Websecurity - Веб безпека

Виявлена можливість віддаленого виконання коду в Zend Server.

Уразливі продукти: Zend Server.

Можливе виконання довільного коду через службу Java Bridge (TCP/10001).

• Zend Server Java Bridge Design Flaw Remote Code Execution Vulnerability (деталі)

12.02.2011

У січні, 03.01.2011, я знайшов Abuse of Functionality, Insufficient Anti-automation, XML Injection та Cross-Site Scripting уразливості в форумному движку MyBB. Які я виявив на одному сайті, що використовує даний движок. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в MyBB.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

01.04.2011

Abuse of Functionality:

Через даний функціонал можна виявляти логіни в системі.

http://site/xmlhttp.php?action=username_availability&value=test

http://site/xmlhttp.php?action=username_exists&value=test

Також можна через віправку POST запиту до сторінки http://site/member.php?action=register з вказаним Username або Referrer визначати логіни.

Insufficient Anti-automation:

Враховучи, що в даному функціоналі немає захисту від автоматизованих атак, це дозволяє проводити автоматизоване виявлення логінів в системі. В подальшому виявлені логіни можуть бути використані для визначення паролів користувачів системи.

XML Injection:

http://site/xmlhttp.php?action=username_exists&value=%3Cxml/%3E

XSS через XML Injection:

http://site/xmlhttp.php?action=username_exists&value=%3Cdiv%20xmlns=%22http://www.w3.org/1999/xhtml%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E%3C/div%3E

Уразливі MyBB 1.6.1 та попередні версії.

В версіях MyBB 1.6.2 та 1.4.15 XML Injection та XSS уразливості були виправлені. Abuse of Functionality та Insufficient Anti-automation уразливості виправлені не були. Лише розробники спробували виправити IAA, додавши новий параметр my_post_key до запиту, але це не допоможе проти IAA, тому що достатньо взяти значення цього параметру зі сторінки форуму (що може бути зроблено програмою) і в подальшому проводити автоматизовану атаку для визначення логінів.

Раніше я вже розповідав про DoS атаку на IPB, зокрема на прикладі IPB 1.х. Подібна атака можлива й на IPB 2.х. А також потенційно і на IPB 3.х (якщо не була змінена робота з БД, що маловірогідно).

DoS:

Denial of Service атака зводиться до настуного. Потрібно створити велике навантаження на форум на Invision Power Board, зокрема на ті таблиці БД, до яких движок найбільш чутливий. Після того як відбудеться збій в подібний таблиці, форум перестане працювати - виведеться повідомлення про помилку.

В IPB 2.x (та потенційно 3.х) такою важливою таблицею є ibf_session. При пошкодженні ibf_sessions не можна буде зайти на жодну сторінку форума. Таким чином можна провести DoS атаку на форум на движку IPB. Форум не буде працювати доти, доки не будуть відремонтовані пошкодженні таблиці в СУБД.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://yalta-gs.gov.ua (хакером kaMtiEz) - 21.03.2011 - взломаний державний сайт, веб сторінка хакерів все ще розміщена на сайті
• http://gamelenta.net (хакерами з RBH-CREW)
• http://newevpa.org (хакерами CWAttacker і Sancakbeyi)
• http://morozok.com.ua (хакером iskorpitx) - 21.03.2011, зараз сайт вже виправлений адмінами
• http://make2web.org.ua (хакером N3xtr0m1x) - 27.03.2011, зараз сайт вже виправлений адмінами

Продовжуючи розпочату традицію, після попереднього відео про Google як загроза вашій приватності, пропоную нове відео на веб секюріті тематику. Цього разу відео про приватність в Google Gmail. Рекомендую подивитися всім хто цікавиться цією темою.

Google GMail Privacy

Подібно до двох попередніх відео на тему приватності, де розповідалося про ризики використання Gmail, пошуковця Гугла та браузера Chrome (як і взагалі всіх веб сервісів даної компанії), в даному випадку більш детально розповідається про Gmail - сервіс веб пошти від Google.

Це відео безпосередньо від Consumerwatchdog стосовно підходів Гугла до ігнорування приватності користувачів своїх програмних продуктів і сервісів. А також тих людей, що взаємодіють з користувачами ПЗ і сервісів Гугла.

В відео детально розглянуті ризики безпеки і приватності при користуванні Gmail на прикладі функції автозбереження Гмайла та функції створення ярликів для веб сайтів в Google Chrome (на прикладі Гмайла). Дана функція Chrome, що була в браузері з самої першої версії, доволі цікава, але має обмеження (які описані в даному відео), що можуть призвести до проблем з приватністю. Рекомендую подивитися дане відео для розуміння ризиків приватності при використанні веб сервісів, зокрема сервісів Гугла.

В даній добірці уразливості в веб додатках:

• Multiple Vulnerabilities in the Cisco ACE Application Control Engine Module and Cisco ACE 4710 Application Control Engine (деталі)
• SQL injection in MiniBB (деталі)
• XSS in Textpattern CMS (деталі)
• Multiple Vulnerabilities in Cisco ASA 5500 Series Adaptive Security Appliances (деталі)
• Multiple Vulnerabilities in Cisco Firewall Services Module (деталі)
• LFI in eoCMS (деталі)
• Path disclosure in eoCMS (деталі)
• SQL Injection Vulnerability in Cisco Wireless Control System (деталі)
• Cisco Wireless Control System XSS (деталі)
• SQL injection in eoCMS (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Rating-Widget та BackWPup. Для котрих з’явилися експлоіти. Rating-Widget - це доповнення до плагіна Comment Rating, BackWPup - це плагін для створення бекапів бази даних та файлів WP.

• XSS in Rating-Widget wordpress plugin (деталі)
• XSS in Rating-Widget wordpress plugin (деталі)
• Wordpress plugin BackWPup Remote and Local Code Execution Vulnerability (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Минулої осені відбувся масовий взлом сайтів на сервері Укртелекому (в Utel DataCenter). На протязі жовтня-листопада, а також по одному сайту в червні, липні та грудні 2010 року. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Укртелеком. Взлом відбувся частково до, а частково після згаданого масового взлому сайтів на сервері Besthosting.

Всього було взломано 427 сайтів на сервері Укртелекому (IP 213.186.117.200). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти ukrreftrans.gov.ua та www.kyivobljust.gov.ua.

Зазначені сайти були взломані в період з 16.06.2010 по 10.12.2010. Дефейси 427 сайтів проведено різними хакерами. Окрім цього було взломано 2 сайти в 2008 і 7 сайтів в 2009 роках (в сумі 436 сайтів).

Більшість сайтів була задефейсена під час декількох масових взломів. Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

10.02.2011

У січні, 03.01.2011, я знайшов Cross-Site Scripting та SQL DB Structure Extraction уразливості в форумному движку MyBB. Які я виявив на одному сайті, що використовує даний движок. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

30.03.2011

Уразливості мають місце в скриптах search.php та private.php.

XSS:

MyBB XSS.html

MyBB XSS-2.html

SQL DB Structure Extraction:

MyBB SQL DB Structure Extraction.html

MyBB SQL DB Structure Extraction-2.html

Уразливі MyBB 1.6 та попередні версії.

Виявлене переповнення буфера в pam-pgsql.

Уразливі версії: pam-pgsql 0.7.

Переповнення буфера можливе через IP-адресу.

• pam-pgsql security update (деталі)