Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Advanced XML Reader, Cardoza Ajax Search та W3 Total Cache. Для котрих з’явилися експлоіти. Advanced XML Reader - це плагін для читання XML, Cardoza Ajax Search - це локальна пошукова система по сайту, W3 Total Cache - це плагін для кешування веб сторінок.

• WordPress Plugin: Advanced XML Reader v0.3.4 XXE Vulnerability (деталі)
• WordPress Cardoza Ajax Search 1.1 SQL Injection (деталі)
• Wordpress W3 Total Cache PHP Code Execution (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У лютому, 07.02.2013, я виявив Cross-Site Scripting уразливості в численних веб додатках з VideoJS. Про що вже сповістив розробників п’яти наведених програм.

Раніше я писав про уразливості в VideoJS. Це дуже поширена флешка, що знаходиться на сотнях тисяч веб сайтів і яка використовується в багатьох веб додатках.

Зокрема в VideoJS - HTML5 Video Player for WordPress, Video.js for Drupal, bo:VideoJS for Joomla, videojs-youtube, Telemeta (CMS). Та в багатьох інших веб додатках. Розробники VideoJS минулого тижня випустили оновлення свого плеєра і всім розробникам веб додатків з VideoJS потрібно його оновити в своїх додатках.

Cross-Site Scripting (WASC-08):

VideoJS - HTML5 Video Player for WordPress:

http://site/wp-content/plugins/videojs-html5-video-player-for-wordpress/videojs/video-js.swf?readyFunction=alert(document.cookie)

Video.js for Drupal:

http://site/sites/all/libraries/video-js/video-js.swf?readyFunction=alert(document.cookie)

bo:VideoJS for Joomla:

http://site/plugins/content/bo_videojs/video-js/video-js.swf?readyFunction=alert(document.cookie)

videojs-youtube:

http://site/lib/video-js.swf?readyFunction=alert(document.cookie)

Telemeta:

http://site/htdocs/video-js/video-js.swf?readyFunction=alert(document.cookie)

Вразливі веб додатки, що використовують VideoJS Flash Component 3.0.2 і попередні версії. Версія VideoJS Flash Component 3.0.2 не вразлива до згаданої XSS дірки, але вразлива до XSS через JS калбеки (подібно до JW Player). А також є обхідні методи, що працюють в останній версії, але розробники не виправили їх через їхній невеликий вплив. Тому розробникам веб додатків з VideoJS потрібно оновити його до останньої версії.

Вразливі наступні веб додатки: VideoJS - HTML5 Video Player for WordPress 3.2.3 і попередні версії, Video.js for Drupal 6.x-2.2 і попередні 6.x-2.x версії та 7.x-2.2 і попередні 7.x-2.x версії, bo:VideoJS for Joomla 2.1.1 і попередні версії (з VideoJS Flash Component), videojs-youtube (всі версії), Telemeta 1.4.4 і попередні версії.

В даній добірці уразливості в веб додатках:

• Cisco Prime Data Center Network Manager Remote Command Execution Vulnerability (деталі)
• Apache VCL improper input validation (деталі)
• Cisco Secure Access Control System TACACS+ Authentication Bypass Vulnerability (деталі)
• Apache Rave exposes User over API (деталі)
• multiple implementations denial-of-service via MurmurHash algorithm collision (деталі)
• Persistent cross-site scripting in jforum (деталі)
• HP Network Node Manager i (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Unauthorized Access (деталі)
• Reflected XSS in Asteriskguru Queue Statistics (деталі)
• F5 FirePass SSL VPN Unauthenticated local file inclusion (деталі)
• Directory Traversal Vulnerabilities in OpenCart 1.5.5.1 (деталі)

14.02.2013

У січні, 27.01.2013, а потім додатково 07.02.2013, я виявив Denial of Service та Cross-Site Scripting уразливості в VideoJS Flash Component. Це флеш компонент відео плеєра VideoJS. Про що раніше вже повідомив розробникам веб додатку.

Детальна інформація про уразливості з’явиться пізніше.

07.05.2013

Окрім XSS дірки в VideoJS, також є DoS дірка, що торкається плеєра, яка стосується Flash Player і яку Adobe виправила ще 12.02.2013. Дана DoS (BSOD) уразливість у флеш плагіні спрацьовувала лише в цьому плеєрі.

Нещодавно, 30.04.2013, розробники виправили XSS уразливість в вихідному коді програми, а 02.05.2013, після мого нагадування, відкомпілювали флешку і завантажили її в обидва своїх репозитарії. На цьому тижні вони планують офіційно випустити VideoJS 4.0.

Cross-Site Scripting (WASC-08):

http://site/video-js.swf?readyFunction=alert(document.cookie)

Але виправлення в VideoJS Flash Component 3.0.2 не захищає проти наступних атак:

http://site/video-js.swf?readyFunction=alert

http://site/video-js.swf?readyFunction=prompt

http://site/video-js.swf?readyFunction=confirm

Вразливі версії перед VideoJS Flash Component 3.0.2 і VideoJS 4.0. Версії VideoJS Flash Component 3.0.2 і VideoJS 4.0 не вразливі до даної XSS дірки, але вразливі до XSS через JS калбеки (подібно до JW Player). А також є вищенаведені обхідні методи, що працюють в останній версії, але розробники не виправили їх через їхній невеликий вплив. Тим не менш вони обіцяли зайнятися цим в наступних версіях.

Нещодавно, 01.05.2013 я виявив нову Cross-Site Scripting уразливість в JW Player і JW Player Pro (що вже виправлена розробником). Вона стосується обох версій JW Player (безкоштовної і комерційної).

Раніше я вже писав про Content Spoofing та XSS уразливості в JW Player та JW Player Pro. Це нова XSS і про неї я не писав торік. Якщо дві попередні strictly social XSS дірки були в JW Player Pro, то ця дірка працює в обох версіях.

XSS (WASC-08):

http://site/player.swf?displayclick=link&link=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B&file=1.jpg

Для проведення атаки окрім параметра link потрібно вказати параметри displayclick=link та file. Якщо в параметрі file вказати відео, то це повинна бути адреса існуючого відео-файла, а якщо вказати зображення, то це може бути довільне ім’я jpg-файла (навіть неіснуючого).

Swf-файли JW Player можуть мати різні імена, такі як jwplayer.swf та player.swf.

Вразливі JW Player та JW Player Pro 5.10.2295 та попередні версії. Розробник виправив уразливість 20.08.2012 у версії 5.10.2393, разом з виправленням двох попередніх strictly social XSS дірок, про які я писав торік. Зазначу, що всі версії JW Player (з підтримкою калбеків), включаючи останні 6.x версії, все ще вразливі до XSS через JS калбеки, про що я писав у першому записі.

В даній добірці уразливості в веб додатках:

• Fortigate UTM WAF Appliance - Cross Site Vulnerabilities (деталі)
• Fortigate UTM WAF Appliance - Multiple Web Vulnerabilities (деталі)
• Novell GroupWise iCalendar Date/Time Parsing Denial of Service (деталі)
• Fortigate UTM WAF Appliance - Multiple Web Vulnerabilities (деталі)
• RSA BSAFE Micro Edition Suite Security Update for BEAST (Browser Exploit Against SSL/TLS) attacks (деталі)
• Vulnerability in Beaker (at using PyCrypto) (деталі)
• RSA BSAFE SSL-C Multiple Vulnerabilities (деталі)
• TP-LINK TL-WR841N XSS (Cross Site Scripting) (деталі)
• TP-LINK TL-WR841N LFI (деталі)
• Multiple peristent XSS, XSS, XSRF, offsite redirection and information disclosure flaws within CheckPoint/Sofaware firewalls (деталі)

16.05.2012

У травні, 03.05.2012, під час пентесту, я виявив багато уразливостей в IBM Lotus Domino, зокрема Brute Force та Insufficient Authentication. Це друга порція уразливостей в Lotus Domino. Про що найближчим часом повідомлю розробникам системи.

Раніше я вже писав про уразливості в IBM Lotus Domino.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

26.04.2013

Brute Force (WASC-11):

Дані сторінки, що вимагають аутентифікацію, не мають захисту від BF атак.

http://site/names.nsf
http://site/admin4.nsf
http://site/busytime.nsf
http://site/catalog.nsf
http://site/certsrv.nsf
http://site/domlog.nsf
http://site/events4.nsf
http://site/log.nsf
http://site/statrep.nsf
http://site/webadmin.nsf
http://site/web/war.nsf

Існує два варіанти форми логіна: Basic Authentication та html-форма. І в обох випадках має місце BF уразливість. Перший варіант я виявив під час пентесту ще в 2008, а під час пентесту в 2012 я виявив сайти, що використовували обидва варіанти.

Insufficient Authentication (WASC-01):

Непривілейований користувач (з будь-яким акаунтом на сайті, доступ до якого може бути отриманий через Brute Force уразливість) має доступ до наступних сторінок:

https://site/names.nsf - витік інформації про всіх користувачів (імена, прізвища, логіни, емайли та інша персональна інформація і налаштування)

https://site/admin4.nsf - витік інформації про дії адміністратора (Administration Requests), включаючи персональну інформацію (імена, прізвища, логіни та інше)

https://site/catalog.nsf - витік інформації про файли на сервері, про встановлені програми і про їх налаштування (Application Catalog), включаючи персональну інформацію (імена, прізвища, логіни та інше)

https://site/events4.nsf - витік інформації про події (Monitoring Configuration)

Після отримання доступу до names.nsf, можна використати Information Leakage уразливість, що знайдена Leandro Meiners в 2005 (для отримання хешів паролів) і яка досі не виправлена. IBM не виправила її в дефолтній конфігурації, а лише порадила прибрати поле хеша з профайлів, або використати солені хеші. Мій клієнт використав саме солені хеші й це не допомогло (99% хешів були підібрані, включаючи адмінський).

Уразливі IBM Lotus Domino 8.5.3, 8.5.4, 9.0 та попередні версії. В версії Domino 9.0, що вийшла у березні, IBM так і не виправила дані уразливості. Як нещодавно мені повідомили з IBM, майже через рік після мого інформування про ці уразливості, вони не виправили їх, бо не бачать в цьому потреби. Бо за їх словами в Domino існують вбудовані механізми для захисту від BF та IA, тому ці дірки не є проблемою додатку (а проблемою конкретних сайтів).

Тобто власники сайтів Lotus Domino повинні краще його налаштовувати для захисту від даних атак. З чим я не згоден, так як на всіх сайтах на Domino, що я перевіряв під час пентестів, були саме такі налаштування (схоже, що це налаштування по замовчуванню) і мали місце дані уразливості. Тобто це проблема саме Domino.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Traffic Analyzer, Spiffy XSPF Player та Spider Video Player. Для котрих з’явилися експлоіти. Traffic Analyzer - це плагін для аналіза трафіка, Spiffy XSPF Player - це медіа плеєр, Spider Video Player - це відео плеєр.

• WordPress Traffic Analyzer Cross Site Scripting (деталі)
• WordPress Spiffy XSPF Player 0.1 SQL Injection (деталі)
• WordPress Spider Video Player 2.1 SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У січні, 31.01.2013, я виявив Cross-Site Scripting, Content Spoofing та Full path disclosure уразливості в темах для WordPress, що містять jPlayer.

Раніше я писав про XSS та Content Spoofing уразливості в jPlayer. Це дуже поширена флешка, що знаходиться на десятках тисяч веб сайтів і яка використовується в сотнях веб додатків. Зокрема в багатьох плагінах і темах для WordPress. Плюс є багато сайтів, на яких Jplayer.swf розміщена в інших папках окрім плагінів і тем. При стандартному пошуку через Гугл дорки виводиться 32000 сайтів з Jplayer.swf, а при пошуку по темам для WordPress можна знайти 313000 сайтів з цією флешкою.

Цей плеєр міститься в багатьох темах (шаблонах) для WordPress. Серед них Studiozen, Photocrati, Music, Imperial Fairytale та Feather12. Та тисячі інших уразливих тем для WordPress (судячи з гугл дорка). Розробники jPlayer випустили оновлення свого плеєра і всім розробникам веб додатків з jPlayer потрібно його оновити в своїх додатках.

Cross-Site Scripting (WASC-08):

В різних версіях jPlayer різні XSS уразливості.

Studiozen:

http://site/wp-content/themes/studiozen/js/html5player/Jplayer.swf?id=%27))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//

Photocrati:

http://site/wp-content/themes/photocrati-theme/scripts/Jplayer.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//

Music:

http://site/wp-content/themes/music/js/Jplayer.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//

Imperial Fairytale:

http://site/wp-content/themes/imperial-fairytale/assets/swf/Jplayer.swf?jQuery=document.write&id=%3Cimg%20src=1%20onerror=alertu0028document.cookieu0029%3E

Feather12:

http://site/wp-content/themes/feather12/js/Jplayer.swf?jQuery=)}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http://site/wp-content/themes/feather12/js/Jplayer.swf?id=%27))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//

Content Spoofing (WASC-12):

Можна проводити CS (включення аудіо/відео файлів з зовнішніх ресурсів) через JS і XSS через JS калбеки. Для цього необхідна HTML Injection уразливість на цільовому сайті. Атака аналогічна XSS через калбеки в JW Player.

Full path disclosure (WASC-13):

Всі зазначені теми мають FPD уразливості в php-файлах (в index.php та інших), що типово для WP тем.

http://site/wp-content/themes/studiozen/

http://site/wp-content/themes/photocrati-theme/

http://site/wp-content/themes/music/

http://site/wp-content/themes/imperial-fairytale/

http://site/wp-content/themes/feather12/

Вразливі наступні веб додатки: всі версії тем Studiozen, Photocrati, Music, Imperial Fairytale та Feather12.

Дані XSS уразливості виправлені в версії jPlayer 2.2.23 (але не виправлені CS через JS і XSS атаки через JS калбеки, а також в версії 2.3.0 працюють інші обхідні методи атаки, про що я вже писав розробникам jPlayer у березні та нагадав ще раз). Тому розробникам даних та інших плагінів для WP з jPlayer потрібно оновити його до останньої версії.

27.12.2012

У листопаді, 22.11.2012, я знайшов Content Spoofing та Cross-Site Scripting уразливості на комерційному проекті http://www.comdi.com. Про що вже сповістив адміністрацію сайта.

Стосовно дірок на e-commerce сайтах та сайтах електронних платіжних систем в останнє я писав про уразливості на www.payu.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

24.04.2013

Content Spoofing:

http://www.comdi.com/bitrix/components/bitrix/player/mediaplayer/player.swf?abouttext=Player&aboutlink=http://site

XSS:

http://www.comdi.com/bitrix/components/bitrix/player/mediaplayer/player.swf?playerready=alert(document.cookie)
http://www.comdi.com/bitrix/components/bitrix/player/mediaplayer/player.swf?abouttext=Player&aboutlink=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

Та інші Content Spoofing та Cross-Site Scripting уразливості в JW Player.

Дані уразливості досі не виправлені.