Websecurity - Веб безпека

В останніх версіях WordPress було виправлено чимало уразливостей. Але є такі виправлені уразливості, про які розробники WP навмисно не повідомили (для применшення офіційної кількості виправлених дірок). Про такі випадки я писав неодноразово, вони полюбляють це робити, і зараз наведу нові приклади.

Раніше я вже писав про FPD уразливість в WordPress.

З WordPress постачається плагін Akismet - він входить в ядро WP. В ньому періодично виправляють уразливості, але якщо в readme.txt плагіна розробники згадують про це, то в анонсах виправлень движка вони не згадують ні про ці дірки, ні про оновлення версії Akismet (з виправленими уразливостями), що постачається з новою версію движка. А в WP 3.5.1 та 3.5.2 були оновлені версії Akismet.

У версії WordPress 3.5.1 оновили Akismet з 2.5.6 до 2.5.7. В цій версії плагіна є виправлені уразливості, що додає виправлених дір в релізі 3.5.1. Зокрема виправили декілька Full path disclosure уразливостей та додали .htaccess для блокування прямого доступу до файлів плагіна (що актуально лише для Apache).

У версії WordPress 3.5.2 оновили Akismet з 2.5.7 до 2.5.8. В цій версії плагіна є секюріті покращення (які саме не уточнюється), що додає виправлених дір в релізі 3.5.2.

Вчора вийшла нова версія програми DAVOSET v.1.0.9. В новій версії:

• Додав підтримку CSRF токенів.
• Додав новий сервіс в повний список зомбі.
• Покращив роботу з адресами без завершального прямого слеша.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.0.9.rar.

У версії WordPress 3.5.2 розробники виправили багато уразливостей. Але є уразливості, що були виправлені в цій версії, про які розробники WP навмисно не повідомили (для применшення офіційної кількості виправлених дірок).

У липні, 02.07.2013, я дослідив зміни в останній версії движка і виявив Full path disclosure уразливість. Про яку не згадали в описі релізу WP 3.5.2 (при тому, що вони згадали про іншу FPD). Що типово для розробників WP - ще з 2007 року вони часто приховують виправлені уразливості.

Раніше я вже писав про XXE уразливість в WordPress.

Full path disclosure (WASC-13):

http://site/wp-admin/users.php?s=http://

Має місце FPD при пошуку в розділі Users (коли рядок пошуку починається з http:// або https://).

Уразливі версії WordPress 3.4 - 3.5.1.

10.05.2013

У березні, 15.03.2013, я виявив Cross-Site Scripting та Full path disclosure уразливості в плагіні Search ‘N Save для WordPress. Про що найближчим часом повідомлю розробникам веб додатку.

Стосовно плагінів для WordPress раніше я писав про уразливості в VideoJS - HTML5 Video Player для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

04.07.2013

Cross-Site Scripting (WASC-08):

XSS через параметр id та XSS через копіювання атакуючого коду в буфер обміну.

http://site/wp-content/plugins/SearchNSave/js/zeroclipboard/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height
http://site/wp-content/plugins/SearchNSave/js/zeroclipboard/ZeroClipboard10.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Full path disclosure (WASC-13):

http://site/wp-content/plugins/SearchNSave/searchnsave.php

http://site/wp-content/plugins/SearchNSave/error_log (на сайтах, де відключене виведення помилок в php-файлах і вони записуються в error_log)

Уразливі всі версії Search ‘N Save для WordPress.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://ld-invest.rekord.gov.ua (хакером Dr.SHA6H) - 10.02.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://donmolod.gov.ua (хакером H3ll-dz) - 11.05.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://lita.com.ua (хакерами з Black HaT Group)
• http://otdix.com.ua (хакером Sejeal) - 27.01.2013, зараз сайт вже виправлений адмінами
• http://metizmarket.com (хакерами з BD GREY HAT HACKERS) - 27.03.2013, зараз сайт вже виправлений адмінами

У версії WordPress 3.5.2 розробники виправили багато уразливостей, зокрема XML External Entity Injection (XXE) через oEmbed. У червні, 25.06.2013, я дослідив дану XXE уразливість.

Раніше я вже писав про FPD та XSS уразливості в WordPress.

XML External Entities (WASC-43):

Має місце XXE при включенні ембедів. Уразливість наявна в файлі class-oembed.php.

При доступі до зовнішніх сайтів по протоколу oEmbed, з яких включені ресурси (відео, зображення та інші), в XML відповіді можна вказати зовнішні сутності (через тег ENTITY). Це дозволить читати довільні файли на сайті, а також проводити атаки на інші сайти. Для використання XXE уразливості, нападник повинен контролювати сайт, з якого включені ресурси.

Уразливі версії WordPress 3.5 і 3.5.1.

У версії WordPress 3.5.2 розробники виправили багато уразливостей, зокрема FPD при завантаженні файлів та XSS при інсталяції/оновленні плагінів або тем. Хоча дану XSS вони оформили як одну дірку, але це дві XSS уразливості (одна для плагінів, а інша для шаблонів).

Раніше я вже писав про XSS уразливості в WordPress.

Нещодавно, 01.07.2013, я дослідив дані Full path disclosure та Cross-Site Scripting уразливості.

Full path disclosure (WASC-13):

Має місце FPD при завантаженні файлів. Якщо не може закачатися файл в папку для закачки, то в повідомленні про помилку присутній повний шлях.

Cross-Site Scripting (WASC-08):

XSS має місце при інсталяції чи оновленні плагінів або тем. Якщо в імені файла чи папки плагіна або теми присутній XSS код, то він виконається при інсталяції чи оновленні цього плагіна або теми.

Уразливі версії WordPress 3.5.1 та попередні версії.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://cosmetique.com.ua - інфекція була виявлена 11.05.2013. Зараз сайт входить до переліку підозрілих.
• http://globalmarket.com.ua - інфекція була виявлена 30.06.2013. Зараз сайт не входить до переліку підозрілих.
• http://euro-group.com.ua - інфекція була виявлена 25.06.2013. Зараз сайт входить до переліку підозрілих.
• http://avant-ua.com - інфекція була виявлена 08.05.2013. Зараз сайт не входить до переліку підозрілих.
• http://rybalka.lutsk.ua - інфекція була виявлена 20.05.2013. Зараз сайт не входить до переліку підозрілих.

У версії WordPress 3.5.2 розробники виправили багато уразливостей, зокрема XSS при редагуванні медіа. Вони віднесли це не до дірок, а до “посилення безпеки”, але я вважаю це уразливостями. Хоча з опису це виглядає як одна XSS, але як я сьогодні вияснив, в формі редагування медіа є дві XSS уразливості (причому persistent XSS).

Раніше я вже писав про DoS уразливість в WordPress.

Cross-Site Scripting (WASC-08):

Це persistent XSS уразливості на сторінці http://site/wp-admin/post.php?post=1&action=edit в параметрах excerpt та content. Для атаки потрібно обійти захист від CSRF (отримати токен _wpnonce, що можна зробити з використанням reflected XSS).

WordPress 3.5.1 XSS-1.html

Код виконається одразу після відправлення запиту на сторінці http://site/wp-admin/post.php?post=1&action=edit та при подальшому відвідуванні цієї сторінки.

WordPress 3.5.1 XSS-2.html

Код виконається одразу після відправлення запиту на сторінці http://site/wp-admin/post.php?post=1&action=edit та при подальшому відвідуванні цієї сторінки або сторінки http://site/page_name/attachment/1/.

Уразливі версії WordPress 3.5.1 та попередні версії.

Нещодавно, Krzysztof опублікував Denial of Service уразливість в WordPress 3.5.1. Після того як він знайшов уразливість та проінформував розробників WP про неї, які проігнорували її, 07.06.2013 він оприлюднив деталі.

В WordPress була виявлена DoS уразливість. Що дозволяє проводити DoS атаки через кукіси до паролів постів і сторінок (якщо на сайті є хоча б один пост чи сторінка захищена паролем). Вже після оприлюднення деталей уразливості, розробники движка виправили її в версії WP 3.5.2.

Раніше я вже писав про Content Spoofing в TinyMCE та WordPress.

Denial of Service (WASC-10):

Уразливість наявна в class-phpass.php. Для паролів в постах і сторінках в останніх версіях WP розробники вирішили використати криптографію (зовнішній додаток PHPass). І при цьому допустили можливість передачі довільних значень в якості паролю, що може призвести до значного навантаження на сервер. В своєму адвізорі автор пропонує експлоіт та патч проти цієї уразливості.

• WordPress 3.5.1 Denial Of Service (деталі)

Уразливі версії WordPress 3.4 - 3.5.1.

P.S.

Враховуючи проблеми в роботі оригінального PoC, я розробив власний експлоіт для цієї DoS уразливості:

wordpress-dos.py