Websecurity - Веб безпека

Продовжуючи тему уразливостей в ADSL модемі Callisto 821+, розповім вам про нові уразливості в даному модемі. У квітні, 07.04.2011, я виявив Denial of Service, Cross-Site Request Forgery та Cross-Site Scripting уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками також повинна бути вразливою.

Дані атаки потрібно проводити на власника модему, який залогінений в адмінку. Враховуючи, що малоймовірно застати його в такому стані, то можна використати раніше згадані уразливості для проведення віддаленого логіну (щоб залогінити його в адмінку). Після чого можна спокійно провести DoS, CSRF або XSS атаку.

DoS:

При відправці GET або POST запитів в розділах Ethernet Port Configuration (http://192.168.1.1/configuration/ports.html?95) і Advanced Ethernet Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?95) вібдувається довготривалий DoS модему. В моїх дослідженнях модем не працював до 16 годин (доки сам не перезавантажився). Єдине, що в даному випадку можна зробити - це вручну перезавантажити модем (шляхом його виключення-включення).

http://192.168.1.1/configuration/ports.html/edit?EmWeb_ns:vim:6=95&EmWeb_ns:vim:2.ImPorts.ethernet:MAC=00:01:38:83:6f:24
http://192.168.1.1/configuration/ports_advanced.html/edit?EmWeb_ns:vim:6=95&EmWeb_ns:vim:2.ImPorts.ethernet:MAC=00:01:38:83:6f:24

Дані атаки спрацюють при дефолтній конфігурації модема (коли він в режимі bridge) і не спрацюють коли конфігурація змінена (коли він в режимі router).

CSRF:

Дані розділи є прихованими (вони не відображаються в адмінці), але до них можна дістатися вказавши відповідний номер в URL.

В розділі IGMPProxy Port Configuration (http://192.168.1.1/configuration/ports.html?8) через CSRF можлива зміна параметрів Upstream If і Forward All.

В розділі Advanced IGMPProxy Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?8) через CSRF можлива зміна параметрів Upstream If і Forward All.

XSS:

Дані розділи є прихованими (вони не відображаються в адмінці), але до них можна дістатися вказавши відповідний номер в URL.

В розділі IGMPProxy Port Configuration (http://192.168.1.1/configuration/ports.html?8) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

В розділі Advanced IGMPProxy Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?8) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

21.07.2010

У липні, 01.07.2010, я знайшов SQL Injection уразливість на проекті http://interavto.kiev.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

20.06.2011

SQL Injection:

http://interavto.kiev.ua/index.php?content_id=-1%20or%20version()%3E4

Зараз сайт не працює. Замість виправлення дірок (цієї та багатьох інших, що є в движку сайта), адміни вирішили закрити його.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Wysi та Events Manager Extended і в самому WordPress. Для котрих з’явилися експлоіти. Wysi - це плагін для заміні вбудованого WYSIWYG-редактора на новий, Events Manager Extended - це плагін для управління та відображення подій. А також витік логінів в WP, що стосуються версій WP 2.х і 3.х.

• WordPress Wysi 0.0.2 Shell Upload (деталі)
• WordPress Events Manager 3.1.2 SQL Injection (деталі)
• WordPress User IDs and User Names Disclosure (деталі)

Вищезгадана уразливість в движку була виправлена в WordPress 3.1.3 (причому неякісно) і як я вже зазначав, вона відома вже багато років. Ця дірка пов’язана з шаблоном автора, через який можна проводити ще одну атаку для визначення логінів, про що я згадував в статті визначення логінів в WordPress. Таких уразливостей чимало в WP.

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• Alt-N WebAdmin Source Code Disclosure (деталі)
• LFI in Hycus CMS (деталі)
• SQL injection in Hycus CMS (деталі)
• HP Discovery & Dependency Mapping Inventory (DDMI) Running on Windows, Remote Cross SIte Scripting (XSS) (деталі)
• XSS vulnerability in Injader CMS (деталі)
• SQL injection in Injader CMS (деталі)
• HP Power Manager (HPPM) Running on Linux and Windows, Remote Execution of Arbitrary Code (деталі)
• SQL injection in Injader CMS (деталі)
• XSS vulnerability in Injader CMS (деталі)
• HP Insight Management Agents Running on Linux and Windows, Remote Full Path Disclosure (деталі)

20.07.2010

У липні, 01.07.2010, я знайшов SQL Injection уразливість на проекті http://ledovskih.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

18.06.2010

SQL Injection:

http://ledovskih.com.ua/index.php?content_id=-1%20or%20version()%3E4

Дана уразливість досі не виправлена.

Продовжуючи тему уразливостей в ADSL модемі Callisto 821+, розповім вам про нові уразливості в даному модемі. У квітні, 07.04.2011, я виявив Cross-Site Request Forgery та Cross-Site Scripting уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками також повинна бути вразливою.

Дані атаки потрібно проводити на власника модему, який залогінений в адмінку. Враховуючи, що малоймовірно застати його в такому стані, то можна використати раніше згадані уразливості для проведення віддаленого логіну (щоб залогінити його в адмінку). Після чого можна спокійно провести CSRF або XSS атаку.

CSRF:

В розділі Ethernet Port Configuration (http://192.168.1.1/configuration/ports.html?95) через CSRF можлива зміна параметрів MAC і Reset Defaults.

В розділі Advanced Ethernet Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?95) через CSRF можлива зміна параметрів Reset, MAC і Reset Defaults.

В розділі Adsl Port Configuration (http://192.168.1.1/configuration/ports.html?96) через CSRF можлива зміна параметрів Adsl порта.

В розділі Advanced Adsl Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?96) через CSRF можлива зміна параметрів Adsl порта.

XSS:

В розділі Ethernet Port Configuration (http://192.168.1.1/configuration/ports.html?95) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

В розділі Advanced Ethernet Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?95) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

В розділі Adsl Port Configuration (http://192.168.1.1/configuration/ports.html?96) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

В розділі Advanced Adsl Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?96) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

12.10.2010

У червні, 25.06.2010, я знайшов Abuse of Functionality, Insufficient Anti-automation, Source Code Disclosure, Full path disclosure та Cross-Site Scripting уразливості на проекті http://about42.nl. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

17.06.2011

Abuse of Functionality:

http://about42.nl/www/showheaders.php

Через даний функціонал можна проводити атаки на інші сайти. А також DoS атаку на сам сервіс.

Insufficient Anti-automation:

http://about42.nl/www/showheaders.php

На даній сторінці немає захисту від автоматизованих запитів (капчі).

Source Code Disclosure (обмежений):

http://about42.nl/www/showsource.php

Full path disclosure:

http://about42.nl/www/showsource.php?page=/index.php/

POST запит на сторінці http://about42.nl/www/showheaders.php
'В полі Url.

XSS:

• alert(document.cookie)
• цікавий

POST запит на сторінці http://about42.nl/www/showheaders.php
<script>alert(document.cookie)</script>В полі Url.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Embedded Video та Star Rating і в самому WordPress. Для котрих з’явилися експлоіти. Embedded Video - це плагін для розміщення відео, Star Rating - це плагін для створення системи рейтингів. А також 7 нових FPD уразливостей в WP, що стосуються версій WP 3.0 - 3.1.х.

• Embedded Video WordPress Plugin Cross Site Vulnerability (XSS) (деталі)
• WordPress Star Rating SQL Injection (деталі)
• Path disclosure in Wordpress (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

09.10.2010

У червні, 22.06.2010, я знайшов Cross-Site Scripting та SQL DB Structure Extraction уразливості на http://www.kontrakt.ua - сайті банку Контракт. Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно уразливостей на сайтах банків останній раз я писав про уразливості на www.privatbank.ua.

Детальна інформація про уразливості з’явиться пізніше.

16.06.2011

XSS:

http://www.kontrakt.ua/index.php?pages='&language=%3Cscript%3Ealert(document.cookie)%3C/script%3E

Та три інші XSS, що є в Martinweb CMS.

SQL DB Structure Extraction:

http://www.kontrakt.ua/index.php?pages=’

Зараз дані уразливості вже виправлені. Адміни замінили одну діряву CMS на іншу CMS (менш діряву, але в ній також є дірки).

Продовжуючи тему уразливостей в ADSL модемі Callisto 821+, розповім вам про нові уразливості в даному модемі. У квітні, 07.04.2011, я виявив Denial of Service, Cross-Site Request Forgery та Cross-Site Scripting уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками також повинна бути вразливою.

Дані атаки потрібно проводити на власника модему, який залогінений в адмінку. Враховуючи, що малоймовірно застати його в такому стані, то можна використати раніше згадані уразливості для проведення віддаленого логіну (щоб залогінити його в адмінку). Після чого можна спокійно провести DoS, CSRF або XSS атаку.

DoS:

http://192.168.1.1/configuration/qbridgestatsclearintfstats.html

http://192.168.1.1/configuration/qbridgestatsflushintf.html

http://192.168.1.1/configuration/qbridgevlanstatsclear.html

При даних запитах відбувається рестарт модема, при якому тимчасово недоступними є як адмінка, так і сам модем (тому й відсутній зв’язок з Інтернет).

CSRF:

Дана уразливість дозволяє провести очищення статистики вибранного VLAN порту.

http://192.168.1.1/configuration/qbridgevlanstatsclear.html?ImBridge.ImQbridgeVlans.DefaultVlan.ImQbridgeVlanUntaggedPorts.ethernet

XSS:

На вищезгаданій сторінці є persistent XSS уразливість.

Callisto 821+ XSS20.html

В даному випадку код виконається одразу, а також при відвіданні сторінок http://192.168.1.1/system/events.html і http://192.168.1.1/shared/event_log_selection.html.