Websecurity - Веб безпека

В листопаді минулого року була виявлена Cookie Authentication уразливість в WordPress (про наявність даної особливості роботи з кукісами було відомо й раніше). При наявності доступу до БД можна відтворити кукіс будь-якого користувача системи.

Ця особливість реалізації не є сама по собі небезпечною. Але, при наявності витоку інформації з бази даних, або SQL Injection, вона може бути використана для комплексної атаки на сайт.

Вразливі версії WordPress від 1.5 по 2.3.3. Новий підхід до роботи з кукісами був запроваджений в WordPress 2.5. В якому була виявлена уразливість (причому тим же секюріті дослідником Steven Murdoch) в роботі нового механізму управління кукісами.

• Wordpress Cookie Authentication Vulnerability (деталі)

Три дні тому, 25.04.2008, вийшла нова версія WordPress 2.5.1 - оновлення для гілки WP 2.5.x.

WordPress 2.5.1 це багфікс та секюріті випуск для 2.5 серії. В даній версії була виправлена Insufficient Authorization уразливість (Cookie Integrity Protection Vulnerability), про яку я писав. Що дозволяла отримати доступ до акаунта адміністратора. Також була виправлена XSS уразливість.

На доданок до секюріті виправлень в версії 2.5.1 також виправлено 70 багів. Зокрема, були зроблені наступні виправлення:

• Покращення швидкодії для сторінок Dashboard, Write Post та Edit Comments.
• Краща швидкодія для тих, хто має багато категорій.
• Виправлення в Media Uploader.
• Апгрейд до TinyMCE 3.0.7.
• Виправлення в Widget Administration.
• Різноманітні покращення юзабіліті.
• Виправлена розмітка для IE.

Учора, 25.04.2008, була оприлюднена Insufficient Authorization уразливість в WordPress 2.5. Деталі уразливості поки не повідомляються, але вона доволі серйозна, тому що дозволяє отримати доступ в адмінський акаунт. Тому розробники WP випустили нову версію системи.

Віддалений користувач, що має можливість зареєструватися в системі зі спеціальним логіном, може згенерувати кукіс авторизації для будь-яких інших акаунтів (в тому числі й адмінських).

Вразлива версія WordPress 2.5. Дана уразливість виправлена в WordPress 2.5.1.

P.S.

Опублікував лінку на детальну інформацію про Cookie Integrity Protection Vulnerability в Wordpress 2.5.

Після оприлюднення результатів розвитку веб безпеки в 2007 році, надам свої прогнози на новий рік. Але спочатку зроблю огляд тих прогнозів, що я давав на 2007 рік.

На початку минулого року я зробив декілька прогнозів стосовно розвитку галузі веб безпеки в минулому році. Це був мій перший досвід прогнозування (розвитку галузі) , тому оціню наскільки справдилися мої попередні прогнози.

1. Уразливості XSS в минулому році ще більш поширилися (вони були найпоширенішими уразливостями веб додатків). Хоча такий тип як UXSS в PDF не поширився так, як я очікував, але в цілому різні типи XSS були дуже поширеними в 2007 році.
2. Фішинг став ще більш розповсюдженим і наніс великі збітки. Кількість фішерських технік також зросла в минулому році (що й призвело до більшого поширення фішингу).
3. Кількість веб вірусів та хробаків збільшилася.
4. Кількість Ajax уразливостей не дуже зросла, але атаки пов’язані з використанням Ajax були поширеними, особливо за рахунок веб вірусів.
5. Зросла хакерська активність (зокрема в Уанеті зростання на 240%).

Прогноз розвитку галузі веб безпеки в 2008 році.

1. Уразливості XSS будуть поширюватися й надалі.
2. Фішинг стане ще більш поширеним та з’являться нові техніки фішерських атак.
3. Insufficient Anti-automation уразливості стануть більш поширеними.
4. Збільшиться кількість і різноманітність веб вірусів та хробаків.
5. Зросте кількість заражених вірусами веб сторінок.
6. Збільшаться атаки на соціальні мережі.
7. Продовжиться подальше зростання хакерської активності.

В WordPress 2.0.x (а також в наступних версіях, потенційно до 2.3.3 включно) є Weak Password уразливість. На котру я звернув увагу ще в 2006 році, як почав використовувати WP.

Дефолтний пароль при інсталяції: 6 символів і невеликий алфавіт (бо застосовується md5).

В системі використовується наступний алгоритм генерації паролю:
$random_password = substr(md5(uniqid(microtime())), 0, 6);

Враховуючи, що алфавіт всього 16 символів, а довжина - 6 символів, то всього можливих комбінацій: 16^6 = 16777216.

Враховуючи дані умови, а також те, що в системі є Abuse of Functionality уразливість, яка дозволяє підбирати логіни користувачів, та Brute Force уразливіть, яка дозволяє підбирати паролі, можна провести брутфорс атаку на сайт.

Підбір пароля (при 10 запитах в секунду):

Запитів: 16777216.
Час: 1677721,6 секунд = 19,42 днів.

В версії WordPress 2.5 ситуація краще.

Використовується функія wp_generate_password. Дефолтний пароль при інсталяції: 7 символів і нормальний алфавіт (62 символи). Всього можливих комбінацій: 62^7 = 3521614606208.

Про результати розвитку галузі інформаційної безпеки, в тому числі й безпеки в Інтернет, від відомих секюріті компаній та експертів я вже писав. Зараз підведу власні підсумки 2007 року.

Результати розвитку галузі веб безпеки в 2007 році.

1. Проведення великої кількості секюріті проектів: Місяць багів в Apple, Місяць багів в PHP, Місяць багів в MySpace, Місяць ActiveX багів, Місяць багів в Пошукових Системах, Місяць багів в Капчах.
2. XSS уразливості стали ще більш поширеними: за даними секюріті компаній в минулому році XSS були найпоширенішими уразливостями веб додатків.
3. Збільшення активності хакерів. Зокрема в Уанеті хакерська активність зросла на 240%.
4. Зростання кількості заражених вірусами веб сторінок.
5. Акцент пошуку уразливостей і написання експлоітів ще більше змістився в область веб додатків.
6. Збільшення атак на соціальні мережі.
7. Продовжили з’являтися веб віруси, які використовували уразливості на популярних веб проектах і вразили велику кількість їх користувачів.

В минулому році mybeNi знайшов Cross-Site Scripting уразливість в адмінці на блог-хостінгу wordpress.com. Що використовує движок WordPress (на той час там використовувалася гілка WP 2.1.х).

XSS:

http://site/wp-admin/invites.php?result=sent&to=a@c.com%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Цікаве те, що одна зі знайдених в минулому місяці Cross-Site Scripting уразливостей в WordPress, також була в файлі invites.php в параметрі to (це та сама дірка). Тобто розробники WP так і не виправили даної дірки до версії WordPress 2.3.2 включно. Лише в 2.3.3 вона нарешті була виправлена.

Ще 15.10.2006 я знайшов Cross-Site Scripting уразливість в Trashbin (WordPress plugin). Вразлива версія Trashbin 0.1 та потенціно наступні версії плагіна.

XSS:

Уразливість в скрипті trashbin.php в параметрі mtb_undelete.

http://site/wp-admin/edit.php?page=mtb_trashbin/trashbin.php&mtb_undelete=%27%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Дана уразливість пов’язана з діркою в самому WP. Тому даний плагін вразливий тільки на WordPress 2.0.7 і попередніх версіях. XSS можна виправити як в самому плагіни, так і оновивши движок до нових версій.

Раніше я вже писав про подібні уразливості в WP 2.0.x. Починаючи з версії WordPress 2.0.9 дані уразливості вже виправлені (як в самому движку, так і плагінах).

На початку лютого, 08.02.2008, я виступив з доповіддю про Інтернет безпеку для представників міжнародної компанії Headtechnology.

Доповідь доступна на українській та російській мові:

Інтернет безпека: сучасний стан та перспективи

Интернет безопасность: текущее состояние и перспективы

Хоча презентація є короткою, але сама доповідь тривала дві години. До речі, в якості бонуса в доповіді наводиться уразливість на сайті Приват Банка , як приклад реальної уразливості, що може бути використана для атаки на користувачів банка.

В минулому році була виявлена Brute Force уразливість в WordPress. Вона була виявлена в перших версіях 2.0.x, але вона наявна і в наступних версіях Вордпреса (як і Abuse of Functionality уразливість). Тому вразливі усі версії WordPress: гілки 2.0.x, 2.1.x, 2.2.x та 2.3.x (і вірогідно 1.x), а також, як я перевірив, нова версія 2.5.

Відкривач цієї уразливості, Kad, в своєму повідомленні також звернув увагу на Abuse of Functionality уразливість в WP, про яку я писав. Але він не зосередив увагу на ній, як на окремій дірці, лише додатково про неї згадав, що вона може стати в нагоді при брутфорс атаці (і зробив експлоіт тільки для підбору паролю). Тому я й написав ще окремо про Abuse of Functionality уразливість.

При проведенні Brute Force атаки можна використовувати різні методи: повний перебір, атаку по словнику, комбіновану атаку. За допомогою даної уразливості можна підібрати пароль для заданого користувача сайта (в тому числі адміна), логін якого відомий. Отримати логін користувача сайта можна за допомогою вищезгаданої Abuse of Functionality уразливості.

В якості захисту від брутфорс атаки можна використати капчу, або обмеження на кількість невірних введень логіну та паролю. Або використовувати надійний пароль.

• Wordpress <= 2.x dictionnary & Bruteforce attack (деталі)