Websecurity - Веб безпека

Існує декілька варіантів розміщення шелів (як і будь-яких бекдорів) на сайтах. Перші два варіанти є відомими, а третій варіант - це новий, який я розробив минулого року, коли виявив RCE уразливість в CMS WebManager-Pro. Подібні уразливості можуть бути й в інших веб додактах.

Шели можуть бути розміщенні на сайті:

1. У вигляді окремих файлів.
2. Включені в існуючі скрипти.
3. Включені в Базу Даних.

У першому випадку це можуть бути як php та інші скрипти, що можуть виконуватися на сервері, так і файли з іншими розширеннями (такими як txt та іншими), код в яких виконається через різні уразливості на сайті (у веб додатках чи у веб сервері).

У другому випадку це можуть бути будь-які існуючі php та інші скрипти на веб сайті, в код яких додається код шела. Тобто робиться бекдор в існуючому коді.

У третьому випадку це можуть бути записи в БД, коли веб додаток виконує код (наприклад, PHP код), що знаходиться у даному записі. Як це може бути у випадку CMS WebManager-Pro.

Перші два випадки стосуються файлів у файловій системі сервера. А третій випадок стосується записів в СУБД. І якщо для перших двох потрібно мати права на запис до файлової системи, то у третьому випадку ці права не потрібні - потрібно лише записати дані в БД. Тобто з використанням третього методу розміщення шелів (там де він придатний), можна обійти це обмеження, а також більш приховано розмістити шел .

І раз дані методи розміщення шелів мають суттєві відмінності, то відповідно і захист від них повинен бути різний. Тобто існують відмінності при пошуку даних шелів та протидії подібним атакам.

Для пошуку перших двох типів шелів можна скористатися спеціалізованими програмами. Зокрема для WordPress можна скористатися Сканером експлоітів в WordPress та плагіном Belavir, про які я вже розповідав (але враховуючи ранішезгадані уразливості в Belavir, варто враховувати безпеку подібних плагінів при їх використанні). Про інші подібні додатки я ще розповім. А для третього типу шелів потрібні зовсім інші додатки, що вміють виявляти шели в базах даних.

Після масового взлому сайтів на сервері HostPro, де на протязі 16 і 17 січня було взломано 25 сайтів, хакер Stupid провів масовий взлом сайтів на сервері Hvosting.

Під час досліджень взломаних сайтів в Уанеті, після попереднього масового взлому, мною був виявлений новий масовий взлом сайтів - цього разу на сервері Hvosting. Про один з цих сайтів я вже писав в добірці похаканих сайтів.

Всього було взломано 17 сайтів на сервері української хостингової компанії Hvosting (IP 91.200.40.39). Це наступні сайти: omegask.net.ua, lntc.biz, lts.in.ua, myopinion.net.ua, selyuchenko-potters.gov.ua, vpusot.org.ua, woodbook.net, vipcanvas.com, ceramology-inst.gov.ua, sobiralkin.com, una-unso.cv.ua, pfg.com.ua, virgo-tour.com.ua, print911.com.ua, sinenko.org.ua, opishne-museum.org.ua, masterholod.com.ua. Серед них два українських державних сайти: selyuchenko-potters.gov.ua і ceramology-inst.gov.ua.

Усі зазначені сайти були взломані 29 січня 2011 року. Всі дефейси були проведені хакером Stupid. Дані сайти використовують різні веб додатки (зокрема WordPress та Joomla).

Враховуючи факт використання різних движків, велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

24.06.2010

У листопаді, 20.11.2009, я знайшов Insufficient Anti-automation та Brute Force уразливості на проекті http://www.vrschange.com, що також доступний за адресою http://www.vrsmoney.kiev.ua (обмінник веб грошей). Про що найближчим часом сповіщу адміністрацію проекту.

Останній раз стосовно обмінників веб грошей я писав про уразливості на n-change.net.

Детальна інформація про уразливості з’явиться пізніше.

07.02.2011

Insufficient Anti-automation:

http://www.vrschange.com/guestbook/
http://www.vrsmoney.kiev.ua/guestbook/

Використовувалася уразлива капча.

Brute Force:

http://www.vrschange.com/guestbook/admin/
http://www.vrsmoney.kiev.ua/guestbook/admin/

За рахунок зміни движка (а також проект змінив домен на http://xobmen.com) дані уразливості вже виправлені.

Під час останніх досліджень взломаних сайтів в Уанеті мною був виявлений масовий взлом сайтів на сервері HostPro. Про деякі з цих сайтів я вже писав в добірках похаканих сайтів.

Всього був взломаний 25 сайт на сервері української хостингової компанії HostPro (IP 77.222.131.24). Це наступні сайти: www.vhodv.com, btg.com.ua, webin.com.ua, ukrremeslo.com, golgofakiev.com, oilblog.com.ua, danishevskaya.com, crimeavhodv.com, kyzmi4i.com, css3sites.com, www.4polus.com, taekwondo.dn.ua, sc2pro.net, kulikovart.com, activelife.dp.ua, skalubo.com, autoverge.com, notebooksandnetbooks.com, www.alsufiev.com, www.cx-7.com.ua, www.cultufa.com.ua, supermarketguru.com.ua, crea.com.ua, holos.com.ua, www.alfalom.com.

Дані сайти були взломані на протязі 16 і 17 січня 2011 року. Всі дефейси були проведені хакером Stupid. Дані сайти використовують різні веб додатки (WordPress, Joomla та інші).

Враховуючи факт використання різних движків, велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Також на даному сервері були взломано (іншими хакерами) ще 4 сайти в 2010 році - abraziv.kiev.ua (15.02.2010), www.sharikifonariki.com.ua (29.09.2010), buket.dn.ua (11.12.2010) і clearplex.com.ua (13.12.2010). А також ще 9 сайтів в 2009 році.

За повідомленням www.xakep.ru, хмарні обчислення створюють умови для кіберзлочинів.

Narus Inc. опублікувала Топ-10 основних напрямків кіберзагроз на 2011 рік, попереджаючи, зокрема, про те, що популярність розподіленої (чи “хмарної”) обробки даних привела до появи безлічі нових шляхів для кіберзлочинів.

До десятки найбільших кіберзагроз на 2011 рік увійшли:

1. Атаки через USB-пристрої.
2. Великі і спрямовані атаки ботнетів.
3. Атаки типу “відмова в обслуговуванні” (DDoS).
4. Збільшення кількості атак у соціальних мережах.
5. “Викрадення кликів” і міжсайтовий скриптінг.
6. Фішинг-атаки.
7. Онлайн-шахрайство і відмивання грошей.
8. Проблеми з cloud computing.
9. Витік даних і внутрішні загрози.
10. Атаки мобільних пристроїв і бездротових мереж.

За повідомленням hackzona.com.ua, хакери стягнули кредитки покупців косметики.

Британський сайт косметичної компанії Lush припинив свою роботу: зробити такий крок його власників змусили хакерські атаки, в результаті яких стався витік даних про кредитні картки клієнтів. Компанія найближчим часом відкриє тимчасовий сайт для онлайн-замовлень, причому спочатку оплата буде прийматися виключно через PayPal.

Після взлому сайту ChronoPay, що займається процесінгом платіжних карт (власники якого заявляють, що це було захоплення домену), це ще один випадок атаки пов’язаної з кредитними картами. А, як я вже неодноразово зазначав, подібні сайти погано слідкують за безпекою.

За повідомленням www.xakep.ru, у Німеччині відкриється центр захисту від кібер-атак.

Уряд ФРН збирається відкрити в 2011 році Національний центр захисту від кібер-атак. У задачі Центра захисту від кібер-атак буде входити також боротьба з електронним шпигунством і створення системи забезпечення електронної безпеки.

21.06.2010

У листопаді, 20.11.2009, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на проекті http://chr.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Зазначу, що уразливість має місце в локальному пошуковці, що використовує технологію Google. Про уразливості в локальних пошуковцях я вже писав раніше та наводив чимало прикладів сайтів з дірками в пошуку по сайту (в тому числі тих, що використовують локальні пошукові движки), як і чимало писав про дірки в пошукових системах.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

05.02.2011

XSS:

• alert(document.cookie)
• цікавий

Це DOM Based XSS.

Insufficeint Anti-automation:

http://chr.com.ua/register/
http://chr.com.ua/lostpasswd/

На даних сторінках немає захисту від автоматизованих запитів (капчі).

Дані уразливості досі не виправлені.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Featured Content, FCChat Widget та WordPress Uploader. Для котрих з’явилися експлоіти. Featured Content - це плагін для створення вибранного контенту, FCChat Widget - це плагін для створення чата, WordPress Uploader - це плагін для завантаження файлів.

• WordPress Featured Content 0.0.1 Cross Site Scripting (деталі)
• WordPress FCChat Widget 2.1.7 Cross Site Scripting (деталі)
• WordPress Uploader 1.0.0 Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжуючи розпочату традицію, після попереднього відео про експлоіт для Adobe Flash Player, пропоную нове відео на веб секюріті тематику. Цього разу відео про експлоіт для уразливості в Adobe Flash Player. Рекомендую подивитися всім хто цікавиться цією темою.

Adobe Flash Player newfunction Invalid Pointer Use

В відео показаний процес атаки на користувачів Flash Player та Acrobat Reader (атака також можлива через їхні плагіни до браузерів). Дана уразливість стосується Flash Player 9.0 і 10.0, Adobe Reader 9.3.2, Adobe Acrobat 9.3.2 та будь-яких інших продуктів, що включають флеш плеєр.

Для створення експлотіа використовується Metasploit Framework. Рекомендую подивитися дане відео для розуміння векторів атак на Flash Player та інші продукти з вбудованим флеш плеєром.

В минулому році, після попереднього оновлення, вийшло нове оновлення безпеки для версій Invision Power Board 3.0.x. В даному оновленні виправлена Cross-Site Scripting уразливість, яка стосується 3.0.x версій движка.

• Обновление безопасности в IP.Board версий 3.0.x (деталі)

Компанія IBResource повідомляє про вихід оновлення безпеки для IP.Board версій 3.0.x. Можлива уразливість дає невелику імовірність вставки зловмисником JavaScript коду на ваш форум. В останній версії дистрибютива IPB 3.0.5 та подальших версіях дана уразливість вже виправлена.

В даній добірці уразливості в веб додатках:

• Wing FTP Server - Cross Site Scripting Vulnerability (деталі)
• Vulnerabilities in mailman (деталі)
• Novell ZENworks Configuration Management Preboot Service Remote Code Execution Vulnerability (деталі)
• XSS vulnerability in Elxis CMS polls module (деталі)
• XSS vulnerability in Elxis CMS (деталі)
• HP StorageWorks Storage Mirroring, Remote Unauthorized Access (деталі)
• XSS vulnerability in Elxis CMS (contacts) (деталі)
• XSS vulnerability in Docebo Announcements (деталі)
• SQL injection vulnerability in Elxis CMS (деталі)
• HP ServiceCenter Running on AIX, HP-UX, Linux, Solaris, and Windows, Remote Cross Site Scripting (XSS) (деталі)