Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• HP AssetCenter and HP AssetManager for AIX, HP-UX, Linux, Solaris and Windows, Remote Cross Site Scripting (XSS) (деталі)
• SQL Injection vulnerability in Alguest (деталі)
• BroadWorks Call Detail Record Disclosure Vulnerability (деталі)
• Pulse CMS Basic Local File Inclusion Vulnerability (деталі)
• HP Storage Essentials Using LDAP, Remote Unauthenticated Access (деталі)
• Cross Site Scripting vulnerability in Diferior (деталі)
• HP webOS Contacts Application, Remote Execution of Arbitrary Code (деталі)
• Novell Vibe 3 BETA OnPrem Stored Cross-site Scripting Vulnerability (деталі)
• HP Version Control Repository Manager (VCRM) for Windows, Remote Cross Site Scripting (XSS) (деталі)
• Multiple XSS in Solarwinds Orion NPM 10.1 (деталі)

Продовжуючи тему уразливостей в ADSL модемі Callisto 821+, розповім вам про нові уразливості в даному модемі. У квітні, 07.04.2011, я виявив Cross-Site Request Forgery та Cross-Site Scripting уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками також повинна бути вразливою.

Дані атаки потрібно проводити на власника модему, який залогінений в адмінку. Враховуючи, що малоймовірно застати його в такому стані, то можна використати раніше згадані уразливості для проведення віддаленого логіну (щоб залогінити його в адмінку). Після чого можна спокійно провести CSRF або XSS атаку.

CSRF:

Дана уразливість дозволяє додати нового користувача з доступом в адмінку.

Callisto 821+ CSRF2.html

XSS:

В даній формі також є три persistent XSS уразливості.

Callisto 821+ XSS3.html

В даному випадку код виконається одразу, а також при відвіданні сторінок http://192.168.1.1/system/events.html і http://192.168.1.1/shared/event_log_selection.html.

Callisto 821+ XSS4.html

В даному випадку код виконається одразу, а також при відвіданні сторінок http://192.168.1.1/system/events.html і http://192.168.1.1/shared/event_log_selection.html.

Callisto 821+ XSS5.html

В даному випадку код виконається одразу, а також при відвіданні сторінки http://192.168.1.1/configuration/authentication.html.

15.09.2010

У травні, 15.05.2010, я знайшов Insufficient Anti-automation та Abuse of Functionality уразливості на сайті http://www.school.gov.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Про подібні уразливості я писав в статті Розсилка спаму через сайти та створення спам-ботнетів.

Детальна інформація про уразливості з’явиться пізніше.

26.05.2011

Insufficient Anti-automation:

На всіх сторінках контактів немає захисту від автоматизованих запитів (капчі).

http://www.school.gov.ua/uk/contact/contacts/tetyana-kovtun
http://www.school.gov.ua/en/contact/contacts/tetyana-kovtun

Abuse of Functionality:

Опція “Надіслати копію цього повідомлення на Вашу електронну адресу” (”E-mail a copy of this message to your own address”) на всіх сторінках контактів дозволяє розсилати спам з сайта на довільні емайли. А з використанням Insufficient Anti-automation уразливості можна автоматизовано розсилати спам з сайта в великих обсягах.

Дані уразливості досі не виправлені.

Продовжуючи тему уразливостей в ADSL модемі Callisto 821+, розповім вам про CSRF і XSS уразливості в даному модемі. У квітні, 07.04.2011, я виявив Cross-Site Request Forgery та Cross-Site Scripting уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками також повинна бути вразливою.

Дані атаки потрібно проводити на власника модему, який залогінений в адмінку. Враховуючи, що малоймовірно застати його в такому стані, то можна використати раніше згадані уразливості для проведення віддаленого логіну (щоб залогінити його в адмінку). Після чого можна спокійно провести CSRF або XSS атаку.

CSRF:

Дана уразливість дозволяє змінити пароль дефолтному користувачу.

Callisto 821+ CSRF.html

XSS:

В даній формі також є дві persistent XSS уразливості.

Callisto 821+ XSS.html

В даному випадку код виконається одразу, а також при відвіданні сторінок http://192.168.1.1/system/events.html і http://192.168.1.1/shared/event_log_selection.html.

Callisto 821+ XSS2.html

В даному випадку код виконається одразу, а також при відвіданні сторінки http://192.168.1.1/configuration/authentication.html.

В даній добірці уразливості в веб додатках:

• HP Insight Control Virtual Machine Management for Windows, Remote Cross Site Scripting (XSS), Denial of Service (DoS), Cross Site Request Forgery (CSRF) (деталі)
• LFI in Exponent CMS (деталі)
• HP Insight Recovery for Windows, Remote Cross Site Scripting (XSS), Arbitrary File Download (деталі)
• LFI in Exponent CMS (деталі)
• HP Insight Control Performance Management for Windows, Remote Arbitrary File Download (деталі)
• XSS vulnerability in Zimplit CMS (деталі)
• HP Virtual Connect Enterprise Manager (VCEM) for Windows, Remote Arbitrary File Download (деталі)
• XSS vulnerability in Zimplit CMS (деталі)
• HP Virtual Server Environment for Windows, Remote Arbitrary File Download (деталі)
• XSS vulnerability in WWWThreads (php version) (деталі)

У квітні, 07.04.2011, я виявив численні уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router) компанії Iskra. Зокрема Predictable Resource Location, Brute Force та Cross-Site Request Forgery уразливості (а про численні CSRF та XSS я розповім в наступних записах).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками, а також інші моделі Callisto також повинні бути вразливими. Що я підтвердив при попередньому перегляді іншої моделі модему Callisto, про яку розповім з часом.

Predictable Resource Location:

http://192.168.1.1 (веб сервер по 80 і 8008 порту)

Адмінка модема розміщується по дефолтному шляху з дефолтним логіном і паролем (інформація про які наявна в Інтернеті). Що дозволяє локальним користувачам (що мають доступ до ПК, або по LAN), а також віддаленим користувачам через Інтернет (про що я розповім згодом) отримувати доступ до адмінки і змінювати налаштування модема.

Дефолтні вищезгадані налаштування - це звичайна практика у виробників ADSL роутерів, але провайдери повинні вносити зміни. Але зокрема Укртелеком цього не робить (і можуть бути й інші подібні ISP) і тому мільйони користувачів Інтернет послуг даного провайдера, що використовують модеми Callisto чи інших виробників, вразливі до даних атак. При цьому Укртелеком не попереджає своїх користувачів (і не дає жодної документації до модемів де було б це вказано) про наявність адмінки і дефолтних параметрів (які він не змінює) і що необхідно їх змінити за для безпеки. Про численні дірки на сайтах Укртелекому, а також в його телекомунікаційних та Інтернет послугах я вже писав.

В квітні я спілкувався з технічним працівником Укртелекому і спитав в нього про це, і як виявилося, компанія не змінює налаштування і не попереджає своїх клієнтів, бо не бачить жодних ризиків. Яких чимало, як я вже зазначав - це локальні та віддалені атаки.

Brute Force:

В формі логіна http://192.168.1.1 немає захисту від Brute Force атак. Що дозволить підбирати пароль (якщо він змінений з дефолтного), зокрема при локальній атаці. Наприклад, по LAN зловмисні користувачі або вірус на одному з комп’ютерів може провести атаку для підбору паролю, якщо він був змінений.

CSRF:

Відсутність захисту від Brute Force (такого як капча) також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін. Що стане в нагоді при проведенні атак на різні CSRF і XSS уразливості, про які я розповім в наступних записах.

Зазначу, що CSRF атака для віддаленого логіну можлива лише коли налаштування ADSL роутера не були змінені. Тому що після будь-яких змін налаштувань замість html-форми аутентифікації виводиться діалогове вікно Basic Auhentication, на яке вже не можна провести CSRF атаку. І дана ситуація не змінюється навіть після завантаження дефолтних параметрів модема.

19.07.2010

У червні, 30.06.2010, я знайшов SQL Injection уразливість на проекті http://utka.org.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

24.05.2011

SQL Injection:

http://utka.org.ua/index.php?content_id=-1%20or%20version()%3E4

Дана уразливість досі не виправлена.

Ще з 2006 року мені відомо про один метод проведення XSS атак в Firefox, що дозволяє обходити деякі захисні фільтри. Це метод з використанням незакритого тега, про який я згадував стосовно різних сайтів і веб додатків, зокрема AltConstructor. Він працює лише в браузерах компанії Мозіла - в Mozilla, Firefox та інших браузерах на движку Gecko.

І от 18.03.2011, під час секюріті аудиту, я виявив інший просунутий метод проведення XSS атак, що є розширення вищезгаданого методу. Цей метод передбачає використання подвійного незакритого тега. Раніше мені здавалося, що спрацює лише один незакритий тег, але в березні я виявив, що і два і більше незакритих тегів спрацюють для проведення XSS атаки (а в деяких випадках необхідно використати як раз декілька тегів, зокрема коли треба вийти з одного тегу, щоб мати можливість виконати код).

XSS:

Атака виглядає наступним чином:

http://site/?p=%3C/title%20%3Cbody%20onload='alert(document.cookie)'

Даний метод (як і метод з одним незакритим тегом) працює в Mozilla 1.7.x, Firefox 3.0.19, 3.5.11, 3.6.8 (та попередніх версіях браузерів). Але не в Firefox 4.0b2, IE6, IE7, IE8, Chrome 1.0, Opera 10.62.

P.S.

Як я перевірив, в Firefox 3.5.19 та 3.6.28 дана атака також працює.

В даній добірці уразливості в веб додатках:

• HP LoadRunner Web Tours 9.10 Remote Denial of Service (деталі)
• SQL Injection in Etomite (деталі)
• HP Insight Orchestration Software for Windows, Remote Arbitrary File Download, Unauthorized Access (деталі)
• Local file view in Etomite (деталі)
• HP Insight Orchestration Software for Windows, Remote Arbitrary File Download, Unauthorized Access (деталі)
• Path disclosure in Etomite (деталі)
• HP Insight Control for Linux, Remote Cross Site Request Forgery (CSRF) (деталі)
• XSS in Etomite (деталі)
• HP Insight Control Performance Management for Windows, Remote Cross Site Scripting (XSS), Privilege Escalation, Cross Site Request Forgery (CSRF) (деталі)
• SQL Injection in Etomite (деталі)

02.04.2011

Сьогодні я знайшов Full path disclosure та Cross-Site Scripting уразливості в плагіні Easy Contact для WordPress. Дірки я виявив при дослідженні плагіна на локалхості. Про що найближчим часом повідомлю розробникам плагіна.

Раніше я вже писав про уразливості в Easy Contact для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

21.05.2011

Full path disclosure:

http://site/wp-content/plugins/easy-contact/econtact.php

http://site/wp-content/plugins/easy-contact/econtact-menu.php

XSS:

На сторінці опцій плагніна є 6 persistent XSS (у випадку WP 2.9.2 код спрацює лише в IE6, в більш ранніх версіях можна атакувати користувачів будь-яких браузерів). Але в формі має місце захист від CSRF, тому для розміщення коду потрібно буде використати іншу XSS (наприклад, одну з reflected XSS в цьому плагіні), для обходу цього захисту та розміщення атакуючого коду в опціях плагіна.

POST запит на сторінці http://site/wp-admin/options-general.php ?page=easy-contact/econtact-menu.php

<script>alert(document.cookie)</script> (в WordPress 2.6.2)
<img src=javascript:alert(document.cookie)> (в WordPress 2.9.2, де покращили вбудовані механізми фільтрації, які використовує даний плагін)

В полях: Intro, Success, Empty, Incorrect, Invalid Email, Malicious.

Код спрацює на сторінці з контактною формою: у випадку поля Intro - при відвідуванні даної сторінки, у випадку інших полів - при відповідних подіях.

Уразливі Easy Contact 0.1.2 та попередні версії.