Websecurity - Веб безпека

У квітні, 07.04.2011, я виявив численні уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router) компанії Iskra. Зокрема Predictable Resource Location, Brute Force та Cross-Site Request Forgery уразливості (а про численні CSRF та XSS я розповім в наступних записах).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками, а також інші моделі Callisto також повинні бути вразливими. Що я підтвердив при попередньому перегляді іншої моделі модему Callisto, про яку розповім з часом.

Predictable Resource Location:

http://192.168.1.1 (веб сервер по 80 і 8008 порту)

Адмінка модема розміщується по дефолтному шляху з дефолтним логіном і паролем (інформація про які наявна в Інтернеті). Що дозволяє локальним користувачам (що мають доступ до ПК, або по LAN), а також віддаленим користувачам через Інтернет (про що я розповім згодом) отримувати доступ до адмінки і змінювати налаштування модема.

Дефолтні вищезгадані налаштування - це звичайна практика у виробників ADSL роутерів, але провайдери повинні вносити зміни. Але зокрема Укртелеком цього не робить (і можуть бути й інші подібні ISP) і тому мільйони користувачів Інтернет послуг даного провайдера, що використовують модеми Callisto чи інших виробників, вразливі до даних атак. При цьому Укртелеком не попереджає своїх користувачів (і не дає жодної документації до модемів де було б це вказано) про наявність адмінки і дефолтних параметрів (які він не змінює) і що необхідно їх змінити за для безпеки. Про численні дірки на сайтах Укртелекому, а також в його телекомунікаційних та Інтернет послугах я вже писав.

В квітні я спілкувався з технічним працівником Укртелекому і спитав в нього про це, і як виявилося, компанія не змінює налаштування і не попереджає своїх клієнтів, бо не бачить жодних ризиків. Яких чимало, як я вже зазначав - це локальні та віддалені атаки.

Brute Force:

В формі логіна http://192.168.1.1 немає захисту від Brute Force атак. Що дозволить підбирати пароль (якщо він змінений з дефолтного), зокрема при локальній атаці. Наприклад, по LAN зловмисні користувачі або вірус на одному з комп’ютерів може провести атаку для підбору паролю, якщо він був змінений.

CSRF:

Відсутність захисту від Brute Force (такого як капча) також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін. Що стане в нагоді при проведенні атак на різні CSRF і XSS уразливості, про які я розповім в наступних записах.

Зазначу, що CSRF атака для віддаленого логіну можлива лише коли налаштування ADSL роутера не були змінені. Тому що після будь-яких змін налаштувань замість html-форми аутентифікації виводиться діалогове вікно Basic Auhentication, на яке вже не можна провести CSRF атаку. І дана ситуація не змінюється навіть після завантаження дефолтних параметрів модема.

В травні місяці Microsoft випустила 2 патчі. Що значно менше ніж у квітні.

У травневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 2 бюлетені по безпеці. Що закривають 3 уразливості в програмних продуктах компанії. Зокрема один патч закриває критичну уразливість, а інший патч виправляє дві важливі уразливості.

Дані патчі стосуються серверних операційних систем компанії Microsoft (Windows 2003, 2008 та 2008 R2) та PowerPoint, що входить до складу Microsoft Office. А також компанія оновила свій Exploitability Index (індекс ризиків).

Виявлена можливість проведення DoS атаки проти бібліотеки APR і Apache mod_autoindex.

Уразливі продукти: Apache APR 1.4, Apache HTTP Server 2.2.

Вичерпання ресурсів процесора на довгих іменах.

• Vulnerability in apr (деталі)
• Multiple Vendors libc/fnmatch(3) DoS (incl apache poc) (деталі)
• apr security update (деталі)

19.07.2010

У червні, 30.06.2010, я знайшов SQL Injection уразливість на проекті http://utka.org.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

24.05.2011

SQL Injection:

http://utka.org.ua/index.php?content_id=-1%20or%20version()%3E4

Дана уразливість досі не виправлена.

Ще з 2006 року мені відомо про один метод проведення XSS атак в Firefox, що дозволяє обходити деякі захисні фільтри. Це метод з використанням незакритого тега, про який я згадував стосовно різних сайтів і веб додатків, зокрема AltConstructor. Він працює лише в браузерах компанії Мозіла - в Mozilla, Firefox та інших браузерах на движку Gecko.

І от 18.03.2011, під час секюріті аудиту, я виявив інший просунутий метод проведення XSS атак, що є розширення вищезгаданого методу. Цей метод передбачає використання подвійного незакритого тега. Раніше мені здавалося, що спрацює лише один незакритий тег, але в березні я виявив, що і два і більше незакритих тегів спрацюють для проведення XSS атаки (а в деяких випадках необхідно використати як раз декілька тегів, зокрема коли треба вийти з одного тегу, щоб мати можливість виконати код).

XSS:

Атака виглядає наступним чином:

http://site/?p=%3C/title%20%3Cbody%20onload='alert(document.cookie)'

Даний метод (як і метод з одним незакритим тегом) працює в Mozilla 1.7.x, Firefox 3.0.19, 3.5.11, 3.6.8 (та попередніх версіях браузерів). Але не в Firefox 4.0b2, IE6, IE7, IE8, Chrome 1.0, Opera 10.62.

P.S.

Як я перевірив, в Firefox 3.5.19 та 3.6.28 дана атака також працює.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://honeycomb.dp.ua - інфекція була виявлена 05.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://skolmo.com.ua - інфекція була виявлена 15.05.2011. Зараз сайт входить до переліку підозрілих.
• http://5fg4.pp.ua - інфекція була виявлена 19.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://autoimport.dn.ua - інфекція була виявлена 15.05.2011. Зараз сайт входить до переліку підозрілих.
• http://m-court.od.ua - інфекція була виявлена 22.04.2011. Зараз сайт не входить до переліку підозрілих.

13.05.2011

Виявлені численні уразливості безпеки в Perl.

Уразливі версії: Perl 5.11, Perl 5.12, Perl 5.13.

Впровадження даних і обхід захисту в модулі CGI і функціях lc, lcfirst, uc, ucfirst.

• Perl vulnerabilities (деталі)

23.05.2011

Додаткова інформація.

• Vulnerability in perl-IO-Socket-SSL (деталі)

В даній добірці уразливості в веб додатках:

• HP LoadRunner Web Tours 9.10 Remote Denial of Service (деталі)
• SQL Injection in Etomite (деталі)
• HP Insight Orchestration Software for Windows, Remote Arbitrary File Download, Unauthorized Access (деталі)
• Local file view in Etomite (деталі)
• HP Insight Orchestration Software for Windows, Remote Arbitrary File Download, Unauthorized Access (деталі)
• Path disclosure in Etomite (деталі)
• HP Insight Control for Linux, Remote Cross Site Request Forgery (CSRF) (деталі)
• XSS in Etomite (деталі)
• HP Insight Control Performance Management for Windows, Remote Cross Site Scripting (XSS), Privilege Escalation, Cross Site Request Forgery (CSRF) (деталі)
• SQL Injection in Etomite (деталі)

За повідомленням hackzona.com.ua, US CERT попереджає про уразливість в технології WebGL.

Група US CERT нещодавно випустила рекомендацію для користувачів браузерів Firefox та Chrome, згідно з якою недавно додані в дані браузери функції апаратного рендеринга графіки краще відключити. Так як вони можуть бути використані для отримання несанкціонованого контролю над комп’ютером.

За повідомленням www.xakep.ru, більшість додатків як і раніше містить уразливості зі списку OWASP Top 10.

Розробники веб додатків як і раніше роблять фундаментальні помилки в програмуванні, що дозволяють хакерам з легкістю використовувати SQL ін’єкції і робити атаки на основі міжсайтового скриптінга, говорить нове дослідження, проведене фірмою по забезпеченню безпеки додатків Veracode.

За повідомленням hackzona.com.ua, хакери зламали систему безпеки Google Chrome.

Фахівцям з французької компанії Vupen Security, що займається мережевою безпекою, вдалося взломати браузер Google Chrome. Білим хакерам вдалося вибратися з вбудованої в інтернет-оглядач “пісочниці” (безпечного середовища, що ускладнює проникнення шкідливого коду), а також обійти інтегровану систему захисту в операційній системі Microsoft Windows 7.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://dps-sumy.gov.ua (хакером MCA-CRB) - 07.05.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://www.pravytsya.com.ua (хакером HoaX Trojan) - 08.05.2011, зараз сайт вже виправлений адмінами
• http://www.kuznitsa.com.ua (хакерами M1XM4ST3R і B3R1N|) - причому спочатку сайт 10.05.2011 був взломаний M1XM4ST3R і B3R1N|, а вже 12.05.2011 взломаний GoLdBoY. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://ocharovashka.com.ua (хакером AfShIn LiNuX) - 18.05.2011, зараз сайт вже виправлений адмінами
• http://www.sto-mas.kiev.ua (хакерами з S.V Crew) - причому спочатку сайт 03.05.2011 був взломаний S.V Crew, а 05.05.2011 він був взломаний Sifreciler. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті