Websecurity - Веб безпека

Минулої осені відбувся черговий масовий взлом сайтів на сервері Delta-X, після попереднього взлому сайтів на сервері Delta-X. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний другий сервер компанії Delta-X. Всього в листопаді було взломано 5 серверів даної компанії, це другий випадок з п’яти (про кожен з них я розповім окремо). Майже всі дефейси на цих серверах були проведені на протязі 23-25 листопада, лише декілька сайтів було взломано вже цього року.

Всього було взломано 2360 сайтів (що значно більше ніж попереднього разу) на сервері української компанії Delta-X (IP 195.64.184.28). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт www.yampil-rda.gov.ua.

Зазначені сайти були взломані 25.11.2010. Дефейси всіх 2360 сайтів було проведено хакером iskorpitx.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

10.09.2010

У квітні, 28.04.2010, я знайшов Information Leakage та Insufficient Authorization уразливості на http://kvs.gov.ua - сайті Державного департаменту України з питань виконання покарань. Про що найближчим часом сповіщу адміністрацію сайта.

До речі, цей сайт був неодноразово взломаний в цьому році. Й до сих пір на сайті залишилося чимало сторінок зі “слідами взломів” (адміни так досі сайт і не почистили).

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

20.04.2011

Information Leakage:

http://kvs.gov.ua/info/ - витік інформації про структуру каталога та підкаталогів

http://kvs.gov.ua/info/news.inc - витік вихідного коду

Insufficient Authorization:

http://kvs.gov.ua/info/admin/press.php

http://kvs.gov.ua/info/admin/news.php

Дані уразливості досі не виправлені (лише відключені функції додавання та видалення даних в цих двох скриптах).

Пропоную вашій увазі добірку уразливих сайтів від Dementor (з числа українських веб сайтів). Дані уразливості він знайшов та оприлюднив в 2010-2011 роках.

• Вразливості на abcstuff.com.ua (онлайн магазин)
• Вразливості на torg.ua
• Вразливості на сайтах телекомпанії 1+1
• Вразливості на security-ua.com (секюріті сайт)
• Вразливості на jobs.ua

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://kivadm.gov.ua - інфікований державний сайт - інфекція була виявлена 08.04.2011. Зараз сайт не входить до переліку підозрілих.
• http://man.gov.ua - інфікований державний сайт - інфекція була виявлена 02.04.2011. Зараз сайт не входить до переліку підозрілих.
• http://pryvitannya.at.ua - інфекція була виявлена 07.02.2011. Зараз сайт не входить до переліку підозрілих.
• http://play-games.at.ua - інфекція була виявлена 04.03.2011. Зараз сайт не входить до переліку підозрілих.
• http://psybot.pp.net.ua - інфекція була виявлена 05.03.2011. Зараз сайт не входить до переліку підозрілих.

08.03.2011

Подібно до уразливостей в багатьох темах для Drupal, також уразливими є багато тем для ExpressionEngine. Зокрема шаблони того самого розробника, що і ранішезгадані шаблони для WordPress та Drupal.

У лютому, 02.02.2011, я знайшов Cross-Site Scripting, Full path disclosure, Abuse of Functionality та Denial of Service уразливості в наступних темах для ExpressionEngine: Fresh News, Inspire, City Guide, Delegate, Optimize, Bueno, Headlines, Daily Edition, Coffee Break, The Station, Over Easy. Це комерційні шаблони для ExpressionEngine від WooThemes. Про що вже повідомив розробникам, коли сповістив їх про попередні уразливості.

Детальна інформація про уразливості з’явиться пізніше.

19.04.2011

Cross-Site Scripting, Full path disclosure, Abuse of Functionality та Denial of Service уразливості в даних темах такі ж самі як і в раніше згаданих 90 темах для WP та 10 темах для Drupal. Тому що дані шаблоні містять TimThumb, про уразливості в якому я вже писав.

Уразливі версії даних шаблонів з TimThumb 1.24 та попередні версіями. Окрім даних тем від WooThemes уразливими також можуть бути інші теми для ExpressionEngine (з TimThumb) від інших розробників. Ім’я вразливого скрипта в шаблонах може бути thumb.php або інше.

25.04.2011

Як нещодавно повідомив мені Bjorn Borresen, автор порту тем WooThemes для ExpressionEngine (щоб був найнятий WooThemes для переносу їхніх тем для цього движка), він зробив власну версію TimThumb для використання в EE, яку назвав Teemthumb. І в даній версії веб додатку використовуються інші підходи, що робить його не вразливим до даних атак. Що я перевірив, ознайомившись з його кодом (параметри скрипту передаються лише в коді шаблонів).

Враховуючи, що 6 березня я звертався до WooThemes з приводу їхніх тем для інших движків окрім WP і вони погодилися зі мною (і тим самим підтвердили, що дані теми вразливі) й нічого не сказали мені, що для якихось їхніх тем використовуються неоригінальні версії TimThumb, то дану неточність я залишу на їхній совісті.

Тому вищезазначені теми для EE не вразливі напряму до даних атак, на відміну від згаданих мною тем для WordPress, Drupal і Joomla (а також компонентів для Joomla). Але дані теми для EE можуть бути атаковані локально, при доступу до редагування тем. До того ж інші теми для EE, що використовують оригінальний TimThumb, будуть уразливими.

Після виходу Opera 11.01, спочатку 17.03.2011 вийла версія Opera 11.10 beta, а потім 12.04.2011 вийша фінальна версія Opera 11.10.

Нова версія Opera є оновленням, що покращує безпеку та стабільність браузера. А також додає багато нового функціоналу та покращень. І хоча розробник не зазначив секюріті покращень, я все ж виявив деякі виправлення, що стосуються безпеки (зроблених в бета та фінальній версії 11.10 браузера).

Серед виправлень безпеки в Opera 11.10:

• Покращені SSL та TLS.
• Виправлена велика кількість вибивань браузера. Opera традиційно (як й інші виробники браузерів) не відносить вибивання, тобто DoS в браузерах, до уразливостей, а відносить їх до “проблем стабільності” (про що вона офіційно заявляє). Тому й не вказує вибивання в переліку секюріті виправлень.

По матеріалам http://www.opera.com.

12.04.2011

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7 та 8 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Численні пошкодження пам’яті і витік інформації.

• Microsoft Security Bulletin MS11-018 - Critical Cumulative Security Update for Internet Explorer (2497640) (деталі)

18.04.2011

Додаткова інформація.

• Microsoft Internet Explorer Property Change Memory Corruption (деталі)
• Microsoft Internet Explorer Layouts Use-after-free Vulnerability (деталі)
• Microsoft Internet Explorer Use-After-Free Memory Corruption Vulnerability (деталі)
• (Pwn2Own) Microsoft Internet Explorer onPropertyChange Remote Code Execution Vulnerability (деталі)

В даній добірці уразливості в веб додатках:

• Medium security hole in Rekonq web browser (деталі)
• Free Simple Software SQL Injection Vulnerability (CVE-2010-4298) (деталі)
• vBulletin 4.0.8 PL1 - XSS Filter Bypass within Profile Customization (деталі)
• GFI WebMonitor Admin UI Remote Script Code Injection (деталі)
• Vtiger CRM 5.2.0 Multiple Vulnerabilities (деталі)
• XSS in CompactCMS (деталі)
• Deepin TFTP Server Directory Traversal Vulnerability (деталі)
• XSS in CompactCMS (деталі)
• Multiple vulnerabilities in chCounter <= 3.1.3 (деталі)
• New openssl packages fix double free (деталі)

Виявлена можливість витоку інформації в Apache Tomcat.

Уразливі версії: Apache Tomcat 7.0.

За певних умов дані можуть бути відправлені не тому клієнту.

• Apache Tomcat information disclosure (деталі)

05.03.2011

Подібно до уразливостей в багатьох темах для WordPress, також уразливими є багато тем для Drupal. Зокрема шаблони того самого розробника, що і ранішезгадані шаблони для WP.

У лютому, 02.02.2011, я знайшов Cross-Site Scripting, Full path disclosure, Abuse of Functionality та Denial of Service уразливості в наступних темах для Drupal: Fresh News, Inspire, Spectrum, Delegate, Optimize, Bueno, Headlines, Daily Edition, Coffee Break, The Gazette Edition. Це комерційні шаблони для Drupal від WooThemes. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам тем.

16.04.2011

Cross-Site Scripting, Full path disclosure, Abuse of Functionality та Denial of Service уразливості в даних темах такі ж самі як і в раніше згаданих 90 темах для WP від двох розробників. Тому що дані шаблоні містять TimThumb, про уразливості в якому я вже писав.

Уразливі версії даних шаблонів з TimThumb 1.24 та попередні версіями. Окрім даних тем від WooThemes уразливими також можуть бути інші теми для Drupal (з TimThumb) від інших розробників (і таких тем чимало). Якщо в шаблонах від WooThemes файл зветься thumb.php, то в інших шаблонах можуть використовуватися інші імена файлу, зокрема timthumb.php.