Websecurity - Веб безпека

Продовжую проект День багів в WordPress 3. В цьому році я вже публікував дірки в WP і зараз опублікую нові. Зараз я оприлюдню URL Redirector Abuse та Cross-Site Scripting уразливості в WordPress.

Які я знайшов 26.04.2012, одразу як оприлюднив попередні Redirector та XSS уразливості в WP. Тоді я знайшов багато подібних уразливостей - це лише декілька Redirector та XSS дірок в WP.

Redirector (URL Redirector Abuse) (WASC-38):

http://site/wp-admin/edit-tags.php?action=delete&_wp_http_referer=http://websecurity.com.ua/?edit-tags.php

XSS (WASC-08):

http://site/wp-admin/edit-tags.php?action=delete&_wp_http_referer=data:text/html;edit-tags.php;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

Уразливі WordPress 3.6 та попередні версії.

Redirector (URL Redirector Abuse) (WASC-38):

Можливий лише Redirector, але не XSS (в зв’язку з фільтрацією важливих символів). Для атаки потрібно знати значення _wpnonce.

http://site/wp-admin/edit-tags.php?action=add-tag&_wpnonce=096ea8dbbd&_wp_original_http_referer=http://websecurity.com.ua/?edit-tags.php

Уразливі WordPress 3.0 - 3.6.

http://site/wp-admin/edit-tags.php?action=bulk-delete&_wpnonce=ebee6d0330&_wp_http_referer=http://websecurity.com.ua/?edit-tags.php
http://site/wp-admin/media.php?action=editattachment&_wpnonce=2fa131c992&_wp_original_http_referer=http://websecurity.com.ua/?upload.php

Уразливі WordPress 3.6 та попередні версії.

Продовжую проект День багів в WordPress 3. В цьому році я вже публікував дірки в WP і зараз опублікую нові. Зараз я оприлюдню Cross-Site Request Forgery, Denial of Service та Information Leakage уразливості в WordPress, які я знайшов 06.08.2007 (IL) і 31.03.2012 (CSRF і DoS).

Cross-Site Request Forgery (WASC-09) / Denial of Service (WASC-10):

В функціоналі retrospam немає захисту від CSRF.

http://site/wp-admin/options-discussion.php?action=retrospam

Запит запускає перевірку коментарів по стоп-словам, що створює навантаження на сервер. Чим більше слів у списку (а через XSS уразливість їх туди можна додати будь-яку кількість) і чим більше коментарів на сайті, тим більше навантаження.

Cross-Site Request Forgery (WASC-09):

http://site/wp-admin/options-discussion.php?action=retrospam&move=true&ids=1

Запит переносить коментарі, включаючи відмодеровані, до списку модерації. Потрібно лише вказати id коментарів.

Уразливі WordPress 2.0.11 та попередні версії (де був даний функціонал).

Information Leakage (WASC-13):

При звернені до скрипта options.php можна отримати всі важливі дані з БД. Як при доступі в адмінку, так і можна отримати зміст сторінки через XSS атаку. Зокрема різні ключі, солі, логіни і паролі, такі як auth_key, auth_salt, logged_in_key, logged_in_salt, nonce_key, nonce_salt, mailserver_login, mailserver_pass (кількість параметрів залежить від версії WP). Про витік логіну і паролю до електронної пошти в іншому розділі адмінки я вже писав раніше (це друга сторінка, де має місце витік цих даних).

http://site/wp-admin/options.php

Уразливі WordPress 3.7.1 та попередні версії (та в WP 3.8, що вийшов у грудні).

Сьогодні, в День багів в WordPress 3, я оприлюдню багато цікавих уразливостей в WP. В цьому році я вже публікував дірки в WP і зараз опублікую нові. Першими я оприлюдню Information Leakage та Backdoor уразливості в WordPress, що відомі мені ще з червня 2006, коли тільки почав користуватися WP. І які все ще актуальні для всіх версій движка.

Information Leakage (WASC-13):

В БД зберігаються логін і пароль від емайла у відкритій формі в Writing Settings (http://site/wp-admin/options-writing.php), якщо використовується цей функціонал. Тому отримавши дані з БД через SQL Injection чи Information Leakage уразливість, чи отримавши зміст цієї сторінки через XSS, чи отримавши доступ в адмінку через будь-яку уразливість, можна отримати логін і пароль від емайла.

Що дозволить захопити доступ як до цього сайта (через функцію зміни пароля), коли знову знадобиться отримати доступ до сайта, так і до інших сайтів, де є функція відновлення/зміни пароля, що надішлють листи на цей емайл. Бо користувач може використати свій основний емайл (що мені доводилося зустрічати в Інтернеті).

Backdoor:

Цей функціонал також може використовуватися як бекдор. Коли в опціях Writing Settings задається емайл зловмисника, звідки будуть розміщуватися повідомлення на сайт. З XSS кодом, з black SEO лінками, з кодом malware, тощо.

Уразливі WordPress 3.7.1 та попередні версії (та в WP 3.8, що вийшов у грудні).

Окрім виправлення декількох уразливостей у версії WordPress 3.6.1, про які згадали у анонсі, розробники ще виправили три уразливості. Але про них розробники WP навмисно не повідомили (для применшення офіційної кількості виправлених дірок).

В цьому місяці я дослідив зміни в версії 3.6.1 движка і виявив три Full path disclosure уразливості. Про які не згадали ні в описі релізу WP 3.6.1, ні в Codex (при тому, що вони іноді згадують про FPD). Що типово для розробників WP - ще з 2007 року вони часто приховують виправлені уразливості.

Раніше я вже писав про FPD уразливості в WordPress.

Full path disclosure (WASC-13):

В функції get_allowed_mime_types().
В функції set_url_scheme().
В функції comment_form().

Уразливі WordPress 3.6 та попередні версії.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://iitzo.gov.ua (хакером d3b~X) - 21.11.2013 - похаканий державний сайт, сторінка хакера все ще знаходиться на сайті
• http://sez.crimea.ua (хакером S4L4M) - 06.08.2013, зараз сайт вже виправлений адмінами
• http://stomadent.com.ua (хакерами з Iran Security Team) - 02.08.2013, зараз сайт вже виправлений адмінами
• http://greenmix.com.ua (хакерами з Iran Security Team) - 04.08.2013, зараз сайт вже виправлений адмінами
• http://sensei-school.com.ua (хакерами з Iran Security Team) - 12.08.2013, зараз сайт вже виправлений адмінами

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Cart66, Finalist та Dexs PM System. Для котрих з’явилися експлоіти. Cart66 - це е-комерс плагін для додання кошика покупця, Finalist - це плагін, Dexs PM System - це плагін.

• WordPress Cart66 1.5.1.14 Cross Site Request Forgery / Cross Site Scripting (деталі)
• WordPress Finalist Cross Site Scripting (деталі)
• WordPress Dexs PM System Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://bioline.com.ua - інфекція була виявлена 13.11.2013. Зараз сайт входить до переліку підозрілих.
• http://medbiz.com.ua - інфекція була виявлена 04.11.2013. Зараз сайт не входить до переліку підозрілих.
• http://csrjournal.com - інфекція була виявлена 26.11.2013. Зараз сайт входить до переліку підозрілих.
• http://datagroup.ua - інфекція була виявлена 11.10.2013. Зараз сайт не входить до переліку підозрілих.
• http://etm.org.ua - інфекція була виявлена 22.11.2013. Зараз сайт не входить до переліку підозрілих.

Після проведення проектів День багів в WordPress (Day of bugs in WordPress) в 2007 році та День багів в WordPress 2 в 2010 році, а також MOSEB, MoBiC та багатьох інших проектів в 2007-2008 роках, я анонсую свій новий проект.

На наступному тижні я проведу проект День багів в WordPress 3. Він присвячений безпеці WP та безпеці веб додатків у цілому.

Я вирішив провести даний проект у цьому місяці, щоб відзначити річницю проведення Місяця багів в Капчах (MoBiC), що відбувся у листопаді 2007 року.

В першому проекті я оприлюднив 81 уразливість в WP, в другому проекті оприлюднив 8 уразливостей. В новому проекті я оприлюдню нові уразливості в WP.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Woopra Analytics, Simple Flash Video та WordPress Pingback Port Scanner. Для котрих з’явилися експлоіти. Woopra Analytics - це плагін для ведення статистики, Simple Flash Video - це відео-плеєр, WordPress Pingback Port Scanner - це експлоіт для сканування портів через pingback функціонал в WP 3.5. У версії 3.5.1 цю уразливість виправили.

• WordPress Woopra Remote Code Execution (деталі)
• WordPress Simple Flash Video 1.7 Cross Site Scripting (деталі)
• Wordpress Pingback Port Scanner (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.poltav-oblosvita.gov.ua (хакером Dr.SHA6H) - 15.11.2013 - похаканий державний сайт, зараз сайт закритий адмінами
• http://neoclima.ua (хакером Cyber-turk) - 03.08.2013, зараз сайт вже виправлений адмінами
• http://web.optim.ua (хакером Cyber-turk) - 03.08.2013, зараз сайт вже виправлений адмінами
• http://hodovka.com.ua (хакером 4SH4BUL K4HFI) - 22.11.2013, зараз сайт закритий хостером
• http://diana-secret.com (хакерами з White Lotus Brotherhood) - 03.11.2013, зараз сайт вже виправлений адмінами