Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Curvo, WP-Checkout та Think Responsive. Для котрих з’явилися експлоіти. Curvo - це тема движка, WP-Checkout - це плагін для створення онлайн-магазину, Think Responsive - це тема движка.

• WordPress Curvo Shell Upload (деталі)
• WordPress WP-Checkout Cross Site Scripting / Shell Upload (деталі)
• WordPress Think Responsive 1.0 Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Минулого року, 07.06.2013 і 07.07.2013, я виявив Brute Force, Insufficient Process Validation та Insufficient Session Expiration уразливості в LiqPAY для Android та iOS. Перевіряв в клієнті для Android, але в клієнті для iOS повинно бути те саме (аналогічно, як це є в мобільному Приват24 для різних ОС).

Brute Force (WASC-11):

OTP код всього 4 символи, що всього 10000 комбінацій. Це легко підбирається. Для атаки достатньо знати тільки логін жертви (мобільний телефон, що можна взяти просто навмання, наприклад, будь-який номер мобільного телефону в Україні), то можна легко отримати доступ до LiqPAY акаунту, без наявності мобільного телефону жертви (бо 4 символьний OTP код підбирається легше, ніж 8 символьний у веб версії LiqPAY).

На це ПриватБанк зауважив мені, що в мобільних додатках (Приват24, LiqPAY та інших) де використовуються 4-символьні OTP - у всіх них наявні такі Brute Force уразливості - цей код працює лише для трьох спроб. Тобто після трьох спроб код скидається і треба робити запит на новий код. Але тим не менш, можна довго довбати запитами, поки не вгадаєш 4 цифри з 3 спроб. Вірогідність цього достатньо велика для проведення успішних атак.

Insufficient Process Validation (WASC-40) / Insufficient Session Expiration (WASC-47):

Можна входити в LiqPAY акаунт без OTP. Тому що має місце прив’язка до пристрою, подібно до мобільного Приват24. Тобто дані про авторизацію зберігаються локально після першого входу в акаунт з введенням OTP и далі вхід в акаунт відбувається автоматично (при натисканні іконки LiqPAY клієнта).

При цьому сесія діє необмежений час (хоч рік) - на відміну від мобільного Приват24, де сесія діє обмежений час. Я навіть через пів року все ще міг входити в акаунт, бачити всю інформацію (про карту, частину її номера, суму на рахунку, історію операцій) без введення OTP.

Перевірено в LiqPay 2.0 для Android.

Дані уразливості досі не виправлені, бо ПБ не бачить в них ризику.

Після відправлення листа 07.07.2013 і отримання відмови від ПриватБанку, я зробив 19.07.2013 відео демонстрацію Insufficient Process Validation уразливості. Яке надав ПБ, вони заявили, що після перегляду відео будуть думати, але в результаті довго думали і жодних відповідей не надавали, лише “розробники працюють”. І після багатьох моїх нагадувань, в січні нарешті отримав від них офіційну відмову у виправленні цих уразливостей.

Тому 16.01.2014 я розмістив демонстраційне відео Vulnerability in LiqPAY.

В даній добірці уразливості в веб додатках:

• HP Managed Printing Administration (MPA), Remote Cross Site Scripting (XSS) (деталі)
• Symantec Workspace Streaming 7.5.0.493 SWS Streamlet Engine Invoker Servlets Remote Code Execution (деталі)
• ZAPms v1.42 CMS - Client Side Cross Site Scripting Web Vulnerability (деталі)
• DornCMS Application v1.4 - Multiple Web Vulnerabilities (деталі)
• HP LaserJet MFP Printers, HP Color LaserJet MFP Printers, Certain HP LaserJet Printers, Remote Unauthorized Access to Files (деталі)

Завтра чергове віче на Євромайдані в Києві. Перше після прийняття парламентом в четвер скандальних законів та підписання їх в п’ятницю президентом. Дане зібрання може бути визнане екстремістським і незаконним відповідно до нових законів, що значно звужують свободу слова і права людей в Україні.

Мої відео з Євромайдану можете подивися в моєму акаунті на YouTube. Останні повідомлення читайте в моєму Твіттері.

До речі, виявив на president.gov.ua Cross-Site Scripting та Content Spoofing уразливості. Стосовно державних сайтів в останнє я писав про уразливості на www.bank.gov.ua.

XSS:

• alert(document.cookie)
• alert(document.cookie)

Content Spoofing:

http://president.gov.ua/js/jw/player.swf?file=http://site/1.flv
http://president.gov.ua/js/jw/player.swf?config=http://site/1.xml
http://president.gov.ua/js/jw/player.swf?abouttext=Player&aboutlink=http://websecurity.com.ua

P.S.

Прибрав з сайту інформацію про Януковича в зв’язку зі вступом в дію нових законів.

І розмістив лінку на відео з Януковичем у Twitter. А пізніше, коли виявив, що на сайті президента додали блокуючі фільтри, то розмістив нову лінку в Facebook.

У травні, 03.05.2012, під час пентесту, я виявив багато уразливостей в Lotus Notes Traveler, зокрема Cross-Site Request Forgery, Cross-Site Scripting та Redirector. Раніше я писав про BF, XSS, CSRF та Redirector уразливості в IBM Lotus Notes Traveler.

Про ці уразливості я повідомив розробникам системи в грудні 2012. Вони аналогічні CSRF, XSS та Redirector уразливостям в IBM Lotus Domino, тому що логін-форма базується на функціоналі Domino.

Cross-Site Request Forgery (WASC-09):

Відсутність капчі в формі логіна (http://site/servlet/traveler) призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін в акаунт (щоб проводити атаки на уразливості всередині акаунта), нижченаведені XSS і Redirector атаки, Brute Force (що я описав в окремому записі) та інші автоматизовані атаки.

Cross-Site Scripting (WASC-08):

Для атаки необхідно використати робочий логін і пароль на сайті (тобто необхідно використати існуючий акаунт на сайті - це може бути власний акаунт нападника, або акаунт користувача, до якого він отримав доступ через Brute Force уразливість).

Експлоіт:

IBM Lotus Notes Traveler XSS.html

Redirector (URL Redirector Abuse) (WASC-38):

Для атаки необхідно використати робочий логін і пароль на сайті (тобто необхідно використати існуючий акаунт на сайті - це може бути власний акаунт нападника, або акаунт користувача, до якого він отримав доступ через Brute Force уразливість).

Експлоіт:

IBM Lotus Notes Traveler Redirector.html

Уразливі IBM Lotus Notes Traveler 8.5.3 та попередні версії. Як повідомили мені з IBM в грудні, вони виправили уразливості (зокрема XSS і Redirector) в патчі для Domino 9.0, що вийшла 14.03.2013.

До оновлення на нову версію всі користувачі вразливих версій Lotus Notes Traveler вразливі до даних атак. Але я пропоную обхідне рішення, яке можна використати для попередніх версій програми. Воно полягає у відключенні html-форми логіна і використанні замість неї Basic Authentication.

В даній добірці уразливості в веб додатках:

• Personal File Share HTTP Server Remote Overflow Vulnerability (деталі)
• Cross-Site Scripting (XSS) in Feng Office (деталі)
• Apache Shindig information disclosure vulnerability (деталі)
• Cross-Site Scripting (XSS) in GuppY (деталі)
• D-Link IP Cameras Multiple Vulnerabilities (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах MobileChief, Curvo та MoneyTheme. Для котрих з’явилися експлоіти. MobileChief - це плагін для створення мобільного сайта, Curvo - це тема движка, MoneyTheme - це тема движка.

• WordPress MobileChief Cross Site Scripting (деталі)
• WordPress Curvo Cross Site Request Forgery (деталі)
• WordPress MoneyTheme Cross Site Scripting / Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

На початку року я вже писав про Denial of Service уразливість в Adobe Flash. Тоді уразливість стосувался останньої на той момент версій Flash плагіна 11.5.502.146 і була приховано виправлена Адобом в своєму патчі APSB13-05. Компанія тоді з’їхала, що під час виправлення іншої дірки вони “випадково” виправили мою дірку (але враховуючи, що за 1,5 місяці тестування вони не змогли відтворити її на своїх комп’ютерах, то вони списали це на баг драйверів AMD/ATI, тому заявили, що ця дірка їх не стосується).

На початку грудня, зокрема 09.12.2013, я виявив новий DoS в Flash, що призводить до зависання ОС. Ця Denial of Service уразливість в Adobe Flash може бути повністю новою діркою, або мати відношення до попередньої DoS (коли Адоб в нових версіях Флеша “відновила” її). Дана DoS спрацьовує при перегляді відео через флеш плагін і призводить до краху операційної системи (BSOD). Про що найближчим часом повідомлю розробникам додатку. На протязі всього місяця у мене зависає ОС при перегляді відео у флеші на ПК з відеокартою AMD/ATI (перевіряв на різних комп’ютерах).

На відміну від попередньої DoS уразливості, нова дірка працює в більшій кількості браузерів і навіть на різних ОС. А також вона працює по суті в усіх флеш відео плеєрах - на будь-яких сайтах, в тому числі на YouTube (не вимагаючи флешки VideoJS, як попередня).

Denial of Service:

Це memory corruption (access violation) уразливість. Яка може використовуватися для краху системи та потенційно для віддаленого виконання коду. Ось відео демонстрація:

DoS in Adobe Flash (BSOD)

У відео-ролику показаний сайт з JW Player (але зависання ОС відбуваються на будь-яких флеш відео плеєрах). На Windows XP частіше відбувається повне зависання ПК, а BSOD виводиться лише у 5% випадків. А на Windows 7 BSOD має місце у 85%.

Атака працює в браузерах Firefox (на XP зависання або BSOD може відбутися з першого, а може і не з першого разу). У Mozilla Firefox 3.0.19, 10.0.7 ESR, 15.0.1 і 26 - зависання браузера і BSOD системи.

Уразливі Adobe Flash 11.9.900.152 та 11.9.900.170 (остання версія) для Windows та Flash 11.2.202.332 для Linux (остання версія для цієї ОС). На Linux (Ubuntu 13.04) 100% завантаження CPU, а на Windows (XP і 7) - зависання ОС.

В даній добірці уразливості в веб додатках:

• WowzaMediaServer SecureToken bypass (and worse) (деталі)
• WowzaMediaServer StorageDir escape (regression) (деталі)
• drupal6 security update (деталі)
• Multiple Reflected XSS vulnerabilities in BoltWire <= v3.5 (деталі)
• Multiple Vulnerabilities in Uebimiau <= 2.7.11 (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах e-Commerce Payment Gateways Caller, DailyDeal та GeoPlaces. Для котрих з’явилися експлоіти. e-Commerce Payment Gateways Caller - це плагін для роботи з платіжними шлюзами, DailyDeal - це тема движка, GeoPlaces - це тема движка.

• WordPress e-Commerce Payment Gateways Caller Local File Inclusion (деталі)
• WordPress DailyDeal Theme Shell Upload (деталі)
• WordPress GeoPlaces 4.x Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.