Websecurity - Веб безпека

Нещодавно, 04.07.2011, вишла нова версія WordPress 3.2.

WordPress 3.2 це перший випуск нової 3.2 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, в тому числі закрито більше 400 тікетів з виправленими багами і зробленими покращеннями.

Основними знінами є відміна пітримки старих версій PHP та MySQL. Мінімальні вимоги до хостінга - PHP 5.2.4 та MySQL 5.0. А також відсутня підтримка старих браузерів, таких як IE6.

Серед головних покращень зокрема була оновлена Дошка оголошень, зроблена нова тема по замовчуванню Twenty Eleven з пітримкою HTML5, на сторінці написання записів додана кнопка для переходу в повноекранний режим, покращена панель адміна, на сторінці модерації коментарів додана функція схвалити та відповісти. Також пришвидшений процес оновлення движка та доданий новий функціонал в тему Twenty Eleven, зокрема можливість мати багато зображень для ротації в заголовку.

Виявлена можливість виконання коду в Barracuda NG Firewall і phion netfence. Враховуючи дірявість сайта даної компанії, зовсім не дивує наявність уразливостей в їхніх секюріті додатках.

Уразливі продукти: Barracuda NG Firewall 5.0, phion netfence 4.2.

Впровадження шел-символів у процесі аутентифікації.

• phion netfence / Barracuda NG Firewall: Remote Command Execution with root Privileges (деталі)

В даній добірці уразливості в веб додатках:

• Multiple Snap Appliance (SnapServer) Bypass Vulnerabilities (деталі)
• [ACM, Ariadne Content Manager] unauth. SQL injection + user enumeration (деталі)
• SQL Injection in WikLink (деталі)
• FlexVision Listener Vulnerability (деталі)
• “id” SQL Injection in WikLink (деталі)
• BlogEngine.NET 1.6 Multiple Vulnerabilities (деталі)
• HP Power Manager (HPPM) Running on Linux and Windows, Cross Site Request Forgery (CSRF) (деталі)
• Joomla! 1.0.x ~ 1.0.15 | Cross Site Scripting (XSS) Vulnerability (деталі)
• Authentication bypass in phpMySport (деталі)
• CA ETrust Secure Content Manager Common Services Transport Remote Code Execution Vulnerability (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.stelya.zt.ua (хакерами з RKH) - 09.07.2011, зараз сайт вже виправлений адмінами
• http://sev-tiande.com.ua (хакерами з RKH) - 09.07.2011, зараз сайт вже виправлений адмінами
• http://whitehorse.net.ua (хакерами з RKH) - 09.07.2011, зараз сайт вже виправлений адмінами
• http://bonavi.ck.ua (хакерами з OPOJA-TECHNOLOGY-HACKERS) - 04.07.2011, зараз сайт вже виправлений адмінами
• http://bogolife.at.ua (хакером TH3_H4TTAB)

Продовжуючи розпочату традицію, після попереднього відео про DLL Hijacking eксплоіт для Windows Live Email, пропоную нове відео на веб секюріті тематику. Цього разу відео про експлуатацію DLL Hijacking уразливостей. Рекомендую подивитися всім хто цікавиться цією темою.

DLL Hijacking Client Side Exploit

В даному відео ролику демонструється процес пошуку DLL Hijacking уразливостей в Windows додатках та процес використання експлоіта (зробленого в Metasploit Framework) для такої уразливості. Атака відбувається як через Windows Explorer, так і через IE. Експлоіт дозволяє проводити віддалене виконання коду в уразливій програмі.

Атака відбувається при відвідуванні спеціально створеного шару в локальній мережі або веб сторінки в Інтернеті. Коли в Провіднику або в Internet Explorer відвідується спеціальний ресурс через який відбувається атака на уразлий додаток. Рекомендую подивитися дане відео для розуміння векторів DLL Hijacking атак на клієнтські додатки.

31.07.2010

У липні, 01.07.2010, я знайшов SQL Injection та Redirector уразливості на проекті http://www.skypatrol.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

13.07.2011

SQL Injection:

http://www.skypatrol.com.ua/c.php?id=1%20and%20version()=5

Redirector:

http://www.skypatrol.com.ua/c.php?…&url=http://websecurity.com.ua

Дані уразливості досі не виправлені.

Раніше я вже багато разів, починаючи з 2007 року, розповідав про уразливості на сайтах Укртелекома, а також в їхніх Інтернет і телекомунікаційних послугах та в модемах Callisto, що він видає своїм клієнтам. Який був моїм Інтернет провайдером на протязі 2007-2011 років. І от на початку травня я змінив провайдера на Bilink, який, як виявилося, також погано слідкує за безпекою власних сайтів.

У травні, 07.05.2011, одразу ж як підключився до них, я знайшов Insufficient Authentication, Abuse of Functionality та Brute Force уразливості на сайті https://my.bilink.ua. Про що ще в травні повідомив даному провайдеру.

Insufficient Authentication:

При спеціальному запиті можлива зміна паролю довільному акаунту (де xxxxxxx - це логін).

https://my.bilink.ua/userLogin?dogovor=xxxxxxx&first_enter=1

Abuse of Functionality:

https://my.bilink.ua/userLogin?dogovor=xxxxxxx&first_enter=1

Можна виявляти робочі логіни в системі (якщо виводить “Ваш аккаунт не підключений”, значить такого логіна немає в системі, а якщо пароль змінився, значить є такий логін).

Brute Force:

https://my.bilink.ua/userLogin

Перші дві уразливості вже виправлені, але BF досі не виправлена.

Переповнення буфера в СУБД Sybase Advantage Database Server.

Уразливі продукти: Sybase Advantage Server 10.0, Sybase Adaptive Server 15.5.

Однобайтове переповнення буфера при розборі трафіка TCP/6262, UDP/6262, помилка форматного рядка при розборі TCP/5001.

• bcksrvr format string in Sybase Adaptive Server 15.5 (деталі)
• Off-by-one in Sybase Advantage Server 10.0.0.3 (деталі)

В травні, 17.05.2011 і 18.05.2011, відбувся масовий взлом сайтів на сервері Virtes. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Virtes. Взлом відбувся після згаданого масового взлому сайтів на сервері Uplink.

Всього було взломано 26 сайтів на сервері хостера Virtes (IP 91.195.214.134). Це наступні сайти: kancler.kiev.ua, urposlugi.com.ua, ibis.kiev.ua, oaza.kiev.ua, marilyn-kiev.pp.ua, golden-hands.kiev.ua, cortec.com.ua, advokat-olv.kiev.ua, ucom.co.ua, s-optica.com.ua, wes-t.com.ua, bosfor-kiev.com.ua, marriagebreeze.com, florika.kiev.ua, gastronomia-grup.com, lombard-kiev.com, www.visnuk.gov.ua, marilyn.kiev.ua, kolesoistorii.com.ua, huntinggild.com.ua, starname.kiev.ua, bor.kiev.ua, spain-gastronom.com, milos.kiev.ua, master-sauna.kiev.ua, babyshopping.kiev.ua. Серед них український державний сайт www.visnuk.gov.ua.

Зазначені сайти були взломані 17 і 18 травня 2011 року хакером iskorpitx (1 сайт) і хакерами з 1923Turk-Grup (25 сайтів).

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

В даній добірці уразливості в веб додатках:

• IBM Lotus Domino iCalendar Meeting Request Parsing Remote Code Execution Vulnerability (деталі)
• IBM Lotus Domino LDAP Bind Request Remote Code Execution Vulnerability (деталі)
• Path disclousure in OpenCart (деталі)
• SQL Injection in LightNEasy (деталі)
• IBM Lotus Domino Calendar Request Attachment Name Parsing Remote Code Execution Vulnerability (деталі)
• IBM Lotus Domino IMAP/POP3 Non-Printable Character Expansion Remote Code Execution Vulnerability (деталі)
• Path disclousure in ocPortal (деталі)
• CSRF (Cross-Site Request Forgery) in Open blog (деталі)
• Linksys WAP610N Unauthenticated Root Consle (деталі)
• Skadate Multiple Persistent Cross Site Scripting Vulnerabilities (деталі)