Websecurity - Веб безпека

16.04.2011

Сьогоні я знайшов численні Cross-Site Scripting уразливості (причому persistent) в плагіні Register Plus для WordPress. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в Register Plus для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам плагіна.

03.08.2011

XSS (persistent):

При включених опціях Enable Invitation Code(s) та Enable Invitation Tracking Dashboard Widget та коді <script>alert(document.cookie)</script> в прикладі Invitation Code на сторінці налаштуваннь плагіна (http://site/wp-admin/options-general.php?page=register-plus), код спрацює при заході на сторінку Dashboard (http://site/wp-admin/index.php). Сама persistent XSS має місце в dash_widget.php.

Є багато persistent XSS уразливостей в налаштуваннях плагіна (http://site/wp-admin/options-general.php?page=register-plus). В полях: Enable Password Strength Meter (Short, Bad, Good, Strong), Grace Period, Invitation Code, Disclaimer Title, Disclaimer Content, Agreement Text, License Title, License Content, Agreement Text, Privacy Policy Title, Privacy Policy Content, Agreement Text, Required Field Style Rules, Custom Field, Extra Options, Date Format, First Selectable Date, Default Year, Customize User Notification Email (From Email, From Name, Subject, User Message, Login Redirect URL), Customize Admin Notification Email (From Email, From Name, Subject, Admin Message), Custom Register CSS, Custom Login CSS.

Код спрацює на сторінці налаштувань плагіна і/або на сторінці реєстрації (http://site/wp-login.php?action=register).

При цьому на сторінці налаштуваннь плагіна використовується захист від CSRF, тому необхідно використати reflected XSS для його обходу та проведення persistent XSS атаки.

Уразливі Register Plus 3.5.1 та попередні версії. Враховуючи, що даний плагін більше не підтримується розробником, то його користувачам потрібно виправити дірки власноруч.

21.10.2010

У липні, 02.07.2010, я знайшов SQL Injection та Cross-Site Scripting уразливості на http://www.scb-ua.com - сайті секюріті компанії. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

02.08.2011

SQL Injection:

http://www.scb-ua.com/index.php?content_id=-1%20or%20version()%3E4

XSS:

http://www.scb-ua.com/index.php?content_id=-1%20or%201=1/*%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Дані уразливості (та багато інших, що були на цьому сайті) вже виправлені шляхом заміни движка. Але зараз на даному домені розміщений зовсім інший сайт (замість сайта секюріті фірми), на якому дірок також вистачає. Бо адміни встановили не саму останню версію WP, в якій є уразливості, про які я вже розповідав.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://igolki.at.ua - інфекція була виявлена 19.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://medianews.com.ua - інфекція була виявлена 12.07.2011. Зараз сайт не входить до переліку підозрілих.
• http://mediabusiness.com.ua - інфекція була виявлена 04.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://avtoadvokat.kiev.ua - інфекція була виявлена 17.06.2011. Зараз сайт не входить до переліку підозрілих.
• http://ivc.at.ua - інфекція була виявлена 21.06.2011. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфікований сайт avtoadvokat.kiev.ua також хостить в себе Укртелеком.

22.07.2011

Виявлені численні уразливості безпеки в WebKit, Apple Safari, Google Chrome.

Уразливі продукти: Apple Safari 5.0, Safari 5.1, Google Chrome 9.0, Chrome 10.0, Chrome 11.0.

Численні уразливості безпеки в WebKit і бібліотеках Apple.

• Multiple Vendor WebKit MathML Use-After-Free Vulnerability (деталі)
• Safari WebKit TIFF Use-After-Free Vulnerability (деталі)
• Multiple Vendor WebKit frameset style Heap Corruption Vulnerability (деталі)
• Apple Safari innerText Use-After-Free Vulnerability (деталі)
• Multiple Vendor WebKit SVG animVal Memory Corruption Vulnerability (деталі)
• Safari 5.1 and Safari 5.0.6 (деталі)

02.08.2011

Додаткова інформація.

• WebKit ContentEditable Inline Style Remote Code Execution Vulnerability (деталі)
• Apple Safari Rendering Object Body Detachment Remote Code Execution Vulnerability (деталі)
• Webkit setAttributes attributeChanged Remote Code Execution Vulnerability (деталі)
• Apple Safari Webkit SVG Marker Remote Code Execution Vulnerability (деталі)
• Apple Safari Webkit FrameOwner Element Remote Code Execution Vulnerability (деталі)

В даній добірці уразливості в веб додатках:

• Security update for EMC NetWorker Module for Microsoft Applications (деталі)
• SQL Injection in Pixie (деталі)
• EMC Replication Manager Client irccd.exe Remote Code Execution Vulnerability (деталі)
• SQL Injection in Pixie (деталі)
• EMC Replication Manager remote code execution vulnerability (деталі)
• request-tracker3.6 security update (деталі)
• Tembria Server Monitor Weak Cryptographic Password Storage Vulnerability (деталі)
• AWStats vulnerability (деталі)
• Tembria Server Monitor Multiple Cross-site Scripting (XSS) Vulnerabilities (деталі)
• phpcms V9 BLind SQL Injection Vulnerability (деталі)

Продовжуючи тему уразливостей в ADSL модемі Callisto 821+, розповім вам про нові уразливості в даному модемі. У квітні, 07.04.2011, я виявив численні Denial of Service, Cross-Site Request Forgery та Cross-Site Scripting уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками також повинна бути вразливою.

Дані атаки потрібно проводити на власника модему, який залогінений в адмінку. Враховуючи, що малоймовірно застати його в такому стані, то можна використати раніше згадані уразливості для проведення віддаленого логіну (щоб залогінити його в адмінку). Після чого можна спокійно провести CSRF або XSS атаку.

DoS:

Майже весь функціонал адмінки (той, що працює через POST) вразливий до DoS атаки. Це часткова DoS уразливість, що призводить до зависання модема на 75 секунд (при цьому зависає сама адмінка, а зв’язок з Інтернет через роутер працює). Зависання відбувається при відправці спеціального запиту, а потім кожного разу при будь-яких операціях запису (додавання чи зміна будь-яких налаштувань), видалення (логів чи налаштувань), а в деяких випадках навіть при заході в розділ адмінки. Тобто це persistent partial DoS.

Відправка пустого або некоректного аргумента в параметрі EmWeb_ns:vim:3 (через GET/POST), а іноді й в деяких інших параметрах, а також при вказанні спеціальним чином імен параметрів (як при XSS атаках через імена параметрів, про що я писав раніше) призводить до зависання модема.

http://192.168.1.1/configuration/edit-form.html/edit?EmWeb_ns:vim:3=

Працювати в таких умовах з адмінкою неможливо. Вирішити це можна лише перезапустив модем.

CSRF:

В розділі Security Interface Configuration (http://192.168.1.1/configuration/firewall.html) через CSRF можна змінювати стан безпеки (Security State) - включати/виключати Security, Firewall та IDS (а при включеному Firewall можна змінювати Security Level), а також можна включати/виключати NAT для інтерфейсів.

В розділі Security: Add Interface (http://192.168.1.1/configuration/fw_addInterface.html) через CSRF можна додавати інтерфейси.

Дана уразливість дозволяє видаляти Security Interfaces. Наприклад, дефолтний інтерфейс (iplan):

http://192.168.1.1/configuration/fw_deleteInterface.html/fwDeleteInterface?EmWeb_ns%3Avim%3A3=%2Fconfiguration%2Ffirewall.html&EmWeb_ns%3Avim%3A7.ImFireWall.ImFwInterfaces.iplan=ImFireWall.ImFwInterfaces.iplan

Якщо NAT включений для інтерфейса, то можна змінювати його налаштування. Через CSRF додавати адреси в розділі Add Global Address Pool (http://192.168.1.1/configuration/fw_addAddressPool.html? ImFireWall.ImFwInterfaces.ipmn) та додавати налаштування в розділі Add Reserved Mapping (http://192.168.1.1/configuration/fw_addReservedMapping.html? ImFireWall.ImFwInterfaces.ipmn).

В розділі Security Policy Configuration в підрозділах Firewall Port Filters (http://192.168.1.1/configuration/fw_filter.html? ImFireWall.ImFwPolicies.ext-int) та Configure Validators (http://192.168.1.1/configuration/fw_validators.html? ImFireWall.ImFwPolicies.ext-int) через CSRF можна додавати та видаляти фільтри.

В розділі Security Trigger Configuration (http://192.168.1.1/configuration/fw_trigger.html) через CSRF можна додавати та видаляти трігери.

В розділі Firewall Configure Intrusion Detection (http://192.168.1.1/configuration/fw_ids.html) через CSRF можна змінювати налаштування IDS.

В розділі Security Logging Configuration (http://192.168.1.1/configuration/fw_logging.html) через CSRF можна включати/виключати логування та змінювати його налаштування.

XSS:

У всіх вищезгаданих розділах є багато persistent XSS уразливостей.

http://192.168.1.1/configuration/fw_addInterface.html/fwAddInterface?EmWeb_ns%3Avim%3A3=%2Fconfiguration%2Ffirewall.html&EmWeb_ns%3Avim%3A10._interface=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://192.168.1.1/configuration/fw_addInterface.html/fwAddInterface?EmWeb_ns%3Avim%3A3=%2Fconfiguration%2Ffirewall.html&EmWeb_ns%3Avim%3A10._interface=ImFwInterface&EmWeb_ns%3Avim%3A2._interface%3AInterfaceName=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://192.168.1.1/configuration/fw_addInterface.html/fwAddInterface?EmWeb_ns%3Avim%3A3=%2Fconfiguration%2Ffirewall.html&EmWeb_ns%3Avim%3A10._interface=ImFwInterface&EmWeb_ns%3Avim%3A2._interface%3AInterfaceType=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://192.168.1.1/configuration/fw_addInterface.html/fwAddInterface?EmWeb_ns%3Avim%3A3=%2Fconfiguration%2Ffirewall.html&EmWeb_ns%3Avim%3A10._interface=ImFwInterface&EmWeb_ns%3Avim%3A2._interface%3AInterfaceName=ipmn&EmWeb_ns%3Avim%3A13._interface=InterfaceName%2CInterfaceType%3A%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://192.168.1.1/configuration/fw_deleteInterface.html/fwDeleteInterface?EmWeb_ns%3Avim%3A3=%2Fconfiguration%2Ffirewall.html&EmWeb_ns%3Avim%3A7.%3Cscript%3Ealert(document.cookie)%3C/script%3E=

А також в самому розділі Security Interface Configuration та в розділах Add Global Address Pool, Add Reserved Mapping, в підрозділах Firewall Port Filters та Configure Validators розділу Security Policy Configuration, в розділах Security Trigger Configuration, Firewall Configure Intrusion Detection та Security Logging Configuration у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

А також можливі атаки через імена параметрів (коли XSS код задається в імені параметра), про що я писав раніше.

В даному випадку код виконається одразу, а також при відвіданні сторінок http://192.168.1.1/system/events.html і http://192.168.1.1/shared/event_log_selection.html.

Торік в своїй статті Обхід систем для пошуку вірусів на веб сайтах, я писав про методику, яку може використовувати шкідливе ПЗ, щоб сховатися від систем виявлення вірусів на веб сайтах (зокрема тих, що працюють в рамках пошукових систем). Суть її зводилася до використання клоакінга. Якщо сайт відвідує бот пошукої системи (в тому числі тої, що має вбудований антивірус), то шкідливий код не виводиться, а в інший випадках він виводиться на сторінках сайта.

З тих пір найбільш просунуті веб антивіруси могли виправити цей недолік в своїх системах і навчитися боротися з клоакінгом для кращого виявлення вірусів на веб сайтах (як це було зроблено в моїй WebVDS ще з самої першої версії в 2008 році). Але є інша методика, яку шкідливе ПЗ може використати для приховування від веб антивірусів, зокрема вона може бути використана проти систем, що базуются на повідінковому аналізі.

Ідея цього методу в мене виникла ще в травні, одразу після мого виступу на конференці UISG та ISACA Kiev Chapter з доповіддю про системи виявлення інфікованих веб сайтів. Тоді, після мого виступу, багато людей вирішили поговорити зі мною в кулуарах на цю тему, і задали багато цікавих питань про веб антивіруси і мою WebVDS. І зокрема в розмові ми торкнулися методів обходу таких систем, де я і розповів про клоакінг, про який писав в вищезгаданій статті в 2010 році. А вже як повернувся додому, в мене виникла нова ідея, про яку я зараз розповім.

Повідінковий аналіз вважається більш ефективним методом виявлення шкідливого програмного забезпечення ніж сигнатурний чи еврестичний метод. Серед веб антивірусів є лише дві системи, які відомі мені, що використовують повідінковий аналіз. Це вбудовані антивіруси в пошукових системах Google і Yandex. В Яндексі повідінковий аналіз додали на початку 2010 року і, по заяві компанії, вони одночасно використовують як першу технологію (від Sophos, що явно базується на сигнатурах), так і другу. Зазначу, що обидві ці системи приймали участь в моєму минулорічному тестуванні систем пошуку вірусів на веб сайтах, в якому з семи учасників Гугл заяняв 1 місце, а Яндекс 7 місце.

Для обходу поведінкового аналізу шкідливе ПЗ може використати наступні методи:

1. Виявлення факту, що веб сторінка запущена в браузері в віртуальній машині. Враховуючи, що через JS/VBS неможливо визначити це, то єдиний ефективний варіант - це клоакінг, про який я розповідав вище. Але просунуті веб антивіруси можуть боротися з ним, тому необхідний інший варіант.

2. Використання затримики. Шкідливе ПЗ може запускатися з деякою затримкою з метою обходу таких систем. Тому що використання поведінкового аналізу в системи виявлення шкідливого ПЗ на веб сайтах - це ресурсоємний процес і такі системи перевіряють кожну окрему сторінку лише обмежений час. І якщо виявити максимальний час, який витрачають такі системи на перевірку сторінки (а це можна зробити експерементально), то можна задати коду спрацьовувати пізніше цього часу, і таким чином такі веб антивіруси будуть обійдені, а в браузерах реальних відвідувачів сайтів код спрацює.

Тому системам, що базуются на повідінковому аналізі, потрібно враховувати дану можливість. І щоб вирішити цю проблему, слід використовувати різні методи виявлення шкідливого ПЗ в рамках однієї системи.

Виявлена SQL Injection уразливість в модулі Apache mod_authnz_external.

Уразливі версії: Apache mod_authnz_external 3.2.

SQL ін’єкція можлива через ім’я користувача.

• libapache2-mod-authnz-external security update (деталі)

20.10.2010

У липні, 02.07.2010, я знайшов SQL Injection та Cross-Site Scripting уразливості на сайті http://audit-insite.com.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше.

30.07.2011

SQL Injection:

http://audit-insite.com.ua/index.php?content_id=-1%20or%20version()%3E4

XSS:

• alert(document.cookie)
• цікавий
• html включення

Дані уразливості досі не виправлені.

Продовжуючи тему уразливостей в ADSL модемі Callisto 821+, розповім вам про нові уразливості в даному модемі. У квітні, 07.04.2011, я виявив численні Cross-Site Request Forgery та Cross-Site Scripting уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками також повинна бути вразливою.

Дані атаки потрібно проводити на власника модему, який залогінений в адмінку. Враховуючи, що малоймовірно застати його в такому стані, то можна використати раніше згадані уразливості для проведення віддаленого логіну (щоб залогінити його в адмінку). Після чого можна спокійно провести CSRF або XSS атаку.

CSRF:

В розділі WAN connections ситуація аналогічна розділу LAN connections. Розглянемо на прикладі дефолтного конекшена (RfcData).

Дана уразливість дозволяє видаляти конекшени.

http://192.168.1.1/configuration/wan_delete_service.html/delete?EmWeb_ns%3Avim%3A3=%2Fconfiguration%2Fwan_finish.html&EmWeb_ns%3Avim%3A7.ImServices.RfcData=ImServices.RfcData&EmWeb_ns%3Avim%3A7.ImBridge.ImBridgeInterfaces.RfcData=ImBridge.ImBridgeInterfaces.RfcData

В розділі WAN connection: create service (http://192.168.1.1/configuration/wan_create_service.html) є 9 підрозділів для створення конекшенів: RFC 1483 routed, RFC 1483 bridged, PPPoA routed, PPPoA bridged, IPoA routed, PPPoE routed, Ethernet routed, Ethernet bridged, PPPoE over Ethernet/Bridge routed. І у всіх них через CSRF можна створювати конекшени.

В розділі Edit connection в підрозділі Edit Service (http://192.168.1.1/configuration/edit.html?ImServices.RfcData) через CSRF можна змінювати нашалтування конекшена.

В розділі Edit connection в підрозділі Edit RFC1483 (http://192.168.1.1/configuration/edit-form.html? ImServices.RfcData.RfcData) через CSRF можна змінювати нашалтування конекшена.

В розділі Edit connection в підрозділі Edit Atm Channel (http://192.168.1.1/configuration/edit-form.html? ImServices.RfcData.RfcData.ImChannels.item0) через CSRF можна змінювати нашалтування конекшена.

В розділі Edit connection в підрозділі Edit Classifier (http://192.168.1.1/configuration/edit-form.html? ImServices.RfcData.RfcData.ImChannels.item0.Classifier) через CSRF можна змінювати нашалтування конекшена.

В розділі Edit connection в підрозділі Edit Bun Vector Attr (http://192.168.1.1/configuration/edit-form.html?ImServices. RfcData.RfcData.ImChannels.item0.Meter.MeterAppliedProfileName) через CSRF можна змінювати нашалтування конекшена.

В розділі Edit connection в підрозділі Edit Scheduler (http://192.168.1.1/configuration/edit-form.html? ImServices.RfcData.RfcData.ImChannels.item0.Scheduler) через CSRF можна змінювати нашалтування конекшена.

В розділі Edit connection в підрозділі Edit Bridge Interface (http://192.168.1.1/configuration/edit.html? ImBridge.ImBridgeInterfaces.RfcData) через CSRF можна змінювати нашалтування конекшена.

В розділі Create virtual interface (http://192.168.1.1/configuration/create_virtual.html? ImRouter.ImIpInterfaces.ethernet-0&/configuration/wan.html) через CSRF можна створювати віртуальні інтерфейси.

В розділі Delete virtual interface (http://192.168.1.1/configuration/delete_virtual.html ?ImRouter.ImIpInterfaces.item0) через CSRF можна видяляти віртуальні інтерфейси.

XSS:

http://192.168.1.1/configuration/wan_delete_service.html/delete?EmWeb_ns%3Avim%3A3=%2Fconfiguration%2Fwan_finish.html&EmWeb_ns%3Avim%3A7.1%3Cscript%3Ealert(document.cookie)%3C/script%3E=
http://192.168.1.1/configuration/virtual.html?&%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://192.168.1.1/configuration/create_virtual.html?&%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

У всіх вищезгаданих розділах є багато persistent XSS уразливостей.

В 9 підрозділах розділа WAN connection: create service (RFC 1483 routed, RFC 1483 bridged, PPPoA routed, PPPoA bridged, IPoA routed, PPPoE routed, Ethernet routed, Ethernet bridged, PPPoE over Ethernet/Bridge routed), в підрозділах Edit Service, Edit RFC1483, Edit Atm Channel, Edit Classifier, Edit Bun Vector Attr, Edit Scheduler, Edit Bridge Interface розділа Edit connection, в розділі WAN connection: delete, в розділі Create virtual interface та в розділі Delete virtual interface у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

А також можливі атаки через імена параметрів (коли XSS код задається в імені параметра), про що я писав раніше.

В даному випадку код виконається одразу, а також при відвіданні сторінок http://192.168.1.1/system/events.html і http://192.168.1.1/shared/event_log_selection.html. А в підрозділі Edit Service при вказанні XSS коду в параметрі Creator, він виконається на сторінках http://192.168.1.1/configuration/wan.html і http://192.168.1.1/configuration/wan_delete_service.html? ImServices.RfcData, а при вказанні XSS коду в параметрі Description, він виконається також і на сторінці http://192.168.1.1/status.html, яка є стартовою сторінкою адмінки. А також спеціальний XSS код в обох цих параметрах виконається в самому підрозділі Edit Service.