сайта даної фінансової установи настала черга й японскього сайта. Банкам та іншим e-commerce сайтам варто більше слідкувати за безпекою ніж вони це роблять зараз.

За повідомленням www.xakep.ru, від взлому DigiNotar так само постраждали доповнення Mozilla, Yahoo, Tor і WordPress.

Сторінка доповнень до Mozilla Firefox постраждала від тієї ж атаки, у ході якої були підроблені сертифікати для сайтів Google, заявляє розробник браузерів. “DigiNotar проінформували нас про те, що вони випустили підроблені сертифікати для addons.mozilla.org у липні, але вони були заблоковані незабаром після виявлення”, - повідомляє Найтінгейл, директор по розвитку компанії Mozilla.

Спачатку виявилося, що DigiNotar видав підроблений сертифікат gmail.com, про що я писав нещодавно, а потім виявилося, що вони і багато інших підроблених сертифікатів видали. В цьому році у видавці сертифікатів з’явилася мода на видачу підроблених сертифікатів - мабудь вони так собі підробляють . А потім кажуть, що це сталося випадково і вони стали жертвою атаки.

За повідомленням www.xakep.ru, виявлений масовий взлом сайтів в Рунеті.

Фахівці компанії “Доктор Веб” зафіксували масовану хакерську атаку, що торкнулася тисячі сайтів у російському сегменті Мережі.

Попереднє розслідування показало, що взломані сайти використовувалися зловмисниками для поширення шкідливого ПЗ Trojan.Mayachok.1 під виглядом драйверів для різних пристроїв. За станом на 31 серпня 2011 року було виявлено більше 21 тисячі адрес веб сайтів, що поширюють згадане шкідливе ПЗ.

13.11.2010

У липні, 25.07.2010, я знайшов Full path disclosure та SQL Injection уразливості на сайті http://optik.kiev.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливості на www.allo.ua.

Детальна інформація про уразливості з’явиться пізніше.

02.09.2011

Full path disclosure:

http://optik.kiev.ua/article.php?root=a

SQL Injection (blind SQLi):

http://optik.kiev.ua/article.php?root=-1%20and%20version()=4.1

Дані уразливості досі не виправлені.

В своїх статтях Обхід систем для пошуку вірусів на веб сайтах (де я розповідав про використання клоакінгу) та Обхід поведінкового аналізу, або шкідливе ПЗ наносить удар у відповідь (де я розповідав про обхід систем, що базуються на поведінковому аналізі) я описав різні методи, які дозволяють обходити веб антивіруси. І для протидії шкідливому ПЗ на сайтах веб антивіруси повинні їх враховувати.

І нещодавно я виявив, що Гугл почав використовувати підробку (spoofing) User-Agent для своїх ботів. Що може бути пов’язано як раз з бажанням покращити ефективність роботи своєї системи виявлення вірусів на сайтах - щоб за допомогою клоакінга (а підробка UA є різновидом клоакінга) деклоакнути віруси на веб сайтах. З однієї сторони пошукові системи забороняють використовувати клоакінг проти них (відносять це до “чорних методів”), а ось тут виявляється, що і вони самі іноді полюбляють його використовувати .

Але він використовує спуфінг неефективно і при продуманому використанні клоакінгу, шкідливе ПЗ може ефективно приховуватися від ботів Гугла та від ботів будь-яких пошукових систем, в тому числі тих, що мають вбудовані антивіруси.

Якщо раніше бот Гугла називав себе в заголовку User-Agent як “Googlebot” (наприклад, “Googlebot/2.1″), то з недавніх пір він іноді іменує себе як “MOZILLA 5.0″. З однієї сторони це може допомогти деклоакнути приховане malware на сайтах, але з іншої сторони цього недостатньо. Тому що просунуті віруси можуть перевіряти не тільки User-Agent, але й IP, а також робити зворотній пошук в DNS.

Зокрема для даного бота IP рівний 66.249.66.102, а домен - crawl-66-249-66-102.googlebot.com. Що дозволяє через резолвінг IP визначати, що це саме Googlebot. І навіть, якщо зробити інше доменне ім’я, але в записах WHOIS буде вказано, що цей IP належить Гуглу, то вірус може використати цю інформацію для створення списку IP (або робити запити до WHOIS в реальному часі) по яким буде приховувати себе від даних ботів.

Тобто ефективний клоакінг відбувається одразу по декільком параметрам: User-Agent, IP і DNS. І це давно відомі речі в світі клоакінгу (і коли я розробляв свою систему Web VDS я враховував не тільки User-Agent, але й інші параметри). І тому розробникам веб антивірусів, в тому числі пошукових систем з вбудованими антивірусами, потрібно це враховувати.

Виявлена можливість несанкціонованого доступу і витоку інформації в Apache Tomcat.

Уразливі версії: Apache Tomcat 5.5, Tomcat 6.0, Tomcat 7.0.

Частина вмісту повідомлення AJP може бути сприйнята як нове повідомлення.

• Apache Tomcat Authentication bypass and information disclosure (деталі)

В даній добірці уразливості в веб додатках:

• Vulnerabilities in some SCADA server softwares (деталі)
• XSS vulnerability in UMI.CMS (деталі)
• Hewlett-Packard Virtual SAN Appliance hydra.exe Login Request Remote Code Execution Vulnerability (деталі)
• XSS vulnerability in ViArt Shop (деталі)
• XSS vulnerability in WebAsyst Shop-Script (деталі)
• Hewlett-Packard Data Protector Media Operations DBServer.exe Remote Code Execution Vulnerability (деталі)
• Chamilo 1.8.7 / Dokeos 1.8.6 Remote File Disclosure (деталі)
• HP Diagnostics, Remote Cross Site Scripting (XSS) (деталі)
• Apache Continuum cross-site scripting vulnerability (деталі)
• Apache Continuum CSRF vulnerability (деталі)

Раніше я вже писав про уразливість в плагінах для RapidWeaver, Serendipity, Habari, DasBlog та eZ та багатьох інших портах WP-Cumulus для різних движків. Така ж уразливість є і в версіях даного плагіна для Serendipity, Social Web CMS, PHP-Fusion, Magento та Sweetcron, що використовують tagcloud.swf розроблений автором WP-Cumulus.

Про мільйони флешек tagcloud.swf вразливих до XSS атак я згадував у своїй статті XSS уразливості в 34 мільйонах флеш файлах. Автори цих плагінів, як і тих плагінів, про які я писав раніше, так і не спромоглися виправити дану XSS уразливість з листопада 2009 року, коли я оприлюднив уразливості в WP-Cumulus для WordPress, повідомив про них авторові й він маже повністю їх виправив. Тому доводиться нагадувати кожному з цих розробників окремо.

В травні, 11.05.2011, я знайшов Cross-Site Scripting уразливість в Freetag для Serendipity, Tag cloud для Social Web CMS, Tag cloud для PHP-Fusion, 3D Advanced Tags Clouds для Magento та Tag cloud для Sweetcron.

XSS:

http://site/path/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

Код виконається при кліку. Це Strictly social XSS. Також можна провести HTML Injection атаку, подібно до WP-Cumulus.

Уразливі Freetag для Serendipity - Freetag 3.28 та попередні версії до HTML Injection та Freetag 3.21 та попередні версії до XSS (в версії 3.22 XSS була виправлена після повідомлення Stefan Schurtz). Підтримка флеш-файла була додана в версії 2.103. Уразливі всі версії Tag cloud для Social Web CMS, Animated tag cloud для PHP-Fusion версії 1.4 та попередні версії, 3D Advanced Tags Clouds для Magento версії 2.0.0 та попередні версії та всі версії Cumulus для Sweetcron.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.mlt.gov.ua (хакером pSyCh0) - 28.07.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://invest-melitopol.gov.ua (хакером AMIN SAFI) - 01.08.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://webstudy.com.ua (хакером Silent_Hell) - 28.07.2011, зараз сайт вже виправлений адмінами
• http://online.vsevodnom.com.ua (хакером dr.timor) - 01.08.2011, зараз сайт не працює (немає контенту)
• http://vsevodnom.com.ua (хакером dr.timor) - 01.08.2011, зараз сайт не працює (немає контенту)