Websecurity - Веб безпека

Продовжуючи тему уразливостей в ADSL модемі Callisto 821+, розповім вам про нові уразливості в даному модемі. У квітні, 07.04.2011, я виявив Denial of Service, Cross-Site Request Forgery та Cross-Site Scripting уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками також повинна бути вразливою.

Дані атаки потрібно проводити на власника модему, який залогінений в адмінку. Враховуючи, що малоймовірно застати його в такому стані, то можна використати раніше згадані уразливості для проведення віддаленого логіну (щоб залогінити його в адмінку). Після чого можна спокійно провести DoS, CSRF або XSS атаку.

DoS:

http://192.168.1.1/configuration/qbridgestatsclearintfstats.html

http://192.168.1.1/configuration/qbridgestatsflushintf.html

http://192.168.1.1/configuration/qbridgevlanstatsclear.html

При даних запитах відбувається рестарт модема, при якому тимчасово недоступними є як адмінка, так і сам модем (тому й відсутній зв’язок з Інтернет).

CSRF:

Дана уразливість дозволяє провести очищення статистики вибранного VLAN порту.

http://192.168.1.1/configuration/qbridgevlanstatsclear.html?ImBridge.ImQbridgeVlans.DefaultVlan.ImQbridgeVlanUntaggedPorts.ethernet

XSS:

На вищезгаданій сторінці є persistent XSS уразливість.

Callisto 821+ XSS20.html

В даному випадку код виконається одразу, а також при відвіданні сторінок http://192.168.1.1/system/events.html і http://192.168.1.1/shared/event_log_selection.html.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.na-dosuge.net (хакером COde InjectOr) - 31.05.2011, зараз сайт вже виправлений адмінами
• http://www.socinform.vn.ua (хакером HEXB00T3R) - 09.06.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://cms.orbk.net (хакером WolfRom)
• http://megastroy-ltd.com (хакерами з Prishtina Hackers Group) - 23.05.2011, зараз сайт вже виправлений адмінами
• http://pisateli.co.ua (хакером F!k0s) - 13.06.2011, зараз сайт вже виправлений адмінами

В даній добірці уразливості в веб додатках:

• Clear iSpot/Clearspot CSRF Vulnerabilities (деталі)
• MyBB 1.6 <= Cross Site Scripting (XSS) Vulnerability (деталі)
• HP StorageWorks Modular Smart Array P2000 G3, Remote Unauthorized Access (деталі)
• Multiple Vulnerabilities in Calibre 0.7.34 (деталі)
• Authentication Bypass by SQL Injection in Social Share (деталі)
• Re: hidden admin user on every HP MSA2000 G3 (деталі)
• hidden admin user on every HP MSA2000 G3 (деталі)
• “postid” SQL Injection in Social Share (деталі)
• Elcom CommunityManager.NET Auth Bypass Vulnerability (деталі)
• Eucalyptus vulnerability (деталі)

23.03.2011

У січні, 28.01.2011, я знайшов Brute Force та Abuse of Functionality уразливості в Adobe ColdFusion. Які я виявив на одному сайті, що використовує ColdFusion. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в Adobe ColdFusion.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

15.06.2011

Brute Force:

http://site/CFIDE/administrator/

Немає захисту від Brute Force атак.

Abuse of Functionality:

http://site/CFIDE/administrator/

Логін адміна є фіксованим - це логін admin, що вказаний в формі аутентифікації. Що значно полегшує Brute Force атаки (тому що непотрібно підбирати логіни, лише підібрати пароль для одного логіна). В ColdFusion 7 і попередніх версіях взагалі немає поля логін, а лише поле пароль, що так само полегшує Brute Force атаки.

Як я вияснив, в 2008 році Адобу вже повідомили про Brute Force (CVE-2008-1203) і вони офіційно виправили його. Але Abuse of Functionality все ще присутня в останніх версіях ColdFusion. Для перевірки надійності цього виправлення BF я знайшов адмінку з дев’ятою версією. І як я й очікував (прочитавши опис того, як Adobe виправила цю уразливість), виправлення неефективне - бо Адоб лише додала (в патчах для версій MX7 і 8 і зробила в 9) логування невдалих спроб логіну, а захисту від BF як не було, так і немає.

Уразливі ColdFusion 9 та попередні версії.

Продовжуючи тему уразливостей в ADSL модемі Callisto 821+, розповім вам про нові уразливості в даному модемі. У квітні, 07.04.2011, я виявив Cross-Site Request Forgery та Cross-Site Scripting уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками також повинна бути вразливою.

Дані атаки потрібно проводити на власника модему, який залогінений в адмінку. Враховуючи, що малоймовірно застати його в такому стані, то можна використати раніше згадані уразливості для проведення віддаленого логіну (щоб залогінити його в адмінку). Після чого можна спокійно провести CSRF або XSS атаку.

CSRF:

Дана уразливість дозволяє провести Clear Statistics для інтерфейса.

http://192.168.1.1/configuration/qbridgestatsclearintfstats.html?ImBridge.ImBridgeInterfaces.ethernet

Дана уразливість дозволяє провести Flush Dynamic Entries для інтерфейса.

http://192.168.1.1/configuration/qbridgestatsflushintf.html?ImBridge.ImBridgeInterfaces.ethernet

В розділі Egress Ports (http://192.168.1.1/configuration/
qbridge_add_hvmfwdegressp.html?ImBridge.ImQbridgeFdbs.DefaultFdb.
ImQbridgeMcastFdbEntries.FWDALLMCAST.ImQbridgeMcastEntryPorts) можливе додовання та видалення портів.

XSS:

В розділі Egress Ports (http://192.168.1.1/configuration/
qbridge_add_hvmfwdegressp.html?ImBridge.ImQbridgeFdbs.DefaultFdb.
ImQbridgeMcastFdbEntries.FWDALLMCAST.ImQbridgeMcastEntryPorts) є 3 persistent XSS уразливості.

В статті WordPress Username Enumeration, написаної Adrian Pastor ще в 2007 році, розповідається про Login Enumeration уразливості в WordPress. Яких є декілька в WP (причому окрім підбору логінів, є ще витоки логінів), як є й декілька Brute Force дірок, в парі з якими вони можуть використовуватися.

Раніше я вже розповідав про Brute Force та Login Enumeration уразливості в WP. В тому числі я писав про одну зі згаданих автором уразливостей (через форму логіна).

В даній статті розглянуті наступні уразливості, що дозволяють визначати логіни користувачів:

• Через форму логіна (wp-login.php).
• Через шаблон автора (/author/authorname/).
• Через форму реєстрації (wp-register.php).
• Також можливі витоки логінів (при відповідних умовах) в деяких шаблонах в тілі сторінки, а також в RSS-стрічках.

Автор забув згадати про інші методи виявлення логінів:

• Через форму відновлення паролю (але там важче атакувати порівняно з вищезгаданими методами).
• Також можна через інший метод звертання до шаблону автора (/?author=1).

В даній добірці експлоіти в веб додатках:

• Dlink WBR-2310 Wireless Router DoS exploit (деталі)
• Simple Web Server From header DoS (деталі)
• Exploits P Data Protector Manager v6.11 / NULL Pointer Dereference (деталі)
• LiteSpeed Web Server 4.0.17 w/ PHP Remote Exploit for FreeBSD (деталі)
• vBulletin 4.1.2 0-day Denial Of Service Exploit (деталі)

07.10.2010

У червні, 18.06.2010, я знайшов Cross-Site Scripting, Insufficient Anti-automation та Abuse of Functionality уразливості на сайті http://www.allo.ua (онлайн магазин). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливості на www.tid.com.ua. Раніше я вже писав про уразливості на www.allo.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

14.06.2011

XSS:

http://www.allo.ua/console/forget.php?e_mail=%3Cscript%3Ealert(document.cookie)%3C/script%3E&seenform=y

Insufficient Anti-automation:

http://www.allo.ua/console/forget.php

На даній сторінці не було захисту від автоматизованих запитів (капчі). Зараз розробники вже поставили капчу, але діряву.

Abuse of Functionality:

http://www.allo.ua/console/forget.php

Через даний функціонал можна визначати логіни користувачів.

Якщо XSS уразливість вже виправлена, то IAA та AoF уразливості досі не виправлені.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://catalog.rv.ua - інфекція була виявлена 24.04.2011. Зараз сайт не входить до переліку підозрілих.
• http://rivneinfo.com - інфекція була виявлена 24.04.2011. Зараз сайт не входить до переліку підозрілих.
• http://join.com.ua - інфекція була виявлена 13.06.2011. Зараз сайт не входить до переліку підозрілих.
• http://zhurnaly.org.ua - інфекція була виявлена 28.03.2011. Зараз сайт не входить до переліку підозрілих.
• http://sabana.com.ua - інфекція була виявлена 19.04.2011. Зараз сайт не входить до переліку підозрілих.

02.10.2010

У червні, 18.06.2010, я знайшов Cross-Site Scripting уразливість на секюріті проекті http://www.rmd5.com. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

13.06.2011

XSS:

• alert(/XSS/)

Пейлоад обмежений в 32 символи (тому що рядок пошуку повинний бути рівний 32 символам).

Дана уразливість досі не виправлена.