Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://me.gov.ua - інфікований державний сайт, інфекція була виявлена 05.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://abrasiva.net - інфекція була виявлена 25.06.2011. Зараз сайт входить до переліку підозрілих.
• http://askei.kiev.ua - інфекція була виявлена 26.06.2011. Зараз сайт не входить до переліку підозрілих.
• http://nateparty.kiev.ua - інфекція була виявлена 18.06.2011. Зараз сайт входить до переліку підозрілих.
• http://bigudi.ua - інфекція була виявлена 22.05.2011. Зараз сайт не входить до переліку підозрілих.

13.06.2011

Виявлені численні уразливості безпеки в Oracle Java.

Уразливі продукти: Oracle JRE 6.0, JDK 6.0.

Численні цілочисленні переповнення при розборі профілів ICC. Перехід по неініціалізованому вказівнику в Windows. Виконання шел-команд у Java Web Start.

• Java HotSpot Cryptographic Provider signature verification vulnerability (деталі)
• Oracle Java IE Browser Plugin Corrupted Window Procedure Hook Remote Code Execution Vulnerability (деталі)
• Oracle Java ICC Profile MultiLanguage ‘mluc’ Tag Parsing Remote Code Execution Vulnerability (деталі)
• Oracle Java ICC Profile Sequence Description ‘pseq’ Tag Parsing Remote Code Execution Vulnerability (деталі)
• Oracle Java ICC Profile ‘bfd ‘ Tag Parsing Remote Code Execution Vulnerability (деталі)
• Oracle Java ICC Profile ncl2 Count Tag Parsing Remote Code Execution Vulnerability (деталі)
• Oracle Java ICC Screening Tag Parsing Remote Code Execution Vulnerability (деталі)
• Oracle Java Web Start Command Argument Injection Remote Code Execution Vulnerability (деталі)
• Oracle Java ICC Profile ‘crdi’ Tag Parsing Remote Code Execution Vulnerability (деталі)
• Oracle Java ICC Profile Multi-Language ‘curv’ Tag Parsing Remote Code Execution Vulnerability (деталі)
• Oracle Java ICC Profile ncl2 DevCoords Tag Parsing Remote Code Execution Vulnerability (деталі)
• Oracle Java ICC Profile clrt Tag Parsing Remote Code Execution Vulnerability (деталі)
• Oracle Java ICC Profile “bfd” Tag Integer Overflow Code Execution Vulnerability (деталі)
• Oracle Java ICC Profile “clrt” Tag Integer Overflow Code Execution Vulnerability (деталі)
• Oracle Java ICC Profile “ncl2″ Tag Integer Overflow Code Execution Vulnerability (деталі)
• Oracle Java ICC Profile “pseq” Tag Integer Overflow Code Execution Vulnerability (деталі)
• Oracle Java ICC Profile “scrn” Tag Integer Overflow Code Execution Vulnerability (деталі)
• Oracle Java ICC Profile “mluc” Tag Integer Overflow Code Execution Vulnerability (деталі)

28.06.2011

Додаткова інформація.

• Oracle Java ICC Profile rcs2 Tag Parsing Remote Code Execution Vulnerability (деталі)
• Oracle Java Soundbank Decompression Remote Code Execution Vulnerability (деталі)
• Java HotSpot Cryptographic Provider signature verification vulnerability (деталі)

В даній добірці уразливості в веб додатках:

• HP OpenView Storage Data Protector, Remote Execution of Arbitrary Code (деталі)
• HotWeb Rentals “PageId” SQL Injection Vulnerability (деталі)
• HP LoadRunner, Remote Execution of Arbitrary Code (деталі)
• Unauthenticated command execution within Mitel’s AWC (Mitel Audio and Web Conferencing) (деталі)
• RSA, The Security Division of EMC, addresses RKM 1.5 C Client SQL Injection Vulnerability (деталі)
• Django admin list filter data extraction / leakage (деталі)
• HP Business Availability Center (BAC) Running on Windows and Solaris, Remote Cross Site Scripting (XSS) (деталі)
• Sigma Portal Denial of Service Vulnerability (деталі)
• HP Business Availability Center (BAC) and Business Service Management (BSM), Remote Cross Site Scripting (XSS) (деталі)
• Asan Portal (IdehPardaz) Multiple Vulnerabilities (деталі)

22.07.2010

У липні, 01.07.2010, я знайшов SQL Injection уразливість на проекті http://nana.kiev.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

27.06.2011

SQL Injection:

http://nana.kiev.ua/index.php?content_id=-1%20or%20version()%3E4

Дана уразливість досі не виправлена.

Продовжуючи тему антивірусів для сайтів, розповім вам про ще один подібний сервіс. Це HackAlert V3. Що є безпосереднім конкурентом моїй Web VDS.

Це комерційний сервіс (в якому є trial акаунт), що призначений для сканування сайтів на предмет шкідливого коду. Він може використовуватися для захисту від шкідливих сайтів та вірусів на легальних сайтах.

Веб сервіс HackAlert V3 компанії Armorize Technologies схожий на такі сервіси як McAfee SiteAdvisor, Norton Safe Web від Symantec та деякі інші, але він не призначений для створення рейтингу довіри до сайтів (що зроблено в зазначених сервісах). Він призначений саме для виявлення шкідливого коду на сайтах та в онлайн рекламі. Про розповсюдження вірусів через рекламу та інші зовнішні рерсурси я вже розповідав в своїй доповіді про системи виявлення інфікованих веб сайтів.

Прочитавши опис даного сервісу на офіційному сайті та на сайті розробника - HackAlert - Web Malware Detection and Monitoring Service, ви побачите, що він пропонує широкі можливості. Зазначу, що більшість з наведених можливостей (і багато інших) були мною заплановані для розробки в 2008 році в моїй Web Virus Detection System. Але на відміну від моєї системи, HackAlert повезло більше в плані фінансування.

Безпосередньо на зовнішіх сторінках сайта скористатися даним сервісом не вийде (на відміну від деякий інших сервісів). Щоб це зробити потрібно зареєструвати trial акаунт на сайті й протестувати в ньому цей сервіс.

В червні місяці Microsoft випустила 16 патчів. Що значно більше ніж у травні.

У червневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 16 бюлетенів по безпеці. Що закривають 34 уразливості в програмних продуктах компанії. Зокрема дев’ять патчів закривають критичні уразливості, а інші сім патчів виправляють важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2. А також Microsoft Office, Internet Explorer, Silverlight, Visual Studio, SQL Server і Forefront.

В даній добірці уразливості в веб додатках:

• HP OpenView Network Node Manager (OV NNM), Remote Execution of Arbitrary Code (деталі)
• HTTP Response Splitting in Social Share (деталі)
• HP Network Node Manager Command Injection Vulnerability (деталі)
• MyBB 1.6 <= SQL Injection Vulnerability (деталі)
• Buffer overflow vulnerabilities in OpenSSL (деталі)
• Pre Jobo .NET “Password” SQL Injection Vulnerability (деталі)
• SAP Management Console Information Disclosure (деталі)
• Reflected XSS in Coppermine 1.5.10 (деталі)
• SAP Management Console Unauthenticated Service Restart (деталі)
• YEKTAWEB CMS XSS Vulnerability (деталі)

За повідомленням www.xakep.ru, компанії не вдалося відсудити вкрадені банківським трояном $345000.

Федеральний магістрат виніс обвинувальний вирок проти невеликого підприємства, що втратило $345000 у результаті пограбування онлайн-банка, стверджуючи, що крадіжка була результатом нездатності підприємства убезпечити дані облікового запису.

За повідомленням hackzona.com.ua, хакери вкрали з сайту Sony Pictures особисті дані мільйона користувачів.

Група хакерів, яка називає себе “Lulz Security”, викрала особисті дані більше мільйона користувачів сайту SonyPictures.com. Про це самі хакери повідомили у своєму мікроблозі на Twitter.

Як повідомляється, “Lulz Security” отримала доступ до адрес електронної пошти, паролів, домашніх адрес, дат народження та іншої особистої інформації користувачів. Вкрадені дані були викладені в єдиному архіві на хостингу Mediafire, пізніше архівний файл був видалений через “порушення правил експлуатації”. А після цього випадку хакери з Lulz Security провели ряд інших атак, зокрема провели атаку на сайт ЦРУ.

За повідомленням www.xakep.ru, на Україні знешкоджена група хакерів, що викрала з банківських рахунків $72 млн.

Служба безпеки України разом із правоохоронними органами інших країн припинила протиправну діяльність міжнародного злочинного угруповання хакерів, організованої українцями під прикриттям легальної комерційної структури.

Як повідали в СБУ, використовуючи спеціалізований комп’ютерний вірус Conficker хакери одержували доступ до рахунків в іноземних банківських установах різних країн, знімали з них гроші і переводили в готівку.

Продовжу серію статей про просунуті методи SQL Injection атак. В якій я розповідаю вам про різні цікави методи, що дозволять пришвидшити процес проведення SQL ін’єкцій та збільшити їх ефективність.

Зараз розповім вам про визначення кількості колонок при SQL Injection. Що є актуальним як при експлуатації звичайних SQL ін’єкцій, так і особливо blind SQLi уразливостей.

Ідентифікація кількості колонок в поточному запиті зокрема потрібна при union запитах. При звичайних SQL Injection інформацію про кількість колонок можна отримати з службових таблиць MySQL (для версій 5 і вище) і то це допоможе лише якщо в запиті виводяться всі колонки з таблиці. Але якщо версія MySQL менше 5 чи при сліпих SQLi, то це не спрацює. Й потрібно вручну довго підбирати кількість колонок - і чим складніше SQL запит (чим більше в ньому колонок запитується), тим довшим є цей процес.

І щоб пришвидши процес ідентифікації кількості колонок можна використати один простий і зручний метод (зокрема в MySQL). Це оператор order by.

Це відомий оператор для програмістів, що використовують мову SQL, але в ньому є цікава особливість. Як я виявив рік тому (в документації по MySQL), в операторі order by можна вказати не тільки ім’я колонки чи вираз (для сортування), але й її порядковий номер. Що можна використати при SQL Injection атаках.

Синтаксис оператора наступний: order by 5. Наприклад, для SQLi атаки можна використати наступний код: -1 or 1=1 order by 5. Якщо запит виконається успішно, значить як мінімум п’ять колонок є в даному запиті. Максимальне значення, при якому SQL запит буде виконуватися, і буде кількістью колонок в даному запиті (або в даній таблиці).

13.04.2011

У серпні, 16.08.2010, я знайшов Cross-Site Scripting та Brute Force уразливості в Drupal. Які я виявив під час секюріті аудиту на одному сайті. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про XSS і AoF уразливості в Drupal.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

25.06.2011

XSS:

На сторінках з формами (наприклад на сторінці коментарю http://site/comment/reply/1, як формах додання, так і редагування даних), що захищені токеном від CSRF, можлива reflected XSS атака. Причому без необхідності знати form_token (тобто захист від CSRF обходиться). Атака проводиться на будь-які форми з включеним FCKeditor/CKEditor (які дуже поширені на сайтах на Drupal). Подібна атака може бути проведена і на форми з TinyMCE - про подібні уразливості в PHP-Nuke через TinyMCE я вже писав.

Якщо це форма редагування даних, то атака може бути проведена тільки на залогіненого користувача сайта, який є власником даного акаунта (хто розмістив даний коментар і т.д.), або адміна сайта. А якщо форма додання даних (наприклад коментарю), то можна проводити атаки на адміна і будь-яких залогінених користувачів сайта. Атакуючий код може бути в параметрі comment, body або іншому, в залежності від форми.

Drupal XSS.html

Brute Force:

В формі логіна в боковій панелі, що розміщена на будь-яких зовнішніх сторінках сайту (http://site/node), не реалізований надійний захист від підбору пароля. В самому Drupal капчі немає, а існуючий Captcha модуль (а також всі плагіни до нього, такі як reCAPTCHA) є уразливим, як я вже писав. Експлоіт відрізняється від попередної BF: якщо в попередній Brute Force уразливості form_id рівний user_login, то в даній - form_id рівний user_login_block.

Уразливі Drupal 6.22 та попереднії версії (перевірено в Drupal 6.17). Враховуючи, що розробники не виправили дані уразливості, то версії 7.x також повинні бути вразливими.