Websecurity - Веб безпека

16.04.2012

Ще 18.04.2008 я знайшов Cross-Site Scripting, Cross-Site Request Forgery та Arbitrary File Upload (Code Execution) уразливості в плагіні Organizer для WordPress. Але довго відкладав публікацію інформації про дані уразливості. Це друга порція уразливостей в плагіні Organizer. Про що найближчим часом повідомлю розробникам плагіна.

Раніше я писав про уразливості в Organizer для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

24.04.2012

XSS:

http://site/wp-admin/admin.php?page=organizer/page/users.php&edit_id=%3Cscript%3Ealert(document.cookie)%3C/script%3E

XSS (Persistent):

Organizer XSS-2.html

Код виконається на сторінці users.php плагіна.

CSRF:

Через атаку на функцію Add/Edit User Setting можна додавати і редагувати налаштування. Додавання і редагування поєднані в один і той же POST запит.

POST запит на сторінці http://site/wp-admin/admin.php ?page=organizer/page/users.php (аналогічно експлоіту для XSS).

Через атаку на функцію Delete User Setting можна вадалити налаштування.

http://site/wp-admin/admin.php?page=organizer/page/users.php&delete_id=admin

Arbitrary File Upload (Code Execution):

Можливе необмежене завантаження файлів з виконанням коду (php файлів). Тому що в полі File extensions allowed можна вказати розширення скриптів, такі як “php”.

Так що окрім використання обхідних методів, таких як подвійні розширення (при нашаштуваннях плагіна по замовчуванню), можна змінити налаштування і задати “php” в дозволені розширення. Що дозволить завантажувати на сервер та виконувати довільні скрипти. Окрім проведення атаки на адміна через вищезгадану CSRF уразливість для зміни налаштувань (або отримання доступу до адмінського акаунту для цього), також для цього можна використати Insufficient Authorization уразливість (при наявності акаунта навіть з найменшими правами Subscriber).

Уразливі Organizer 1.2.1 та попередні версії.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://orthodox.ho.ua - інфекція була виявлена 04.02.2012. Зараз сайт не входить до переліку підозрілих.
• http://io.ua - інфекція була виявлена 17.04.2012. Зараз сайт не входить до переліку підозрілих.
• http://dn.kiev.ua - інфекція була виявлена 16.02.2012. Зараз сайт не входить до переліку підозрілих.
• http://certsystems.kiev.ua - інфекція була виявлена 12.03.2012. Зараз сайт не входить до переліку підозрілих.
• http://olimpkino.dp.ua - інфекція була виявлена 28.02.2012. Зараз сайт не входить до переліку підозрілих.

14.04.2012

Ще 27.09.2006 я знайшов Cross-Site Scripting та Full path disclosure уразливості в плагіні Organizer для WordPress (одразу як почав ним користуватися). Але довго відкладав публікацію інформації про дані уразливості. Це перша порція уразливостей в плагіні Organizer. Про що найближчим часом повідомлю розробникам плагіна.

Стосовно уразливостей в плагінах для WP раніше я писав про уразливості в Register Plus Redux для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

21.04.2012

XSS:

http://site/wp-admin/admin.php?page=organizer/page/users.php&delete_id=%3Cscript%3Ealert(document.cookie)%3C/script%3E

XSS (Persistent):

POST запит на сторінці http://site/wp-admin/admin.php? page=organizer/page/users.php в полі “File extensions allowed”. Код виконається на сторінці users.php плагіна.

Organizer XSS-1.html

FPD:

http://site/wp-content/plugins/organizer/plugin_hook.php

http://site/wp-content/plugins/organizer/page/index.php

http://site/wp-content/plugins/organizer/page/dir.php

http://site/wp-content/plugins/organizer/page/options.php

http://site/wp-content/plugins/organizer/page/resize.php

http://site/wp-content/plugins/organizer/page/upload.php

http://site/wp-content/plugins/organizer/page/users.php

http://site/wp-content/plugins/organizer/page/view.php

Уразливі Organizer 1.2.1 та попередні версії.

Як заявив мені розробник плагіна, він більше не підтримує цей плагін і не буде виправляти численні уразливості в ньому, про які я повідомив. Тому користувачам даного плагіна потрібно буде власноруч виправляти всі уразливості.

Нещодавно знайшов цікаве рішення, що призначене для покращення надійсності старих добрих паролів. Компанія LoginWall пропонує новий погляд на паролі.

Вона пропонує новий підхід до формування паролів, що на порядки покращує їх захист перед брутфорс атаками. Окрім безпоседньо секретної фрази, як у звичайних паролів, також використовується часова інформація (таймінг). Вона включає час між натисканням різних кнопок та час натискання кожної кнопки. За рахунок поєднання текстових даних з часовими даними, стійкість такого пароля до підбору збільшується на порядки.

Для демонстрації надійності своєї системи паролів компанія проводить хакерський марафон - LoginWall’s New Cyber Hackathon. Який проводиться на цьому тижні. Переможець змагання отримає новий iPad. Але навряд чи такий знайдеться виходячи з рівня надійності даної системи.

Ще 18.04.2008 я знайшов Insufficient Authorization, Cross-Site Request Forgery та Full path disclosure уразливості в плагіні Organizer для WordPress. Але довго відкладав публікацію інформації про дані уразливості. Це третя порція уразливостей в плагіні Organizer. Як заявив мені розробник плагіна, він більше не підтримує цей плагін і не буде виправляти численні уразливості в ньому, про які я повідомив.

Раніше я писав про уразливості в Organizer для WordPress.

Insufficient Authorization:

Доступ до users.php та виконання всіх операцій дозволено будь-яким користувачам системи (навіть Subscriber).

http://site/wp-admin/admin.php?page=organizer/page/users.php

Можливий перегляд налаштувань, додавання, редагування та видалення налаштувань користувачів. Зокрема будь-який користувач (той же Subscriber) зможе задати, в тому числі для свого акаунту, дозволені розширення для завантаження файлів, наприклад, php.

В тому числі непривілегійований користувач може проводити Persistent XSS атаки на адміна (через дві раніше згадані Persistent XSS дірки). А також дана уразливість дозволяє проводити CSRF атаки (для зміни налаштувань) не тільки на адміна, а на будь-якого залогіненого користувача.

CSRF:

Увесь фунціонал плагіна вразливий до CSRF атак. Окрім раніше загадних CSRF в скрипті users.php, наприклад, в скрипті dir.php через CSRF можна створювати, переіменовувати та видаляти директорії (переіменовувати та видаляти можна лише пусті директорії). Для цього потрібно відправити три відповідних POST запити.

http://site/wp-admin/admin.php?page=organizer/page/dir.php

А в скрипті view.php через CSRF можна переіменовувати, копіювати та видаляти завантажені файли. Для цього потрібно відправити три відповідних POST запити.

http://site/wordpress/wp-admin/admin.php?page=organizer/page/view.php

FPD:

Скрипт http://site/wordpress/wp-admin/admin.php?page=organizer /page/view.php має вбудований функціонал (і уразливість) - виведення повного шляху на сервері.

Уразливі Organizer 1.2.1 та попередні версії.

Продовжуючи тему антивірусів для сайтів, розповім вам про ще один подібний сервіс. Це StopTheHacker. Що є безпосереднім конкурентом моїй Web VDS.

В лютому, коли я знайшов цей онлайновий сервіс, я виявив уразливості на stopthehacker.com, про які вже писав. Це лише кілька з багатьох уразливостей, що мають місце на основному сайті та на сайті з акаунтами користувачів StopTheHacker - дірок там вистачає (і забивати на безпеку є типовим для секюріті проектів) й розробникам вистачить роботи по їх виправленню. На що я звернув їх увагу і вони планують цим зайнятися.

Це комерційний сервіс, що призначений для сканування сайтів на предмет шкідливого коду та хакерських атак. Тобто він лише частково перетинається з моєю Web VDS, а також він має додатковий фунціонал по перевірці сайтів (по функціоналу він ближче до моєї SecurityAlert). Він може використовуватися власниками сайтів для захисту від вірусів та інших проблем з безпекою на власних сайтах.

Веб сервіс StopTheHacker схожий більше на сервіс HackAlert V3, ніж на такі сервіси як McAfee SiteAdvisor чи Norton Safe Web від Symantec. Він призначений для використання саме власниками сайтів. В цьому його відмінність від публічних сервісів, які можуть використовуватися безпосередньо Інтернет-користувачами для захисту від інфікованих сайтів.

Безпосередньо на зовнішіх сторінках сайта скористатися даним сервісом не вийде (на відміну від деякий інших сервісів). Щоб це зробити потрібно зареєструвати акаунт на сайті й протестувати в ньому цей сервіс. В тому числі є один безкоштовний тип акаунта, який робить перевірку лише по базі WOT (в комерційних типах акаунтів можливості перевірки значно більші).

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://vinsta.gov.ua (хакерами з TeaM MosTa) - 11.02.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://zarrada.org (хакером SouTHRaNDA) - 11.02.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://tpark.rv.ua (хакером SouTHRaNDA) - 11.02.2012, зараз сайт вже виправлений адмінами
• http://www.kostopil.rv.ua (хакером SouTHRaNDA) - 11.02.2012, зараз сайт вже виправлений адмінами
• http://sumka.te.ua (хакером iskorpitx) - 18.05.2011, зараз сайт вже виправлений адмінами

Як і в попередні роки, надам свої прогнози розвитку веб безпеки в новому році. Але спочатку зроблю огляд тих прогнозів, що я давав на 2011 рік.

На початку минулого року я зробив свої прогнози стосовно розвитку галузі веб безпеки в минулому році. І зараз я оціню наскільки справдилися мої попередні прогнози.

1. Уразливості XSS в минулому році, як і раніше, все більше поширювалися (вони були найпоширенішими уразливостями веб додатків).
2. Активно знаходилися та використовувалися уразливості в браузерах (а також в плагінах, таких як Flash, Shockwave та Java) для атак на користувачів.
3. Збільшилася кількість атак на державні сайти України - зростання взломів gov.ua-сайтів в 2,1 рази.
4. Розробники браузерів почали більш активно впроваджувати секюріті механізми в свої продукти.
5. Значно зросла кількість заражених вірусами веб сторінок в Інтернеті. Зокрема в Уанеті в 2010 я виявив 264 інфікованих сайтів, а в 2011 вже 233 сайти (зменшення динаміки у 1,1 рази, але це я менше шукав інфіковані сайти, а насправді їх кількість зросла).
6. Збільшилися атаки на соціальні мережі, в тому числі на Facebook та WordPress.com.
7. Зросла хакерська активність (але в Уанеті вона дещо впала порівняно з 2010 роком, зокрема в Уанеті спад на 8%, але ще не всі дані мною оброблені).

Як видно всі мої попередні прогнози переважно збулися .

А тепер мій прогноз розвитку галузі веб безпеки в 2012 році.

1. Уразливості XSS будуть поширюватися й надалі.
2. Збільшиться кількість атак на державні сайти України.
3. Все більше будуть використовуватися уразливості в браузерах та плагінах для атак на користувачів.
4. Збільшиться кількість DDoS-атак в Уанеті, в тому числі на державні сайти.
5. Зростання кількості заражених вірусами веб сторінок буде більш активним.
6. Атаки на соціальні мережі та їхніх користувачів продовжать збільшуватися.
7. Продовжиться подальше зростання хакерської активності.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://chasy.com.ua - інфекція була виявлена 16.04.2012. Зараз сайт не входить до переліку підозрілих.
• http://turizm-ua.in - інфекція була виявлена 01.04.2012. Зараз сайт входить до переліку підозрілих.
• http://shops-in.net - інфекція була виявлена 12.04.2012. Зараз сайт не входить до переліку підозрілих.
• http://chatel.kharkov.com - інфекція була виявлена 16.04.2012. Зараз сайт входить до переліку підозрілих.
• http://kvakva.org.ua - інфекція була виявлена 20.02.2012. Зараз сайт не входить до переліку підозрілих.

В лютому була виявлена та оприлюднена у березні SQL Injection уразливість (обмежена до Information Leakage) в WordPress. А також цікава можливість виявлення кількості користувачів на сайті (через той же вразливий функціонал). Вони були знайдені HauntIT.

Раніше я вже писав про DoS уразливість в WordPress.

SQL Injection (Information Leakage):

Дана уразливість в profile.php в параметрі user_id дозволяє зареєстрованому користувачу з правами Subscriber та вище провести SQL Injection атаку. Вона обмежена лише можливістю отримати імена користувачів в системі, тобто це Information Leakage.

• WordPress 3.3.1 Post-Auth SQL Injection (деталі)
• WordPress 3.3.1 User Count Enumeration (деталі)

Уразливі WordPress 3.3.1 та попередні версії.