Websecurity - Веб безпека

Окрім виправлення декількох уразливостей у версії WordPress 3.6.1, про які згадали у анонсі, розробники ще виправили три уразливості. Але про них розробники WP навмисно не повідомили (для применшення офіційної кількості виправлених дірок).

В цьому місяці я дослідив зміни в версії 3.6.1 движка і виявив три Full path disclosure уразливості. Про які не згадали ні в описі релізу WP 3.6.1, ні в Codex (при тому, що вони іноді згадують про FPD). Що типово для розробників WP - ще з 2007 року вони часто приховують виправлені уразливості.

Раніше я вже писав про FPD уразливості в WordPress.

Full path disclosure (WASC-13):

В функції get_allowed_mime_types().
В функції set_url_scheme().
В функції comment_form().

Уразливі WordPress 3.6 та попередні версії.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://iitzo.gov.ua (хакером d3b~X) - 21.11.2013 - похаканий державний сайт, сторінка хакера все ще знаходиться на сайті
• http://sez.crimea.ua (хакером S4L4M) - 06.08.2013, зараз сайт вже виправлений адмінами
• http://stomadent.com.ua (хакерами з Iran Security Team) - 02.08.2013, зараз сайт вже виправлений адмінами
• http://greenmix.com.ua (хакерами з Iran Security Team) - 04.08.2013, зараз сайт вже виправлений адмінами
• http://sensei-school.com.ua (хакерами з Iran Security Team) - 12.08.2013, зараз сайт вже виправлений адмінами

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Cart66, Finalist та Dexs PM System. Для котрих з’явилися експлоіти. Cart66 - це е-комерс плагін для додання кошика покупця, Finalist - це плагін, Dexs PM System - це плагін.

• WordPress Cart66 1.5.1.14 Cross Site Request Forgery / Cross Site Scripting (деталі)
• WordPress Finalist Cross Site Scripting (деталі)
• WordPress Dexs PM System Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://bioline.com.ua - інфекція була виявлена 13.11.2013. Зараз сайт входить до переліку підозрілих.
• http://medbiz.com.ua - інфекція була виявлена 04.11.2013. Зараз сайт не входить до переліку підозрілих.
• http://csrjournal.com - інфекція була виявлена 26.11.2013. Зараз сайт входить до переліку підозрілих.
• http://datagroup.ua - інфекція була виявлена 11.10.2013. Зараз сайт не входить до переліку підозрілих.
• http://etm.org.ua - інфекція була виявлена 22.11.2013. Зараз сайт не входить до переліку підозрілих.

Після проведення проектів День багів в WordPress (Day of bugs in WordPress) в 2007 році та День багів в WordPress 2 в 2010 році, а також MOSEB, MoBiC та багатьох інших проектів в 2007-2008 роках, я анонсую свій новий проект.

На наступному тижні я проведу проект День багів в WordPress 3. Він присвячений безпеці WP та безпеці веб додатків у цілому.

Я вирішив провести даний проект у цьому місяці, щоб відзначити річницю проведення Місяця багів в Капчах (MoBiC), що відбувся у листопаді 2007 року.

В першому проекті я оприлюднив 81 уразливість в WP, в другому проекті оприлюднив 8 уразливостей. В новому проекті я оприлюдню нові уразливості в WP.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Woopra Analytics, Simple Flash Video та WordPress Pingback Port Scanner. Для котрих з’явилися експлоіти. Woopra Analytics - це плагін для ведення статистики, Simple Flash Video - це відео-плеєр, WordPress Pingback Port Scanner - це експлоіт для сканування портів через pingback функціонал в WP 3.5. У версії 3.5.1 цю уразливість виправили.

• WordPress Woopra Remote Code Execution (деталі)
• WordPress Simple Flash Video 1.7 Cross Site Scripting (деталі)
• Wordpress Pingback Port Scanner (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.poltav-oblosvita.gov.ua (хакером Dr.SHA6H) - 15.11.2013 - похаканий державний сайт, зараз сайт закритий адмінами
• http://neoclima.ua (хакером Cyber-turk) - 03.08.2013, зараз сайт вже виправлений адмінами
• http://web.optim.ua (хакером Cyber-turk) - 03.08.2013, зараз сайт вже виправлений адмінами
• http://hodovka.com.ua (хакером 4SH4BUL K4HFI) - 22.11.2013, зараз сайт закритий хостером
• http://diana-secret.com (хакерами з White Lotus Brotherhood) - 03.11.2013, зараз сайт вже виправлений адмінами

28.09.2013

У вересні, 17.09.2013, я виявив Code Execution уразливість в плагіні Contact Form 7 для WordPress. Про що найближчим часом повідомлю розробникам веб додатку.

Стосовно плагінів для WordPress раніше я писав про уразливості в численних плагінах для WordPress з VideoJS.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам.

21.11.2013

Code Execution (WASC-31):

Атака відбувається через аплоадер. Для виконання коду потрібно завантажити phtml (на веб серверах з PHP) чи asp/aspx (на IIS) файли.

В контактній формі потрібно, щоб був тег аплоадера, для якого потрібно вказати дозволені розширення (бо окрім списку заборонених розширень, плагін має ще й список дозволених, серед яких немає скриптів).

[file file-423 filetypes:phtml]

Файли завантажуються в папку:

http://site/wp-content/uploads/wpcf7_uploads/

При створенні цієї папки створюється файл .htaccess (Deny from all).

Це можна обійти або при використанні інших веб серверів окрім Apache (де .htaccess ігнорується), або на Апачі можна використати уразливості в WP для видалення файлів, або через LFI уразливість включити файл з цієї папки.

Уразливі Contact Form 7 3.5.2 та попередні версії. В версії 3.5.3 розробник вже виправив дану уразливість.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://www.menr.gov.ua - інфікований державний сайт - інфекція була виявлена 09.10.2013. Зараз сайт не входить до переліку підозрілих.
• http://all.zp.ua - інфекція була виявлена 14.11.2013. Зараз сайт не входить до переліку підозрілих.
• http://vrazrabotke.com.ua - інфекція була виявлена 13.11.2013. Зараз сайт входить до переліку підозрілих.
• http://utro.ua - інфекція була виявлена 13.11.2013. Зараз сайт не входить до переліку підозрілих.
• http://ytro.ua - інфекція була виявлена 28.10.2013. Зараз сайт не входить до переліку підозрілих.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах SEO Watcher, Slimstat Ex та Quick Contact Form. Для котрих з’явилися експлоіти. SEO Watcher - це плагін для SEO, Slimstat Ex - це плагін для ведення статистики, Quick Contact Form - це контактна форма.

• WordPress SEO Watcher Remote Code Execution (деталі)
• WordPress Slimstat Ex Code Execution (деталі)
• WordPress Quick Contact Form 6.0 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.