Websecurity - Веб безпека

28.09.2013

У вересні, 17.09.2013, я виявив Code Execution уразливість в плагіні Contact Form 7 для WordPress. Про що найближчим часом повідомлю розробникам веб додатку.

Стосовно плагінів для WordPress раніше я писав про уразливості в численних плагінах для WordPress з VideoJS.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам.

21.11.2013

Code Execution (WASC-31):

Атака відбувається через аплоадер. Для виконання коду потрібно завантажити phtml (на веб серверах з PHP) чи asp/aspx (на IIS) файли.

В контактній формі потрібно, щоб був тег аплоадера, для якого потрібно вказати дозволені розширення (бо окрім списку заборонених розширень, плагін має ще й список дозволених, серед яких немає скриптів).

[file file-423 filetypes:phtml]

Файли завантажуються в папку:

http://site/wp-content/uploads/wpcf7_uploads/

При створенні цієї папки створюється файл .htaccess (Deny from all).

Це можна обійти або при використанні інших веб серверів окрім Apache (де .htaccess ігнорується), або на Апачі можна використати уразливості в WP для видалення файлів, або через LFI уразливість включити файл з цієї папки.

Уразливі Contact Form 7 3.5.2 та попередні версії. В версії 3.5.3 розробник вже виправив дану уразливість.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://www.menr.gov.ua - інфікований державний сайт - інфекція була виявлена 09.10.2013. Зараз сайт не входить до переліку підозрілих.
• http://all.zp.ua - інфекція була виявлена 14.11.2013. Зараз сайт не входить до переліку підозрілих.
• http://vrazrabotke.com.ua - інфекція була виявлена 13.11.2013. Зараз сайт входить до переліку підозрілих.
• http://utro.ua - інфекція була виявлена 13.11.2013. Зараз сайт не входить до переліку підозрілих.
• http://ytro.ua - інфекція була виявлена 28.10.2013. Зараз сайт не входить до переліку підозрілих.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах SEO Watcher, Slimstat Ex та Quick Contact Form. Для котрих з’явилися експлоіти. SEO Watcher - це плагін для SEO, Slimstat Ex - це плагін для ведення статистики, Quick Contact Form - це контактна форма.

• WordPress SEO Watcher Remote Code Execution (деталі)
• WordPress Slimstat Ex Code Execution (деталі)
• WordPress Quick Contact Form 6.0 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://vslicey.com - інфекція була виявлена 26.10.2013. Зараз сайт входить до переліку підозрілих.
• http://uspeh-print.in.ua - інфекція була виявлена 03.11.2013. Зараз сайт не входить до переліку підозрілих.
• http://kimoliga.majdan.com - інфекція була виявлена 25.10.2013. Зараз сайт входить до переліку підозрілих.
• http://majdan.com - інфекція була виявлена 25.10.2013. Зараз сайт не входить до переліку підозрілих.
• http://kvartal.zp.ua - інфекція була виявлена 13.11.2013. Зараз сайт не входить до переліку підозрілих.

У жовтні, 29.10.2013, вийшла нова версія WordPress 3.7.1.

WordPress 3.7.1 це багфікс випуск нової 3.7 серії. В якому розробники виправили 11 багів.

Офіційно жодних уразливостей не виправлено, лише баги. Але насправді було виправлено декілька уразливостей, що розробники зробили приховано, як це вони зазвичай і роблять. Лише в цьому році я виявив десятки приховано виправлених уразливостей в WP, про що я писав раніше.

Це Full path disclosure уразливості (причому в повідомленнях усіх трьох типів, що є в PHP: fatal error, warning і notice). Розробники WP в більшості випадків не згадують про FPD в переліку виправлених уразливостей, таким чином занижуючи реальну кількість виправлених дірок.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Miniaudioplayer, Social Hashtag та Semper Fi. Для котрих з’явилися експлоіти. Miniaudioplayer - це аудіо плеєр, Social Hashtag - це плагін для поширення постів в соціальних мережах, Semper Fi - це тема движка.

• WordPress Miniaudioplayer Cross Site Scripting (деталі)
• WordPress Social Hashtag 2.0.0 Cross Site Scripting (деталі)
• WordPress Semper Fi Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.upszn-sumy.gov.ua (хакером HighTech) - 31.07.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://ecology.ks.ua (хакером R4ym0nd) - похаканий державний сайт, форум досі не виправлений
• http://infobiz1.com.ua (хакером GUDENDEDE) - 13.11.2013, зараз сайт вже виправлений адмінами
• http://evrobud.kiev.ua (хакерами з Kurdistan Hackers Team)
• http://blog.abadev.com (хакером Erreur 404) - 10.2013, зараз сайт вже виправлений адмінами

В жовтні, 24.10.2013, вийшла нова версія WordPress 3.7.

WordPress 3.7 це перший випуск нової 3.7 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, а також виправлено чимало багів.

Серед головних покращень зокрема можна відзначити автоматичні оновлення, рекомендації сильних паролів та кращу глобальну підтримку (що виражена в більш швидкій і більш повній розробці перекладів WP на різні мови).

Окрім покращень для користувачів також були зроблені численні покращення для розробників. Деякі з покращень стосуються безпеки.

Зокрема автоматичний апдейт передбачає відсутність потреби користувачу ініціювати оновлення движка - цей процес повністю автоматизований. З однієї сторони це дозволить встановлювати на сайти з WP виправлення безпеки автоматично, а з іншої сторони, якщо взломають сервера WordPress (що вже декілька разів мало місце), то в код движка можна буде включити бекдор чи шкідливий код і він буде поширений на всіх нових версіях WP автоматизованим чином. А новий індикатор стійкості паролів більш точно оцінює їх надійність (враховуючи різні поширені приклади паролів).

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://microscope.com.ua - інфекція була виявлена 05.11.2013. Зараз сайт входить до переліку підозрілих.
• http://edelweiss.at.ua - інфекція була виявлена 25.10.2013. Зараз сайт не входить до переліку підозрілих.
• http://sparta1.com - інфекція була виявлена 01.11.2013. Зараз сайт входить до переліку підозрілих.
• http://k-z.com.ua - інфекція була виявлена 21.10.2013. Зараз сайт не входить до переліку підозрілих.
• http://buyincoins.co.ua - інфекція була виявлена 14.10.2013. Зараз сайт не входить до переліку підозрілих.

У жовтні я дав інтерв’ю порталу IzRus. І 25.10.2013 була опублікована стаття, в якій також розповідається і про мене.

Існує думка, що українські хакери найкращі у світі та навіть, на думку деяких компаній, стали однією з найбільших загроз в Інтернеті. Свої думки з цього приводу я висловив виданню IzRus.

Стаття називається “Украинские хакеры ломают Израиль: правда или вымысел?”. В ній розповідається про українських хакерів (whitehat і blackhat хакерів), про їхню діяльність в світі та зокрема на ближньому сході.

Так що кому буде цікаво прочитати інформацію про українскьих хакерів, як тим хто вже читав попередні інтерв’ю зі мною в журналі “Власть денег” на інших журналах , так і всім іншим, можете прочитати статтю на сайті видання.

Стаття була розміщена 25 жовтня на сайті IzRus - Украинские хакеры “ломают” Израиль: правда или вымысел?.