Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://cosmetique.com.ua - інфекція була виявлена 11.05.2013. Зараз сайт входить до переліку підозрілих.
• http://globalmarket.com.ua - інфекція була виявлена 30.06.2013. Зараз сайт не входить до переліку підозрілих.
• http://euro-group.com.ua - інфекція була виявлена 25.06.2013. Зараз сайт входить до переліку підозрілих.
• http://avant-ua.com - інфекція була виявлена 08.05.2013. Зараз сайт не входить до переліку підозрілих.
• http://rybalka.lutsk.ua - інфекція була виявлена 20.05.2013. Зараз сайт не входить до переліку підозрілих.

У версії WordPress 3.5.2 розробники виправили багато уразливостей, зокрема XSS при редагуванні медіа. Вони віднесли це не до дірок, а до “посилення безпеки”, але я вважаю це уразливостями. Хоча з опису це виглядає як одна XSS, але як я сьогодні вияснив, в формі редагування медіа є дві XSS уразливості (причому persistent XSS).

Раніше я вже писав про DoS уразливість в WordPress.

Cross-Site Scripting (WASC-08):

Це persistent XSS уразливості на сторінці http://site/wp-admin/post.php?post=1&action=edit в параметрах excerpt та content. Для атаки потрібно обійти захист від CSRF (отримати токен _wpnonce, що можна зробити з використанням reflected XSS).

WordPress 3.5.1 XSS-1.html

Код виконається одразу після відправлення запиту на сторінці http://site/wp-admin/post.php?post=1&action=edit та при подальшому відвідуванні цієї сторінки.

WordPress 3.5.1 XSS-2.html

Код виконається одразу після відправлення запиту на сторінці http://site/wp-admin/post.php?post=1&action=edit та при подальшому відвідуванні цієї сторінки або сторінки http://site/page_name/attachment/1/.

Уразливі версії WordPress 3.5.1 та попередні версії.

Нещодавно, Krzysztof опублікував Denial of Service уразливість в WordPress 3.5.1. Після того як він знайшов уразливість та проінформував розробників WP про неї, які проігнорували її, 07.06.2013 він оприлюднив деталі.

В WordPress була виявлена DoS уразливість. Що дозволяє проводити DoS атаки через кукіси до паролів постів і сторінок (якщо на сайті є хоча б один пост чи сторінка захищена паролем). Вже після оприлюднення деталей уразливості, розробники движка виправили її в версії WP 3.5.2.

Раніше я вже писав про Content Spoofing в TinyMCE та WordPress.

Denial of Service (WASC-10):

Уразливість наявна в class-phpass.php. Для паролів в постах і сторінках в останніх версіях WP розробники вирішили використати криптографію (зовнішній додаток PHPass). І при цьому допустили можливість передачі довільних значень в якості паролю, що може призвести до значного навантаження на сервер. В своєму адвізорі автор пропонує експлоіт та патч проти цієї уразливості.

• WordPress 3.5.1 Denial Of Service (деталі)

Уразливі версії WordPress 3.4 - 3.5.1.

P.S.

Враховуючи проблеми в роботі оригінального PoC, я розробив власний експлоіт для цієї DoS уразливості:

wordpress-dos.py

Сьогодні вийшла нова версія програми DAVOSET v.1.0.8. В новій версії:

• Додав підтримку POST запитів.
• Додав новий сервіс в обидва списки зомбі.
• Виправив баг з введенням URL сайта.

З доданням підтримки POST запитів до уразливих сайтів, також був змінений формат файлів зі списками зомбі-сервісів. Новий формат файла зворотно сумісний з попереднім форматом.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.0.8.rar.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://security.af.gov.ua (хакером LaMiN3 DK) - 09.02.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.af.gov.ua (хакером ghost-dz) - 09.02.2013 - похаканий державний сайт
• http://www.red-scorpio.com (хакером Hmei7) - 25.01.2013, зараз сайт вже виправлений адмінами
• http://kreditnalichnimi.com.ua (хакерами з IndonesianCoder Team) - 31.01.2013, зараз сайт вже виправлений адмінами
• http://chip.ua (хакерами UmiT і Spaut) - 21.06.2013, зараз сайт вже виправлений адмінами

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WP-SendSMS, NextGEN Gallery та Ultimate WordPress Auction. Для котрих з’явилися експлоіти. WP-SendSMS - це плагін для відправки смс-повідомлень, NextGEN Gallery - це плагін для створення галерей зображень, Ultimate WordPress Auction - це плагін для створення аукціону.

• WordPress WP-SendSMS 1.0 CSRF / XSS (деталі)
• NextGEN Gallery 1.9.12 Shell Upload (деталі)
• Ultimate WordPress Auction 1.0 Cross Site Request Forgery (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В 2011 році я вже писав про Content Spoofing в Moxieplayer, що є складовою частиною плагіна Media для TinyMCE (він входить в ядро TinyMCE). Даний візуальний редактор постачається з багатьма веб додатками, зокрема з WordPress. Ця флешка постачається з WP починаючи з версії 3.3.

Раніше я вже писав про Denial of Service в WordPress.

Content Spoofing (WASC-12):

Якщо попередня уразливість виглядала наступним чином (починаючи з TinyMCE 3.4b2 і в версії 3.4.7 вона була виправлена):

http://site/moxieplayer.swf?url=http://site2/1.flv

То нещодавно була виявлена нова уразливість, що дозволяє обійти захист і провести CS атаку:

http://site/moxieplayer.swf#?url=http://site2/1.flv

Уразливі версії TinyMCE 3.4b2 - 4.0b3. В червні ця уразливість була виправлена. Оновлена версія Moxieplayer присутня в TinyMCE 4.0.

В WordPress атака з використанням цієї флешки має наступний вигляд.

Попередній варіант:

http://site/wp-includes/js/tinymce/plugins/media/moxieplayer.swf?url=http://site2/1.flv

Уразливі версії WordPress 3.3 - 3.4.2.

Новий варіант:

http://site/wp-includes/js/tinymce/plugins/media/moxieplayer.swf#?url=http://site2/1.flv

Уразливі версії WordPress 3.3 - 3.5.1. Цю уразливість виправили в WP 3.5.2.

Торік я писав про XSS уразливості в WordPress, які мають місце в двох редиректорах. Про Redirector уразливості в цих скриптах WP я писав ще в 2007 році (та зробив патчі для них). Розробники виправили редиректори в WP 2.3, тому Redirector і XSS атаки можливі лише в попередніх версіях.

Як я вияснив 24.06.2013, через цей функціонал можна також провести DoS атаки. Тобто з двох редиректорів можна зробити Looped DoS уразливості, поєднавши сайт на WordPress з сервісом редирекції чи іншим сайтом. Дана атака аналогічна зацикленню двох редиректорів, описаному в моїх статтях Пекло редиректорів та Пекельний вогонь для редиректорів.

Раніше я вже писав про CS та XSS уразливості в SWFUpload в WordPress.

Denial of Service (WASC-10):

Потрібно зробити Custom alias на tinyurl.com чи іншому сервісі редирекції, що буде вести на wp-login.php чи wp-pass.php з вказаним аліасом для редирекції.

http://site/wp-login.php?action=logout&redirect_to=http://tinyurl.com/loopeddos1
http://site/wp-pass.php?_wp_http_referer=http://tinyurl.com/loopeddos2

Ось приклади даних уразливостей:

http://tinyurl.com/loopeddos1
http://tinyurl.com/loopeddos2

Дана атака спрацює для WordPress < 2.3. При цьому Mozilla, Firefox, Chrome та Opera після серії запитів зупиняють зациклений редирект, на відміну від IE.

Для того, щоб атака спрацювала у всіх версіях движка, включно з WP 3.5.2, потрібно щоб редиректор був на цьому ж домені, де і сайт на WP. Для цього можна використати будь-яку уразливість, наприклад, reflected XSS чи persistent XSS (на тому ж домені), для включення скрипта для редирекції на один з цих редиректорів:

WordPress_Looped_DoS.html

<script>document.location="http://site/wp-login.php?action=logout&redirect_to=http://site/WordPress_Looped_DoS.html"</script>

WordPress_Looped_DoS-2.html

<script>document.location="http://site/wp-pass.php"</script>

Атака працює як в WordPress 3.5.2 і попередніх версіях, так і не зупиняється браузерами (редирект нескінченний).

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://gidroterm.com.ua - інфекція була виявлена 16.06.2013. Зараз сайт входить до переліку підозрілих.
• http://myremont.in.ua - інфекція була виявлена 15.06.2013. Зараз сайт не входить до переліку підозрілих.
• http://etis.vn.ua - інфекція була виявлена 23.05.2013. Зараз сайт входить до переліку підозрілих.
• http://kharkov-reklama.com.ua - інфекція була виявлена 16.06.2013. Зараз сайт не входить до переліку підозрілих.
• http://sovial.com.ua - інфекція була виявлена 01.05.2013. Зараз сайт не входить до переліку підозрілих.

У червні, 21.06.2013, вийшла нова версія WordPress 3.5.2.

WordPress 3.5.2 це секюріті та багфікс випуск 3.5 серії. В якому розробники виправили 12 багів та 7 уразливостей, і зробили 3 “посилення безпеки”. Зазначу, що їх також слід було віднести до виправлених дірок, а не применшувати їх важливість (та загальну кількість) шляхом віднесення до “security hardening”.

Стосовно покращення безпеки, то були виправлені наступні уразливості: Server-Side Request Forgery (SSRF) через HTTP API, Privilege Escalation (користувачі з правами Contributor можуть публікувати пости та всі користувачі можуть переназначити авторство), Cross-Site Scripting (XSS) в SWFUpload, DoS через кукіси до паролів постів, Content Spoofing через флешку в TinyMCE Media Plugin, XSS при завантаженні медіа та FPD при завантаженні файлів.

Зазначу, що в 2011 році я вже писав про CS і XSS уразливості в TinyMCE (що також використовується в WordPress), а в 2012 році писав про XSS уразливість в SWFUpload в WordPress. Так що це нові дірки в даних флешках, що постачаються з WP. А DoS уразливість через кукіси - це атака подібна до атаки з використанням Insufficient Authorization уразливості, про яку я писав в 2010 році.

Посилення безпеки стосуються наступних уразливостей (які розробники вважають низького ризику): XSS при редагуванні медіа, XSS при інсталяції/оновленні плагінів/тем, XML External Entity Injection (XXE) через oEmbed.

Додам, що при детальному дослідженні вияснилося, що виправлено декілька SSRF, XSS при редагуванні медіа є дві, XSS при інсталяції/оновленні плагінів/тем є дві (по одній для плагінів і для шаблонів), а Privilege Escalation також дві (як видно з опису). Тому виправлено уразливостей не 10, а значно більше.