Websecurity - Веб безпека

Продовжуючи тему уразливостей в ADSL модемі Callisto 821+, розповім вам про нові уразливості в даному модемі. У квітні, 07.04.2011, я виявив Cross-Site Request Forgery та Cross-Site Scripting уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками також повинна бути вразливою.

Дані атаки потрібно проводити на власника модему, який залогінений в адмінку. Враховуючи, що малоймовірно застати його в такому стані, то можна використати раніше згадані уразливості для проведення віддаленого логіну (щоб залогінити його в адмінку). Після чого можна спокійно провести CSRF або XSS атаку.

CSRF:

В розділі Bridge Interfaces (http://192.168.1.1/configuration/qbridgeinterface.html) через CSRF можливе редагування та видалення інтерфейсів.

В розділі Priority Map for the bridge interface (http://192.168.1.1/configuration/qbridgeinterfacepri.html?
ImBridge.ImBridgeInterfaces.ethernet) є 3 CSRF уразливості.

Як я виявив деякий час тому, майже весь функціонал адмінки працює як з POST, так і з GET запитами (лише в деяких випадках є перевірка на метод відправки даних). Тому майже всі раніше згадані та нові СSRF і XSS атаки можуть проводитися окрім POST також і через GET.

http://192.168.1.1/configuration/qbridgeinterfacepri.html/edit1?EmWeb_ns%3Avim%3A3=/configuration/qbridgeinterfacepri.html&EmWeb_ns%3Avim%3A6=ImBridge.ImBridgeInterfaces.ethernet&EmWeb_ns%3Avim%3A2.ImBridge.ImBridgeInterfaces.ethernet%3AnumTrafficClasses=8

XSS:

В розділі Bridge Interfaces (http://192.168.1.1/configuration/qbridgeinterface.html) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

В розділі Priority Map for the bridge interface (http://192.168.1.1/configuration/qbridgeinterfacepri.html?
ImBridge.ImBridgeInterfaces.ethernet) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

За повідомленням hackzona.com.ua, Adobe випустила екстрений патч для Flash Player.

Компанія Adobe випустила позачергове оновлення для Flash Player, залатавши чергову вразливість у захисті, що вже активно експлуатується itw. Даний патч виправляє XSS уразливість.

Окрім виправланення XSS, Адобу слід виправляти й баги, що призводять до DoS.

За повідомленням www.xakep.ru, адміністратори баз даних мало піклуються про безпеку.

Незалежна асоціація ISUG виявила, що адміністраторам баз даних не вистачає досвіду в контролюванні змін і керуванні патчами. За результатами дослідження адміністратори баз даних усе ще далекі від досконалості.

Дослідження виявило, що багато адміністраторів БД та IT-спеціалісти, що приймають рішення, визнають, що не дуже компетентні в таких питаннях безпеки, як контроль за змінами і патч-менеджмент, а також аудит системи.

За повідомленням www.3dnews.ru, хакери взломали сайт організації, що співробітничає з ФБР.

Група хакерів Lulz Security (LulzSec), що встигла за короткий час успішно подолати захист серверів Sony і Nintendo, знову виявилася в центрі уваги громадськості. Цього разу хакери атакували сайт організації InfraGard, що співробітничає з Федеральним бюро розслідувань (ФБР).

11.06.2011

Про уразливості в Adobe Flash Player я писав багато разів, тому Flash плеєр - це дірявий продукт. В ньому регулярно знаходять уразливості. В своїй статті я вже писав про атаки через відправку серверних заголовків в Flash. А зараз я розповім вам про Denial of Service в останній версії Flash плеєра.

Серед дірок у флеші нерідко трапляються й DoS. Які Adobe намагається виправляти, разом з іншими дірками, в нових версіях свого флеш плеєра (що доступний в тому числі у вигляді плагіна до браузерів). Але іноді вона сама додає DoS дірки в свої продукти.

У Flash Player 10 було знайдено чимало дірок, які були виправлені в нових версіях, зокрема в Flash Player 10.1, 10.2 і 10.3. Так от, сьогодні я встановив 10.3, щоб ознайомитися з останньою версією флеш плеєра (в якій в тому числі виправлений ряд уразливостей).

І як я виявив, Adobe зробила вбудовану DoS у флеш плагіні 10.3. Що пов’язана з кривими руками Адоба. Уразливість спрацьовує лише в старих браузерах, зокрема в Mozilla 1.7.x. В нових браузерах вона не проявляється (як в тих, що використовують плагін, так і в усіх версіях IE, в якому використовується ActiveX компонент).

Браузер вилітає при перегляді будь-якої флешки, навіть найпростішої (з одним рядком AS коду). Тобто користувачів старих версій браузера виб’є при відвіданні будь-якого сайту з флешем, або якщо їм підсунуть флешку. Таким чином можна проводити DoS атаки через Flash плагін 10.3 на користувачів даних браузерів.

31.12.2012

Виклав відео, що демонструє цю DoS уразливість в Flash плагіні. Це memory corruption (access violation).

Adobe Flash DoS

Це відео я зробив у грудні 2011 року. Як я перевірив, уразливість однаково працює в версіях 10.3 r183 і 11.4 r402.

В даній добірці уразливості в веб додатках:

• ManageEngine EventLog Analyzer Multiple Cross-site Scripting (XSS) Vulnerabilities (деталі)
• “titl”,”url” - Non-persistent XSS in Social Share (деталі)
• ManageEngine EventLog Analyzer Syslog Remote Denial of Service Vulnerability (деталі)
• Cross-domain redirect on PGP Universal Web Messenger (деталі)
• LiteSpeed Web Server 4.0.17 w/ PHP Remote Exploit for FreeBSD (деталі)
• “error” Non-persistent XSS in slickMsg (деталі)
• Apple Updates for Multiple Vulnerabilities (including Safari) (деталі)
• Pointter PHP Content Management System Unauthorized Privilege Escalation (деталі)
• About the security content of Security Update for Mac OS X v10.5.8 (including Safari) (деталі)
• Pointter PHP Micro-Blogging Social Network Unauthorized Privilege Escalation (деталі)

Продовжуючи тему уразливостей в ADSL модемі Callisto 821+, розповім вам про нові уразливості в даному модемі. У квітні, 07.04.2011, я виявив Cross-Site Request Forgery та Cross-Site Scripting уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками також повинна бути вразливою.

Дані атаки потрібно проводити на власника модему, який залогінений в адмінку. Враховуючи, що малоймовірно застати його в такому стані, то можна використати раніше згадані уразливості для проведення віддаленого логіну (щоб залогінити його в адмінку). Після чого можна спокійно провести CSRF або XSS атаку.

CSRF:

Дана уразливість дозволяє змінити тип логіна при підключенні до Інтернету.

Callisto 821+ CSRF14.html

В розділі Create a new VLAN (http://192.168.1.1/configuration/qbridge_add_vlan.html ?ImBridge.ImQbridgeVlans) є CSRF, що дозволяє додавати нові VLAN.

В розділі VLANs (http://192.168.1.1/configuration/qbridgevlan.html ?ImBridge.ImQbridgeVlans) є CSRF, що дозволяє видаляти VLAN(и).

XSS:

В розділі Create a new VLAN (http://192.168.1.1/configuration/qbridge_add_vlan.html ?ImBridge.ImQbridgeVlans) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

В розділі VLANs (http://192.168.1.1/configuration/qbridgevlan.html ?ImBridge.ImQbridgeVlans) є 2 persistent XSS уразливості.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://mz-ark.gov.ua (хакерами з AHG) - 19.05.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://www.leecooper.com.ua (хакерами netKILLER і MX55) - взломаний форум сайта
• http://www.mariupolsapr.4ertim.com (хакером FormatXFormaT)
• http://www.bayel.com.ua (хакери Shavzy і SteersMan) - 11.05.2011, а до цього сайт був взломаний блексеошніками, зараз сайт не працює (немає контенту)
• http://yunona-tom.com (хакером Dr_Sm0k3r) - 01.06.2011, зараз сайт вже виправлений адмінами

Продовжуючи розпочату традицію, після попереднього відео про експлоіт для Firefox 3.6, пропоную нове відео на веб секюріті тематику. Цього разу відео про інфікований goggle.com. Рекомендую подивитися всім хто цікавиться цією темою.

Infected goggle.com

В даному відео розповідається про небезпечні сайти, що розповсюджують шкідливе програмне забезпечення (malware), на прикладі сайта goggle.com. Зловмисники не просто підбирають схожі домени, щоб люди, які помиляться при наборі (або випадково клікнуть по лінці, не вчитавшись в URL), зайшли на сайт, але й при цьому розміщують на ньому malware.

І для захисту власного комп’ютера варто використовувати сервіси, що попереджують про шкідливі сайти. Раніше я вже наводив подібний відео-ролик в записі Захист від небезпечних сайтів.

В відео зокрема показані два з таких сервісів - Web of Trust (як і в вищезгаданому відео) та McAfee SiteAdvisor, про які я вже розповідав. Окрім WoT-плагіна до браузера, автор також використовує NoScript. Рекомендую подивитися дане відео для розуміння векторів атак через інфіковані та шкідливі сайти.

28.09.2010

У червні, 05.06.2010, я знайшов Cross-Site Scripting уразливість на сайті http://www.ex.ua (файлообмінник). Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на www.ex.ua.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

10.06.2011

XSS:

http://www.ex.ua/search?s=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E&per=4

Дана уразливість вже виправлена. Це перша дірка, з повідомленних мною, яку адміни ex.ua виправили. Але при цьому потрібно не забувати дякувати людям, що дбають про безпеку їхнього сайта.

Продовжуючи тему уразливостей в ADSL модемі Callisto 821+, розповім вам про нові уразливості в даному модемі. У квітні, 07.04.2011, я виявив Cross-Site Request Forgery та Cross-Site Scripting уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками також повинна бути вразливою.

Дані атаки потрібно проводити на власника модему, який залогінений в адмінку. Враховуючи, що малоймовірно застати його в такому стані, то можна використати раніше згадані уразливості для проведення віддаленого логіну (щоб залогінити його в адмінку). Після чого можна спокійно провести CSRF або XSS атаку.

CSRF:

Дана уразливість дозволяє активувавати ZIPB.

Callisto 821+ CSRF13.html

В розділі ZIPB (http://192.168.1.1/configuration/zipb.html) є ще 3 CSRF - для деактивації ZIPB, для вибора комп’ютера та для налаштування ZIPB advanced configuration.

Є 2 CSRF уразливості в розділі Bridge Main Page (http://192.168.1.1/configuration/bridge.html).

XSS:

В розділі ZIPB (http://192.168.1.1/configuration/zipb.html) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

Є 2 persistent XSS уразливості в розділі Bridge Main Page (http://192.168.1.1/configuration/bridge.html).

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://fashionpeople.com.ua - інфекція була виявлена 09.06.2011. Зараз сайт входить до переліку підозрілих.
• http://uahotels.info - інфекція була виявлена 12.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://all-biz.info - інфекція була виявлена 02.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://ogo.ua - інфекція була виявлена 24.04.2011. Зараз сайт не входить до переліку підозрілих.
• http://ogo.rv.ua - інфекція була виявлена 24.04.2011. Зараз сайт не входить до переліку підозрілих.